Расширенный поиск

Обзор законодательства Республики Молдова в сфере информационной безопасности. Часть 2: Персональные данные, личная и семейная тайна

Персональные данные и защита частной жизни в Молдове

Конституция РМ в ст.28 предусматривает, что государство уважает и охраняет интимную, семейную и частную жизнь. Согласно ст. 30 Конституции государство обеспечивает тайну писем, телеграмм и других почтовых отправлений, телефонных переговоров и иных законных видов связи. Отступления от этих положений допускаются законом в случаях, когда это необходимо в интересах национальной безопасности, экономического благосостояния страны, общественного порядка и в целях предотвращения преступлений.

Оглавление (показать/скрыть)
Часть 1: Концепция информационной безопасности Молдовы
Часть 2: Персональные данные, личная и семейная тайна
Часть 3: Государственная тайна
Часть 4: Коммерческая тайна
Часть 5: Иные виды тайн
Часть 6: Криптографическая защита информации
Часть 7: Техническая защита информации
Часть 8: Прослушка и другие специальные розыскные мероприятия
Часть 9: Борьба с киберпреступностью

Неприкосновенность интимной, семейной и частной жизни относится к объектам гражданских прав и защищается всеми предусмотренными законом способами, прежде всего, в исковом порядке, путем возмещения причиненного морального вреда. Суды по заявлениям граждан присуждают им, как правило, сравнительно небольшие компенсации за причиненный моральный ущерб в связи с нарушением неприкосновенности частной жизни: распространением информации в СМИ, опубликованием личной переписки, раскрытием фактов личной жизни.

Законодательство страны в сфере обработки персональных данных, состоит, в том числе, из Конвенции Совета Европы о защите физических лиц при автоматизированной обработке данных личного характера, дополнительного протокола к этой Конвенции и других международных соглашений, стороной которых является Молдова. Республика Молдова подписала данную Конвенцию в мае 1998 года, ратифицировала ее постановлением Парламента в июле 1999 года. Конвенция вступила в силу для Молдовы с 1 июня 2008 года.

Вместе со сдачей на хранение ратификационной грамоты Конвенции, были представлены декларации, в которых власти заявили, что не будут применять Конвенцию в отношении обработки персональных данных физическими лицами исключительно для личных и семейных нужд (с условием, что они не нарушают права субъектов персональных данных), а также в отношении обработки персональных данных, относящихся к информации, являющейся государственной тайной. В то же время было заявлено, что Конвенция будет применяться в отношении персональных данных, которые не подвергаются автоматизированной обработке. Кроме того, Молдова назначила Национальный центр по защите персональных данных в качестве компетентного органа по исполнению положений Конвенции и поддержанию отношений взаимопомощи с другими государствами-участниками.

В апреле 2010 года был подписан, а в сентябре 2011 года ратифицирован Дополнительный протокол к Конвенции о защите физических лиц при автоматизированной обработке данных личного характера, касающийся органов контроля и трансграничной передачи данных. Он вступил в силу для Республики Молдова с 1 января 2012 года.

Действующий Закон о защите персональных данных был принят Парламентом в 2011 г. Закон вступил в силу в апреле 2012 г., его целью стало обеспечение защиты основных прав и свобод физического лица при обработке его персональных данных, в особенности права на неприкосновенность интимной, семейной и частной жизни. Им регулируются правоотношения, возникающие при обработке персональных данных полностью или частично автоматизированными средствами, а также при обработке средствами, отличными от автоматизированных, персональных данных, составляющих часть системы учета или предназначенных для введения в такую систему.

Основные понятия

Закон определяет персональные данные как любую информацию, связанную с идентифицированным или идентифицируемым физическим лицом (субъектом персональных данных). Идентифицируемым является лицо, которое может быть идентифицировано прямо или косвенно, в частности, посредством ссылки на идентификационный номер либо на один или несколько факторов, специфичных для его физической, физиологической, психической, экономической, культурной или социальной идентичности.

Особые категории персональных данных – данные, раскрывающие расовое или этническое происхождение лица, политические убеждения, религиозные или философские воззрения, социальную принадлежность, данные, касающиеся состояния здоровья или половой жизни, а также данные, касающиеся уголовного наказания, принудительных процессуальных мер или санкций за правонарушения. Закон об информатике предусматривает, что информация особой категории не может быть предметом хранения и обработки в базах данных. Такие данные могут обрабатываться и храниться только специально учрежденными органами, которые имеют соответствующее разрешение, гарантируют защиту и неразглашение информации и обязаны принимать для этого необходимые меры.

Под обработкой персональных данных понимается любая операция или набор операций, выполняемых над персональными данными, как автоматизированными средствами, так и без таковых, такие как сбор, запись, организация, хранение, восстановление, адаптация или изменение, извлечение, консультирование, использование, раскрытие посредством передачи, распространения или предоставления иного доступа, группировка или комбинирование, блокирование, стирание или уничтожение.

Система учета персональных данных – любой структурированный набор личных данных, являющихся доступными в соответствии с определенными критериями, централизованный, децентрализованный или распределенный на функциональной или географической основе.

Субъектами отношений в области обработки персональных данных являются сам субъект персональных данных (физическое лицо), а также обработчик – физическое лицо или юридическое лицо публичного или частного права, включая орган публичной власти и его территориальные подразделения, которое от имени или в интересах контролера обрабатывает персональные данные по его указанию. Субъектом отношений по обработке персональных данных также является третья сторона – физическое лицо или юридическое лицо публичного или частного права, кроме субъекта персональных данных, контролера, обработчика и лиц, которые уполномочены обрабатывать персональные данные с прямой санкции контролера или обработчика.

Под контролером закон понимает физическое лицо или юридическое лицо публичного или частного права, включая орган публичной власти, любое иное учреждение или организацию, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных, прямо предусмотренные действующим законодательством. Получателем считается любое физическое лицо либо юридическое лицо публичного или частного права, включая орган публичной власти и его территориальные подразделения, которому раскрываются персональные данные, независимо от того, является ли оно третьей стороной. Не считаются получателями органы национальной обороны, госбезопасности и общественного порядка, органы уголовного преследования и судебные инстанции, которым персональные данные передаются в рамках реализации оговоренных законом полномочий.

Закон определяет согласие субъекта персональных данных как любое волеизъявление, свободное, конкретное и безоговорочное, данное в письменной или электронной – с соблюдением требований к электронным документам – форме, которым субъект персональных данных соглашается на обработку касающихся его персональных данных.

Отдельно стоит обратить внимание на закрепленное законом понятие обезличивания персональных данных. Это изменение персональных данных так, что детали личного или материального положения более не дают возможности отождествить персональные данные с идентифицированным или идентифицируемым лицом либо позволяют сделать это лишь путем расследования, требующего непропорциональных затрат времени, средств и труда. Законом предусмотрено, что в статистических целях, для проведения исторических, научных, социологических, медицинских исследований, юридического документирования контролер обезличивает персональные данные путем изъятия из них части, которая позволяет идентифицировать физическое лицо, преобразовывая их в анонимные сведения, которые не могут увязываться с идентифицированной или идентифицируемой личностью. При обезличивании режим конфиденциальности, установленный для персональных данных, снимается.

Основные условия обработки, хранения и использования персональных данных

Законом предусмотрены основные характеристики персональных данных. Персональные данные, являющиеся предметом обработки, должны:

  • Обрабатываться корректно и в соответствии с положениями закона;
  • Собираться для объявленных, явных и законных целей и в дальнейшем не обрабатываться каким-либо образом, несовместимым с этими целями. Дальнейшая обработка персональных данных в статистических целях или в целях исторических или научных исследований не является несовместимой с целью сбора при условии, что она происходит с соблюдением положений закона, в том числе касающихся уведомления Национального центра по защите персональных данных, а также с соблюдением гарантий при обработке персональных данных, предусмотренных нормами, регулирующими статистическую деятельность, историческое и научное исследование;
  • Быть адекватными, относящимися к делу и не быть избыточными в отношении целей, для которых они собираются или в дальнейшем обрабатываются;
  • Быть точными и – если необходимо – актуализироваться. Неточные или неполные данные, применительно к целям, для которых они собирались или для которых они впоследствии обрабатывались, должны удаляться или исправляться;
  • Храниться в форме, позволяющей идентификацию субъектов персональных данных не долее, чем это необходимо для целей, для которых данные собирались и впоследствии обрабатывались. Хранение персональных данных более длительные сроки в статистических целях или в целях исторических или научных исследований производится с соблюдением гарантий при обработке персональных данных, предусмотренных нормами, регулирующими эти области, и только в течение срока, необходимого для достижения этих целей.

Обработка персональных данных осуществляется с согласия субъекта персональных данных. Согласие на обработку может быть отозвано субъектом в любой момент. Отзыв согласия не может иметь обратной силы. При недееспособности или ограниченной дееспособности субъекта персональных данных согласие на обработку дает в письменной форме его законный представитель. В случае смерти субъекта персональных данных согласие в письменном виде дают его наследники, если оно не было дано субъектом персональных данных при его жизни.

Не требуется согласия субъекта персональных данных в случае, если обработка персональных данных необходима:

  • Для исполнения договора, в котором субъект персональных данных является стороной, или для принятия мер до заключения договора по его просьбе;
  • Для выполнения предусмотренного законом обязательства контролера;
  • Для защиты жизни, физической целостности или здоровья субъекта персональных данных;
  • Для выполнения задач, имеющих общественное значение или вытекающих из властных полномочий органа публичной власти, возложенных на контролера или третью сторону, которой персональные данные раскрыты;
  • В целях обеспечения законных интересов контролера или третьей стороны, которой раскрыты персональные данные, кроме случаев, когда такие интересы перекрываются интересами или основными правами и свободами субъекта персональных данных;
  • Для статистических целей либо целей исторических или научных исследований, при условии, что персональные данные останутся анонимными в течение всего периода обработки.

Закон предусматривает закрытый перечень случаев, в которых могут обрабатываться особые категории персональных данных (для ряда категорий персональных данных предусмотрено специальное регулирование). Обработка особых категорий персональных данных запрещается, за исключением случаев, когда:

  • Субъект персональных данных дал свое согласие. В случае недееспособности или ограниченной дееспособности субъекта персональных данных обработка особых категорий персональных данных возможна только при наличии письменного согласия его законного представителя;
  • Обработка необходима в целях исполнения обязательств или особых прав контролера в сфере трудового права, при условии, что она осуществляется с соблюдением предусмотренных законом гарантий, а также с учетом того, что любое раскрытие третьим сторонам персональных данных, обработанных для этих целей, может проводиться лишь при наличии соответствующего законного обязательства контролера;
  • Обработка необходима для защиты жизни, физической целостности или здоровья субъекта персональных данных либо иного лица, если субъект персональных данных физически или юридически неспособен дать свое согласие;
  • Обработка осуществляется в ходе законной деятельности общественными объединениями, партиями и другими общественно-политическими организациями, профсоюзами, объединениями работодателей, философскими или религиозными организациями, некоммерческими кооперативными организациями, при условии, что обработка относится исключительно к членам таковых или лицам, имеющим регулярные контакты с таковыми в связи с их целями, и что данные не раскрываются третьим сторонам без согласия субъекта персональных данных;
  • Обработка относится к данным, добровольно и явно сделанным общедоступными субъектом персональных данных;
  • Обработка необходима для определения, осуществления или защиты права субъекта персональных данных в суде;
  • Обработка необходима в целях обеспечения безопасности государства, при условии, что она происходит с соблюдением прав субъекта персональных данных и других предусмотренных законом гарантий.

По обоснованным причинам Национальный центр по защите персональных данных может распорядиться о запрете обработки особых категорий персональных данных, даже при наличии согласия субъекта персональных данных, которое не отозвано, при условии, что запрет не устранен одним из вышеперечисленных случаев.

В отступление от общих положений обработка персональных данных, касающихся состояния здоровья, разрешается в случае, если это требуется в целях превентивной медицины, установления медицинского диагноза, предоставления медицинского обслуживания или лечения субъекта персональных данных либо управления службами здравоохранения, действующими в интересах субъекта персональных данных. Такое же правило действует, если обработка требуется в целях охраны общественного здоровья. Закон оговаривает, что персональные данные о состоянии здоровья могут обрабатываться в этих целях медработником или под наблюдением медработника, обязанного хранить профессиональную тайну, либо иным лицом или под наблюдением иного лица, имеющего эквивалентные обязательства в отношении профессиональной тайны.

Медработники, медико-санитарные учреждения и их медперсонал могут обрабатывать персональные данные, касающиеся состояния здоровья, без разрешения Национального центра по защите персональных данных, только если обработка необходима для защиты жизни, физической целостности или здоровья субъекта персональных данных. Если эти цели касаются иных лиц или общества в целом и субъект персональных данных не дал недвусмысленного письменного согласия, должно быть получено разрешение в установленном законом порядке.

Обработка персональных данных, касающихся уголовного наказания, принудительных процессуальных мер или санкций за правонарушения, возможна только органами публичной власти или под их контролем в пределах предоставленных полномочий и в соответствии с условиями, установленными профильными законами.

Обработка персональных данных с функцией идентификатора. Обработка государственного идентификационного номера (IDNP) физического лица, отпечатков пальцев или иных персональных данных, выполняющих функцию идентификатора общего назначения, может происходить при одном из следующих условий:

  • субъект персональных данных дал свое согласие;
  • обработка прямо предусмотрена законодательством.

Обработка персональных данных и свобода выражения. Закон предусматривает применение специального регулирования в случаях обработки персональных данных исключительно в целях журналистики, художественного или литературного творчества. Согласия субъекта персональных данных и соблюдения некоторых других условий не потребуется, если обработка относится к данным, добровольно и явно сделанным общедоступными субъектом персональных данных либо тесно связанным со статусом публичной фигуры субъекта персональных данных или публичным характером действий, в которые он вовлечен. При этом применяются положения Закона о свободе выражения мнения.

Условия и сроки хранения персональных данных определяются законодательством с учетом положений Закона о защите персональных данных. По истечении срока хранения данные подлежат уничтожению в установленном законом порядке. Персональные данные из государственных регистров с момента прекращения их использования могут оставаться на хранении, приобретая статус архивного документа.

По завершении операций по обработке персональных данных, если субъект персональных данных не дал согласия на использование в иных целях или на дальнейшую обработку, персональные данные должны быть:

  • уничтожены;
  • переданы другому контролеру, при условии, что первичный контролер гарантирует, что дальнейшая обработка имеет цели, аналогичные тем, для которых происходила первичная обработка;
  • преобразованы в анонимные данные и храниться исключительно для статистических целей или целей исторических или научных исследований.

С момента смерти субъекта персональных данных его персональные данные с согласия наследников могут использоваться в архивных или в иных предусмотренных законом целях.

Трансграничная передача персональных данных, которые являются предметом обработки или подлежат обработке после передачи, возможна с разрешения Национального центра по защите персональных данных и лишь в том случае, если государство назначения обеспечивает адекватный уровень защиты прав субъектов персональных данных и данных, предназначенных для передачи. Уровень защиты определяется Национальным центром по защите персональных данных с учетом ряда условий, в том числе природы персональных данных, цели и продолжительности их обработки, государства назначения, его законодательства, а также профессиональных норм и мер безопасности в государстве назначения. Если Центр придет к выводу, что уровень защиты неудовлетворителен, он запрещает передачу данных.

Ограничения не действуют, если передача персональных данных происходит на основе специального закона или ратифицированного Молдовой международного договора, в частности, если речь идет о предотвращении или расследовании преступлений. При этом специальный закон или международный договор должны предусматривать гарантии защиты прав субъектов персональных данных. Особое регулирование применяется и в случае обработки персональных данных исключительно в целях журналистики, художественного или литературного творчества, если обрабатываются данные, добровольно и явно сделанные общедоступными субъектом персональных данных либо тесно связанные со статусом публичной фигуры субъекта персональных данных или публичным характером действий, в которые он вовлечен.

Закон допускает передачу персональных данных в государства, не обеспечивающие адекватный уровень защиты, только в следующих случаях:

  • Наличие согласия субъекта персональных данных;
  • Необходимость заключения или исполнения соглашения или договора между субъектом персональных данных и контролером либо между контролером и третьей стороной в интересах субъекта персональных данных;
  • Если это необходимо для защиты жизни, физической целостности или здоровья субъекта персональных данных;
  • Если передача производится из регистра, который предназначен для информирования общественности и который открыт для ознакомления либо общественности в целом, либо любому лицу, проявляющему законный интерес, в той мере, в какой условия, предусмотренные законом для ознакомления, выполняются в конкретном случае;
  • Если это необходимо для удовлетворения важного общественного интереса, такого как национальная оборона, госбезопасность или общественный порядок, для нормального хода уголовного судопроизводства либо определения, осуществления или защиты права в суде, при условии, что персональные данные обрабатываются в связи с этими целями и только в течение срока, необходимого для достижения этих целей.

Права субъекта данных и обязанности оператора. Ответственность

Если персональные данные собираются непосредственно от субъекта персональных данных, контролер или обработчик обязаны предоставить, кроме случаев, когда он уже обладает ею, следующую информацию:

1) личность контролера или, если таковой имеется, обработчика;

2) цель обработки собранных данных;

3) дополнительную информацию, такую как:

  • получатели или категории получателей персональных данных;
  • наличие прав доступа, вмешательства в отношении данных и возражения, а также условия осуществления этих прав;
  • являются ли ответы на вопросы, с помощью которых собираются данные, обязательными или добровольными, а также возможные последствия отказа от ответа.

Если данные собираются не непосредственно от субъекта персональных данных, контролер или обработчик обязаны на момент сбора данных или в случае, когда предполагается раскрытие данных третьей стороне, не позднее времени, когда данные впервые раскрываются, предоставить субъекту персональных данных информацию о категориях собираемых или раскрываемых персональных данных, а также вышеперечисленную информацию, кроме данных об обязательности ответов и информации о последствиях отказа. Эти положения не применяются в случае, когда:

  • субъект персональных данных обладает соответствующей информацией;
  • обработка персональных данных проводится в статистических целях или в целях исторических или научных исследований;
  • предоставление информации оказывается невозможным или требует непропорциональных усилий в сравнении с законным интересом, который может быть ущемлен;
  • документирование или раскрытие персональных данных прямо предусматриваются законодательством.

Право на доступ к персональным данным и вмешательство в отношении персональных данных. Любой субъект персональных данных имеет право получать от контролера по запросу без задержки и безвозмездно:

  • Подтверждение того, были ли или нет обработаны относящиеся к нему данные, а также информацию о целях обработки, категориях использованных данных, получателях или категориях получателей, которым раскрываются данные;
  • Сообщение персональных данных, являющихся предметом обработки, а также любой имеющейся информации об их происхождении, в доступной форме и в порядке, не требующем дополнительного оборудования для понимания;
  • Сведения о принципах действия механизма, используемого в любой автоматизированной обработке данных, относящихся к субъекту персональных данных;
  • Сведения о юридических последствиях для субъекта персональных данных, наступающих в результате обработки данных;
  • Сведения о порядке осуществления права вмешательства в отношении персональных данных.

Кроме того, любой субъект персональных данных имеет право получать от контролера или обработчика по запросу и безвозмездно исправления, актуализации, блокирования или удаления персональных данных, обработка которых противоречит закону (например, в связи с неполным или неточным характером данных). Субъект персональных данных также вправе потребовать уведомления третьих сторон, которым раскрываются персональные данные, о вышеперечисленных операциях. Исключением являются случаи, когда такое уведомление оказывается невозможным или требующим непропорциональных усилий в сравнении с законным интересом, который может быть ущемлен.

Закон содержит ряд ограничений и исключений для случаев, когда обработка персональных данных происходит в целях обеспечения национальной обороны, госбезопасности и общественного порядка, защиты прав и свобод субъекта персональных данных или иных лиц. Обработка персональных данных в этих случаях не должна превышать времени, необходимого для достижения преследуемой цели. После прекращения соответствующих обстоятельств контролеры должны принять необходимые меры для обеспечения соблюдения прав субъектов персональных данных. На органы публичной власти возложена обязанность по ведению учета применения подобных исключений. В 10-дневный срок они уведомляют Национальный центр по защите персональных данных о соответствующем случае.

Право субъекта персональных данных на возражение. Субъект персональных данных вправе в любое время безвозмездно высказывать на обоснованном и законном основании, связанном с его частной ситуацией, возражение против того, чтобы касающиеся его персональные данные стали предметом обработки, кроме случаев, когда законом определено иное. Если возражение является обоснованным, выполняемая контролером обработка не может далее затрагивать эти данные. Субъект также вправе в любое время и без какого-либо обоснования безвозмездно высказывать возражение против обработки его персональных данных для целей прямого маркетинга. Контролер или обработчик обязаны перед раскрытием третьим сторонам персональных данных информировать субъекта о праве высказывать возражение против такого использования.

Право не оказаться под воздействием частного решения. Каждое лицо имеет право требовать полной или частичной отмены любого частного решения, порождающего юридические последствия в отношении его прав и свобод и основанного исключительно на автоматизированной обработке персональных данных, предназначенной для оценки некоторых его личных аспектов, таких как профессиональная компетенция, надежность, поведение и т.п.

В то же время лицо может оказаться под воздействием такого решения, если:

  • решение санкционировано законом, определяющим меры для обеспечения законных интересов субъекта персональных данных;
  • решение принято в ходе заключения или исполнения договора, при условии, что запрос субъекта персональных данных на заключение или исполнение договора был удовлетворен.

Лица, виновные в нарушении Закона о защите персональных данных, несут в соответствии с законодательством гражданскую, административную или уголовную ответственность. Любое лицо, которому нанесен ущерб в результате незаконной обработки персональных данных или гарантированные права и интересы которого нарушены, вправе обратиться в суд с требованием компенсации за материальный и моральный ущерб.

В то же время Кодекс о правонарушениях предусматривает различные виды наказаний для граждан, должностных лиц и юридических лиц в следующих случаях:

  • Несоблюдение требований по обеспечению безопасности персональных данных при их обработке в информационных системах;
  • Обработка персональных данных без уведомления или разрешения органа контроля в случае, когда это является обязательным;
  • Обработка персональных данных контролером, не зарегистрированным в установленном порядке;
  • Нарушение прав субъекта персональных данных на информирование, на доступ к персональным данным, на вмешательство в отношении персональных данных, на возражение и права не оказаться под воздействием частного решения;
  • Нарушение условий хранения и использования персональных данных;
  • Трансграничная передача персональных данных с нарушением законодательства.

Кроме того, предусмотрены административные санкции за отказ в предоставлении информации или воспрепятствование доступу сотрудников Национального центра по защите персональных данных, а также за невыполнение решений этого органа.

Конфиденциальность и безопасность персональных данных

Контролеры и третьи стороны, получающие доступ к персональным данным, обязаны обеспечивать конфиденциальность таких данных, за исключением случаев:

  • обработки, относящейся к персональным данным, которые добровольно и явно сделаны общедоступными субъектом персональных данных;
  • обезличивания персональных данных.

Любое лицо, действующее от имени, в интересах или иным образом с санкции контролера, может обрабатывать персональные данные не иначе как по указанию контролера, за исключением случая, когда действует на основании обязательства, предусмотренного законом. В то же время руководство Национального центра по защите персональных данных и его работники обязаны обеспечивать неразглашение профессиональной тайны в отношении конфиденциальной информации, к которой они имеют доступ, даже после завершения трудовой деятельности.

Безопасность обработки персональных данных. Требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются Правительством. При обработке персональных данных контролер обязан принять необходимые организационные и технические меры для защиты данных от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Контролер предпринимает меры в целях обеспечения надлежащего уровня безопасности в отношении рисков, представленных обработкой и природой обрабатываемых данных.

Если обработка персональных данных происходит за счет и в интересах контролера, он должен избрать обработчика, обеспечивающего соблюдение гарантий принятия надлежащих мер технической безопасности и организационных мер. Обработка персональных данных посредством обработчика должна регулироваться договором или иным правовым актом, который обеспечивал бы, в частности, что:

  • обработчик будет действовать только по указаниям контролера;
  • при обработке персональных данных контролер будет применять организационные и технические меры для защиты данных от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий для обеспечения надлежащего уровня безопасности.

В статистических целях, для проведения исторических, научных, социологических, медицинских исследований, юридического документирования контролер обезличивает персональные данные путем изъятия из них части, которая позволяет идентифицировать гражданина. Данные преобразовываются в анонимные сведения, которые не могут увязываться с идентифицированной или идентифицируемой личностью. При обезличивании режим конфиденциальности снимается.

Уполномоченный орган

Уполномоченным органом по защите прав субъектов персональных данных и контролю в этой области является Национальный центр по защите персональных данных, который действует на основе беспристрастности и независимости. Положение о Центре, его структура и предельная штатная численность утверждены Парламентом. Центр возглавляет директор, который назначается на должность Парламентом на пятилетний срок по предложению спикера, парламентской фракции или группы из не менее чем 15 депутатов. Для назначения кандидатура должна получить большинство голосов избранных депутатов.

Национальный центр по защите персональных данных наделен широкими полномочиями по контролю и надзору. В частности, он осуществляет следующие функции:

  • Следит за соблюдением законодательства о защите информации и контролирует его применение, в особенности в том, что касается права на информирование, доступ, вмешательство или возражение в отношении персональных данных;
  • Санкционирует обработку персональных данных в случаях, определенных законом;
  • Без ущерба для компетенции других органов дает необходимые указания для приведения обработки персональных данных в соответствие с положениями закона;
  • Предоставляет субъектам персональных данных информацию об их правах;
  • Распоряжается о приостановлении или прекращении обработки персональных данных, которая ведется с нарушением закона;
  • Ведет регистр учета контролеров персональных данных;
  • Получает и рассматривает уведомления об обработке персональных данных;
  • Проводит проверку законности обработки персональных данных;
  • Вносит предложения по совершенствованию действующего законодательства в области защиты и обработки персональных данных;
  • Информирует правоохранительные органы при наличии признаков преступления, связанного с нарушением прав субъектов персональных данных;
  • Констатирует правонарушения и составляет протоколы;
  • Проверяет выполнение утвержденных Правительством требований по обеспечению безопасности персональных данных при их обработке в информационных системах;
  • Предоставляет помощь и выполняет запросы об оказании помощи в применении Конвенции о защите граждан в отношении автоматизированной обработки персональных данных.

Национальный центр по защите персональных данных вправе:

  • Запрашивать и бесплатно получать от физических и юридических лиц публичного или частного права сведения, необходимые для осуществления им своих функций;
  • Получать от контролеров поддержку и сведения, необходимые для осуществления им своих функций;
  • Привлекать к проверкам специалистов и экспертов в областях, требующих специальных знаний, заключая с ними соглашение о конфиденциальности;
  • Требовать от контролеров исправления, блокирования или уничтожения недостоверных или незаконно полученных персональных данных.
  • В целях сбора информации, необходимой для осуществления контрольных функций, персонал Центра вправе в соответствии с законом получать доступ в помещения и на территорию размещения систем учета персональных данных, к персональным данным, обрабатывающимся контролерами или обработчиками, к технологическому оборудованию, программному обеспечению и приложениям, к любому документу или записи, связанным с обработкой персональных данных.

Контролеры независимо от их организационно-правовой формы представляют Центру запрашиваемые материалы и документы, связанные с защитой персональных данных, в 15-дневный срок, если запросом не предусмотрен иной срок.

Контролеры прямо или через обработчиков обязаны уведомлять Центр перед обработкой персональных данных, предназначенной служить единой цели. Обработка категорий персональных данных, отличных от тех, в отношении которых сделано уведомление, возможна при условии нового уведомления. При первоначальном уведомлении каждый контролер получает регистрационный номер, который указывается на всех документах, посредством которых персональные данные собираются, хранятся или передаются.

Уведомление не требуется, если обработка происходит в целях ведения регистра, который предназначен для информирования общественности и открыт для ознакомления – при условии, что обработка ограничивается необходимыми для ведения этого регистра данными. Национальный центр по защите персональных данных может определить и другие ситуации, при которых уведомление не является необходимым или может происходить в упрощенной форме.

Если на основании уведомления Центр установит, что обработка подпадает под соответствующую категорию, он в 5-дневный срок после подачи уведомления распоряжается о проведении в обязательном порядке предварительной проверки, о чем информирует контролера или обработчика. Срок предварительной проверки не может превышать 45 дней, но с учетом сложности операций по обработке персональных данных может быть продлен еще на 45 дней.

Подлежат предварительной проверке категории операций по обработке персональных данных, являющихся объектом трансграничной передачи, и категории операций по обработке персональных данных, представляющих особый риск для прав и свобод лиц, а именно:

  • Операции по обработке особых категорий персональных данных, а также генетических и биометрических данных и данных, которые позволяют определить географическое местонахождение лиц (в том числе собираемых посредством Интернета или электронной почты);
  • Операции по обработке персональных данных с помощью электронных средств, предназначенной для оценки некоторых личных аспектов, таких как профессиональная компетенция, надежность, поведение и т.п.;
  • Операции по обработке персональных данных с помощью электронных средств в системах учета, предназначенной для принятия некоторых частных автоматизированных решений в связи с анализом кредитоспособности, финансово-экономического положения, деяний, которые могут повлечь дисциплинарную, административную или уголовную ответственность граждан, проводимые лицами частного права;
  • Операции по обработке персональных данных несовершеннолетних для целей прямого маркетинга;
  • Операции по обработке персональных данных несовершеннолетних, собираемых посредством Интернета или электронной почты.

В 7-дневный срок после завершения предварительной проверки Центр выносит решение о выдаче разрешения или отказе в выдаче разрешения на соответствующие операции. Обработка персональных данных без разрешения или вне указанных в нем пределов запрещается. Отказ в выдаче разрешения не исключает возможности повторного уведомления Центра контролером после устранения обстоятельств, препятствующих обработке соответствующих данных.

Проверка законности обработки персональных данных проводится с целью контроля соблюдения контролером и обработчиком предусмотренных законом требований и условий. О проверке Центр уведомляет контролера или обработчика за 5 дней до ее начала, за рядом исключений. В случае выявления нарушений выносится решение о приостановлении операций по обработке персональных данных, которое содержит указания по приведению этой деятельности в соответствие с положениями закона. Контролер или обработчик обязаны устранить нарушения в 30-дневный срок после вынесения решения. Если они не укладываются в этот срок, Центр выносит решение о прекращении операций по обработке персональных данных. При этом он может распорядится о блокировании или уничтожении недостоверных или незаконно полученных персональных данных. Решение о приостановлении или прекращении операций по обработке персональных данных может быть оспорено в административном суде.

Субъект персональных данных, полагающий, что обработка его данных не отвечает требованиям закона, в 30-дневный срок с момента обнаружения нарушения может подать жалобу в Центр. В ходе рассмотрения жалобы могут быть заслушаны субъект персональных данных, контролер и, если таковой имеется, обработчик, свидетели, а также принято решение о проведении внеплановой проверки. По итогам рассмотрения жалобы Центр выносит одно из следующих мотивированных решений, которое может быть оспорено в административном суде:

  • об отсутствии нарушений законодательства,
  • о приостановлении операций по обработке персональных данных,
  • об исправлении, блокировании либо уничтожении недостоверных или незаконно полученных персональных данных.

В целях учета обработки персональных данных Центр создает и ведет регистр учета контролеров персональных данных. Он открыт для ознакомления общественности, за исключением раздела, содержащего информацию о мерах безопасности и обеспечения конфиденциальности. Регистрация контролеров, а также изменений во внесенных в регистр сведениях, осуществляется бесплатно.

Читать далее: Часть 3: Государственная тайна

Об авторе

Digital Report

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend

Перейти к верхней панели