Справочно-правовая система по информационной безопасности

Инструменты пользователя

Инструменты сайта


Высокоуровневый сравнительный анализ правовых режимов обработки и защиты персональных данных в государствах-членах ЕАЭС

Евразийский экономический союз (ЕАЭС), договор о котором был подписан 29 мая 2014 года в Астане, создан в целях обеспечения свобода движения товаров, услуг, капитала и рабочей силы, проведения скоординированной, согласованной или единой политики в ключевых отраслях экономики. Одним из инструментов для достижения поставленных целей является формирование единых подходов в правовом регулировании общественных отношений, возникающих при осуществлении права на поиск, получение, передачу, производство и распространение информации, применении информационных технологий и обеспечении защиты информации. Одной из наиболее важных и чувствительных для общественных и государственных интересов категорией информации являются персональные (личные) данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Для оценки существующего потенциала по сближению и гармонизации систем нормативного правового регулирования в области персональных данных государств-членов ЕАЭС представляется целесообразным дать их общую характеристику. Для каждой из систем приведено как описание текущего состояния нормативного правового регулирования в области персональных данных, так и краткий обзор нижеуказанных особенностей регулирования:

  1. сфера действия законодательства о персональных данных;
  2. понятийный аппарат;
  3. принципы обработки персональных данных;
  4. правомерность обработки персональных данных;
  5. права субъекта персональных данных;
  6. лица, имеющие отношение к обработке персональных данных;
  7. безопасность персональных данных при их обработке;
  8. трансграничная передача персональных данных;
  9. надзор за обработкой и защитой персональных данных;
  10. перечень некоторых нормативных правовых актов в области персональных данных.

Республика Армения

1. Текущее состояние регулирования в области персональных данных: Армения является участником Конвенции о защите физических лиц при автоматизированной обработке персональных данных ETS от 28.01.1981 № 108, а также является первым из государств-членов ЕАЭС, который принял законодательный акт в области персональных данных – Закон Республики Армения «О персональных данных» от 08.10.2002 № ЗР–422–Н (утратил силу 01.07.2015). Подходы к регулированию рассматриваемой сферы достаточно близки к принципам и положениям Конвенции от 28.01.1981 № 108. Общая структура регулирования является компактной и содержит минимально необходимый набор нормативных актов.

2. Сфера действия законодательства о персональных данных: законодательством регулируется порядок и условия обработки персональных данных безотносительно характера действий (с использованием средств автоматизации и без использования таковых средств), совершаемых с персональными данными. Регулирование обработки и защиты персональных данных как в рамках иных режимов ограничения доступа к информации (институты государственной, служебной, банковской, нотариальной, адвокатской, страховой тайны и т.п.), так и для целей журналистики, литературы и в художественных целях императивно вынесено за пределы сферы действия законодательства о персональных данных.

3. Понятийный аппарат: существующий понятийный аппарат является достаточно развитым и в целом соответствует положениям Конвенции от 28.01.1981 № 108. Особенностью является одновременное использование терминов «личные данные» (любое относящееся к физическому лицу сведение, которое дает возможность или может дать возможность прямо или косвенно идентифицировать личность лица) и «данные личной жизни» (сведения о личной жизни, семейной жизни, физическом, физиологическом, интеллектуальном, социальном состоянии лица или другие подобные сведения).

4. Принципы обработки персональных данных: действующий набор из четырех принципов является наиболее компактным среди всех исследованных правовых систем. Следует отметить, что соблюдение принципа достоверности обрабатываемых персональных данных в некоторых ситуациях может возлагать на оператора несение дополнительных издержек различного характера, связанных с необходимостью осуществлять мероприятия по проверке полноты, ясности и точности персональных данных, предоставленных субъектом.

5. Правомерность обработки персональных данных: законодательство в целом опирается на базовый субинститут предоставления субъектом персональных данных своего явно выраженного согласия, на конклюдентные действия субъекта и на договорные отношения между субъектом и оператором. Законодатель также фиксирует возможность обработки персональных данных в иных установленных законодательством случаях. Особенностью является акцент на способе взаимодействия между субъектом и оператором – направление оператору документа с зафиксированными на нем персональными данными и устного сообщения персональных данных оператору.

6. Права субъекта персональных данных: реализована классическая схема в составе трех основных полномочий субъекта персональных данных – право на доступ к данным, право при принятии оператором решений, право на обжалование действий или бездействия оператора.

7. Лица, имеющие отношение к обработке персональных данных: применена триединая схема в составе оператора (организует и (или) осуществляют обработку личных данных), уполномоченного лица (которому оператором в установленных законом случаях или на основании договора заказан сбор, ввод, систематизация или другой способ обработки персональных данных) и третьего лица (не являются субъектом, оператором или уполномоченным лицом, и права или законные интересы которого затрагиваются или могут быть затронуты в результате обработки персональных данных). Особенностью регулирования является отсутствие в определении оператора такого квалифицирующего признака как целеполагание обработки персональных данных.

8. Безопасность персональных данных при их обработке: в действующем законодательстве отсутствует развитая и детальная регламентация необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий. Существуют отдельные императивные нормы об использовании шифровальных средств для обеспечения защиты информационных систем, содержащих персональные данные, а также общие требования к материальным носителям биометрических персональных данных.

9. Трансграничная передача персональных данных: трансграничная передача персональных данных определена как передача персональных данных на территорию другого государства безотносительно статуса получающей стороны. Иначе говоря, трансграничной будет признана передача персональных данных с территории Армении на территорию другого государства, даже если такая передача производится внутри одной информационной системы, оператором которой будет резидент Армении. Особенностью является наличие субинститута получения предварительного разрешения уполномоченного органа для передачи персональных данных на территорию иностранного государства, не обеспечивающего удовлетворительный уровень защиты персональных данных. Кроме того, существует утвержденный уполномоченным органом перечень государств, которые обеспечивающего удовлетворительный уровень защиты персональных данных. Требование о «локализации» персональных данных в действующем законодательстве отсутствует.

10. Надзор за обработкой и защитой персональных данных: государственный надзор осуществляется уполномоченным органом – Агентством по защите персональных данных Министерства юстиции Республики Армении. Особенностью является как закрепленный в законодательстве независимый статус уполномоченного органа, так и наличие консультативного органа, действующего при уполномоченном органе на общественных началах.

11. Перечень некоторых нормативных правовых актов в области персональных данных:

  • Конституция Республики Армения от 05.07.1995
  • Закон от 22.10.2003 № ЗР-11 «О свободе информации»
  • Закон от 01.07.2004 № ЗР-88 «Об архивном деле»
  • Закон от 13.06.2015 № ЗР-49 «О защите личных данных»

Республика Беларусь

1. Текущее состояние регулирования в области персональных данных: Беларусь не является участником Конвенции о защите физических лиц при автоматизированной обработке персональных данных ETS от 28.01.1981 № 108, а также является единственным из государств-членов ЕАЭС, который на текущий момент не принял отдельный законодательный акт в области персональных данных. В соответствии с Указом Президента Республики Беларусь от 10.01.2018 № 9 в 2018 году в сфере законодательства об информации, информатизации и защите информации предусмотрена подготовка проекта закона Республики Беларусь «О персональных данных» до декабря 2018 г., а внесение законопроекта в Палату представителей Национального собрания Республики Беларусь запланировано - до апреля 2019 г. Общая структура регулирования является фрагментированной и не демонстрирует единого комплексного подхода.

2. Сфера действия законодательства о персональных данных: законодательством в целом регулируются общественные отношения, возникающие при поиске, получении, передаче, сборе, обработке, накоплении, хранении, распространении и (или) предоставлении информации, а также пользовании информацией (включая персональные данные). Также регулируется организация и обеспечение защиты информации.

3. Понятийный аппарат: отсутствует специализированный понятийный аппарат в области персональных данных. Особенностью является одновременное использование трех определений термина «персональные данные» – совокупность основных и дополнительных персональных данных, а также данных о реквизитах документов, подтверждающих основные и дополнительные персональные данные конкретных физических лиц (Закон «О регистре населения»); первичные статистические данные о конкретном респонденте, сбор которых осуществляется при проведении переписи населения (Закон «О переписи населения»); основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами Республики Беларусь внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо (Закон «Об информации, информатизации и защите информации»).

4. Принципы обработки персональных данных: совокупность принципов по своей природе ближе к общеправовой, не выражает специфику регулирования в области персональных данных и не имеет четко определённой системности с точки зрения предмета регулирования. Так, в Законе «Об информации, информатизации и защите информации» в качестве одного из принципов заявлена «защита информации о частной жизни физического лица и персональных данных».

5. Правомерность обработки персональных данных: законодательство в целом опирается на волеизъявление (согласие) субъекта в качестве условия для предоставления им персональных данных и их дальнейшей передачи, а также на возможность обработки персональных данных в силу требований действующего законодательства.

6. Права субъекта персональных данных: субъекту персональных данных предоставлено только право на доступ к своим данным. Законодательно не зафиксирован механизм реализация права субъекта при принятии оператором решений и права на обжалование действий или бездействия оператора.

7. Лица, имеющие отношение к обработке персональных данных: особенностью регулирования является отсутствие в законодательстве субинститутов как оператор и уполномоченное им лицо (обработчик). Наиболее близкими к ним по содержанию являются «обладатель информации» (субъект информационных отношений, получивший права обладателя информации по основаниям, установленным актами законодательства или по договору) и «оператор информационной системы» (субъект информационных отношений, осуществляющий эксплуатацию информационной системы и (или) оказывающий посредством ее информационные услуги).

8. Безопасность персональных данных при их обработке: в действующем законодательстве отсутствует развитая и детальная регламентация необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий. Существуют отдельные императивные нормы об использовании аттестованных в установленном законом порядке систем защиты информации, а также общие требования к правовым мерам защиты информации.

9. Трансграничная передача персональных данных: в действующем законодательстве не определены требования к осуществлению трансграничной передачи персональных данных. Требование о «локализации» персональных данных в действующем законодательстве отсутствует.

10. Надзор за обработкой и защитой персональных данных: государственный надзор осуществляется независимым регулятором в сфере информационно-коммуникационных технологий, функции которого осуществляются Оперативно-аналитическим центром при Президенте Республики Беларусь.

11. Перечень некоторых нормативных правовых актов в области персональных данных:

  • Конституция Республики Беларусь от 15.03.1994
  • Закон от 19.07.2005 № 45-З «Об электросвязи»
  • Закон от 13.07.2006 № 144-З «О переписи населения»
  • Закон от 21.07.2008 № 418-З «О регистре населения»
  • Закон от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»
  • Закон от 28.12.2008 № 113-3 «Об электронном документе и электронной цифровой подписи»
  • Закон от 25.11.2011 № 323-З «Об архивном деле и делопроизводстве в Республике Беларусь»
  • Указ Президента Республики Беларусь от 08.11.2011 № 515 «О некоторых вопросах развития информационного общества»
  • Декрет Президента Республики Беларусь от 21.12.2017 № 8 «О развитии цифровой экономики»
  • Указ Президента Республики Беларусь от 10.01.2018 № 9 «Об утверждении плана подготовки законопроектов на 2018 год»
  • проект Закона Республики Беларусь «О персональных данных»1)
  • проект Закона Республики Беларусь, устанавливающего административную ответственность за разглашение коммерческой, иной тайны или персональных данных2)

Республика Казахстан

1. Текущее состояние регулирования в области персональных данных: Казахстан не является участником Конвенции о защите физических лиц при автоматизированной обработке персональных данных ETS от 28.01.1981 № 108. Тем не менее, подходы к регулированию рассматриваемой сферы достаточно близки к принципам и положениям Конвенции от 28.01.1981 № 108. Общая структура регулирования является компактной и содержит минимально необходимый набор нормативных актов, включая основной закон о персональных данных и два подзаконных акта в виде постановлений Правительства. Республика Казахстан является одним из двух (наравне с Российской Федерацией) государств-членов ЕАЭС, которое отдельно урегулировало вопрос обработки и защиты персональных данных в рамках трудовых правоотношений.

2. Сфера действия законодательства о персональных данных: законодательством регулируются общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных безотносительно характера действий (с использованием средств автоматизации и без использования таковых средств). Регулирование обработки и защиты персональных данных императивно вынесено за пределы сферы действия законодательства о персональных данных применительно к отношениям, касающихся: личных и семейных нужд; формирования, хранения и использования архивных документов; защиты государственных секретов; разведывательной, контрразведывательной, оперативно-розыскной деятельности; осуществления охранных мероприятий по обеспечению безопасности охраняемых лиц и объектов.

3. Понятийный аппарат: существующий понятийный аппарат является достаточно развитым и в целом соответствует положениям Конвенции от 28.01.1981 № 108. Особенностью является использование такого квалифицирующего признака персональных данных как фиксация на электронном, бумажном и (или) ином материальном носителе, что порождает вопрос о юридическом статусе персональных данных, сообщённых устно или с помощью средств голосовой связи. Другой особенностью является выделение из общей совокупности действий с персональными данными (обработка) и наделение самостоятельной ролью такой операции как сбор персональных данных.

4. Принципы обработки персональных данных: в действующем наборе принципов отсутствует классическое положение об обеспечении точности, достаточности и актуальности (достоверности) персональных данных. В то же время можно отметить необычную и уникальную в своем роде норму, провозглашающую «равенство прав субъектов, собственников и операторов», которую, видимо, не следует интерпретировать буквально в силу разного юридического статуса и функционального наполнения указанных ролей.

5. Правомерность обработки персональных данных: законодательство в целом опирается на базовый субинститут предоставления субъектом персональных данных своего явно выраженного согласия. При этом отсутствует указание на такие условия правомерности обработки персональных данных как конклюдентные действия субъекта и на договорные отношения между субъектом и собственником (оператором). Законодатель также фиксирует возможность обработки персональных данных в иных установленных законодательством случаях. Особенностью является правомерность обработки персональных данных в случае неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с законами.

6. Права субъекта персональных данных: реализована схема в составе двух основных полномочий субъекта персональных данных – право на доступ к данным и право на обжалование действий или бездействия собственника (оператора). При этом право субъекта при принятии собственником (оператором) решений прямо не зафиксировано в действующем законодательстве.

7. Лица, имеющие отношение к обработке персональных данных: особенностью является отсутствие субинститута оператора, роль которого выполняют «собственник базы, содержащей персональные данные» (лицо, реализующее в соответствии с законами право владения, пользования и распоряжения базой, содержащей персональные данные) и «оператор базы, содержащей персональные данные» (лицо, осуществляющее сбор, обработку и защиту персональных данных). Другой особенностью регулирования является отсутствие в определении собственника и оператора такого квалифицирующего признака как целеполагание обработки персональных данных. Следует отметить наличие в системе нормативного регулирования уникального для правовых систем ЕАЭС акта, устанавливающего правила определения собственником (оператором) перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.

8. Безопасность персональных данных при их обработке: в действующем законодательстве присутствует некоторая регламентация необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий. Существуют отдельные императивные нормы о предотвращении несанкционированного доступа к персональным данным, о своевременном обнаружении фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить, и о минимизации неблагоприятных последствий несанкционированного доступа к персональным данным.

9. Трансграничная передача персональных данных: трансграничная передача персональных данных определена как передача персональных данных на территорию иностранных государств безотносительно статуса получающей стороны. Иначе говоря, трансграничной будет признана передача персональных данных с территории Казахстана на территорию другого государства, даже если такая передача производится внутри одной базы данных, собственником (оператором) которой будет резидент Казахстана. Особенностью является отсутствие субинститута получения предварительного разрешения уполномоченного органа для передачи персональных данных на территорию иностранного государства, не обеспечивающего удовлетворительный (с точки зрения законодательства Казахстана) уровень защиты персональных данных. Кроме того, существует норма о «локализации» персональных данных, а именно: «хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, которая хранится на территории Республики Казахстан».

10. Надзор за обработкой и защитой персональных данных: органы прокуратуры Республики Казахстан осуществляют высший надзор за соблюдением законности в сфере персональных данных и их защиты. Особенностью является отсутствие специализированного и формально независимого уполномоченного органа в области персональных данных.

11. Перечень некоторых нормативных правовых актов в области персональных данных:

  • Конституция Республики Казахстан от 30.08.1995
  • Трудовой кодекс Республики Казахстан от 23.11.2015 № 414-V
  • Закон от 22.12.1998 № 326-1 «О Национальном архивном фонде и архивах»
  • Закон от 21.05.2013 № 94-V «О персональных данных и их защите»
  • Закон от 24.11.2015 № 418-V «Об информатизации»
  • Постановление Правительства Республики Казахстан от 03.09.2013 № 909 «Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных»
  • Постановление Правительства Республики Казахстан от 12.11.2013 № 1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач»

Кыргызская Республика

1. Текущее состояние регулирования в области персональных данных: Кыргызстан не является участником Конвенции о защите физических лиц при автоматизированной обработке персональных данных ETS от 28.01.1981 № 108. Подходы к регулированию рассматриваемой сферы достаточно близки к принципам и положениям как Конвенции от 28.01.1981 № 108, так и Модельного закона СНГ о персональных данных (Постановление от 16.10.1999 № 14-19). Общая структура регулирования является компактной и содержит минимально необходимый набор нормативных актов, включая основной закон о персональных данных.

2. Сфера действия законодательства о персональных данных: законодательством регулируются общественные отношения, возникающие при работе с информацией персонального характера независимо от применяемых средств обработки этой информации, включая использование информационных технологий. Данное регулирование не распространяется на хранение, обработку и использование персональных данных в связи с личными, семейными или хозяйственными делами физического лица. Отдельно урегулированы отношения, возникающие при осуществлении деятельности по сбору, обработке, хранению и использованию биометрических данных граждан Кыргызской Республики, актуализации и защите базы биометрических данных.

3. Понятийный аппарат: существующий понятийный аппарат является достаточно развитым и подробным. Особенностью является использование такого квалифицирующего признака персональных данных как фиксация на материальном носителе, что порождает вопрос о юридическом статусе персональных данных, сообщённых устно или с помощью средств голосовой связи. Другой особенностью определения персональных данных является отсылка на позволяющие идентифицировать человека один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности.

4. Принципы обработки персональных данных: действующий набор из восьми принципов содержит в себе исчерпывающее описание руководящих положений, определяющие содержание и направления правового регулирования в области персональных данных. Необходимо отметить особое внимание законодателя к вопросу гарантий обеспечения защиты персональных данных при длительных сроках хранения. Кроме того, отдельное внимание уделяется вопросам гарантий законного использования биометрических и персональных данных в соответствии с законодательством и обеспечения доверия граждан к использованию государством биометрических данных.

5. Правомерность обработки персональных данных: законодательство в целом опирается на базовый субинститут предоставления субъектом персональных данных своего явно выраженного согласия. При этом отсутствует указание на такие условия правомерности обработки персональных данных как конклюдентные действия субъекта и на договорные отношения между субъектом и собственником (оператором). Законодатель также фиксирует возможность обработки персональных данных в иных установленных законодательством случаях. Особенностью является правомерность обработки персональных данных для достижения законных интересов держателей (обладателей) персональных данных.

6. Права субъекта персональных данных: реализована схема в составе двух основных полномочий субъекта персональных данных – право на доступ к данным и право на обжалование действий или бездействия собственника (оператора). При этом право субъекта при принятии собственником (оператором) решений прямо не зафиксировано в действующем законодательстве. Законодательством также предусмотрен исчерпывающий перечень оснований для ограничения прав субъекта на доступ к своим персональным данным.

7. Лица, имеющие отношение к обработке персональных данных: особенностью является отсутствие субинститута оператора, роль которого выполняет «держатель (обладатель) массива персональных данных» (лица, на которые возложены полномочия определять цели, категории персональных данных и контролировать сбор, хранение, обработку и использование персональных данных). Стоит наличие в вышеприведенном определении держателя (обладателя) такого квалифицирующего признака как целеполагание обработки персональных данных, что сближает данное определение с подходами к регулированию в России, но отличается от подходов Армении и Казахстана. Следует отметить наличие обязанности держателей (обладателей) персональных данных по составлению перечней персональных данных с их последующим согласованием с уполномоченным государственным органом, регистрацией в этом органе и публикацией в Реестре держателей (обладателей) массивов персональных данных.

8. Безопасность персональных данных при их обработке: в действующем законодательстве присутствует некоторая регламентация необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий. В частности, держателю (обладателю) массивов персональных данных необходимо обеспечить контроль за доступом, контроль за пользованием носителями данных, контроль за записью, контроль за средствами передачи данных, контроль за допуском, контроль за вводом, контроль за передачей и транспортировкой данных, конфиденциальность данных, выполнение требований к защите персональных данных при их обработке в информационных системах, ведение учета машинных носителей персональных данных, восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

9. Трансграничная передача персональных данных: трансграничная передача персональных данных определена как передача держателем (обладателем) персональных данных держателям, находящимся под юрисдикцией других государств. Особенностью является презумпция такого условия для трансграничной передачи как наличие международного договора между сторонами, согласно которому получающая сторона обеспечивает адекватный уровень защиты прав и свобод субъектов персональных данных и охраны персональных данных, установленный в Кыргызской Республике. Передача персональных данных в страны, не обеспечивающие адекватный уровень защиты прав и свобод субъектов персональных данных, может иметь место при выполнении одного из условий: согласие субъекта персональных данных на эту передачу, если передача необходима для защиты интересов субъекта персональных данных, если персональные данные содержатся в общедоступном массиве персональных данных. Требование о «локализации» персональных данных в действующем законодательстве отсутствует.

10. Надзор за обработкой и защитой персональных данных: до настоящего времени в Кыргызстане не определен уполномоченный орган, осуществляющий контроль за соответствием обработки персональных данных требованиям закона и обеспечивающий защиту прав субъектов персональных данных.

11. Перечень некоторых нормативных правовых актов в области персональных данных:

  • Конституция Кыргызской Республики от 27.06.2010
  • Закон от 22.11.1999 № 125 «О Национальном архивном фонде Кыргызской Республики»
  • Закон от 14.04.2008 № 58 «Об информации персонального характера»
  • Закон от 14.07.2014 № 136 «О биометрической регистрации граждан Кыргызской Республики»
  • Закон от 19.07.2017 № 127 «Об электронном управлении»

Российская Федерация

1. Текущее состояние регулирования в области персональных данных: Россия является участником Конвенции о защите физических лиц при автоматизированной обработке персональных данных ETS от 28.01.1981 № 108, а также является одним из первых государств-членов ЕАЭС, который принял законодательный акт в области персональных данных – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Подходы к регулированию рассматриваемой сферы достаточно близки к принципам и положениям Конвенции от 28.01.1981 № 108. Общая структура регулирования является развитой и содержит значительное количество нормативных актов. Российская Федерация является одним из двух (наравне с Республика Казахстан) государств-членов ЕАЭС, которое отдельно урегулировало вопрос обработки и защиты персональных данных в рамках трудовых правоотношений.

2. Сфера действия законодательства о персональных данных: законодательством регулируется отношения, связанные с обработкой персональных данных, осуществляемой с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. Действие рассматриваемого законодательства не распространяется на случаи обработки персональных данных: физическими лицами исключительно для личных и семейных нужд; при организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов; при отнесении к сведениям, составляющим государственную тайну; предоставления, распространения, передачи и получении информации о деятельности судов.

3. Понятийный аппарат: существующий понятийный аппарат является компактным и в целом соответствует положениям Конвенции от 28.01.1981 № 108. В некоторых случаях компактность понятийного аппарата может порождать неоднозначность истолкования значения тех или иных терминов в области персональных данных. Особенностью является использование максимально широкого определения персональных данных – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

4. Принципы обработки персональных данных: действующий набор из восьми принципов содержит в себе исчерпывающее описание руководящих положений, определяющие содержание и направления правового регулирования в области персональных данных. Можно отметить уникальную для аналогичных правовых систем государств-членов ЕАЭС норму о справедливости обработки персональных данных, которая также присутствует в Генеральном регламенте по защите персональных данных (утв. постановлением Европейского Союза 2016/679).

5. Правомерность обработки персональных данных: законодательство в целом опирается на базовый субинститут предоставления субъектом персональных данных своего согласия, которое может быть выражено в любой позволяющей подтвердить факт его получения форме, и на договорные отношения между субъектом и оператором. Законодатель также фиксирует возможность обработки персональных данных в иных установленных законодательством случаях. Особенностью является акцент правомерность обработки персональных данных для осуществления прав и законных интересов оператора или третьих лиц.

6. Права субъекта персональных данных: реализована классическая схема в составе трех основных полномочий субъекта персональных данных – право на доступ к данным, право при принятии оператором решений на основании автоматизированной обработки данных, право на обжалование действий или бездействия оператора. Особо регламентируются права субъекта при обработке персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.

7. Лица, имеющие отношение к обработке персональных данных: применена традиционная схема в составе оператора (лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными) и лица, осуществляющего обработку персональных данных по поручению оператора. Особенностью регулирования является наличие в определении оператора такого квалифицирующего признака как целеполагание обработки персональных данных.

8. Безопасность персональных данных при их обработке: в действующем законодательстве представлена наиболее развитая и детальная (по сравнению с другими правовыми системами ЕАЭС и ЕС) регламентация необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий. Базовой концепцией обеспечения безопасности персональных данных, обрабатывающихся в информационной системе, является использование соответствующей системы защиты персональных данных. Кроме того, отдельный нормативный правовой акт посвящен вопросу особенностей защиты персональных данных при их обработке без использования средств автоматизации.

9. Трансграничная передача персональных данных: трансграничная передача персональных данных определена как передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Особенностью является упрощенный режим трансграничной передачи персональных данных на территории иностранных государств-членов Конвенции от 28.01.1981 № 108, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. В действующем законодательстве закреплено требование о «локализации» персональных данных в виде обязанности оператора при сборе персональных данных граждан Российской Федерации обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение таких персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

10. Надзор за обработкой и защитой персональных данных: уполномоченный орган по защите прав субъектов персональных данных, в лице Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям действующего законодательства. Особенностью является наличие консультативного совета, действующего при уполномоченном органе на общественных началах. Кроме того, уполномоченный орган ежегодно формирует отчет о своей деятельности, который подлежит опубликованию в средствах массовой информации.

11. Перечень некоторых нормативных правовых актов в области персональных данных:

  • Конституция Российской Федерации от 12.12.1993
  • Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ
  • Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
  • Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
  • Постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
  • Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  • Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»
  • Приказ Роскомнадзора от 15.03.2013 № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»
  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  • Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

Общие выводы о нормативном регулировании персональных данных в государствах-членах ЕАЭС

По итогам проведенного функционально-правового анализа действующего национального законодательства государств-членов ЕАЭС представляется возможным сделать вывод как о наличии определенной схожести в принципах и подходах к осуществлению нормативного регулирования вопросов обработки и защиты персональных данных, так и вывод о присутствии существенных отличий и специфичных черт, присущих каждой из национальных систем правового регулирования.

Схожесть в нормативном регулировании может быть отчасти объяснена прямым либо косвенным влиянием фундаментальных положений Конвенции о защите физических лиц при автоматизированной обработке персональных данных ETS от 28.01.1981 № 108. Различия могут быть объяснены отличающимися условиями развития правовых институтов в области регулирования обработки и защиты персональных данных, а также разной степенью зрелости общественных отношений в государствах-членах ЕАЭС, связанных с оборотом персональных данных.


Инструменты страницы