Разглашение персональных данных через сми. ​СМИ vs Роскомнадзор. Как сделать журналистский материал и не нарушить закон о персональных данных? ​​​Относятся ли сведения из соцсетей к общедоступной информации

Защита персональных данных и СМИ.

Обязательные требования Федерального закона «О персональных данных».

Свободный доступ граждан к информации ограничивается правом каждого отдельного человека на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

Охрана личной жизни поддерживается всеми правовыми документами: нормами международного права , Конституцией РФ, уголовным, гражданским, специализированным законодательством.

Права и свободы – оговорены в Конституции, во всем массиве российского законодательства и в том числе в законе о персональных данных.

Принятие Федерального Закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» направлено на реализацию конституционных положений, закрепляющих право каждого на неприкосновенность частной жизни и свободу информации.

В законе используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

5) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Основными задачами Роскомнадзора, как уполномоченного органа по защите прав субъектов персональных данных, являются в том числе:

Обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных;

Ведение реестра операторов, осуществляющих обработку персональных данных, а также проверка сведений, содержащихся в уведомлении об обработке персональных данных;

Рассмотрение обращений субъектов персональных данных, а также принятие в пределах своих полномочий решений по результатам их рассмотрения.

В соответствии с ч. 1 ст. 22 Федерального закона оператор до начала обработки персональных данных обязан уведомить Уполномоченный орган о своем намерении осуществлять обработку персональных данных. Операторы, осуществляющие обработку персональных данных, обязаны направить в Уполномоченный орган уведомление об обработке персональных данных.

«Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе…» А почему человек захочет давать информацию СМИ о себе, какой ему в этом интерес? Это просто. Публичным людям это дает популярность, общественный авторитет , повышает рейтинг. Политики, бизнесмены готовы платить за материалы о себе - и не только во время предвыборных кампаний. Имидж - это одно из слагаемых успеха и бизнеса, и политики.

Но в журналистском арсенале есть не только и не столько положительные материалы, но и критика, расследования, разоблачения. Журналисты расследуют служебную деятельность и решения чиновников, критикуют органы власти, финансово-промышленные группы, разоблачают коррупцию. Здесь всегда встает вопрос, на что готовы пойти конкретные СМИ при публикации подобных материалов, какую цену они готовы заплатить за отстаивание интересов общества и конкретных людей. Если они уверены в своей правоте, то готовы судиться и с конкретными людьми, и с целыми структурами.

Что может изменить в этой ситуации закон о персональных данных? Понятно, что герой коррупционного скандала не даст согласие на публикацию своей фамилии «своей волей и в своем интересе». К своим искам о защите чести и достоинства, о клевете или о защите деловой репутации он прибавит иск о нарушении прав субъекта персональных данных. Это только еще один возможный риск при «осуществлении профессиональной деятельности журналиста».

Закон не содержит прямых ограничений для журналистов, но в правоприменительной практике, возможны ситуации, когда некоторые ограничения могут возникнуть. Будем надеяться, что правоприменительная практика все же будет развиваться в благоприятном для прессы направлении.

Таким образом, закон и этические нормы профессии журналиста за то, чтобы не публиковать сведения, касающиеся частной сферы. Как сказал один известный политик, «человек должен иметь свое личное пространство, куда можно войти только по приглашению».

Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре.
Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Сразу оговорюсь, что случаи госконтор (ГИС), имеющих дело с гостайной, КИИ и пр. останутся за рамками этой статьи.

Миф 1. Я поставил антивирус, межсетевой экран, огородил стойки забором. Я же соблюдаю закон?

152-ФЗ – не про защиту систем и серверов, а про защиту персональных данных субъектов. Поэтому соблюдение 152-ФЗ начинается не с антивируса, а с большого количества бумажек и организационных моментов.
Главный проверяющий, Роскомнадзор, будет смотреть не на наличие и состояние технических средств защиты, а на правовые основания для обработки персональных данных (ПДн):

• с какой целью вы собираете персональные данные;
• не собираете ли вы их больше, чем нужно для ваших целей;
• сколько храните персональные данные;
• есть ли политика обработки персональных данных;
• собираете ли согласие на обработку ПДн, на трансграничную передачу, на обработку третьими лицами и пр.

Ответы на эти вопросы, а также сами процессы должны быть зафиксированы в соответствующих документах. Вот далеко не полный список того, что нужно подготовить оператору персональных данных:

• Типовая форма согласия на обработку персональных данных (это те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные).
• Политика оператора в отношении обработки ПДн ( есть рекомендации по оформлению).
• Приказ о назначении ответственного за организацию обработки ПДн.
• Должностная инструкция ответственного за организацию обработки ПДн.
• Правила внутреннего контроля и (или) аудита соответствия обработки ПДн требованиям закона.
• Перечень информационных систем персональных данных (ИСПДн).
• Регламент предоставления доступа субъекта к его ПДн.
• Регламент расследования инцидентов.
• Приказ о допуске работников к обработке ПДн.
• Регламент взаимодействия с регуляторами.
• Уведомление РКН и пр.
• Форма поручения обработки ПДн.
• Модель угроз ИСПДн.

После решения этих вопросов можно приступать к подбору конкретных мер и технических средств. Какие именно понадобятся вам, зависит от систем, условий их работы и актуальных угроз. Но об этом чуть позже.

Реальность: соблюдение закона – это налаживание и соблюдение определенных процессов, в первую очередь, и только во вторую – использование специальных технических средств.

Миф 2. Я храню персональные данные в облаке, дата-центре, соответствующем требованиям 152-ФЗ. Теперь они отвечают за соблюдение закона

Когда вы отдаете на аутсорсинг хранение персональных данных облачному провайдеру или в дата-центр, то вы не перестаете быть оператором персональных данных.
Призовем на помощь определение из закона:

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Источник: статья 3, 152-ФЗ

Из всех этих действий сервис-провайдер отвечает за хранение и уничтожение персональных данных (когда клиент расторгает с ним договор). Все остальное обеспечивает оператор персональных данных. Это значит, что оператор, а не сервис-провайдер, определяет политику обработки персональных данных, получает от своих клиентов подписанные согласия на обработку персональных данных, предотвращает и расследует случаи утечки персональных данных на сторону и так далее.

Следовательно, оператор персональных данных по-прежнему должен собрать документы, которые были перечислены выше, и выполнить организационные и технические меры для защиты своих ИСПДн.

Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако. Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ.

Некоторые провайдеры помогают с оформлением документов и обеспечением технических средств защиты для самих ИСПДн, т. е. уровня выше инфраструктуры. Оператор тоже может отдать эти задачи на аутсорсинг, но сама ответственность и обязательства по закону никуда не исчезают.

Реальность: обращаясь к услугам провайдера или дата-центра, вы не можете передать ему обязанности оператора персональных данных и избавиться от ответственности. Если провайдер вам это обещает, то он, мягко говоря, лукавит.

Миф 3. Необходимый пакет документов и мер у меня есть. Персональные данные храню у провайдера, который обещает соответствие 152-ФЗ. Все в ажуре?

Да, если вы не забыли подписать поручение. По закону оператор может поручить обработку персональных данных другому лицу, например, тому же сервис-провайдеру. Поручение – это своего рода договор, где перечисляется, что сервис-провайдер может делать с персональными данными оператора.

Тут же закрепляется обязанность провайдера соблюдать конфиденциальность персональных данных и обеспечивать их безопасность в соответствии с указанными требованиями:

За это провайдер несет ответственность перед оператором, а не перед субъектом персональных данных:

В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
Источник: 152-ФЗ .

В поручении также важно прописать обязанность обеспечения защиты персональных данных:

Реальность: если отдаете персональные данные провайдеру, то подписывайте поручение. В поручении указывайте требование по обеспечению защиты ПДн субъектов. Иначе вы не соблюдаете закон в части передачи работ обработки персональных данных третьим лицом и провайдер в части соблюдения 152-ФЗ вам ничего не обязан.

Миф 4. За мной шпионит Моссад, или У меня непременно УЗ-1

Некоторые заказчики настойчиво доказывают, что у них ИСПДн уровня защищенности 1 или 2. Чаще всего это не так. Вспомним матчасть, чтобы разобраться, почему так получается.
УЗ, или уровень защищенности, определяет, от чего вы будете защищать персональные данные.
На уровень защищенности влияют следующие моменты:

• тип персональных данных (специальные, биометрические, общедоступные и иные);
• кому принадлежат персональные данные – сотрудникам или несотрудникам оператора персданных;
• количество субъектов персональных данных – более или менее 100 тыс.
• типы актуальных угроз.

Про типы угроз нам рассказывает Постановление Правительства РФ от 1 ноября 2012 г. № 1119 . Вот описание каждого с моим вольным переводом на человеческий язык.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Если вы признаете этот тип угроз актуальным, значит вы свято верите в то, что агенты ЦРУ, МИ-6 или МОССАД разместили в операционной системе закладку, чтобы воровать персональные данные конкретных субъектов именно из ваших ИСПДн.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Если считаете, что угрозы второго типа – это ваш случай, то вы спите и видите, как те же агенты ЦРУ, МИ-6, МОССАД, злобный хакер-одиночка или группировка разместили закладки в каком-нибудь пакете программ для офиса, чтобы охотиться именно за вашими персональными данными. Да, есть сомнительное прикладное ПО типа μTorrent, но можно сделать список разрешенного софта к установке и подписать с пользователями соглашение, не давать пользователям права локальных администраторов и пр.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Вам не подходят угрозы 1 и 2 типов, значит, вам сюда.

С типами угроз разобрались, теперь смотрим, какой же уровень защищенности будет у нашей ИСПДн.

Таблица на основе соответствий, прописанных в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119 .

Если мы выбрали третий тип актуальных угроз, то в большинстве случаев у нас будет УЗ-3. Единственное исключение, когда угрозы 1 и 2 типа не актуальны, но уровень защищенности все равно будет высоким (УЗ-2), – это компании, которые обрабатывают специальные персональные данные несотрудников в объеме более 100 000. Например, компании, занимающиеся медицинской диагностикой и оказанием медицинских услуг.

Есть еще УЗ-4, и он встречается в основном у компаний, чей бизнес не связан с обработкой персональных данных несотрудников, т. е. клиентов или подрядчиков, либо базы персональных данных малы.

Почему так важно не переборщить с уровнем защищенности? Все просто: от этого будет зависеть набор мер и средств защиты для обеспечения этого самого уровня защищенности. Чем выше УЗ, тем больше всего надо будет сделать в организационном и техническом плане (читай: тем больше денег и нервов нужно будет потратить).

Вот, например, как меняется набор мер обеспечения безопасности в соответствии с тем же ПП-1119.

Теперь смотрим, как, в зависимости от выбранного уровня защищенности, меняется список необходимых мер в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013 г. К этому документу есть длиннющее приложение, где определяются необходимые меры. Всего их 109, для каждого УЗ определены и отмечены знаком "+" обязательные меры – они как раз и рассчитаны в таблице ниже. Если оставить только те, которые нужны для УЗ-3, то получится 41.

Реальность: если вы не собираете анализы или биометрию клиентов, вы не параноик боитесь закладок в системном и прикладном ПО, то, скорее всего, у вас УЗ-3. Для него предусмотрен вменяемый список организационных и технических мер, которые реально выполнить.

Миф 5. Все средства защиты (СЗИ) персональных данных должны быть сертифицированы ФСТЭК России

Если вы хотите или обязаны провести аттестацию, то скорее всего вам придется использовать сертифицированные средства защиты. Аттестацию будет проводить лицензиат ФСТЭК России, который:

• заинтересован продать побольше сертифицированных СЗИ;
• будет бояться отзыва лицензии регулятором, если что-то пойдет не так.

Если аттестация вам не нужна и вы готовы подтвердить выполнение требований иным способом, названным в Приказе ФСТЭК России № 21 «Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных», то сертифицированные СЗИ для вас не обязательны. Постараюсь кратко привести обоснование.

Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.
При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:

Пункт 12 Приказа № 21 ФСТЭК России .

Реальность: закон не требует обязательного использования сертифицированных средств защиты.

Миф 6. Мне нужна криптозащита

Тут несколько нюансов:

1. Многие считают, что криптография обязательна для любых ИСПДн. На самом деле использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.
2. Если без криптографии никак, то нужно использовать СКЗИ, сертифицированные ФСБ.
3. Например, вы решили разместить ИСПДн в облаке сервис-провайдера, но не доверяете ему. Свои опасения вы описываете в модели угроз и нарушителя. У вас ПДн, поэтому вы решили, что криптография – единственный способ защиты: будете шифровать виртуальные машины, строить защищенные каналы посредством криптозащиты. В этом случае придется применять СКЗИ, сертифицированные ФСБ России.
4. Сертифицированные СКЗИ подбираются в соответствии с определенным уровнем защищенности согласно Приказу № 378 ФСБ .

Для ИСПДн с УЗ-3 можно использовать КС1, КС2, КС3. КС1 – это, например, C-Терра Виртуальный шлюз 4.2 для защиты каналов.

KC2, КС3 представлены только программно-аппаратными комплексами, такими как: ViPNet Coordinator, АПКШ «Континент», С-Терра Шлюз и т. д.

Если у вас УЗ-2 или 1, то вам нужны будут средства криптозащиты класса КВ1, 2 и КА. Это специфические программно-аппаратные комплексы, их сложно эксплуатировать, а характеристики производительности скромные.

Реальность: закон не обязывает использовать СКЗИ, сертифицированные ФСБ.

Ольга Ермакова, старший юрисконсульт и комплаенс специалист Linxdatacenter

Прошло почти пять лет с момента принятия поправок в федеральный закон № 152-ФЗ «О персональных данных», повлекших обязанность операторов ПДн обеспечивать обработку личной информации российских граждан на территории Российской Федерации*. Политическая подоплека этой инициативы и жаркие споры вокруг нее давно забылись, осталось главное: исполнение требований закона.

Как один из крупнейших операторов коммерческих дата-центров в России, мы работаем с десятками клиентов, и видим, что далеко не всегда бизнес понимает, что именно необходимо предпринять для исполнения требований Федерального Закона № 152.

Самый распространенный сценарий, который запрашивают клиенты - осуществить перенос данных в облако на территории РФ. Экономическая выгода от использования виртуальных мощностей ЦОД вместо покупки и обслуживания собственных серверов - очевидный факт, но это не все, что требуется от компаний.

Не только перенос данных

Чаще всего компанию Linxdatacenter спрашивают: «Расположен ли ваш ЦОД на территории РФ?». Самые продвинутые заказчики интересуются, есть ли у хостинг-провайдера лицензия ФСТЭК на техническую защиту конфиденциальной информации («ТЗКИ»), зачастую не понимая при этом, зачем может потребоваться такая лицензия и какие дополнительные гарантии клиентам может предоставить ЦОД, обладающий этой лицензией.

Кроме требований 152-ФЗ к хранению данных в России существует множество других требований, стандартов и регламентов, относящихся к техническим и процедурным моментам управления ресурсами дата-центров. Говоря о персональных данных, важно понимать, что один лишь факт наличия лицензий, аттестатов и сертификатов не приближает клиента к обеспечению комплаенса по 152-ФЗ.

Только честно: зачем это нужно

В 2017 году статья 13.11 КоАП, устанавливающая ответственность за нарушение законодательства РФ в области персональных данных, претерпела существенные изменения: были конкретизированы составы нарушения (вместо одного состава появилось семь), существенно увеличены штрафы за нарушение требований работы с персональными данными. Вместе с тем, при действующем подходе регулятора компания штрафуется однократно за совокупность аналогичных нарушений, а не за каждое отдельное нарушение (например, если в компании неправильная форма согласия на обработку ПДн, которую заполнили 100 субъектов ПДн, компания будет оштрафована однократно, а не в стократном размере). Очевидно, что в масштабе бизнеса крупных компаний (а с большими объемами персональных данных работают именно такие - банки, страховщики, ритейлеры, агрегаторы по продаже билетов) эти штрафы не представляют серьезную проблему. Вопрос, скорее, в репутационных издержках, которые в случае возникновения утечек намного выше.

По мере развития цифровой экономики риски в области информационной безопасности только растут. По данным Infowatch , объем скомпрометированных данных по всему миру в 2017 году вырос в несколько раз.

Специалисты по безопасности фиксируют все больше случаев, когда данные утекают из облака на стороне самой компании: технические сотрудники забывают закрыть свободный доступ к хранилищам, компрометируют их из-за неверных настроек при организации совместной работы. Например, также в 2017 году была зафиксирована утечка персональных данных около 14 млн клиентов с облачного репозитория оператора Verizon из-за неверных действий команды администраторов.

Поделить ответственность

Кто несет ответственность за соблюдение требований и за возможные утечки? Аутсорсинг, при котором персональные данные обрабатываются сторонней компанией, разрешен законом (п. 3 ст. 6 152-ФЗ). Сервис-провайдер, принимая на себя обязанности по обработке данных, разделяет и юридическую ответственность бизнеса клиента.

Бизнесу порой кажется, что распределение ответственности с сервис-провайдером за обработку персональных данных - самая масштабная задача. Вместе с тем, клиенты упускают важный момент в вопросе комплаенса по 152-ФЗ. Перемещение одной (двух, трех) информационных систем в защищенную инфраструктуру ЦОД само по себе не обеспечивает соблюдения клиентом законодательства о персональных данных.

Выбор надежного партнера по обработке и хранению персональных данных - важнейший шаг.

Наибольшую значимость при выборе имеет экспертиза компании в работе с конфиденциальными сведениями. Вместе с тем, это лишь один из аспектов соблюдения требований: для обеспечения безопасности и конфиденциальности персональных данных, на которое и рассчитан 152-ФЗ, оператор данных должен предпринимать организационные, технические и правовые меры.

Без проведения комплексного аудита на соответствие требованиям 152-ФЗ не обойтись. Важнейший момент здесь - осознать, что аудит нужен не Роскомнадзору, а самой компании. Анализ принятых в компании бизнес-процессов и соотнесение их с установленными в законе правилами помогает компании выявить узкие места в схеме работы с конфиденциальной информацией. Вот тут и встает вопрос о привлечении лицензиата ФСТЭК.

Следует упомянуть, что на сегодняшний день у регулятора отсутствуют полномочия проверять бизнес на предмет соблюдения законодательства о персональных данных в части принятия необходимых организационных и технических мер**. Такой подход выводит на первый план правовые меры, предусмотренных 152-ФЗ - разработка локальных актов, назначение лица, ответственного за обработку данных и т.д. Вместе с тем, важно осознать, что усилия по обеспечению комплаенса в области обработки данных представляют собой комплексный процесс: правовые меры обеспечения безопасности данных неразрывно связаны с организационными и техническими мерами, и не существуют в отрыве друг от друга.

У бизнеса должна выработаться привычка осуществлять последовательные непрерывные действия, направленны е на недопущение компрометации данных.

Как проходит аудит?

Это довольно трудоемкая процедура, с которой может успешно справиться только опытный сервис-провайдер, обладающий правовой и технической экспертизой. Сам оператор персональных данных как правило не обладает достаточными знаниями и опытом проведения подобных мероприятий, ввиду чего привлечение профессионалов на этапе построения системы защиты персональных данных является крайне желательным.

Аудит включает оценку бизнес-процессов компании, касающихся работы с данными, анализ локальных нормативных актов, договоров с контрагентами и тд.

Перед специалистами сервис-провайдера стоит ряд задач:

выявить все недочеты в бизнес-процессах аудируемого клиента,

определить перечень информационных систем, в которых осуществляется обработка персональных данных (ИСПДн),

смоделировать угрозы, актуальные для каждой ИСПДн клиента,

подготовить технический проект для системы защиты персональных данных клиента (СЗПДн).

После это специалисты разрабатывают комплект организационно-распорядительной документации, который может включать в себя около 40 различных документов, пошагово регламентирующих процессы обработки данных внутри компании. На базе этой документации принимаются необходимые организационные, технические и правовые меры для защиты персональных данных.

По сути, результат такой работы представляет собой индивидуальное проектное решение для конкретного бизнеса, которое сочетает в себе элементы правового и технического консалтинга в области информационной безопасности.

Дорогое бездействие

Гарантия надежной защиты персональных данных и любой ценной для бизнеса информации является такой же мерой качества современных ИТ-сервисов, как и их базовые характеристики.

Отсутствие должного понимания важности качественной защиты информации является глобальной проблемой, и не нужно думать, что Россия в этом отношении как-то выделяется.

(Минбалеев А. В.) («Юрист», 2011, N 15)

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ОСУЩЕСТВЛЕНИИ ПРОФЕССИОНАЛЬНОЙ ДЕЯТЕЛЬНОСТИ ЖУРНАЛИСТОВ <*>

А. В. МИНБАЛЕЕВ

——————————— <*> Исследование выполнено в рамках поисковых научно-исследовательских работ по теме «Правовое регулирование деятельности средств массовой информации в условиях развития информационного общества в России» (государственный контракт N П1020 от 20.08.2009) по проекту: «Проведение поисковых научно-исследовательских работ по направлению «Юридические и политические науки» в рамках мероприятия 1.2.2 Программы» мероприятия 1.2.2 «Проведение научных исследований научными группами под руководством кандидатов наук» по направлению 1 «Стимулирование закрепления молодежи в сфере науки, образования и высоких технологий» Федеральной целевой программы «Научные и научно-педагогические кадры инновационной России» на 2009 — 2013 годы.

Минбалеев Алексей Владимирович, ведущий научный сотрудник Уральского научно-исследовательского центра интеллектуальной собственности РНИИС, доцент кафедры конституционного и административного права Южно-Уральского государственного университета, кандидат юридических наук.

В статье исследуется проблема обработки персональных данных журналистами и средствами массовой информации при осуществлении ими профессиональной деятельности. Автор анализирует нормы законодательства о персональных данных, об ограничении прав субъектов персональных данных при обработке их персональных данных журналистами, дает рекомендации журналистам и СМИ, рассматривает гарантии субъектов персональных данных.

Ключевые слова: журналист, персональные данные, защита прав, средства массовой информации.

Protection of the personal data during realization of professional activity of journalists A. V. Minbaleev

In the article the problem of processing of the personal data journalists and mass medias is explored at realization by them to professional activity. The norms of legislation are analysed about the personal information about limitation of rights for the subjects of the personal information at processing of their personal data journalists. Given recommendation journalists and mass media. The guarantees of subjects of the personal information are examined.

Key words: journalist, personal information, defence right, mass medias, professional activity.

Журналисты в процессе осуществления профессиональной деятельности постоянно сталкиваются с необходимостью обработки персональных данных своих «героев», интервьюируемых и других лиц. Особенно часто с проблемой персональных данных приходится сталкиваться в ходе журналистских расследований, когда кроме персональных данных обычной чувствительности приходится использовать специальные категории персональных данных. Федеральный закон «О персональных данных» (далее — Закон о персональных данных) <1> в числе специально урегулированных отношений предусмотрел и обработку персональных данных журналистами и средствами массовой информации (далее — СМИ). Насколько свободно сегодня могут обрабатывать персональные данные тех или иных лиц журналисты и СМИ? Где пределы вмешательства журналистов в сферу персональных данных? Эти вопросы сегодня постоянно ставятся редакциями СМИ. Они же имеют и важную научную значимость, поскольку институт обработки персональных данных в сфере массовой информации является одним из наименее изученных механизмов ограничения права на персональные данные как в российской науке информационного права, так и за рубежом <2>. ——————————— <1> Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных» // СЗ РФ. 2006. N 31 (1 ч.). Ст. 3451. <2> См.: Zulauf R. Informationsqualitat. Ein Beitrag zur journalistischen Qualitatsdebatte aus der Sicht des Informationsrechts: Dissertation / Genehmigt auf Antrag vor Prof. Dr. Rolf H. Weber. Zurich: Schulthess Juristische Medien AG, cop. 2000. 164 s.; Beckmann E. Der Schutz personenbezogener Daten im sozialen Sicherungssystem: Auf der Basis des deutschen, osterreichischen und europaischen Rechts. 1. Aufl. Baden-Baden: Nomos, 2000. 221 s. (Frankfurter Studien zum Datenschutz; Bd. 15); Kugelmann D. Die informatorische Rechtsstellung des Burgers: Grundlagen und verwaltungsrechtliche Grundstrukturen individueller Rechte auf Zugang zu Informationen der Verwaltung. Tubingen: Mohr, 2001. XII, 399 s. (Jus publicum; Bd. 65); Smith Graham J. H. Internet law and regulation / By Graham J. H. Smith and contributors from Bird & Bird: Simon Chalton et al. 3. ed., reprint. London: Sweet & Maxwell, 2002. XLVII. 737 p.

Правовой основой для законной обработки журналистами персональных данных выступает п. 6 ч. 2 ст. 6 Закона о персональных данных. В соответствии с данной нормой персональные данные могут обрабатываться без предварительного получения согласия субъекта персональных данных в случае, когда такая «обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных». При этом под обработкой персональных данных Закон о персональных данных понимает действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Таким образом, все эти действия с персональными данными журналист может осуществлять только в целях профессиональной деятельности. Данное ограничение традиционно связывается со ст. 9 (п. «b» ч. 2) Конвенции о защите физических лиц при автоматизированной обработке персональных данных ETS N 108 (Страсбург, 28 января 1981 г.), согласно которой договаривающиеся стороны могут отступить от основных принципов защиты данных личного характера, когда это предусмотрено законом государства и является необходимой мерой в демократическом обществе для защиты субъекта данных или прав и свобод других лиц <3>. Ограничение прав субъектов персональных данных при их обработке в процессе профессиональной деятельности журналиста введено в целях защиты свободы массовой информации и свободы слова. Это так называемая медиапривилегия <4>. ——————————— <3> Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (ETS N 108). Заключена в г. Страсбурге 28.01.1981 // Сборник документов Совета Европы в области защиты прав человека и борьбы с преступностью. М.: СПАРК, 1998. С. 106 — 114. <4> См.: Fechner F. Medienrecht: Lehrbuch des gesamten Medienrechts unter besonderer Berucksichtigung von Presse, Rundfunk und Multimedia. Stuttgart, 2008. S. 160 — 161.

Согласно ст. 2 Закона Российской Федерации «О средствах массовой информации» (далее — Закон о СМИ) <5> под журналистом понимается лицо, занимающееся редактированием, созданием, сбором или подготовкой сообщений и материалов для редакции зарегистрированного средства массовой информации, связанное с ней трудовыми или иными договорными отношениями либо занимающееся такой деятельностью по ее уполномочию. Из данного определения явно следует, что в полномочия журналиста не входит распространение информации, а значит, и обработка персональных данных в части их распространения. Профессиональная деятельность журналиста неотъемлемо связана с деятельностью редакции СМИ. В связи с этим обработкой персональных данных в части ее распространения занимается редакция СМИ. Между тем редакция СМИ не названа в п. 6 ч. 2 ст. 6 Закона о персональных данных как субъект, управомоченный обрабатывать персональные данные без предварительного получения согласия субъекта персональных данных. В связи с чем на практике сегодня ряд СМИ задаются вопросом о наличии у них такого права. Представляется, что анализируемую норму необходимо толковать расширительно (включая редакции СМИ в число управомоченных субъектов), поскольку без редакции СМИ журналист не может осуществлять профессиональную деятельность и реализовать свое право на обработку персональных данных. Подтверждением данной мысли является и легальное определение понятия «распространение персональных данных», под которым Закон о персональных данных понимает «действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом». Также необходимо учитывать, что Закон о персональных данных допускает обработку персональных данных без согласия субъекта именно в целях профессиональной деятельности журналиста. Данная цель предполагает, что журналист обязательно действует от редакции СМИ (выполняет трудовые обязанности, исполняет условия гражданско-правового договора, заключенного с редакцией, или действует по поручению редакции), а не от себя лично. ——————————— <5> Закон РФ от 27 декабря 1991 г. N 2124-1 (в ред. от 25.12.2008) «О средствах массовой информации» // Ведомости СНД и ВС РФ. 1992. N 7. Ст. 300.

Спорным вопросом является и возможность «льготной» обработки персональных данных всеми журналистами. С точки зрения юридического статуса в качестве журналиста может быть любое физическое лицо, уполномоченное редакцией (например, внештатные корреспонденты, работающие по заданию редакции). Возникает вопрос о том, кто будет гарантировать в данном случае выполнение данным лицом требований конфиденциальности персональных данных. Особенно это актуально в тех случаях, когда внештатные корреспонденты работают в другом регионе, и еще сложнее, если сбор персональных данных происходит за рубежом. С анализируемым ограничением прав субъектов персональных данных на их обработку корреспондирует обязанность журналистов и средств массовой информации соблюдать требования о недопустимости нарушения прав и свобод субъектов персональных данных. Прежде всего это права субъектов персональных данных, закрепленные Законом о персональных данных. В частности, право на доступ к своим персональным данным, в том числе право требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (ст. 14 Закона о персональных данных). Права субъектов, персональные данные которых обрабатываются журналистами в процессе профессиональной деятельности, также вытекают из ряда обязанностей журналистов, закрепленных в Законе о СМИ и других законах, регулирующих отношения в сфере массовой информации. Так, ст. 41 Закона о СМИ запрещает редакции СМИ без согласия несовершеннолетнего и его законного представителя разглашать в распространяемых сообщениях и материалах сведения, прямо или косвенно указывающие на личность несовершеннолетнего, совершившего преступление либо подозреваемого в его совершении, а равно совершившего административное правонарушение или антиобщественное действие. Без согласия несовершеннолетнего и (или) его законного представителя запрещается разглашать в распространяемых сообщениях и материалах сведения, прямо или косвенно указывающие на личность несовершеннолетнего, признанного потерпевшим. Согласно ст. 50 Закона о СМИ распространение сообщений и материалов, подготовленных с использованием скрытой аудио — и видеозаписи, кино — и фотосъемки, допускается, только если это не нарушает конституционных прав и свобод человека и гражданина; если это необходимо для защиты общественных интересов и приняты мер против возможной идентификации посторонних лиц, а также если демонстрация записи производится по решению суда. При работе с персональными данными СМИ и журналистам необходимо учитывать, что освобождение журналистов от предварительного получения согласия субъекта персональных данных на их обработку при осуществлении профессиональной журналистской деятельности не освобождает СМИ от этой обязанности при обработке персональных данных в иных отношениях и в иных целях, кроме профессиональной деятельности по созданию и распространению массовой информации. Например, в случаях обработки персональных данных читателей, зрителей, слушателей, подписчиков, клиентов в целях исследования общественного мнения, повышения рейтинга и т. д. Не освобождены они и от обязанности принимать меры по охране конфиденциальности, установленные законодательством о персональных данных. Соблюдение конфиденциальности персональных данных возлагается как на СМИ в качестве оператора, так и на любого журналиста, получившего доступ к персональным данным. Это требование вытекает не только из ст. 3 и 7 Закона о персональных данных, но и из ст. 49 Закона о СМИ, согласно которой при осуществлении профессиональной деятельности журналист обязан: уважать права, законные интересы, честь и достоинство граждан и организаций; проверять достоверность сообщаемой им информации; сохранять конфиденциальность информации и (или) ее источника; при получении информации от граждан и должностных лиц ставить их в известность о проведении аудио — и видеозаписи, кино — и фотосъемки. В ходе профессиональной деятельности журналистов их персональные данные также часто подлежат обработке, например, при их использовании в рамках аккредитации журналистов. И в этом случае также речь может идти об обработке аккредитующими организациями персональных данных без согласия их субъектов (журналистов), если это осуществляется в целях профессиональной деятельности журналистов. Интересно в этом отношении Определение Верховного Суда Российской Федерации от 27 февраля 2008 г., в котором было принято решение по жалобе прокурора Республики Коми о признании противоречащими федеральному законодательству и не действующими со дня принятия ряда норм Положения об аккредитации представителей средств массовой информации при Главе Республики Коми, утвержденного Указом Главы Республики Коми «Об аккредитации представителей средств массовой информации при Главе Республики Коми» от 19 декабря 2006 г. N 143, в частности, подп. 1 п. 9 в той части, в какой он предусматривает представление редакцией средства массовой информации в Управление по связям с общественностью и информации администрации Главы Республики Коми и Правительства Республики Коми сведений о фактическом адресе, почтовом (электронном) адресе, номерах служебных и мобильных (домашних) телефонов каждого из аккредитуемых журналистов; подп. 2 п. 15 в той части, в какой он предусматривает возможность отказа в аккредитации при представлении средством массовой информации заявки, не содержащей сведений о фактическом адресе, почтовом (электронном) адресе, номерах служебных и мобильных (домашних) телефонов каждого из аккредитуемых журналистов. Заявитель в своей жалобе ссылался на тот факт, что Глава Республики Коми не относится в силу положений Федерального закона «О персональных данных» к операторам, осуществляющим обработку персональных данных. Кроме того, в соответствии с названным Указом персональные данные аккредитуемых журналистов должны были предоставляться в обязательном порядке, т. е. без их согласия, что, по мнению заявителя, противоречит общим принципам обработки персональных данных, установленных законом. Проверив материалы дела, изучив доводы кассационного представления прокурора, Судебная коллегия по гражданским делам Верховного Суда Российской Федерации нашла ранее принятое решение Верховного Суда Республики Коми подлежащим оставлению без изменения по следующим основаниям. В силу ст. 1, 38, 39, 48 Закона Российской Федерации «О средствах массовой информации» редакция средства массовой информации с целью оперативного получения полной информации о деятельности государственных органов, организаций, учреждений, органов общественных объединений и доведения этой информации до граждан вправе подать заявку на аккредитацию при указанных выше органах, организациях, учреждениях своих журналистов. Судом обоснованно обращено внимание на то, что правила аккредитации журналистов при государственных органах, организациях, учреждениях, органах общественных объединений устанавливаются данными субъектами самостоятельно. То есть Глава Республики Коми действительно имеет статус оператора, имеющего право устанавливать принципы и цели обработки персональных данных. Аккредитовавшие журналистов органы, организации, учреждения обязаны предварительно извещать их о заседаниях, совещаниях и других мероприятиях, обеспечивать стенограммами, протоколами и иными документами, создавать благоприятные условия для производства записи. Для исполнения указанной обязанности они должны располагать сведениями о фактическом адресе, почтовом (электронном) адресе, номерах служебных и мобильных (домашних) телефонов каждого из аккредитованных журналистов, поскольку непредставление редакцией средства массовой информации данного минимума персональных данных может привести как к нарушению предусмотренных ст. 47, 48 Закона Российской Федерации «О средствах массовой информации» прав журналистов, так и к ущемлению права граждан на получение оперативной и достоверной информации о деятельности органов, организаций и учреждений, аккредитовавших журналистов. Существенное значение в данном случае имеет и то обстоятельство, что в силу требований Закона Российской Федерации «О средствах массовой информации» аккредитация журналиста возможна только на основании его волеизъявления, в связи с чем предполагается согласие этого журналиста на передачу редакцией соответствующих персональных данных. Судом также правильно обращено внимание на то, что аккредитация журналиста непосредственно связана с его профессиональной деятельностью по поиску, получению и распространению информации, и поэтому в соответствии с п. 6 ч. 2 ст. 6 Федерального закона «О персональных данных» необходимый для реализации требований ст. 48 Закона «О средствах массовой информации» минимум персональных данных журналиста может передаваться в орган, осуществляющий его аккредитацию, и без согласия этого журналиста <6>. ——————————— <6> См.: Определение Верховного Суда Российской Федерации от 27 февраля 2008 г. N 3-Г08-3 «Об оставлении без изменения решения Верховного Суда Республики Коми от 28 ноября 2007 г., которым частично удовлетворено заявление о признании противоречащими федеральному законодательству и не действующими со дня принятия ряда норм Положения об аккредитации представителей средств массовой информации при Главе Республики Коми, утвержденного Указом Главы Республики Коми «Об аккредитации представителей средств массовой информации при Главе Республики Коми» от 19 декабря 2006 г. N 143″ // URL: http:// www. supcourt. ru/ stor_text. php? id= 20192255.

——————————————————————

Составлять протоколы по нарушениям будет Роскомнадзор

С 1 июля 2017 года в России вступает в силу обновленный закон «О персональных данных». Вместо одного штрафа в 10 тысяч рублей депутаты Государственной думы ввели семь общей суммой до 275 тысяч рублей, соответственно увеличив количество типов нарушении и предоставив Роскомнадзору право выписывать протоколы по ним. Под действие закона попадают любые организации, собирающие и использующие персональные данные, от интернет-магазинов до СМИ. В случае с первыми все относительно прозрачно. Но работу вторых измененный закон может полностью парализовать. Подробности – в материале «ФедералПресс».

Закон не содержит перечня сведений, которые попадают под определение «персональные данные», есть только общая формулировка – «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Эксперты сходятся в том, что такое толкование касается следующих данных в любых комбинациях: ФИО, адрес, электронная почта, телефон, дата рождения, фотография, профессия. За нарушение требований по обезличиванию персональных данных юридическим лицам грозит штраф от трех до шести тысяч рублей.

Чтобы использовать персональные данные без последствий, нужно получить письменное согласие их владельца; опубликовать собственную политику в части обработки этой информации; предоставлять желающим информацию о том, какие именно их данные у вас есть; уточнять, блокировать или уничтожать персональные данные по требованию владельца; защитить данные от утечки и хранить их на территории России.

Сегодня практически каждая публикация российских СМИ нарушает требования по обезличиванию данных, которые вступят в силу завтра. Получить письменное разрешение от каждого героя публикаций (особенно, если речь идет о критическом материале) также не представляется возможным.

«ФедералПресс» предположил, как будут выглядеть новости, полностью соответствующие обновленному закону .