12 Декабрь 2010

Предлагаем вашему вниманию авторский материал начальника Главного управления по надзору за исполнением федерального законодательства Генеральной прокуратуры Российской Федерации Анатолия Паламарчука в журнале «Законность».

Конституция РФ закрепляет право каждого на неприкосновенность частной жизни, личную и семейную тайну (ст. 23). Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ст. 24).

Развивая положения Конституции, ФЗ от 27.07.2006 «О персональных данных» (далее – Закон о персональных данных) определяет понятие «конфиденциальность персональных данных» − обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания (ст. 3). Под распространением персональных данных понимаются действия, направленные на их передачу определенному кругу лиц или на ознакомление с ними неопределенного круга лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставления доступа к персональным данным каким-либо иным способом.

Следует особо подчеркнуть, что операторы и третьи лица, получающие доступ к персональным данным физического лица, в т.ч. его фамилию, имя и отчество, обязаны соблюдать установленное ст. 7 Закона о персональных данных требование конфиденциальности, за исключением случаев, когда персональные данные обезличены или являются общедоступными.

Органы прокуратуры Российской Федерации в соответствии со ст. ст. 1, 21, 26 Федерального закона «О прокуратуре Российской Федерации» осуществляют надзор за соблюдением Конституции Российской Федерации исполнением законов, действующих на ее территории, в том числе Закона о персональных данных, федеральными министерствами, государственными комитетами, службами и иными федеральными органами исполнительной власти, представительными (законодательными) и исполнительными органами государственной власти субъектов Российской Федерации, органами местного самоуправления, органами военного управления, органами контроля, их должностными лицами, а также органами управления и руководителями коммерческих и некоммерческих организаций.

Уполномоченным органом по защите прав субъектов персональных данных, обеспечивающим контроль и надзор за соответствием обработки персональных данных, является Федеральная служба по надзору в сфере массовых коммуникаций (Роскомнадзор) в соответствии с п. 1 ст. 23 Закона о персональных данных и п. 1 Положения о Федеральной службе по надзору в сфере массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009.

Государственные и муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных (операторы) обязаны до начала их обработки уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении (ст. ст. 3, 22 Закона о персональных данных).

В некоторых случаях операторы вправе осуществлять обработку персональных данных без уведомления территориальных управлений Роскомнадзора. Это относится к персональным данным: субъектов, которых связывают с оператором трудовые отношения; общедоступных персональных данных; включающих в себя только фамилии, имена и отчества субъектов персональных данных; необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка и др. (ст. 22 Закона о персональных данных).

В числе полномочий Роскомнадзора Законом о персональных данных предусмотрено право на обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представление их интересов в суде, на принятие мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона.

Анализ практики показывает, что в современных условиях деятельность уполномоченного органа по защите прав субъектов персональных данных не всегда осуществляется на должном уровне, что обусловливает необходимость повышенного внимания прокуроров к этой сфере правоотношений.

Так, Генеральная прокуратура РФ в рамках мониторинга размещаемой в российском сегменте информационно-телекоммуникационной сети Интернет информации выявила нарушения прав граждан на защиту и сохранность их персональных данных, неприкосновенность частной жизни.

Вопреки требованиям ст. 9 Закона о персональных данных, без согласия субъектов персональных данных на ряде Интернет-сайтов неограниченному кругу лиц предоставлялся доступ к персональным данным проживающих в г. Москве и Московской области граждан Российской Федерации, включающим фамилии, имена, отчества, даты рождения и адреса места жительства.

По поручению Генеральной прокуратуры Российской Федерации органами прокуратуры г. Москвы наиболее крупным 7-ми магистральным провайдерам, находящимся на территории г. Москвы, объявлены предостережения о недопустимости нарушения требований Закона о персональных данных. В предостережениях указано, что с момента объявления предостережения руководитель компании – магистрального провайдера считается уведомленным о наличии нарушений Закона о персональных данных и должен предпринять организационно-технические меры для защиты персональных данных пользователей российского сегмента сети Интернет и прекратить доступ к незаконно предоставляемой информации. Требования прокурора были выполнены незамедлительно.

Учитывая, что два сайта, на которых размещена информация, нарушающая права граждан на защиту персональных данных зарегистрированы в США, Генеральной прокуратурой Российской Федерации в Министерство юстиции США направлен запрос о правовой помощи в целях принятия мер по блокированию доступа пользователей к этим Интернет-ресурсам.

Кроме того, прокуратура г. Москвы по фактам нарушения ст. 9 Закона о персональных данных организовала проверку, в ходе которой установлено физическое лицо – регистратор доменных имен сайтов, зарегистрированных на территории Российской Федерации, решается вопрос о привлечении его к уголовной ответственности.

В настоящее время еще не сформирована судебная практика по спорам, касающимся защиты и сохранности персональных данных физических лиц при их распространении в сети Интернет. Эта практика нарабатывается c участием органов прокуратуры. Так, по требованию Генеральной прокуратуры РФ, в связи с массовыми нарушениями прав граждан в сети Интернет, Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных в августе текущего года направил в суд иск о признании действий регистратора по обработке данных граждан Российской Федерации нарушающими права неопределенного круга лиц, являющихся субъектами персональных данных, о неприкосновенности частной жизни, с требованием об обязании регистратора уничтожить незаконно размещенные в сети Интернет персональные данные граждан.

При выявлении нарушений Закона о персональных данных в сети Интернет прокурору необходимо дать им надлежащую правовую оценку и принять исчерпывающие меры прокурорского реагирования.

Учитывая экстерриториальный характер сети Интернет, прежде всего, целесообразно объявить предостережения наиболее крупным магистральным провайдерам, предоставляющим услуги доступа к Интернету.

С момента объявления предостережения, магистральный провайдер считается уведомленным о наличии нарушений Закона о персональных данных на указанных в предостережении сайтах и может предпринять организационно-технические меры для блокирования доступа пользователей российского сегмента сети Интернет к незаконно предоставляемой информации.

Если после объявления предостережения магистральные провайдеры не приняли мер к блокированию сайтов-нарушителей, возможно внесение в адрес руководителей компаний – основных магистральных провайдеров представлений о недопустимости нарушения Закона о персональных данных.

Кроме того, следует принять меры к установлению юридического или физического лица, являющегося администратором доменного имени сайта, на котором выявлены нарушения Закона о персональных данных. Эта информация может быть представлена регистратором по запросу прокурора или уполномоченного органа по защите прав субъектов персональных данных. Регистратор – юридическое лицо, аккредитованное координатором для оказания услуг регистрации доменных имен. В настоящее время в России действует Координационный центр национального домена сети Интернет (координатор), установивший правила регистрации доменных имен (официальный сайт www.cctld.ru).

Законодательство РФ предусматривает гражданскую, уголовную, административную и дисциплинарную ответственность за нарушение Закона о персональных данных.

Так, статьей 13.11 КоАП установлена ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), допускаемое физическими, должностными и юридическими лицами. Санкцией статьи предусмотрено предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц – от пятисот до одной тысячи рублей; на юридических лиц – от пяти тысяч до десяти тысяч рублей.

Возбуждение этой категории дел является прерогативой прокурора, в соответствии с ч. 1 ст. 28.4 КоАП. При выявлении в действиях регистратора доменного имени Интернет-сайта признаков административного правонарушения, предусмотренного ст. 13.11 КоАП, органы Роскомнадзора обязаны направить материалы в органы прокуратуры для принятия мер прокурорского реагирования. Вместе с тем необходим системный мониторинг прокурорами сети Интернет для своевременного выявления фактов массового нарушения прав в части несанкционированного распространения персональных данных граждан, краж баз данных из различного рода государственных и социальных учреждений, у сотовых операторов, иных правообладателей. Необходимо оперативное реагирование прокуроров и на обращения граждан в связи с нарушением их прав.

Уголовный кодекс РФ предусматривает ответственность за нарушение неприкосновенности частной жизни (ст. 137), а также за неправомерный доступ к компьютерной информации (ст. 272). Поэтому при выявлении в ходе соответствующих проверок признаков составов этих преступлений прокурор должен оперативно вынести постановление о передаче материалов в органы, уполномоченные на проведение проверки в соответствии со ст. 144, 145 УПК РФ.

Резюмируя сказанное, можно констатировать, что прокурор наделен широким спектром полномочий для профилактики и устранения нарушений требований законодательства Российской Федерации о персональных данных в целом и в российском сегменте сети Интернет, в частности: объявление предостережений, внесение представлений, опротестование незаконных нормативных актов в этой сфере, возбуждение дел об административных правонарушениях, обращение в суд с заявлением в защиту прав, свобод и законных интересов неопределенного круга лиц. При этом прокурорам субъектов Российской Федерации необходимо максимально использовать полномочия Роскомнадзора, уполномоченного органа в названной сфере, направляя ему соответствующую информацию о выявленных нарушениях закона через Генеральную прокуратуру Российской Федерации, либо напрямую – в территориальные управления Роскомнадзора.

В силу специфики Интернет-пространства и еще не сформировавшейся практики правоприменения это направление работы новое, однако прокурорам необходимо осуществлять постоянный мониторинг этой сферы правоотношений и реагировать на каждое нарушение законодательства о персональных данных в российском сегменте сети Интернет.

Журнал "Законность", №12, 2010 г.