1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Комментарий к ст. 5 Закона о персональных данных
1. Комментируемой статьей законодатель устанавливает основополагающие начала в работе с персональными данными, сбор и обработка которых осуществляется на законных основаниях. Последние гармонизированы с основными международно-правовыми актами в области персональных данных, что должно обеспечить соответствующий уровень их защиты, и представлены в полном соответствии с традициями европейского законодательства в этой области.
Принципы, закрепленные в комментируемой статье, не являются декларативными, лишенными нормативной силы положениями. Они, во-первых, определяют построение и структуру настоящего Федерального закона. Во-вторых, влияют на содержание институтов и норм, а также создают ориентиры для законодательных и иных нормативных правовых актов, регулирующих вопросы сбора и обработки персональных данных. В-третьих, через систему норм и путем непосредственного действия влияют на практику их реализации. В-четвертых, обеспечивают, в силу объективных требований, единство правового регулирования правоотношений в области персональных данных на всей территории РФ.
Принципы обработки персональных данных позволяют:
- уяснить смысл и сущность законодательства и его связи с экономикой и моралью;
- определяют общую направленность и тенденции совершенствования работы с персональными данными;
- помогают практически органам и субъектам правоотношений в правильном применении норм законодательства.
Сформулированные законодателем принципы имеют не только теоретическое, но и большое практическое значение. Они являются базовыми ориентирами при разрешении возникших юридических коллизий в случаях, когда обнаруживаются пробелы правовой регламентации. Включение в текст анализируемого документа основных принципов тем самым подчеркивает возможность существования аналогий права и закона в указанной области общественных отношений при условии, если последние не урегулированы законодательством и это не противоречит их существу. Применение закрепленных в комментируемой статье принципов обработки персональных данных определяется исходя из общих начал и смысла действующего законодательства и требований добросовестности, разумности и справедливости.
Принципы обработки персональных данных сформировались в процессе практической деятельности уполномоченных субъектов в процессе работы с конфиденциальной информацией, были обобщены и сформулированы теорией и получили нормативное закрепление в действующем законодательстве. Они предопределены требованиями социальных норм и экономических законов в нашем обществе, служат основой для направления дальнейшего развития уровня защиты прав и свобод личности и являются сущностной категорией обработки персональных данных, поскольку кратко отражают суть норм настоящего Закона.
Комментируемой статьей представлено пять основных принципов обработки персональных данных:
- законность целей и способов обработки персональных данных и добросовестности;
- соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
- соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Отступление от указанных принципов создает условия для необоснованного ограничения и прямого нарушения прав граждан.
Представленный перечень принципов обработки персональных данных является исчерпывающим и подлежит расширению в случае внесения изменений в настоящую статью. Установление исчерпывающего типового перечня в таких случаях диктуется необходимостью обеспечить эффективную защиту прав личности в отношении его персональных данных.
2. Традиционно систему принципов обработки персональных данных открывает принцип законности, представленный как "законность целей и способов обработки персональных данных и добросовестности". Законность способа сбора данных предполагает возможность сбора во всех случаях, специально не запрещенных законом. Действующая таким образом презумпция законности обработки персональных данных подразумевает возможность использования неограниченного круга технических средств и методов сбора, хранения, накопления, использования, анализа информации. В результате обработка данных может осуществляться самыми неожиданными для граждан способами и включать в себя самые неожиданные для них данные в любых сочетаниях. Таким образом, сбор персональных данных должен осуществляться только на основании закона и только в том объеме, в том порядке и теми способами, которые предусмотрены законом.
3. В качестве обязательной составляющей обработки персональных данных законодатель определяет цель деятельности оператора. Персональные данные должны собираться для законных, предварительно определенных, объявленных и заявленных целей и в дальнейшем не обрабатываться каким-либо образом, не совместимым с указанными целями. Цель обработки персональных данных должна соответствовать полномочиям и компетенции оператора.
Последовательно развивая принцип целевой направленности в процессе обработки персональных данных, законодатель обязывает оператора предварительно информировать субъекта персональных данных о заявленных целях деятельности.
Законность и добросовестность целей обработки персональных данных подразумевает соблюдение установленных законодательных ограничений. Последние определяются как настоящим Законом, так и иными законодательными актами, осуществляющими правовое регулирование различного рода общественных отношений, основанных на обработке персональных данных.
В свою очередь, соответствие целей обработки персональных данных заявленным и заранее определенным целям, с одной стороны, позволит обеспечить предварительную защиту конфиденциальной информации от несанкционированного доступа к ней третьих лиц, не имеющих на то соответствующих полномочий, с другой — позволит сформировать действенную систему контроля за деятельностью оператора, обеспечивающего соблюдение последним требований действующего законодательства на предмет соблюдения прав субъекта персональных данных и действий в его интересах.
4. Формально законодатель наделяет оператора персональных данных неограниченной свободой действий в части, касающейся сбора, накопления, хранения конфиденциальной информации, создавая возможность последним самостоятельно определять объем и характер обрабатываемых данных, выбирать способы работы с ними. Работа в отмеченном направлении строится во многом благодаря заявленной цели деятельности, которая по смыслу комментируемой статьи является определяющим элементом в выборе содержания деятельности, указывающим на наличие связи между характеристиками персональных данных и целями их обработки.
Статус цели деятельности как базисного элемента всего процесса обработки персональных данных объясняет то обстоятельство, что ее соответствие закону не должно и не может ставиться под сомнение. Цель является тем элементом, который всегда будет иметь соответствующее законодательное обоснование, в то время как практическое воплощение в рамках закона характера, способов, объема обработки персональных данных представляется весьма затруднительным. Определение содержания обработки персональных данных, используемых при этом средств, способов и методов законодатель оставляет на откуп органам исполнительной власти в соответствии с имеющей место системой ведомственной подчиненности.
5. Достоверность персональных данных определяет их содержание, указывая на соответствие полученных сведений фактам, имеющим место в действительности. Декларируя необходимость получения достоверных сведений для целей их обработки, законодатель допускает возможность проверки полученных персональных данных на предмет соответствия их содержания объективной действительности. Таким образом, получение в указанном случае данных от третьих лиц не требует согласия на их обработку со стороны обладателя.
Достаточность персональных данных целям обработки как признак последних требует наличия их совокупности, позволяющей решать оператору свои задачи, которые составляют основу декларируемой ими деятельности. С отмеченных позиций законодатель категорически ограничивает операторов в получении избыточных сведений, явно выходящих за пределы целей заявленной ими деятельности.
В процессе обработки персональных данных обеспечение сохранности, целостности и достоверности данных должно обеспечиваться на основе установления режима конфиденциальности соответствующих персональных данных и регламентации обязанностей, прав и ответственности держателей (обладателей) массивов персональных данных по работе с этими данными.
6. Человека можно идентифицировать на основе любых физиологических особенностей, однако такая идентификация возможна лишь после создания системы учета данных, содержащих достоверные результаты первичной идентификации. Избранная форма хранения и предоставления персональных данных должна, во-первых, соответствовать заявленной цели деятельности оператора, во-вторых, исключать возможность преждевременного уничтожения, модификации или обнародования персональных данных до решения задач, для которых они накапливались, и, в-третьих, при обеспечении надежной системы защиты персональных данных обеспечивать своевременность идентификации личности.
Собранные в подобных системах учета данные практически неуничтожимы до той поры, пока существуют сами системы, для которых собирались эти данные, в противном случае информационная система будет нестабильной и создающей предпосылки для нарушения прав граждан.