Хотите знать, что относится к биометрическим персональным данным, а также что это за система? Сегодня мы поговорим о внедрении биометрических технологий в повседневную жизнь человека и объясним, что же такое биометрия, зачем она нужна и в чём её преимущества.
Для начала стоит разобраться в том, что такое биометрия. Это научная дисциплина, целью которой является изучение разнообразных параметров человека, при помощи которых его можно идентифицировать среди всего населения Земли. Эти технологии очень распространены на Западе, так как это позволяет значительно улучшить эффективность работы множества государственных служб. В России биометрические технологии уже начинают постепенно внедряться, а анализ отпечатков пальцев используется активно.
Чтобы ответить на этот вопрос правильно, следует понять, что польза обществу от применения биометрических показателей будет огромна. Современное общество постоянно развивается, и ничто не может остановить этот процесс. Качественные технологические реформы происходят на каждом уровне, а инновации внедряются во все сферы жизни человека.
Биометрические персональные данные – это измеримые поведенческие или физиологические данные любого человека. Говоря более простым языком, это может быть как официальный документ, удостоверяющий личность, так и фотография или видеозапись, на которой присутствует человек. Огромное преимущество таких данных в том, что они полностью уникальны. Именно поэтому их можно эффективно использовать для идентификации личности. Если бумажные документы можно очень мастерски подделать, то биометрические данные невозможно как-либо сфальсифицировать.
Существует два показателя, по которым можно сгруппировать такие данные. Обе группы очень важны и значительны по качеству носимой информации.
Первая группа – это физиологические биометрические данные, которые непосредственно касаются каких-либо характеристик тела (отпечатки пальцев, ДНК-анализ, скан руки, сетчатки глаза, запах человека, голос, распознавание лица).
Вторая группа – поведенческие данные, которые напрямую связаны с тем, как человек ведёт себя в различных ситуациях (например, походка, речь, возбудимость).
Описать полный состав биометрических данных невозможно, так как он может быть очень обширен. Если обобщить и привести суть проблемы, то можно сказать, что биометрические данные – это сведения, которые могут каким-либо образом описать физиологические и биологические особенности человека, на их основе можно установить личность человека, и они могут быть использованы оператором для анализа субъекта. Стоит отметить, что все вышеперечисленные составляющие должны присутствовать одновременно. Биометрия невозможна без идентификации, можно сказать, что это – её базовый принцип.
Из этого следует, что врачебные снимки или кардиограмма сердца не могут служить идентифицирующими данными, хотя теоретически они принадлежат к физиологической группе данных. Попадая в руки специальных органов, эти данные в совокупности с другой персональной информацией могут служить базой для проведения идентификации личности.
Обработка биометрических данных согласно закону может проводиться только на справедливой правовой основе. Должна быть определена конкретная цель сбора и обработки данных, и только для этих целей можно использовать полученную информацию. Государством запрещено объединение данных, цели сбора которых противоречат друг другу или просто несовместимы. Нельзя проводить анализ данных для получения избыточных сведений, которые не были указаны в начале задания как необходимые.
Допускается анализ только проверенных и точных данных, а любые неточности и ошибки подлежат перепроверке или исключению из базы. Биометрические персональные данные – это та информация, которую можно хранить только определённый срок, необходимый для достижения целей сбора. В случае достижения поставленного результата, все данные должны быть уничтожены или обезличены. Важным моментом любой обработки персональной информации является согласие самого субъекта. Личная информация может быть обнародована, если субъект решил предоставить к ней неограниченный доступ.
Что такое биометрические данные человека? Это набор отличительных характеристик по разным пунктам. Совокупность или комплекс этих данных позволяют очень точно идентифицировать человека. Ценность такой информации в том, что она может быть использована в благих целях. Применение персональных данных четко регулируется законом, и несоблюдение правил карается в строгом порядке. Сбор и анализ личной информации возможен только после личного согласия человека на это. Доступ к закрытой информации имеет только государство, любые частные структуры не имеют права получать личные данные субъекта.
Использование биометрических технологий – это очень перспективное направление, которое позволит моментально находить преступников, спасать больных людей, оказывать незамедлительную помощь при трагедиях, находить людей гораздо быстрее и т. д. Подобные технологии очень активно применяются в других странах, и уровень преступности, внезапной смертности и т. д. у них гораздо ниже, что явно свидетельствует об эффективности метода.
Сейчас очень активно внедряется биометрия идентификации личности по паспорту. Цифровое изображение, вшитое в чип любого документа, будет не только сообщать о человеке стандартные данные, но также предоставлять целый пакет информации, которая была собрана. Некоторые опасаются внедрения биометрических паспортов, так как это напоминает тотальный контроль.
Обычному человеку практические невозможно проконтролировать использование биометрических данных – всё, что остаётся, – это поверить на слово, что они надежно защищены. Следует помнить, что инновационные чипы предполагают даже то, что человека можно отследить по его месту нахождения, в дистанционном режиме узнать о его физическом состоянии, а также получить полную информацию о том, чем субъект занят в определённый период времени.
Несмотря на то что внедрение биометрии в повседневную жизнь – это огромный прогресс в науке и технике, большинство людей всё же опасается такого вида контроля. При этом стоит понимать, что сеть Интернет переполняет фантазийная информация о том, что за всеми этими процессами стоит Тайное Мировое Правительство. Такую панику сеют в массах нарочно, чтобы накалить обстановку. Стоит реально оценивать ситуацию и понимать, что прогресс наступает во всех областях жизни и поэтому глупо сдерживать его в конкретном направлении.
Конечно, злоупотребление полученными технологиями действительно может быть, но мы живём в правовом государстве, где интересы человека играют важнейшую роль. Кроме того, будет внедрена специальная система защиты персональных данных человека, пренебрежение которой будет нести за собой ответственность по закону.
businessman.ru
Раньше такое можно было увидеть только в шпионских фильмах: герой прикладывает палец к специальному сенсору - и дверь открывается. Сегодня такие технологии стали реальностью, ведь появилась возможность собирать, хранить и использовать биометрические персональные данные. Что это такое?
Смотря фантастические фильмы, где герои общаются с "умным домом" или отдают приказы искусственному интеллекту космического корабля, зрители редко задумываются об обратной стороне этого вопроса, например, слушается ли эта программа всех подряд. Очень вряд ли, наверняка, она реагирует только на голос хозяина. И это достигается с помощью биометрии, которая реально существует. Итак, что же это за кусочек из фантастики, уже ставший действительностью?
Биометрия - это система распознавания людей. Она основывается на присущих им уникальных характеристиках, так что зайти, так сказать, "под чужим логином" не удастся, ведь подделать пароль невозможно, и сейчас станет ясно, почему.
К данным этого типа относятся любые сведения, которые могут быть измерены, как поведенческого или психологического, так и физиологического характера. Иными словами, любой параметр человека, который может быть выражен в абсолютных значениях, может считаться биометрическими данными.
Они обладают рядом определенных свойств, что и делает их такими ценными.
Все эти характеристики в комплексе делают сведения данного типа очень полезными, если подумать о всеобщем сборе и хранении данных в различных целях. Например, преступники не смогут избежать правосудия. Впрочем, до создания глобальных баз данных еще очень и очень далеко.
На сегодняшний день успешно используется несколько типов биометрических данных: отпечатки пальцев, голос, сетчатка или радужка глаза, а также распознавание лица и ДНК. Этим, однако, список возможных параметров не ограничивается. В перспективе технологии смогут работать также с запахом или, например, походкой, характерными особенностями поведения, процессом подписания документов и т. д. Таким образом, характеристики могут быть не только статичными, но и динамическими.
Кстати, в процессе изучения некоторых физиологических характеристик человека стало ясно, что, например, сетчатка в данном качестве не подходит, поскольку рисунок сосудов может меняться, а также дает информацию о состоянии здоровья, чего быть не должно. Это косвенно дает толчок к развитию еще и медицине.
Самым распространенным параметром, используемым уже довольно давно, являются отпечатки пальцев. Дактилоскопические данные уже стали совсем привычными, а процедура их сдачи уже давно обязательна не только для тех, кто подозревается в преступлениях, но и для обычных граждан, например, при получении некоторых документов.
Идея о том, что папиллярный рисунок, то есть линии на кончиках пальцев, уникальны для каждого человека, была выдвинута еще в XIX веке Уильямом Гершелем. Несмотря на то, что выдвинутая им гипотеза о неповторимости отпечатков так и не получила достаточного основания, дактилоскопия широко используется в криминалистике. Пожалуй, именно она и положила начало идеям об идентификации, основой которой являлись бы биометрические данные.
Сейчас самой распространенной является процедура снятия отпечатков пальцев в электронном или традиционном виде. В первом случае используются специальные сенсоры, делающие высококачественный цифровой снимок, который в дальнейшем преобразуется, а во втором - особая краска. Для распознавания лиц также используются специальным образом сделанные фотографии - например, в России сейчас такие делают, чтобы поместить биометрические данные в паспорте нового поколения для поездок за рубеж.
Если сбор биометрических данных не является такой уж проблемой, то создание и постоянное обновление и обслуживание единой базы данных, пожалуй, относится к актуальным задачам. Кроме того, существует необходимость в правовом регулировании доступа к информации подобного рода и возможности работы с ней, в том числе передачи третьим лицам.
Очевидно, что настолько личная информация нуждается в серьезной защите. Это значит, что базы данных, если в них будут централизованно стекаться все сведения, должны быть максимально безопасными, а человеческий фактор необходимо снизить до минимума. То есть обработка биометрических персональных данных должна происходить в общем случае в автоматическом режиме.
Тем не менее в России пока эта проблема не решена, несмотря на принятие в 2006 году закона 152-ФЗ, в котором говорится в том числе о подобных сведениях, никаких четких инструкций о правилах их хранения и передачи пока нет. Кроме того, нет контроля за процессом работы с информацией такого типа, хотя некоторые государственные органы уже давно занимаются ее сбором. Таким образом, обычные граждане вряд ли могут быть совершенно уверены в том, что информация о них находится в надежных руках, и они даже не могут это проверить.
Поскольку биометрические данные уникальны для каждого человека, на их основе очень удобно идентифицировать личность для тех или иных нужд.
В современном мире на практике это реализуется в различных системах доступа и личных документах. На сегодняшний день сбор тех или иных сведений, относящихся к таким данным, осуществляется, например, в некоторых странах для получения паспорта или виз для заграничных поездок. Кроме того, большое количество современных телефонов, планшетов, компьютеров и других приборов также имеют функции разблокирования в ответ на, например, считывание отпечатков пальцев или распознание лица. Так что биометрическая защита данных уже давно - не только высокие технологии в фантастическом фильме. Современные методы позволяют даже различать близнецов по одному или нескольким автоматически оцениваемым параметрам с достаточно высокой степенью точности.
Иными словами, биометрические данные человека - это очень надежный пароль, который нельзя поменять, а при дальнейшем совершенствовании технологий распознания получить несанкционированный доступ к чему-либо будет абсолютно невозможно. Правда, проблема состоит в том, что если случится утечка из базы данных, то это станет серьезной проблемой, ведь, как уже было сказано, этот "пароль" поменять невозможно.
Механизм работы при этом довольно прост: при существовании в базе данных прибора эталонного образца он сравнивается с полученными с помощью сенсора данными, и если есть критические несоответствия, то запрос на доступ отклоняется, а если нет - принимается. Естественно, существует вероятность ложного срабатывания или отказа, но это зависит от качества эталона и правильности настройки и достаточной чувствительности сенсора. Разумеется, комбинирование нескольких методов распознавания значительно повышает общую точность идентификации.
Как и в любом другом вопросе, когда дело касается персональной информации, а особенно биометрических данных, люди делятся на два лагеря: сторонников и противников.
Те, кто выступают за скорейшее внедрение всеобщей идентификации по биометрическим параметрам, аргументируют свою позицию тем, что это сделает общество более безопасным, снизит преступность. Найти пропавшего человека не составит никакого труда, ведь любая система безопасности определит его присутствие.
С другой стороны, критики считают, что, во-первых, даже небольшая утечка данных такого типа может быть критичной, а во-вторых, пока не существует предпосылок к созданию законодательных рамок, которые могли бы разрешить многие вопросы в этой сфере. Наконец, некоторым кажется, что это создаст возможность для правительств вмешиваться в частную жизнь своих граждан, что неприемлемо.
Так или иначе, технологии, основанные на информации данного типа, продолжают развиваться, и этот процесс сдерживает лишь их достаточно высокая стоимость. Вероятно, в обозримом будущем сдача биометрических данных будет обязательной для всех людей без исключения, и будут созданы обширные базы данных. К личности каждого человека будет привязана информация о нескольких его параметрах. Это даст возможность навсегда отказаться от бумажных документов, удостоверяющих личность, а еще позволит забыть о таком понятии, как ключи и замки в привычном понимании.
Кстати, обычно вместе с биометрией упоминают и чипирование. Однако у этой меры гораздо больше противников, ведь с помощью микросхем, вшитых под кожу человека, можно не только определять, но и контролировать и изменять его состояние. Эта перспектива настолько пугает современных людей, что в большей части антиутопий говорится об этой мере как совершенно обыденной. Но это уже совсем другая история.
fb.ru
Кафедра информационного права
Реферат по теме
«Основные положения Федерального закона „О персональных данных“»
Екатеринбург
2010
Содержание
Введение
Определение персональных данных
Принципы и условия обработки персональных данных
Категории персональных данных
Права субъекта персональных данных
Контроль и надзор за обработкой персональных данных
Заключение
Список используемой литературы
Введение
В настоящее время проблема защиты персональных данных является одной из наиболее актуальных для нашей страны. Это связано с тем, что 26 января 2007 года вступил в силу Федеральный закон «О персональных данных». В этом законе сформулированы требования по защите персональных данных. Важно отметить, что требования данного закона являются обязательными и для коммерческих, и для государственных организаций. При этом, согласно статье 25, информационные системы должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.
Кроме того, стоит отметить, что Федеральный закон «О персональных данных» не является единственным нормативно-правовым актом, регламентирующим положение о персональных данных. Существует ряд документов, к которым относятся: Постановление правительства РФ от 17 ноября 2007 года №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и нормативные и методические документы ФСТЭК и ФСБ России. Согласно этим документам, обеспечение безопасности персональных данных является неотъемлемой и обязательной частью работ по созданию и поддержке информационных систем.
В рамках этого реферата будут рассмотрены основные положения именно закона «О персональных данных».
Определение персональных данных
Согласно статье 3 Федерального закона, определение персональных данных звучит следующим образом:
Персональные данные— любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
В настоящее время практически в каждой организации в информационных системах хранятся и обрабатываются различные данные о сотрудниках, клиентах, партнерах и т.п., такие как, например, фамилия, имя, отчество, дата и место рождения, адрес, семейное, имущественное и социальное положение, сведения об образовании, профессии, информация о доходах и другие персональные данные.
Кроме того, рядовые граждане зачастую сами не заботятся о сохранении своих персональных данных. В наш век широкого использования интернета и различных коммуникационных сетей, для получения определенной информации необходимо предоставление своих данных. Мы регистрируемся на различных сайтах, оставляем свои данные в магазинах, совершая покупки. Например, при получении кредита, мы вынуждены предоставить не только базовые данные об имени, фамилии и месте работы, но и также данные членов семьи и других лиц. Также наши данные записываются в больницах, школах, ВУЗах. Это только небольшой перечень мест, где эти данные необходимы.
Возникает вопрос: какое же количество людей имеет доступ к персональным данным других лиц? Это могут быть не только сотрудники учреждений, в которых хранятся данные. Нашими данными может завладеть практически любой человек и в дальнейшем использовать их с неблаговидной целью. Таких примеров масса. Необходимость закона, регламентирующего защиту данных, очевидна. Персональные данные каждого лица должны быть защищены.
Принципы и условия обработки персональных данных
Принципы обработки персональных данных изложены в ст. 5 гл. 2 Федерального закона «О персональных данных». Эти принципы таковы:
Должна соблюдаться законность и добросовестность целей и способов обработки персональных данных.
Должно быть соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора
Необходимо соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.
Должна соблюдаться достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных.
Недопустимо объединение созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Персональные данные должны храниться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Условия обработки персональных данных содержаться в ст. 6 гл. 2 Федерального закона «О персональных данных». Этими условиями являются:
Осуществление обработки персональных данных оператором только с согласия субъектов персональных данных
Осуществление в тех случаях, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Осуществление обработки специальных категорий персональных данных, а также биометрических персональных данных в особом порядке.
Существует также ряд исключений, в котором согласие субъекта персональных данных на их обработку не требуется. Это происходит, когда:
Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.
Обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных
Обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных
Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно
Обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи
Обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных
осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
Категории персональных данных
В Федеральном законе «О персональных данных» статьей 9 вводится понятие «особые категории персональных данных». Для них традиционно существуют особые условия и ограничения сбора, обработки и передачи. Отдельного одобрения заслуживает жесткое, но полностью отвечающее задаче защиты персональных данных условие(п.4 ст.9о прекращении обработки особых категорий персональных данных и об уничтожении этих данных),если субъект данных не дал согласия на их хранение в информационной системе оператора.
Остановимся поподробнее на специальных категориях персональных данных. Обработка специальных категорий персональных данных, которая касается расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, но существует ряд исключений, если, субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; если персональные данные субъекта являются общедоступными; персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно; если обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну; обработка персональных данных членов общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; если обработка персональных данных необходима в связи с осуществлением правосудия и; если обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
--PAGE_BREAK--Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Теперь остановимся на другой категории данных – биометрических персональных данных. Федеральным законом «О персональных данных» представлено следующее определение:
Биометрические персональные данные -сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность
Обработка таких данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Использование биометрических технологий в последние годы стало очень популярным.Увеличившийся в последнее время интерес к данной тематике в мире принято связывать с угрозами активизировавшегося международного терроризма. Многиегосударствавводят в обращениепаспортас биометрическими данными. Биометрические технологииоснованы набиометрии, измерении уникальных характеристик отдельно взятого человека. Это могут быть как уникальные признаки, полученные им с рождения, например:ДНК,отпечатки пальцев,радужная оболочка глаза; так и характеристики, приобретённые со временем или же способные меняться с возрастом или внешним воздействием. Например:почерк, голосилипоходка.
Права субъекта персональных данных
Субъектом персональных данных может являться только физическое лицо. Одним из важнейших прав субъекта является право субъекта персональных данных на доступ к своим персональным данным.
Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных оператором, а также цель такой обработки
способы обработки персональных данных, применяемые оператором
сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ
перечень обрабатываемых персональных данных и источник их получения
сроки обработки персональных данных, в том числе сроки их хранения
сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных
В некоторых случаях, право субъекта на доступ к своим персональным данным ограничивается. Оно ограничивается в случае, если обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными. Также, право субъекта на доступ ограничивается, если обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка и если предоставление персональных данных нарушает конституционные права и свободы других лиц.
Особо отметим права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.
Следующим рассмотрим право субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
Оператор обязан рассмотреть возражение в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Существует также право на обжалование действий или бездействия оператора. Руководствуясь этим правом, если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. И, если субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Также закон регламентирует и обязанности оператора, которые неразделимо связаны с правами субъекта персональных данных. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
наименование (фамилия, имя, отчество) и адрес оператора или его представителя
цель обработки персональных данных и ее правовое основание
предполагаемые пользователи персональных данных
установленные настоящим Федеральным законом права субъекта персональных данных.
Контроль и надзор за обработкой персональных данных
Прежде чем говорить о самом контроле и надзоре, следует определить орган, который уполномочен защищать права субъектов персональных данных. Таким органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. Об Уполномоченном органе по защите прав субъектов персональных данных подробно говорится в статье 21 законопроекта, а в некоторых других статьях законопроекта есть на него ссылки.
Как уже было сказано, во многих странах мира существуют уполномоченные по защите персональных данных и частной жизни или соответствующие комиссии/комитеты. Их главная задача – контроль над исполнением законодательства в этой области. Статус, структура и компетенцияуполномоченных органов определяются в тех же законах о персональных данных и частной жизни.
Уполномоченный орган рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Уполномоченный орган имеет ряд прав, которые я излагаю далее:
запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию
продолжение --PAGE_BREAK--осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий
требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных
принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона «О персональных данных»
обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде
направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных
направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью
вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных
привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона
Базовым свойством, определяющим статус Уполномоченного органа, является егонезависимость.Это свойство вытекает из самого смысла деятельности Уполномоченного органа, призванного способствовать устранению и предупреждению нарушений законодательства о частной жизни, допускаемых, в том числе, и государственными структурами. Есть естественные и понятные различия в подходах к защите прав человека органа, созданного и функционирующего в рамках исполнительной власти, и независимой структуры, например, такой как Уполномоченный по правам человека.
Уполномоченному органу также должна обеспечиваться конфиденциальность.
Наряду с правами, Уполномоченный орган, конечно, имеет обязанности:
организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
вести реестр операторов;
осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
выполнять иные предусмотренные законодательством Российской Федерации обязанности
Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
Заключение
В заключении хочу сказать, что закон о котором шла речь в моем реферате еще только набирает свою силу, многие положения в нем не до конца раскрыты, мы только учимся жить по этим нормам, новым для нашего общества. Конечно же, он будет дорабатываться, изменяться, улучшаться для оптимальной защиты интересов субъекта персональных данных. Нельзя забывать, что лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Список используемой литературы
Комментарий к проекту ФЗ №217352-4 «О персональных данных»
Сердюк В. «Защита персональных данных в кредитно-финансовых организациях в соответствии с требованиями Федерального закона „О персональных данных“, „Банковские технологии“, 06.2009.
Сердюк В. „Информационная безопасность автоматизированных систем предприятий“, „Бухгалтер и компьютер“, №1, 2007.
ФЗ РФ от 27.06.06 №152-ФЗ „О персональных данных“.
www.ronl.ru
Основные принципы
Биометрия предполагает систему распознавания людей по одной или более физических или поведенческих черт. В области информационных технологий биометрические данные используются в качестве формы управления идентификаторами доступа и контроля доступа. Также биометрический анализ используется для выявления людей, которые находятся под наблюдением (широко распространено в США, а также в России — отпечатки пальцев).
Биометрические данные можно разделить на два основных класса: 1.Физиологические — относятся к форме тела. В качестве примера можно привести: отпечатки пальцев, распознавание лица, ДНК, ладонь руки, сетчатка глаза, запах/аромат.
2.Поведенческие связаны с поведением человека. Например, походка и голос. Порой используется термин behaviometrics для этого класса биометрии. Строго говоря, голос — это также физиологическая черта, потому что каждый человек имеет различные вокальные диапазоны, но распознавание голоса в основном базируется на изучении как человек говорит, поэтому обычно классифицируют как поведенческую черту.
Определения
Основные определения, используемые в сфере биометрических приборов: 1.Универсальность — каждый человек должен обладать измеряемой характеристикой. 2.Уникальность — это насколько хорошо человек отделяется от другого с биометрической точки зрения. 3.Постоянство — мера того, в какой степени выбранные биометрические черты остаются неизменными во времени, например в процессе старения. 4.Взыскание — простота осуществления измерения. 5.Производительность — точность, скорость и надёжность используемых технологий. 6.Приемлемость — степень достоверности технологии. 7.Устранение — простота использования замены.
Биометрическая система может работать в двух режимах: 1.Верификация — сравнение один к одному с биометрическим шаблоном. Проверяет, что человек тот, за кого он себя выдает. Верификация может быть осуществлена по смарт-карте, имени пользователя или идентификационному номеру. 2.Идентификация — сравнение один ко многим: после «захвата» биометрических данных идет соединение с биометрической базой данных для определения личности. Идентификация личности проходит успешно, если биометрический образец уже есть в базе данных.
Первое частное и индивидуальное применение биометрической системы называлось регистрацией. В процессе регистрации биометрическая информация от индивида сохранялась. В дальнейшем биометрическая информация регистрировалась и сравнивалась с информацией, полученной ранее. Обратите внимание: если необходимо, чтобы биометрическая система была надежна, очень важно, чтобы хранение и поиск внутри самих систем были безопасными.
Первая часть (сенсор) — промежуточная связь между реальным миром и системой; он должен получить все необходимые данные. В большинстве случаев это изображения, но сенсор может работать и с другими данными в соответствии с желаемыми характеристиками.
Вторая часть (блок) осуществляет все необходимые предварительные процессы: она должна удалить все «лишнее» с сенсора (датчика) для увеличения чувствительности на входе (например, удаление фоновых шумов при распознавании голоса)
В третьей части (третьем блоке) извлекаются необходимые данные. Это важный шаг, так как корректные данные нуждаются в извлечении оптимальным путём. Вектор значений или изображение с особыми свойствами используется для создания шаблона. Шаблон — это синтез (совокупность) релевантных характеристик, извлечённых из источника. Элементы биометрического измерения, которые не используются в сравнительном алгоритме, не сохраняются в шаблоне, чтобы уменьшить размер файла и защитить личность регистрируемого, сделав невозможным воссоздание исходных данных по информации из шаблона.
Регистрация, представленная шаблоном, просто хранится в карте доступа или в базе данных биометрической системы, или в обоих местах сразу. Если при попытке входа в систему было получено совпадение, то полученный шаблон передается к сравнителю (какому-либо алгоритму сравнения), который сравнивает его с другими существующими шаблонами, оценивая разницу между ними с использованиям определённого алгоритма (например, Hamming distance — расстояние Хемминга число позиций цифр в двух одинаковой длины кодовых посылках (отправленной и полученной), в которых соответствующие цифры отличаются). Сравнивающая программа анализирует шаблоны с поступающими, а затем эти данные передаются для любого специализированного использования (например, вход в охраняемую зону, запуск программы и т. д.).
Описание
Описанное ниже используется как показатели эффективности биометрических систем[2]: 1. Коэффициент ложного приема (FAR) или коэффициент ложного совпадения (FMR). FAR — коэффициент ложного пропуска, вероятность ложной идентификации, то есть вероятность того, что система биоидентификации по ошибке признает подлинность (например, по отпечатку пальца) пользователя, не зарегистрированного в системе. FMR — вероятность, что система неверно сравнивает входной образец с несоответствующим шаблоном в базе данных. 2. Коэффициент ложного отклонения (FRR) или коэффициент ложного несовпадения (FNMR). FRR — коэффициент ложного отказа доступа — вероятность того, что система биоидентификации не признает подлинность отпечатка пальца зарегистрированного в ней пользователя. FNMR — вероятность того, что система ошибётся в определении совпадений между входным образцом и соответствующим шаблоном из базы данных. Система измеряет процент верных входных данных, которые были приняты неправильно. 3. Рабочая характеристика системы или относительная рабочая характеристика (ROC). График ROC — это визуализация компромисса между характеристиками FAR и FRR. В общем случае сравнивающий алгоритм принимает решение на основании порога, который определяет насколько близко должен быть входный образец к шаблону, чтобы считать это совпадением. Если порог был уменьшен, то будет меньше ложных несовпадений, но больше ложных приёмов. Соответственно, высокий порог уменьшит FAR, но увеличит FRR. Линейный график свидетельствует о различиях для высокой производительности (меньше ошибок — реже возникают ошибки). 4. Равный уровень ошибок (коэффициент EER) или коэффициент переходных ошибок (CER) — это коэффициенты, при которых обе ошибки (ошибка приёма и ошибка отклонения) эквивалентны. Значение EER может быть с лёгкостью получено из кривой ROC. EER — это быстрый способ сравнить точность приборов с различными кривыми ROC. В основном, устройства с низким EER наиболее точны. Чем меньше EER, тем более точной будет система. 5. Коэффициент отказа в регистрации (FTE или FER) — коэффициент, при котором попытки создать шаблон из входных данных безуспешны. Чаще всего это вызвано низким качеством входных данных. 6. Коэффициент ошибочного удержания (FTC) — в автоматизированных системах это вероятность того, что система не способна определить биометрические входные данные, когда они представлены корректно. 7. Ёмкость шаблона — максимальное количество наборов данных, которых могут храниться в системе. Так как чувствительность биометрических приборов увеличивается, то FAR уменьшается, а FRR увеличивается.
Задачи и проблемы
1.Конфиденциальность и разграничение.
Данные, полученные во время биометрической регистрации, могут использоваться с целями, на которые зарегистрированный индивид не давал согласия (не был осведомлён).
2.Опасность для владельцев защищённых данных. В случае, когда воры не могут получить доступ к охраняемой собственности, существует возможность выслеживания и покушения на носителя биометрических идентификаторов с целью получения доступа. Если что-либо защищено биометрическим устройством, владельцу может быть нанесен необратимый ущерб, который возможно будет стоить больше самой собственности. Например, в 2005, малазийские угонщики отрезали палец владельцу Мерседес-Бенц S-класса при попытке угнать его машину.
3.Биометрические данные с возможностью отмены. Преимуществом паролей над биометрией является возможность их смены. Если пароль был украден или потерян, его можно отменить и заменить новой версией. Это становится невозможным в случае с некоторыми вариантами биометрии. Если параметры чьего-либо лица были украдены из базы данных, то их невозможно отменить либо выдать новые. Биометрические данные с возможностью отмены являются тем самым путём, который должен включить в себя возможность отмены и замены биометрии. Первыми его предложили Ratha и др.
Было разработано несколько методов отменяемой биометрии. Первая система биометрии с возможностью отмены, основанная на отпечатках пальцев была спроектирована и создана Туляковым.[5]. Главным образом, отменяемая биометрия представляет собой искажение биометрического изображения или свойств до их согласования. Вариативность искаженных параметров несет в себе возможности отмены для данной схемы. Некоторые из предложенных техник работают, используя свои собственные механизмы распознавания, как работы Тео[6] и Саввида[7] , в то время как другие (Дабба[8]) используют преимущества продвижения хорошо представленных биометрический исследований для своих интерфейсов распознавания. Хотя увеличиваются ограничения системы защиты, всё же это делает модели с возможностью отмены более доступными для биометрических технологий.
Одним из частных вариантов решения может быть, например, использование не всех биометрических параметров. Например, для идентификации используется рисунок папиллярных линий только двух пальцев (к примеру, больших пальцев правой и левой руки). В случае необходимости (например, при ожоге подушечек двух «ключевых» пальцев) данные в системе могут быть откорректированы так, что с определённого момента допустимым сочетанием будет указательный палец левой руки и мизинец правой (данные которых до этого не были записаны в систему — и не могли быть скомпрометированы).
Международный обмен биометрическими данными
Многие страны, включая США, уже участвуют в обмене биометрическими данными. Данное заявление было сделано в 2009 в Комитете по Ассигнованиям, подкомитете по Национальной безопасности по «биометрической идентификации» Кэтлин Крэнингер и Робертом Мокни: «Чтобы быть уверенными в том, что мы можем пресечь деятельность террористических организаций до того, как они доберутся до США, мы должны занять ведущее место в продвижении международных стандартов по биометрии. Развивая совместимые системы, мы сможем безопасно передавать информацию о террористах между странами, поддерживая нашу защищенность. Также как мы улучшаем пути сотрудничества внутри Правительства США по выявлению и устранению террористов и иных опасных личностей, у нас еще есть обязательства перед нашими партнерами за границей совместно предотвращать любые действия террористов»; «Что же дальше? Нам нужно усиленно следовать за инновациями. Те, кто хотят причинить нам вред, продолжают искать наши слабости. Поэтому мы не можем позволить себе замедлить развитие»; «Мы понимаем, что при помощи биометрии и международного сотрудничества мы можем изменить и расширить возможности для путешествий а также защитить народы разных стран от тех, кто хочет причинить нам вред».
Согласно статье, написанной С. Магнусон в журнале "Национальная Безопасность (National Defense Magazine), Департамент национальной безопасности США под давлением вынуждает распространять биометрические данные [10]. В статье говорится: «Миллер (консультант Ведомства Национальной Безопасности и по делам безопасности в Америке) сообщает, что США имеет двусторонние договоренности по обмену биометрическими данными с 25 странами. Каждый раз, когда какой-либо иностранный лидер посещал Вашингтон за последние несколько лет, Государственный департамент обязательно заключал с ним подобный договор».
Статья 11 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г. регламентирует основные особенности использования биометрических данных:
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи;
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации в въезда в Российскую Федерацию.
Технологии биометрии были освещены в популярных кинофильмах. Только это уже вызвало интерес потребителей к биометрии, как к средству идентификации человека. В фильмах 2003 года: Люди-Х и Халк, использовались биометрические технологии распознавания: в виде доступа по отпечатку руки и в фильме Люди-Х2 и по отпечатку пальца в Халке. Но это не было так показательно, пока в 2004 году не вышел фильм Я, робот с Уиллом Смитом в главной роли. Футуристический фильм демонстрировал развитие новейших технологий, которые даже на сегодняшний день еще недостаточно развиты. Использование технологий распознавания голоса и ладони в фильме зафиксировалось в представлении будущего у людей и обе эти технологии, которые используются сегодня для охраны зданий или информации — лишь два из возможных применений биометрии.
2005 году вышел в прокат фильм Остров. Дважды за фильм клоны используют биометрические данные: чтобы проникнуть в дом и завести машину.
Фильм Гаттака рисует общество, в котором существует два класса людей: продукты генной инженерии, созданные для того, чтобы быть высшими (так называемые «Действительные») и низшие обычные люди («Инвалиды»). Люди, считавшиеся «Действительными» имели большие привилегии и доступ к запретным зонам был ограничен для таких людей и контролировался автоматическими биометрическими сканерами, похожими на сканеры отпечатков пальцев, но коловшие палец и получавшие пробу ДНК из взятой крови.
Ведущие телепрограммы Разрушители Мифов попытались проникнуть в защищенную дверь, оснащенную биометрической идентификацией, аналогичной той, что используется в ноутбуках. В то время как система защиты ноутбука оказалась более трудной для взлома, дверь с «живым» датчиком легко обдурили распечаткой отсканированного отпечатка пальца, просто облизнув картинку.
referat911.ru
Очень часто в процессе сбора первичной информации о бизнес-процессах обработки персональных данных между Заказчиком и компанией, разрабатывающей систему защиты персональных данных, возникает недопонимание в части того, какие виды информации обрабатываются в информационной системе. На вопрос: «Обрабатываете ли вы биометрические персональные данные?» часто можно услышать: «Нет… А вот скан-копия разворота 2 и 3 страницы паспорта работника/клиента Компании с фотографией является биометрическими персональными данными?»
Давайте детально разберем этот вопрос, чтобы Операторы персональных данных имели четкое представление, что же за категории (виды) персональных данных они обрабатывают.
В Федеральном законе №152 «О персональных данных» в статье 11 п.1 указано:
«Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных»
Из определения до конца не ясно, что же всё таки относить к биометрическим персональным данным. Одно дело дактилоскопические данные, с ними все ясно, это биометрические персональные данные, которые используются оператором (например, органами следствия) для установления личности субъекта. А вот как например быть с рентгеновскими и флюорографическими снимками? Или с той же фотографией в паспорте или на пропуске?
Для получения ответов на эти вопросы я рекомендую ознакомиться с официальным разъяснением по биометрическим персональным данным от Роскомнадзора от 30 августа 2013 года.
Кратко разберем основные положения данного разъяснения.
1. Цветное цифровое фотографическое изображение лица владельца заграничного паспорта, содержащееся на электронном носителем информации данного документа, является биометрическими персональными данными владельца документа.
2. Фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый системе контроля и управления доступом (далее — СКУД) пропуск. На основе фотографического изображения можно установить личность субъекта, предъявляющего пропуск, путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД.
3. Если Оператор в своей информационной системе обрабатывает скан-копии разворота 2 и 3 страницы паспорта с целью подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных. Иными словами, если нам нужна скан-копия паспорта клиента для заключения, например, договора на оказание туристических услуг, то это не считается обработкой биометрических персональных данных, так как мы не используем фотографию в паспорте для идентификации субъекта, а используем скан-копию разворота 2 и 3 страницы паспорта с целью подтверждения покупки туристической путевки конкретным лицом.
4. Также не является биометрическими персональными данными фотографическое изображение, содержащиеся в личном деле работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы. Все они не могут рассматриваться как биометрические персональные данные, поскольку действия с использованием указанных данных направлены на подтверждение их принадлежности конкретному физическому лицу, чья личность уже определена и чьи персональные данные уже имеются в распоряжении оператора.
5. Не являются биометрическим персональными данными рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента. Но в случае их передачи по запросу субъектов оперативно-розыскной деятельности, органов следствия и дознания в рамках проводимых ими мероприятий указанные сведения становятся биометрическими персональными данными, поскольку используются операторами — органами следствия и дознания в целях установления личности конкретного лица.
6. Аналогичная позиция и с материалами видеосъемки в публичных местах и на охраняемой территории. До передачи их для установления личности снятого человека они не являются биометрическим персональными данными.
Получается что одни и те же фотографии, видеозаписи, рентгеновские или флюорографические снимки одновременно могут быть как биометрическими персональными данными, так и нет.
Всё зависит от целей их обработки.
Possibly Related Posts:
Выпускник МГТУ им. Н.Э.Баумана по специальности "Защита информации". Ведущий специалист группы аудита и консалтинга информационной безопасности.
s3r.ru
Кафедра информационного права
Реферат по теме
"Основные положения Федерального закона "О персональных данных""
Екатеринбург
2010
Содержание
1. ВВЕДЕНИЕ
2. Определение персональных данных
3. Принципы и условия обработки персональных данных
4. Категории персональных данных
5. Права субъекта персональных данных
6. Контроль и надзор за обработкой персональных данных
7. Заключение
Список используемой литературы
1. ВВЕДЕНИЕ
В настоящее время проблема защиты персональных данных является одной из наиболее актуальных для нашей страны. Это связано с тем, что 26 января 2007 года вступил в силу Федеральный закон "О персональных данных". В этом законе сформулированы требования по защите персональных данных. Важно отметить, что требования данного закона являются обязательными и для коммерческих, и для государственных организаций. При этом, согласно статье 25, информационные системы должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.
Кроме того, стоит отметить, что Федеральный закон "О персональных данных" не является единственным нормативно-правовым актом, регламентирующим положение о персональных данных. Существует ряд документов, к которым относятся: Постановление правительства РФ от 17 ноября 2007 года №781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и нормативные и методические документы ФСТЭК и ФСБ России. Согласно этим документам, обеспечение безопасности персональных данных является неотъемлемой и обязательной частью работ по созданию и поддержке информационных систем.
В рамках этого реферата будут рассмотрены основные положения именно закона "О персональных данных".
2. Определение персональных данных
Согласно статье 3 Федерального закона, определение персональных данных звучит следующим образом:
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
В настоящее время практически в каждой организации в информационных системах хранятся и обрабатываются различные данные о сотрудниках, клиентах, партнерах и т.п., такие как, например, фамилия, имя, отчество, дата и место рождения, адрес, семейное, имущественное и социальное положение, сведения об образовании, профессии, информация о доходах и другие персональные данные.
Кроме того, рядовые граждане зачастую сами не заботятся о сохранении своих персональных данных. В наш век широкого использования интернета и различных коммуникационных сетей, для получения определенной информации необходимо предоставление своих данных. Мы регистрируемся на различных сайтах, оставляем свои данные в магазинах, совершая покупки. Например, при получении кредита, мы вынуждены предоставить не только базовые данные об имени, фамилии и месте работы, но и также данные членов семьи и других лиц. Также наши данные записываются в больницах, школах, ВУЗах. Это только небольшой перечень мест, где эти данные необходимы.
Возникает вопрос: какое же количество людей имеет доступ к персональным данным других лиц? Это могут быть не только сотрудники учреждений, в которых хранятся данные. Нашими данными может завладеть практически любой человек и в дальнейшем использовать их с неблаговидной целью. Таких примеров масса. Необходимость закона, регламентирующего защиту данных, очевидна. Персональные данные каждого лица должны быть защищены.
3. Принципы и условия обработки персональных данных
Принципы обработки персональных данных изложены в ст. 5 гл. 2 Федерального закона "О персональных данных". Эти принципы таковы:
· Должна соблюдаться законность и добросовестность целей и способов обработки персональных данных.
· Должно быть соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора
· Необходимо соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.
· Должна соблюдаться достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных.
· Недопустимо объединение созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Персональные данные должны храниться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Условия обработки персональных данных содержаться в ст. 6 гл. 2 Федерального закона "О персональных данных". Этими условиями являются:
· Осуществление обработки персональных данных оператором только с согласия субъектов персональных данных
· Осуществление в тех случаях, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
· Осуществление обработки специальных категорий персональных данных, а также биометрических персональных данных в особом порядке.
Существует также ряд исключений, в котором согласие субъекта персональных данных на их обработку не требуется. Это происходит, когда:
· Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.
· Обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных
· Обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных
· Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно
· Обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи
· Обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при всём этом не нарушаются права и свободы субъекта персональных данных
· осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
4. Категории персональных данных
В Федеральном законе "О персональных данных" статьей 9 вводится понятие "особые категории персональных данных". Для них традиционно существуют особые условия и ограничения сбора, обработки и передачи. Отдельного одобрения заслуживает жесткое, но полностью отвечающее задаче защиты персональных данных условие (п.4 ст.9 о прекращении обработки особых категорий персональных данных и об уничтожении этих данных), если субъект данных не дал согласия на их хранение в информационной системе оператора.
Остановимся поподробнее на специальных категориях персональных данных. Обработка специальных категорий персональных данных, которая касается расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается ,но существует ряд исключений, если, субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; если персональные данные субъекта являются общедоступными; персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно; если обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну; обработка персональных данных членов общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; если обработка персональных данных необходима в связи с осуществлением правосудия и; если обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Теперь остановимся на другой категории данных - биометрических персональных данных. Федеральным законом "О персональных данных" представлено следующее определение:
Биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность
Обработка таких данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Использование биометрических технологий в последние годы стало очень популярным. Увеличившийся в последнее время интерес к данной тематике в мире принято связывать с угрозами активизировавшегося международного терроризма. Многие государства вводят в обращение паспорта с биометрическими данными. Биометрические технологии основаны на биометрии, измерении уникальных характеристик отдельно взятого человека. Это могут быть как уникальные признаки, полученные им с рождения, например: ДНК, отпечатки пальцев, радужная оболочка глаза; так и характеристики, приобретённые со временем или же способные меняться с возрастом или внешним воздействием. Например: почерк, голос или походка.
5. Права субъекта персональных данных
Субъектом персональных данных может являться только физическое лицо. Одним из важнейших прав субъекта является право субъекта персональных данных на доступ к своим персональным данным.
Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
· подтверждение факта обработки персональных данных оператором, а также цель такой обработки
· способы обработки персональных данных, применяемые оператором
· сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ
· перечень обрабатываемых персональных данных и источник их получения
· сроки обработки персональных данных, в том числе сроки их хранения
· сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных
В некоторых случаях, право субъекта на доступ к своим персональным данным ограничивается. Оно ограничивается в случае, если обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными. Также, право субъекта на доступ ограничивается, если обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка и если предоставление персональных данных нарушает конституционные права и свободы других лиц.
Особо отметим права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных.
Следующим рассмотрим право субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
Оператор обязан рассмотреть возражение в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Существует также право на обжалование действий или бездействия оператора. Руководствуясь этим правом , если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. И, если субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Также закон регламентирует и обязанности оператора, которые неразделимо связаны с правами субъекта персональных данных. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
· наименование (фамилия, имя, отчество) и адрес оператора или его представителя
· цель обработки персональных данных и ее правовое основание
· предполагаемые пользователи персональных данных
· установленные настоящим Федеральным законом права субъекта персональных данных.
6. Контроль и надзор за обработкой персональных данных
Прежде чем говорить о самом контроле и надзоре, следует определить орган, который уполномочен защищать права субъектов персональных данных. Таким органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. Об Уполномоченном органе по защите прав субъектов персональных данных подробно говорится в статье 21 законопроекта, а в некоторых других статьях законопроекта есть на него ссылки.
Как уже было сказано, во многих странах мира существуют уполномоченные по защите персональных данных и частной жизни или соответствующие комиссии/комитеты. Их главная задача - контроль над исполнением законодательства в этой области. Статус, структура и компетенция уполномоченных органов определяются в тех же законах о персональных данных и частной жизни.
Уполномоченный орган рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. Уполномоченный орган имеет ряд прав, которые я излагаю далее:
· запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию
· осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий
· требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных
· принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона "О персональных данных"
· обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде
· направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных
· направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью
· вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных
· привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона
Базовым свойством, определяющим статус Уполномоченного органа, является его независимость. Это свойство вытекает из самого смысла деятельности Уполномоченного органа, призванного способствовать устранению и предупреждению нарушений законодательства о частной жизни, допускаемых, в том числе, и государственными структурами. Есть естественные и понятные различия в подходах к защите прав человека органа, созданного и функционирующего в рамках исполнительной власти, и независимой структуры, например, такой как Уполномоченный по правам человека.
Уполномоченному органу также должна обеспечиваться конфиденциальность.
Наряду с правами, Уполномоченный орган, конечно, имеет обязанности:
· организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
· рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
· вести реестр операторов;
· осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
· принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
· информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
· выполнять иные предусмотренные законодательством Российской Федерации обязанности
Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
7. Заключение
В заключении хочу сказать, что закон о котором шла речь в моем реферате еще только набирает свою силу, многие положения в нем не до конца раскрыты, мы только учимся жить по этим нормам, новым для нашего общества. Конечно же, он будет дорабатываться, изменяться, улучшаться для оптимальной защиты интересов субъекта персональных данных. Нельзя забывать, что лица, виновные в нарушении требований Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Список используемой литературы
1. Комментарий к проекту ФЗ №217352-4 "О персональных данных"
2. Сердюк В. "Защита персональных данных в кредитно-финансовых организациях в соответствии с требованиями Федерального закона "О персональных данных", "Банковские технологии", 06.2009.
3. Сердюк В. "Информационная безопасность автоматизированных систем предприятий", "Бухгалтер и компьютер", №1, 2007.
4. ФЗ РФ от 27.06.06 №152-ФЗ "О персональных данных".
referatwork.ru
Сразу бросается в глаза то, что Роскомнадзор не решился оформить свои разъяснения более официально (например, в виде письма) – и, возможно, поступил мудро. Во всяком случае, на данный документ невозможно даже сослаться - у него нет официальных реквизитов.
Как отмечается в самом документе, «Разъяснения подготовлены по результатам совместного обсуждения с представителями экспертного сообщества: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В.». Я очень положительно отношусь к тому, что Роскомнадзор начал вести диалог с экспертами по сложным вопросам защиты персональных данных. Правда, как показало дальнейшее чтение, следовало бы не ограничиваться специалистами в области информационной безопасности и привлечь к обсуждению более широкий круг специалистов. В частности, неразумно, с моей точки зрения, готовить подобные документы без участия юристов.
Из документа видно, что Роскомнадзор увидел те подводные камни, которые связаны со статьёй 11 Закона от 27.07.2006 N 152-ФЗ «О персональных данных», регламентирующей особенности обработки биометрических данных:
Статья 11. Биометрические персональные данные1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Предыстория вопроса следующая. Отечественный закон «О персональных данных» был «срисован» с Директивы 95/46/EC Европейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных (Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data).В европейской директиве биометрические данные специально не упоминаются. Соответственно, она и не требует защищать биометрические данные как-то иначе по сравнению с «просто» персональными данными. В Великобритании данный подход был предметов споров, и именно такая трактовка была подтверждена судебными решениями.
Сейчас Евросоюз не торопясь продумывает вопрос о том, нужно ли дополнительно усиливать защиту биометрических данных, и если да, то как и в каких случаях. У нас же решили проявить самостоятельность, и добавили процитированную выше статью, не задумываясь о возможных последствиях. К тому же я практически уверена, что наши законодатели в тот момент понимали термин «биометрические данные» очень узко – как данные об отпечатках пальцев и о радужной оболочке глаза.
Напомню, что закон «О персональных данных» года 3-4 практически не применялся, если не считать отдельных формальных «телодвижений». Однако теперь к нему уже относятся намного серьёзнее, сами граждане и организации активно пишут жалобы на основании положений этого закона, и вот тут то и всплыл ряд проблем. Суды в ряде решений признали что, например, фотографии относятся к биометрических данным.
Для справки: Выдержки из судебных решенийРешение Арбитражного суда Республики Бурятия от 28 марта 2012 года по делу № А10-125/2012 (см. http://ras.arbitr.ru/PdfDocument/f6e1867d-87b9-4c0e-9bdd-1919d82d85c7/%D0%9010-125-2012__20120328.pdf )
Статья 11 Федерального закона № 152-ФЗ от 27.07.2006 указывает, что биометрические персональные данные - это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Закон относит к биометрическим данным и фотографии субъектов персональных данных и устанавливает, что биометрические персональные данные могут обрабатываться только при наличии согласия субъекта персональных данных. Причем такое согласие должно быть обязательно оформлено в письменной форме.
Решение Арбитражного суда Ставропольского края от 27 сентября 2010 года по делу № А63-6608/2010 (см. http://ras.arbitr.ru/PdfDocument/589e137d-f82f-4e1c-b3f0-ab7f2c3ec7cb/%D0%9063-6608-2010__20100922.pdf )
Исходя из положений части 1 статьи 11 Федерального Закона «О персональных данных», сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
В итоге выяснилось, что для обработки фотографий (в том числе в составе ксерокопий паспортов) следует получать у граждан письменное согласие (а в применяемой ныне трактовке это означает – «в виде бумажного документа»). До сих пор сам Роскомнадзор именно так трактовал это понятие, см. например, судебные дела http://rusrim.blogspot.ru/2012/12/blog-post_29.html , http://rusrim.blogspot.ru/2012/12/blog-post_8.html .Немаловажно и то, что примерно так же (и даже более широко) понимается термин «биометрические данные» в Европе. В январе 2012 года были опубликованы предложения по реформированию законодательно-нормативной базы Евросоюза в отношении персональных данных (COM(2012) 11 final "Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)", 25.01.2012, http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf ). К ним стоит присмотреться, поскольку, в случае их принятия, с большой вероятностью в течение 2-3 лет аналогичные изменения будут внесены и в российское законодательство. В этом документе в ст.4 дано, в частности, и определение понятия «биометрические данные»:
(11) «биометрические данные» - любые данные, относящиеся к физическим, физиологическим или поведенческим особенностям человека (такие, как изображения лица или дактилоскопическая информация), которые позволяют их [характеристики] однозначно идентифицировать;На языке оригинала:
(11) 'biometric data' means any data relating to the physical, physiological or behavioural characteristics of an individual which allow their unique identification, such as facial images, or dactyloscopic data;
Ещё один вариант определения предлагает рабочая группа, готовящая предложения по совершенствованию европейского законодательства в области защиты персональных данных: Мнение 00720/12/EN (WP193) «Рабочей группы по вопросам защиты персональных, сформированной на основании статьи 29» относительно развития биометрических технологий, март 2012 года (Opinion 3/2012 on developments in biometric technologies, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp193_en.pdf ).Биометрические данные: Как уже отмечалось Рабочей группой во Мнении WP136 (апрель 2007 года), это понятие можно определить следующим образом:
«Биологические свойства, особенности поведения, психологические характеристики, особенности образа жизни или повторяющиеся действия, в тех случаях, когда эти характеристики и/или действия являются одновременно уникальными и измеримыми, даже если на практике при их техническом измерении в какой-то степени имеет место неопределенность.»
На языке оригинала:
“biological properties, behavioural aspects, physiological characteristics, living traits or repeatable actions where those features and/or actions are both unique to that individual and measurable, even if the patterns used in practice to technically measure them involve a certain degree of probability.”
Теперь перейдём к рекомендациям Роскомнадзра и группы четырёх экспертов. Вся предложенная ими логическая конструкция строится, на мой взгляд, на насилии над здравым смыслом и русским языком. Авторы по-своему трактуют закон «О персональных данных», втаскивая в определение биометрических персональных данных того, чего там нет: «В соответствии с ч. 1 ст. 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.» Этот нехитрый трюк позволяет им далее утверждать, что если биометрические данные не используются для идентификации (например, оператор оказался достаточно ловок и не дал поймать себя проверяющим Роскомнадзора), то совсем они не биометрические, и никаких специальных мер защиты, в том числе предусмотренных Постановлением Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» в отношение их хранения, принимать не нужно! Сразу наступает полное счастье :)На память сразу приходит наша российская литературная классика, а именно, «Недоросль» Фонвизина:
Стародум (к Правдину) Любопытен бы я был послушать, чему немец-то его выучил.Г-жа Простакова. Всем наукам, батюшка.
Простаков. Всему, мой отец. Митрофан. Всему, чему изволишь.
Правдин (Митрофану). Чему ж бы, например?
Митрофан (подает ему книгу). Вот, грамматике.
Правдин (взяв книгу). Вижу. Это грамматика. Что ж вы в ней знаете?
Митрофан. Много. Существительна да прилагательна...
Правдин. Дверь, например, какое имя: существительное или прилагательное?
Митрофан. Дверь? Котора дверь?
Правдин. Котора дверь! Вот эта.
Митрофан. Эта? Прилагательна.
Правдин. Почему ж?
Митрофан. Потому что она приложена к своему месту. Вон у чулана шеста неделя дверь стоит еще не навешена: так та покамест существительна.
Стародум. Так поэтому у тебя слово дурак прилагательное, потому что оно прилагается к глупому человеку?
Митрофан. И ведомо.
Мы все знаем, в какой стране живём. Подобное нечеткое определение, когда «красота в глазах смотрящего», обязательно приведёт к уходу от ответственности операторов с одной стороны, и к произволу контролирующих органов – с другой.Кстати, напомню, что нечто подобное одно время пытались делать и с понятием «персональные данные», утверждая, например, что «сами по себе ФИО – не персональные данные» или «общедоступные персональные данные – не персональные данные» и т.д. Умышленно или неумышленно люди смешивали понятие «персональных данных» и понятие «персональных данных, защищаемых по ФЗ-152»… В итоге ничего из этого не вышло – элементарная логика восторжествовала.
Правовые проблемы нужно все-таки решать не при помощи словесной эквилибристики, а хоть и более трудным, но правильным путем – через законодательные инициативы и прецедентные решения высших судов. Если нет смысла дополнительно защищать биометрические данные по сравнению с «просто» персональными данными – ставьте вопрос об отмене статьи 11. Если такая защита нужна, попробуйте четко сформулировать соответствующие положения закона, а не предлагать советы в духе «здесь играть, здесь не играть, а здесь мы рыбу заворачивали».
Впрочем, опубликованный документ абсолютно никакой правовой силы не имеет. Это не более чем высказывание определенной позиции вслух. Жизнь покажет, захочет ли судебная власть прислушаться к высказанным авторами документа аргументам, или нет.
Источник: сайт Роскомнадзораhttp://www.rsoc.ru/news/rsoc/news21529.htm
rusrim.blogspot.ru
