Защита персональных данных граждан в сети Интернет

В эпоху развития информационных технологий глобальный и всеохватывающий характер приобретает проблема правовой защиты персональных данных человека. Незаконное использование информации о человеке нередко приносит злоумышленникам огромную прибыль, является одним из основных способов мошеннических действий киберпреступников, сопряжено с вмешательством в частную жизнь граждан и может причинить им непоправимый урон.

Эта проблема охватывает не только Россию, где правовой опыт регулирования персональных данных находится на стадии формирования и развития, но и большинство других стран. С одной стороны, благодаря активному развитию компьютерных и телекоммуникационных технологий обмен информацией в мире стал более легким и более быстрым, а с другой – такое развитие привело к формированию принципиально новых факторов, таящих угрозы для права граждан на невмешательство в частную жизнь:

впервые появившейся возможности хранить и обрабатывать информацию, используемую для управления государством и бизнесом, не в обезличенной, а в персонифицированной форме; скрытному (в восприятии человека) характеру накопления, хра-

нения, обработки и передачи информации в компьютерах; появлению особо опасных информационных объектов со сверхвысокой концентрацией персонифицированной информации (базы и банки данных, пространственно-распределенные информационные системы)^[134].

Практика показывает, что основным объектом посягательств на сферу частной жизни стала персонифицированная информация, обрабатываемая автоматизированными электронными средствами (компьютерными и телекоммуникационно-компьютерными информационными системами). В сети Интернет постоянно нарушаются легальные пределы использования персональных данных граждан, осуществляются незаконные способы завладения информацией личного характера, на основе которой создаются базы данных пользователей с адресами их проживания и другие, совершаются неправомерные покупки или обмены персональными данными пользователей.

Резкое увеличение количества циркулирующей информации становится определяющим фактором повседневной жизни, проблемы защиты персональных данных затрагивают людей на работе, в контактах с государственными органами, при приобретении товаров или услуг, в поездках, при посещении сети Интернет.

Компания Gemalto, мировой лидер в области цифровой безопасности, обнародовала результаты своего отчета по утечкам персональных данных клиентов за 2016 год, которые свидетельствуют о том, что потребители всецело возлагают ответственность за защиту своих персональных данных на организации, хранящие их данные, а не на самих себя.

По мнению 9 тысяч потребителей, опрошенных в Австралии, странах Бенилюкса (Бельгии, Нидерландах, Люксембурге), Франции, Германии, России, ОАЭ, Саудовской Аравии, Индии, Японии, Великобритании и США, 70% ответственности за защиту и безопасность клиентских данных ложится на компании и только 30% – на них самих. При этом менее трети (29%) потребителей считают, что компании относятся к защите своих персональных данных со всей серьезностью. Этот вывод исходит из того, что потребители все больше опасаются за кражу своих данных, причем 58% полагают, что это произойдет с ними в будущем. С 2013 года раскрыто более 4,8 миллиарда записей данных путем кражи персональных данных, являющейся главным типом утечки данных, приходящимся на 64% от всех утечек данных^[135][136].

Первоначально положения, касающиеся защиты прав граждан в области персональных данных, были отражены во Всеобщей декларации прав человека, принятой 10.12.1948 Генеральной Ассамблеей ООН. Согласно статье 12 Всеобщей декларации никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь, произвольным посягательствам на неприкосновенность его жилища, тайну его корреспонденции или на его честь и репутацию. Каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств^[137].

В соответствии со статьей 8 Европейской конвенции о защите прав человека и основных свобод, заключенной в г. Риме 04.11.1950, каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции. Не допускается вмешательство со стороны публичных властей в осуществление этого права, за исключением случаев, когда такое вмешательство предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц^[138].

Аналогичная норма содержится в статье 17 Международного пакта о гражданских и политических правах, принятого 16.12.1966 Резолюцией 2200 (XXI) на 1496-ом пленарном заседании Генеральной Ассамблеи ООН^[139].

Дальнейшее развитие международно-правовая регламентация вопросов защиты персональных данных получила в Конвенции о защите физических лиц при автоматизированной обработке персональных данных, заключенной 28.01.1981 в г. Страсбурге, вступившей в силу для Российской Федерации 01.09.2013.

Указанная Конвенция заключена с целью обеспечения для каждого физического лица, независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности, его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его персональных данных.

В соответствии со статьями 2, 5 – 8 Конвенции «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице, а персональные данные, подвергающиеся автоматизированной обработке:

a) собираются и обрабатываются на справедливой и законной

основе;

b) хранятся для определенных и законных целей и не исполь-

зуются иным образом, несовместимым с этими целями;

c) являются адекватными, относящимися к делу и не чрезмер-

ными для целей их хранения;

d) являются точными и, когда это необходимо, обновляются;

e) сохраняются в форме, позволяющей идентифицировать субъ-

екты данных, не дольше, чем это требуется для целей хранения этих данных.

Персональные данные, касающиеся расовой принадлежности, политических взглядов или религиозных или других убеждений, а также персональные данные, касающиеся здоровья или половой жизни, не могут подвергаться автоматизированной обработке, если внутреннее законодательство не устанавливает соответствующих гарантий. Это положение действует также в отношении персональных данных, касающихся судимости.

Для защиты персональных данных, хранящихся в автоматизированных файлах данных, принимаются надлежащие меры безопасности, направленные на предотвращение их случайного или несанкционированного уничтожения или случайной потери, а также на предотвращение несанкционированного доступа, их изменения или распространения таких данных.

При этом любому лицу должна быть предоставлена возможность:

a) знать о существовании автоматизированного файла персо-

нальных данных, знать его основные цели, а также название и место обычного проживания или местонахождение контролера файла;

b) получить через разумный промежуток времени и без чрез-

мерной задержки или чрезмерных расходов подтверждение того, хранятся ли касающиеся его персональные данные в автоматизированном файле данных, а также получить такие данные в доступной для понимания форме;

c) добиваться в случае необходимости исправления или унич-тожения таких данных, если они подвергались обработке в нарушение норм внутреннего законодательства, воплощающего основополагающие принципы, изложенные в настоящей Конвенции;

d) прибегать к средствам правовой защиты в случае невыполнения просьбы о подтверждении или в случае необходимости предоставлении данных, их изменении или уничтожении^[140].

В Директиве № 95/46/ЕС Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных», принятой в г. Люксембурге 24.10.1995, «персональные данные» означают любую информацию, относящуюся к определенному или определяемому физическому лицу; определяемым является лицо, которое может быть определено, прямо или косвенно, в частности, через идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности. «Обработкой персональных данных» при этом определена любая операция или последовательность операций, осуществляемых с персональными данными, с использованием автоматических средств или без такового, таких как сбор, запись, организация, хранение, модификация или замена, извлечение, консультирование, использование, раскрытие через передачу, распространение или предоставление доступа другим способом, блокирование, стирание или разрушение^[141].

Окинавской хартией глобального информационного общества, принятой на о. Окинава 22.07.2000 лидерами стран «Большой восьмерки», закрепляется необходимость развития эффективных механизмов защиты частной жизни, в том числе при обработке персональных данных, развития криптографии и других средств обеспечения безопасности и достоверности операций^[142].

В январе 2011 г. отмечалось 30-летие названной Конвенции о защите физических лиц в отношении автоматизированной обработки данных личного характера. В связи с этим в Совете Европы было заявлено, что эффективная защита данных имеет жизненно важное значение для демократии и лежит в основе других основных прав и свобод. Необходимо установить равновесие между заботой о частной жизни и свободным потоком информации, которая помогает создать новые экономические возможности. Именно эти вопросы должны определять основу модернизации правил защиты данных ЕС^[143].

В дальнейшем Совет Европы и Европейская комиссия также уделяли внимание обеспечению права на защиту информации о гражданах, модернизации законодательства в этой области. Так, Еврокомиссия намеревалась проконтролировать деятельность социальных сетей, например Facebook, который в одностороннем порядке поменял автоматические настройки приватности, не преду- предив об этом пользователей.

Еврокомиссар по вопросам юстиции Вивиан Рединг (Viviane Reding) в своей речи перед европарламентариями о реформе законодательства упомянула такое образное выражение, как «право быть забытым». Многие пользователи не догадываются, что выложенная ими на сайте личная информация становится общедоступной, причем практически навсегда. Необходимо законодательно обязать подобные сайты ввести так называемое правило «приватность по умолчанию». То есть пользователи социальных сетей и других подобных сайтов должны давать явно выраженное согласие на опубликование своих персональных данных. А практика, когда такие данные становятся публичными «по умолчанию», то есть если пользователь не выберет «приватный режим» в настройках, должна быть признана незаконной. Для установления настроек приватности иногда требуется значительное усилие пользователя, а само по себе наличие этих настроек не является достаточным показателем согласия пользователя на опубликование персональных данных. Правило «приватность по умолчанию» также предполагает запрет передачи персональных данных пользователей различным приложениям, доступным в социальных сетях^[144].

В практике европейских судов имеется немало судебных решений по защите персональных данных. Так, испанский суд в одном из своих решений постановил убрать информацию о человеке из поисковой выдачи Google. Истец – доктор Еуидитто Руссо – был раскритикован в одной из статей испанской газеты El Pais еще в 1991 г., речь шла о разногласиях между врачом и его пациентом, которые были вскоре устранены, однако длительное время при вводе в Google его имени все равно одним из первых появляется этот негативный материал. Руссо указывал, что из-за Google его материальное благосостояние ухудшается, и в своем иске просил убрать ссылку на порочащую его статью из поисковой выдачи¹⁶⁰.

Судом Европейского союза в 2014 г. принято важное решение по делу «Компании «Гугл Спейн» и «Гугл Инк.» против Испанского агентства по защите данных (AEPD) и Марио Костехи Гонсалеса». В 1998 году испанская газета опубликовала сообщение о продаже с аукциона земельного участка, принадлежавшего Костехе Гонсалесу, в рамках разбирательства о взыскании долгов. Костеха Гонсалес погасил долги, в связи с чем разбирательство было прекращено без продажи имущества на аукционе. Однако в 2010 году, обнаружив, что интернет-поиск по его фамилии, использующий поисковую систему «Гугл», продолжает показывать ссылки на объявление в газете, он подал жалобу в Испанское агентство по защите данных (AEPD) против газеты, компаний «Гугл Спейн» и «Гугл Инк.» с требованием о сокрытии или удалении ссылок. AEPD отклонила жалобу против газеты на том основании, что она законно опубликовала эту информацию, но удовлетворила жалобу против компаний «Гугл Спейн» и «Гугл Инк.». Компания «Гугл» обжаловала это решение в Национальном суде, который просил Суд ЕС вынести предварительное решение.

В решении Суда ЕС отражено: оператор интернет-поиска является «контролером» данных, участвующим в «обработке», если интернет-поиск по имени лица влечет представление информации о лице со ссылкой на веб-сайты третьих лиц. Не имеет значения, что данные уже опубликованы в Интернете и не изменяются каким-либо образом в поисковой системе.

Кроме того, даже первоначально законная обработка точных данных могла с течением времени стать несовместимой с правом на неприкосновенность частной жизни при обработке персональных данных. Субъект данных мог требовать устранения ссылок на веб-сайты из ссылок на поисковые результаты, если данные были неадекватными, неотносимыми или чрезмерными, не обновлялись или хранились дольше необходимого. Это не отменяется тем, что данные были законно опубликованы третьими лицами и содержали правдивую информацию. Так, к компании «Гугл» могло быть предъявлено требование об устранении ссылок и информации из результатов поисков, даже если газетное объявление законно оставалось доступным в Интернете. В этом контексте Суд ЕС отметил, что вмешательство в права лица, чье имя находится по поиску, усиливается за счет важной роли, которую Интернет и поисковые системы играют в современном обществе, что делает информацию, содержащуюся в списке результатов, общедоступной. С учетом своей потенциальной серьезности подобное нарушение не могло быть оправдано только экономическим интересом, который имел оператор поисковой системы в обработке данных. Права субъекта данных на уважение личной жизни и защиту персональных данных обычно перевешивают экономический интерес оператора поисковой системы и интерес общественности в доступе к информации через поиск, хотя может возникнуть исключение, если интерес в доступе преобладает, например, в связи с ролью, которую играет субъект данных в общественной жизни.

Таким образом, в таком деле, как дело Костехи Гонсалеса, где газетное объявление содержало чувствительную информацию относительно личной жизни и было опубликовано 16 лет назад, было бы целесообразно указать, что субъект данных вправе настаивать на отсутствии связи информации с его именем в результате списка результатов поиска, если – и этот вопрос должен быть разрешен национальными судами – отсутствует преобладающий интерес общественности в получении доступа к этой информации^[145].

В декабре 2015 года в Европейском парламенте был согласован единый стандарт защиты персональных данных в сети Интернет. Он распространяется на все страны – члены Европейского союза, и вступает в силу с 01.01.2018. Его новеллы касаются следующих достаточно жестких требований. Вводятся стандартизированные символы уведомлений об обработке персональных данных, не нужно будет читать длинные уведомления о конфиденциальности мелким шрифтом. Предусматривается обязательность настроек по умолчанию в интересах потребителя (галочки «личное», т.е. режим конфиденциальности презюмируется, иной режим выбирает пользователь). Дети до 16 лет регистрируются в социальных сетях с разрешения родителей. Страны ЕС могут снизить этот возраст до 13 лет. Вводится режим мобильности данных, т.е. их переноса, если пользователь сменил информационный ресурс. Интернет-компании не смогут передавать их за пределы ЕС. Право на забвение реализуется по требованию заявителя, кроме ситуаций, связанных с защитой общественных интересов, в этом случае приоритет интересов сохраняется для средств массовой информации. Компании, находящиеся за пределами ЕС, должны будут следовать правилам ЕС, если предлагают свои услуги и информационные продукты на территории Евросоюза. Подсудность по таким спорам, как и обращение в интернет-компанию, предусмотрена в стране истца, что существенно облегчит судебную защиту заявителя^[146].

Актуальные проблемы по защите информации приватного характера граждан имеют место в США, Германии и других странах. Так, южно-корейское подразделение компании Apple выплатило компенсацию пользователю iPhone за несанкционированный сбор данных о его местоположении. Размер компенсации, которая выплачена юристу Ким Хен Суку Apple Korea, составил $ 946, как было сообщено со ссылкой на должностных лиц районного суда Чханвона^[147].

Давление на Apple по вопросу несанкционированного сбора и хранения данных о местонахождении пользователей неуклонно возрастает. Вопрос приобрел остроту после того, как обнаружилось, что устройства, выпущенные компанией, в течение нескольких месяцев сохраняют незакодированную информацию о пользователях. Смартфоны с ОС Google Android также, как выяснилось, регулярно передают вовне данные о местонахождении пользователя.

Американские правозащитники, специализирующиеся на вопросах защиты частной жизни граждан, предъявляют претензии к корпорации Apple, производящей iPad и iPhone – устройства, которые сохраняют информацию о перемещениях их владельцев. По утверждению правозащитников, данные, сохраненные устройствами, не зашифрованы и фактически находятся в свободном доступе^[148].

Правовое регулирование обработки персональных данных согласно Французскому закону 1978 г. об обработке данных, файлах данных и индивидуальных свободах распространяется как на публичный, так и на частный секторы: «Статья 4. Персональные данные – это данные, которые позволяют в любой форме, прямо или косвенно, установить личность физического лица, в отношении которого эти данные собраны, независимо от того, физическим или юридическим лицом эти данные были обработаны»¹⁶⁵.

Детальное определение персональных данных и смежных с ними понятий дано в Финском законодательном акте 1988 г. о персональных данных и его новой редакции – Законе о персональных данных 1999 г.:

«1. Термин «персональные данные» означает любое описание любого физического лица, или характеристик физического лица, или жизненных обстоятельств, которое может быть признано как описывающее определенное частное физическое лицо, или его семью, или тех, кто живет с ним в одном и том же жилище.

2. Термин «файл персональных данных» означает любой набор данных, содержащий персональные данные, обработанные при помощи компьютера, а также любой перечень, картотеку или иной набор данных, содержащий персональные данные и организованный соответствующим образом, благодаря которому данные о любом конкретном физическом лице могут быть найдены легко и без чрезмерных затрат.

2а. Термин «файл редакционных данных» означает любой файл персональных данных, предназначенный единственно для редакторских операций любого члена редакции средства массовой информации и недоступный для посторонних.

6. Термин «персональные кредитные данные» означает персональные данные, предназначенные для использования в оценке финансового статуса физического лица, его способности соответствовать своим обязательствам или степени оказываемого ему кредитного доверия.

7а. Термин «матрикула» означает любой файл персональных данных, предназначенный для публикации, в который физические лица входят в соединении со сведениями о конкретной профессии или образовании, членстве в некой профессиональной организации или ином обществе, со своим статусом или достижениями в области культуры, спорта, экономической жизни или иной гражданской деятельности или в соединении с другими сопоставимыми факторами»^[149].

За исключением Китая и большинства стран Ближнего Востока, основные региональные державы приняли законы, связанные с защитой персональных данных в Интернете. В Индии действие принятого в 2011 г. Закона не распространяется за пределы страны, да и он не является жестким, поскольку большинство жителей страны не задумываются о сохранности персональных данных. Сайты знакомств открыто говорят, какая группа крови у пользователя и кто инфицирован ВИЧ, правительство имеет широкие полномочия доступа к персональным данным, а чтобы найти номер мобильного телефона, зачастую достаточно вбить имя человека в поисковую строку.

В Японии закон, защищающий персональные данные граждан в целом и в Интернете в частности, приняли в 2005 г. От иностранных компаний с офисом в Японии требуется подробно объяснять, зачем они хранят персональные данные, если они касаются хотя бы 5000 клиентов и сотрудников. С одной стороны, японцы часто опасаются делиться персональными данными в случае даже природных катаклизмов: например, отказываются подтверждать после землетрясения, попал ли человек в больницу. С другой – периодически случаются крупные утечки данных и незаконные сделки по их продаже. В Сингапуре с 2013 г. действует закон о защите персональных данных, этот город-государство обладает самым прогрессивным в Азии законодательством о хранении персональных данных. В последнее время законодатели столкнулись и с тем, что не поспевают за развитием Интернета: правила десятилетней давности не учитывают существования облачных сервисов и социальных сетей^[150].

Анализ зарубежного законодательства показывает, что персонифицированная информация в компьютерах условно разделяется на две категории:

«нейтральные» персонифицированные данные, к раскрытию и распространению которых субъект данных относится индифферентно;

«чувствительные» персонифицированные данные, циркуляцию которых субъект данных стремится ограничить. Именно эта категория в европейском законодательстве получила название персональных данных и была квалифицирована как информация, несанкционированный доступ или ненадлежащее использование которой приводит к посягательствам на права частной жизни субъекта данных.

При этом большинство стран, в свою очередь, делит персональные данные по критерию «чувствительности» на три категории: «обычные» персональные данные – их сбор, обработка, использование и передача возможны без специального разрешения в режиме, предписанном национальными законами; «чувствительные» персональные данные – их сбор, обработка, использование и передача требуют особых мер защиты и безопасности, специально установленных законом; «особо чувствительные» персональные данные – их сбор, обработка, использование и передача либо вообще запрещены законом, либо разрешены только в исключительных случаях с использованием специальных мер защиты и безопасности^[151].

При этом общепризнанными видами «чувствительных» персональных данных, как правило, являются данные об арестах; банковские данные; данные кредитных отчетов и кредитных историй; данные об образовании и трудовой деятельности (как правило, только данные, содержащие оценку способностей и трудовых качеств индивида); медицинские данные; налоговые данные. Набор «особо чувствительных» персональных данных, подлежащих особо тщательной защите, может варьироваться в различных странах в зависимости от национального менталитета, но, как правило, к этой категории относятся данные о расовом и этническом происхождении, религиозных верованиях, политических убеждениях, членстве в профессиональных ассоциациях, политических и общественных организациях, состоянии здоровья, особенностях сексуального поведения, криминальном прошлом (данные о вынесенных и исполненных обвинительных судебных приговорах по уголовным делам).

Законодательство Российской Федерации в области защиты персональных данных сформировано с учетом основных положений международно-правовых актов и мирового опыта.

В соответствии со статьями 23 и 24 Конституции Российской Федерации каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый также имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Федеральным законом от 19.12.2005 № 160-ФЗ ратифицирована Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981. Российская Федерация взяла на себя обязательства обеспечить для каждого физического лица независимо от его гражданства или местожительства права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его данных личного характера.

Следующим шагом стало принятие Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), который послужил основой возникновения обособленной отрасли информационного права, позволившей в Российской Федерации практически с нуля создать систему защиты прав граждан как субъектов персональных данных с учетом международного опыта^[152].

Закон о персональных данных принят, как указывается в его статье 2, в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

В указанных целях в Законе о персональных данных используются следующие основные понятия:

1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (статья 3 Закона о персональных данных).

Статьей 5 Закона о персональных данных определены принципы обработки персональных данных. Обработка персональных данных должна осуществляться на законной и справедливой основе, должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

В соответствии со статьей 6 Закона о персональных данных обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона о персональных данных, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 Закона о персональных данных.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных.

В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Развивая положения Конституции Российской Федерации, Закон о персональных данных в статье 7 определяет понятие «конфиденциальность персональных данных» − обязательное для соблюдения оператором или иными лицами, получившими доступ к персональным данным, требование не раскрывать третьим лицам и не распростран<