Введение.
Актуальность этой темы, на наш взгляд, велика, потому что принятие и вступление в силу Федерального закона «О персональных данных» можно рассматривать как очень серьезный и существенный шаг России на пути к информационному обществу, которое немыслимо без законодательного регулирования в сфере конфиденциальной информации и прежде всего персональных данных. Я считаю, что данная сфера правового регулирования является одной из важнейших частей закрепленного в Конституции права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени[1], что повлияло на выбор моей темы. Кроме того, моя последняя работа была непосредственно связана с информацией, которая непосредственно относится к персональным данным.
Процесс перехода к информационному сложен и каждая его составляющая - и правовая, и организационно-техническая - является важным и неотъемлемым элементом. Если говорить конкретно о технической защите персональных данных, то касающиеся ее требования законодательства являются ключевыми. Их значение особенно возрастает, учитывая рост угроз информационной безопасности вообще, свойственный современному миру высоких технологий.
Целью этой работы является выявление наиболее общих, определяющих, главенствующих положений этого закона, их толкование, а также поиск пробелов или проблем правого регулирования, которые так или иначе могли появиться в результате принятия этого закона, а также поиск путей их решения.
Законодательством в сфере защиты персональных данных в Евросоюзе озаботились уже более двадцати лет назад, когда были заложены основные принципы в »Конвенции Совета Европы о защите личности в связи с автоматической обработкой персональных данных». А в 1995 и 1997 гг. были приняты Директивы Совета Европы, детализирующие требования и учитывающие развитие средств коммуникаций, обработки и хранения данных. В этих документах прямо указано, что любые личные сведения, содержащиеся и обрабатываемые в автоматизированных базах данных, должны быть защищены от несанкционированного доступа и нецелевого использования. Следует отметить, что директивы Совета Европы учитывают очень быстрое развитие различных технических средств, поэтому в формулировках специально оговаривается, что действие требований распространяется на любые, в том числе и вновь появившиеся средства хранения, обработки и передачи данных.
|
История и общие положения.
Федеральный закон Российской Федерации № 152-ФЗ “О персональных данных” (далее по тексту закон) был принят 27 июля 2006 года и на фоне других ярких событий ушедшего года остался почти незамеченным. Основным поводом для его принятия послужили многочисленные факты кражи баз персональных данных в государственных и коммерческих структурах и их повсеместная продажа. Еще одной целью принятия данного закона явилась необходимость устранения определенных барьеров в торговле со странами Евросоюза.
Принятие российского закона “О персональных данных” стало следствием присоединения Российской Федерации к Европейской Конвенции 1981 года «О защите личности в связи с автоматической обработкой персональных данных», определяющей основные принципы защиты персональных данных в европейских странах. Эта Конвенция и последовавшие за ней несколько Директив Евросоюза сформулировали в общих чертах те задачи, которые национальное законодательство должно решать при регулировании работы с персональными данными:
|
· защита персональных данных от несанкционированного доступа к ним со стороны других лиц, в том числе представителей государственных органов и служб, не имеющих на то необходимых полномочий;
· обеспечение сохранности, целостности и достоверности данных в процессе работы с ними, в том числе при передаче по каналам связи;
· обеспечение надлежащего правового режима этих данных при работе с ними для различных категорий персональных данных;
· обеспечение контроля над использованием персональных данных со стороны самого гражданина;
· создание специальной независимой структуры, обеспечивающей эффективный контроль за соблюдением прав гражданина на защиту его персональных данных (например, создание должности Уполномоченного по защите персональных данных).
Наш закон во многом повторяет основные положения европейского законодательства в данной сфере, которое считается одним из самых жестких в мире. Хотя в 2006 году о законе достаточно часто говорили, но в содержание его положений мало кто внимательно вчитывался. А ведь для того чтобы обеспечить соблюдение его требований, придется существенно изменить работу с информацией и документацией, содержащих персональные данные.[2]
Он регулирует отношения по обработке информации, относящейся к физическим лицам (субъектам персональных данных), в государственных и муниципальных органах юридическими и физическими лицами (операторами). На первый взгляд кажется несовсем ясной формулировка данной статьи. Формулировка кажется допускающей самые разные интерпретации. Как на основе подобного текста ответить, например, на вопрос о том, подпадают ли под действие закона данные, записанные в свободной форме в деловой записной книжке? Если же такая записная книжка хранится в компьютере или в мобильном телефоне - считается ли это «использованием средств автоматизации? Однако подобный вопрос можно решить, если посмотреть Конвенцию “О защите физических лиц в отношении автоматизированной обработки данных личного характера”, поэтому в формулировках специально оговаривается, что действие требований распространяется на любые, в том числе и вновь появившиеся средства хранения, обработки и передачи данных. Это очень важно, поскольку за прошедшие 10 лет появились и получили широкое распространение такие технологии передачи данных, как Bluetooth, WiFi. Сделать такой вывод позволяют пункты “b”, “c” статьи 2 этой конвенции.[3]
|
Прежде всего разберемся, что относится к персональным данным и что подразумевается под их обработкой. В соответствии с Законом от 27.07.06 к персональным данным относится любая информация о физическом лице: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация. Обработкой персональных данных признаются действия (операции) с ними, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передачу), обезличивание, блокирование, уничтожение данных.
Следует иметь ввиду то что в соответствии со ст.1 п.2 к персональным данным не относятся отношения, возникающие:
· при обработке персональных данных для личных и семейных нужд;
· при обработке персональных данных в документах Архивного фонда РФ;
· при обработке персональных данных для включения их в Единый государственный реестр индивидуальных предпринимателей (ЕГРИП);
· при обработке персональных данных, отнесенных к государственной тайне.
Законом предусмотрены следующие способы обработки персональных данных (для ряда из них в статье 3 даны подробные разъяснения):
· сбор;
· систематизация;
· накопление;
· хранение;
· уточнение (обновление, изменение);
· использование - “действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц”;
· распространение (в том числе передача) - “действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом”;
· обезличивание - “действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных”;
· блокирование - «временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи»;
· уничтожение персональных данных - “действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных”.
Особого внимания заслуживают такие способы обработки, как блокировка и уничтожение персональных данных. В законе на наш взгляд хороша формулировка об уничтожении - именно такой подход сейчас рекомендуется отечественными и зарубежными стандартами. Что касается блокирования персональных данных, то такой способ обработки в отечественной практике введен впервые, и его исполнение может значительно осложнить жизнь организациям, использующим ранее разработанные информационные системы и базы данных, в которых подобная операция не предусмотрена.
Принципы.
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Одним из самых неприятных для организаций, осуществляющих сбор и обработку персональных данных, является требование статьи 6 о необходимости получить согласие субъекта на их обработку. Не требуется получения согласия лишь в следующих случаях:
· на основании федерального законодательства;
· в целях исполнения договора с субъектом персональных данных;
· в статистических или научных целях;
· для защиты жизни, здоровья субъекта персональных данных;
· для доставки почтовых отправлений организациями почтовой связи;
· в ходе профессиональной деятельности журналиста, ученого и т.д.;
· данных, подлежащих опубликованию в соответствии с федеральными законами;
· в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
Первыми на проблемы, связанные с соблюдением нового закона, обратили внимание страховые компании. По их мнению, закон о персональных данных способен серьезно затруднить реализацию закона об обязательном страховании автогражданской ответственности (ОСАГО) из-за запрета передавать третьим лицам полученные при заключении договора ОСАГО персональные данные клиента без его согласия. В результате страховая компания не сможет получить полную информацию о своих клиентах из единой базы данных (да и ведение такой базы также оказывается под вопросом), в данной ситуации риски страховщиков повышаются.[4]
Уже сейчас страховые компании пытаются решить эту важную для них проблему, рассматривая следующие варианты:
· Внесение соответствующих поправок в закон об ОСАГО и создание для страховщиков обязанности обмениваться данными о страховых случаях.
· Определение части персональных данных как публичных. Сведения, которые физическое лицо указывает при оформлении договора ОСАГО, по мнению страховщиков, являются публичными. Однако закон «О персональных данных» требует получать согласие и на сбор публичных данных.
Вызывает сомнения пункт 6 статьи 6 о предоставлении права обрабатывать персональные данные журналистам, ученым и представителям иных творческих профессий без согласия субъекта. Казалось бы вполне реально (особенно в коммерческих структурах) ввести штатную должность “представителя творческой профессии” и “записать на нее” все базы данных, содержащие персональную информацию. Однако там же есть ссылка на то, что сбор, хранение и иные действия не должны нарушать права и свободы субъекта.
Мероприятия по охране конфиденциальной информации подразделяются на:
- Внешние мероприятия. Это изучение партнеров, клиентов, с которыми приходится вести хозяйственную, коммерческую деятельность, собирать информацию об их надежности, платежеспособности и другие данные. При необходимости производится изучение связей сотрудников частной фирмы. Выясняются лица, проявляющие интерес к предприятию, его деятельности, сотрудникам, не относятся ли они к конкурирующей организации или к преступной группе. По возможности желательно установить, в чем суть этого интереса и кому понадобилась та или иная информация. Не повторится ли он в будущем, т.е. что можно ожидать от конкурента или преступных элементов.
- Внутренние мероприятия. Это подбор, проверка лиц, желающих поступить на работу в частное предприятие. Изучение их анкетных данных, поведения по месту жительства и прежней работы, личные и деловые качества, положительные и отрицательные стороны изучаемого лица, межличностные отношения, наличие судимостей, административных задержаний. В ходе анализа собранных материалов выясняется, нет ли каких-либо в них противоречий. Дополнительно может проводиться тестирование лица для выяснения моральных или других качеств. Обращается внимание на возможную работу в конкурирующей фирме и причины ухода. После этого делается вывод о пригодности кандидата к работе в данной фирме. На этом этапе изучения сотрудника интерес к нему не заканчивается. Периодически или в зависимости от поведения продолжают изучаться и анализироваться его поступки, затрагивающие интерес (секреты) предприятия. Не исключено, что конкурент может специально направить своих людей для устройства на работу в интересующее его предприятие с целью получения о нем ценных сведений.[5]
Права субъекта персональных данных
Прежде всего субъект персональных данных вправе получить следующую информацию:
· сведения об операторе,
· сведения о месте нахождения оператора,
· сведения о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных,
· субъект также имеет право на ознакомление со своими персональными данными, имеющимися у оператора.
От оператора субъект персональных данных может потребовать:
· уточнения своих персональных данных,
· их блокирования или уничтожения в случае если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Спам под запретом
Отдельная статья Закона посвящена назойливому распространению любой рекламы. Термин “спам” в ней не содержится, однако ясно указано, что адресное направление рекламы любыми средствами коммуникаций допускается только с заранее полученного согласия человека. В противном случае рекламодатель обязан удалить из базы любые имеющиеся у него данные о человеке. Очень хорошее положение, однако для его реализации в Законе не предусмотрено конкретных механизмов. Есть общие положения о федеральном органе по надзору и об ответственности оператора — нарушителя в установленном порядке.
Порядок сертификации средств связи, баз данных, информационных систем
Итак, чтобы получить право на работу с персональными данными, оператор должен пройти процедуру сертификации своих аппаратных и программных средств, к которым относятся:
· автоматизированные системы различного уровня и назначения;
· системы связи, приема, обработки и передачи данных;
· системы отображения и размножения;
· помещения, предназначенные для размещения аппаратно-программных комплексов.
Пример:
Обыденная ситуация — мы делаем заказ DVD на сайте. Указываем адрес доставки и контактный телефон. Мы не подозреваем ничего плохого, так надо, чтобы курьер привез выбранные фильмы к нам домой. Через некоторое время в почтовый ящик начинает приходить спам (очень частые и поэтому назойливые предложения рекламного характера), незнакомые фирмы шлют свои предложения и звонят, называют по имени. Неприятно. Бывают ситуации и с криминальным оттенком. Например, многие пользуются сейчас интернет-банкингом, и случаи воровства данных счетов, пластиковых карт хорошо известны.
Для получения доступа к своим персональным данным нашим соотечественникам необходимо:
· обратиться лично либо
· прислать запрос, который должен содержать:
· номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя,
· сведения о дате выдачи указанного документа и выдавшем его органе и
· собственноручную подпись субъекта персональных данных или его законного представителя.
Данный запрос может быть направлен в электронной форме и подписан электронной цифровой подписью. Таким образом, формально закон предоставляет возможность обратиться за своими персональными данными по электронным каналам связи. Вот только физических лиц, имеющих собственную ЭЦП, соответствующую закону об ЭЦП, у нас пока нет (в подавляющем большинстве случаев ЭЦП в нашей стране используется в соответствии со статьей 160 Гражданского кодекса, предусматривающей предварительное соглашение сторон).
Объем информации, который может запросить субъект персональных данных, демонстрирует заботу о наших гражданах. Организациям, ведущим содержащие персональные данные базы данных, рекомендуется обратить особое внимание на пункт 4 статьи 14 нового закона, чтобы заранее продумать и закрепить во внутренних нормативных актах порядок предоставления информации:
· о факте обработки персональных данных оператором, а также целях такой обработки;
· о способах обработки персональных данных, применяемых оператором;
· о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ (чтобы быть в состоянии отчитаться в том, кому и какие персональные данные предоставлялись, необходимо наладить работу по учету персональных данных и контролю доступа к ним, иначе организации-оператору будет довольно сложно выполнить данное требование);
· перечень обрабатываемых персональных данных и источники их получения;
· сроки обработки персональных данных, в том числе сроки их хранения (стоит обратить особое внимание на это требование, т.к. фактически оно обязывает оператора закреплять внутренними нормативными документами сроки обработки и хранения, которые могут различаться в зависимости от целей обработки персональных данных);
· сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных (чтобы выполнить данное требование, организациям стоит заранее поручить своим юристам сформулировать обоснования всех возможных юридических последствий обработки персональных данных)
Также запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы» (статья 16).
Данная норма является необходимой и своевременной. Но наши законодатели, формулируя ее, спутали два разных понятия: “автоматический” (т.е. идущий без участия человека) и “автоматизированный” (т.е. идущий с участием человека). В результате данная статья вместо того, чтобы устанавливать дополнительные ограничения в тех и только тех случаях, когда информационная система принимает какие-либо решения без участия человека (например, о начислении штрафа, о запрете выезда за пределы страны и т.д.), может толковаться как устанавливающая ограничения на все виды обработки персональных данных, поскольку под автоматизированной обработкой можно понимать даже использование калькулятора!
В этой же статье нового закона сказано, что оператор сможет принимать решения на основании только “автоматизированной” обработки, если:
· получит на это согласие в письменной форме от субъекта персональных данных или
· если данные правила установлены федеральными законами.
В некоторых нормативных документах данные требования закона уже учтены. Так, в образцах заявлений о выдаче паспорта нового поколения содержится специальный раздел, в котором заявитель дает свое согласие на “автоматизированную” обработку указанных в заявлении данных. Звучит он следующим образом: “С автоматизированной обработкой, передачей и хранением данных, указанных в заявлении, в целях изготовления, оформления и контроля паспорта в течение срока его действия согласен”.
Оператор также должен будет предварительно предоставить гражданину следующую информацию:
· порядок принятия решения на основании исключительно “автоматизированной” обработки его персональных данных и
· возможные юридические последствия такого решения;
· порядок защиты субъектом персональных данных своих прав и законных интересов;
· возможность заявить возражение против такого решения.
В случае спора именно оператор должен будет доказать, что он выполнил все требования закона. Это означает, что ему придется тщательно собирать и хранить подтверждающие документы.
Обязанности оператора
Одной из важнейших норм Закона от 27.07.06 является обязанность оператора по обеспечению конфиденциальности персональных данных, полученных от субъекта, что подразумевает недопущение распространения такой информации без согласия на это субъекта, к которому они относятся. Есть и исключения: например, на обработку общедоступных персональных данных (т. е. уже содержащихся в открытых для общественности справочниках, адресных книгах) получения такого согласия не требуется. Также не требуется согласия субъекта и в том случае, если обработка его персональных данных осуществляется в целях исполнения договора, одной из сторон которого является данный субъект, в частности трудового договора. Что же касается хранения работодателем данных о лицах, с которыми его не связывают договорные отношения, то получение согласия на их обработку обязательно.
Итак, на обработку своих персональных данных субъект должен дать согласие, причем он имеет право его отозвать в любой момент. Согласие может быть выражено в устной или письменной форме – в зависимости от категории персональных данных, а также характера их обработки.
Согласие субъекта персональных данных в письменной форме требуется в следующих случаях:
· при обработке специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обрабатывать такие сведения без письменного согласия субъекта категорически запрещено (за исключением случаев, когда они являются общедоступными). Письменное согласие на подобные действия необходимо, даже если субъекта персональных данных и оператора связывают договорные отношения. В общественных объединениях или религиозных организациях обработка специальных категорий персональных данных членов (участников) осуществляется при условии, что персональные данные не будут распространяться без согласия субъектов, данного в письменной форме;
· при обработке биометрических персональных данных – сведений, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (сведения об особенностях строения папиллярных узоров пальцев рук человека, сетчатки глаз, о коде ДНК и т.д.). Это требование также должно соблюдаться независимо от наличия договорных отношений между субъектом персональных данных и оператором, кроме отношений, связанных с прохождением государственной гражданской службы;
· при передаче персональных данных субъекта оператором через Государственную границу РФ органу власти иностранного государства, физическому или юридическому лицу иностранного государства, не обеспечивающему адекватную защиту прав субъекта персональных данных.
В соответствии с законом письменное согласие субъекта на обработку его персональных данных должно включать:
· фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
· наименование (фамилия, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
· цель обработки персональных данных;
· перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
· перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
· срок, в течение которого действует согласие, а также порядок его отзыва.
Интересно, что независимо от того, в письменной или устной форме получено согласие субъекта на обработку его персональных данных, на оператора возлагается обязанность по доказыванию факта получения такого согласия.
Пунктом 2 статьи 18 устанавливается обязанность оператора разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные, в случае если предоставление персональных данных субъектом установлена федеральным законом. К таким случаям относится обработка персональных данных, проводимая на основании федерального закона определяющего цели и условия получения персональных данных, а также круг субъектов, персональные данные которых подлежат обработке и полномочия оператора.
В отдельных случаях для субъекта может предусматриваться необходимость предъявления дополнительных документов оператору.
Кроме того, Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела (утв. Указом Президента РФ от 30 мая 2005 г. N 609) предусматривает порядок получения, обработки, хранения, передачи и любого другого использования персональных данных государственного гражданского служащего Российской Федерации, а также ведение его личного дела. Так же данным Указом предусматривается что, представитель нанимателя или уполномоченное им лицо вправе подвергать обработке, в том числе автоматизированной, персональные данные гражданских служащих при формировании кадрового резерва.
В личное дело гражданского служащего вносятся его персональные данные и иные сведения, связанные с поступлением на гражданскую службу, ее прохождением и увольнением с гражданской службы и необходимые для обеспечения деятельности государственного органа. Персональные данные, внесенные в личные дела гражданских служащих, другие сведения, содержащиеся в личных делах гражданских служащих, относятся к сведениям конфиденциального характера, за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации. А в случаях, установленных федеральными законами и нормативными правовыми актами Российской Федерации - к сведениям, составляющим государственную тайну.
Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные, в случае если обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных. При проведении определенных исследований возникает необходимость в статистических данных, например, по возрастной группе населения без идентификации субъектов персональных данных. А также в случае, когда обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
В соответствии со ст. 61 Основ законодательства Российской Федерации об охране здоровья граждан предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:
1) в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;
2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
3) по запросу органов дознания и следствия, прокурора и суда в связи с проведением расследования или судебным разбирательством;
4) в случае оказания помощи несовершеннолетнему возрасте для информирования его родителей или законных представителей;
5) при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;
6) в целях проведения военно-врачебной экспертизы в порядке, установленном положением о военно-врачебной экспертизе, утверждаемым Правительством Российской Федерации.
Также в обязанности оператора входит разъяснение субъекту персональных данных юридические последствия отказа предоставить свои персональные данные оператор обязан, в случае если обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи. Одной из целей поставленных ФЗ "О связи" является защита интересов пользователей услугами связи и осуществляющих деятельность в области связи хозяйствующих субъектов. Пользователем услугами связи является лицо, заказывающее и (или) использующее услуги связи. Услуги связи - это деятельность по приему, обработке, хранению, передаче, доставке сообщений электросвязи или почтовых отправлений. К таким сведениям относятся - фамилия, имя, отчество или псевдоним абонента-гражданина, наименование (фирменное наименование) абонента - юридического лица, фамилия, имя, отчество руководителя и работников этого юридического лица, адрес абонента или адрес установки оконечного оборудования, абонентские номера и другие данные, позволяющие идентифицировать абонента или его оконечное оборудование, сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.
А также если обработка персональных данных осуществляется в целях профессиональной деятельности журналиста или в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных. Здесь примером может служить Федеральный закон "Об информации, информационных технологиях и о защите информации" регулирующий отношения при возникновении права на поиск, получение, передачу, производство, распространение и защиту информации с использованием информационных технологий.
Кроме того, Закон РФ "Об авторском праве и смежных правах" регулирует отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства, фонограмм исполнений, постановок, передач организаций эфирного или кабельного вещания.
Еще одной немаловажной обязанностью оператора является разъяснение субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в случае, если осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Так в соответствии с Указом Президента РФ "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" сведения о доходах, имуществе и обязательствах имущественного характера федеральных гражданских служащих, назначение на должность и освобождение от должности которых осуществляются Президентом Российской Федерации или Правительством Российской Федерации, предоставляются для опубликования общероссийским средствам массовой информации по их обращениям с одновременным информированием об этом указанных гражданских служащих. А сведения о доходах, имуществе и обязательствах имущественного характера гражданских служащих субъекта Российской Федерации предоставляются для опубликования общероссийским и региональным средствам массовой информации по их обращениям с одновременным информированием об этом указанных гражданских служащих.
Средствам массовой информации по их обращениям предоставляются следующие сведения о доходах, имуществе и обязательствах имущественного характера выше указанных гражданских служащих - декларированный годовой доход, перечень объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, с указанием вида, площади и страны расположения каждого из них, перечень транспортных средств и суммарная декларированная стоимость ценных бумаг, принадлежащих гражданскому служащему на праве собственности.
В предоставляемых средствам массовой информации сведениях запрещается указывать данные о супруге, детях и иных членах семьи гражданского служащего; данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи; данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании; информацию, отнесенную к государственной тайне или являющуюся конфиденциальной.
В статье 19 представлены меры по обеспечению безопасности персональных данных при их обработке.
Пункт 1 данной статьи обязывает оператора при обработке персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий, вплоть до применения шифровальных (криптографических) средств.