М.И. ПетровКомментарий к федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных"(постатейный)
Петров Михаил Игоревич
Практикующий юрист, область специализации — военное, социальное законодательство, защита информации и обеспечения информационной безопасности. Автор ряда публикаций в данной области: Комментарий к должностным инструкциям; практические пособия: "Безопасность и персонал", "Нормирование труда" и др.
Федеральный закон О персональных данных
27 июля 2006 года
N 152-ФЗ
Российская Федерация
Федеральный закон О персональных данных
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
Глава 1.Общие положения
Статья 1.Сфера действия настоящего Федерального закона
Комментарий к статье 1
1. До настоящего времени в РФ сбор и обработку персональных данных осуществляло большое количество различных по своему правовому положению, характеру и объему полномочий субъектов, включая государственные органы, органы местного самоуправления, различные государственные и негосударственные организации, действующие на основании разрозненных и нередко не согласованных между собой положений законодательства РФ. При этом единые подходы к деятельности рассматриваемых субъектов по сбору и обработке персональных данных действующим законодательством не были установлены. Отсутствовал также единый специализированный правовой механизм защиты прав граждан при обработке персональных данных.
Нередки были случаи дублирования полномочий государственных органов и органов местного самоуправления, сбора и обработки избыточных данных, не соответствующих полномочиям осуществляющих сбор и обработку персональных данных органов и организаций. Отсутствовал централизованный контроль за деятельностью по сбору и обработке персональных данных.
В складывающейся ситуации уровень защиты прав граждан при обработке их персональных данных, эффективность выполнения государственными органами и органами местного самоуправления возложенных на них задач и функций существенно снижались, был затруднен доступ граждан к административным услугам, а сами граждане нередко принуждались к выполнению множества лишних процедур.
Широкое распространение получали случаи несанкционированного доступа к собранным различными государственными органами и иными организациями персональным данным, их незаконного копирования, распространения и использования. В результате чего сформировался и достаточно стабильно функционирует рынок полученных преступным путем информационных систем и баз, содержащих персональные данные.
В немалой степени сложившаяся ситуация была обусловлена отсутствием единообразного правового регулирования по рассматриваемым вопросам. Принятие комментируемого Закона, предусматривающего такого рода регулирование, по мнению его разработчиков, позволит создать необходимую правовую основу для реализации конституционных прав граждан, защиты общественных и государственных интересов, обеспечения законных интересов лиц, использующих персональные данные в своей деятельности.
Наряду с этим принятие законодательного акта, основанного на конституционных положениях, гарантирующих защиту прав на неприкосновенность частной жизни, личную и семейную тайну (ч.1 ст.23), запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (ч.1 ст.24), обязанность органов государственной власти, органов местного самоуправления, их должностных лиц обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы (ч.2 ст.24), право свободно искать, получать, передавать, производить и распространять информацию любым законным способом (ч.4 ст.29), а также возможность ограничения названных конституционных прав граждан в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (ч.3 ст.55), во многом было актуализировано международно-правовыми обязательствами РФ и являлось одним из обязательных условий по ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981г.), что, по представлению разработчиков соответствующего Закона и законодателя, должно способствовать укреплению внешнеполитических позиций страны.
Таким образом, принятие законодательного акта, устанавливающего унифицированные правила сбора и обработки персональных данных физических лиц, а также правовые механизмы защиты прав граждан при сборе и обработке персональных данных, являлось актуальным и концептуально обоснованным.
Настоящий Закон представляет собой достаточно эффективный механизм противодействия повсеместному нарушению прав физических лиц в отношении их персональных данных путем незаконного распространения сведений, содержащихся в информационных системах органов государственной власти и негосударственных организаций. Обеспечивая защиту персональных данных, государство тем самым укрепляет правовую защищенность и безопасность личности, создает благоприятную обстановку для всестороннего развития граждан и общества в целом, создаются предпосылки для экономического роста и обеспечения политической стабильности. Столь же необходимым является создание правовых условий для решения государственных задач в области управления ресурсами с целью решения социальных проблем предоставления услуг на основе сбалансированного и социально справедливого разделения государственных средств, а также реализации функций осуществления государственных учетов, необходимых для работы налоговых служб, правоохранительных органов.
2. Анализируемый Закон является базовым актом, устанавливающим критерии законности действий, связанных с обработкой персональных данных, а также пределы ограничения прав субъектов персональных данных в связи с обеспечением общественных интересов, безопасности личности, общества и государства. Последним формируются унифицированные требования к информации, предоставляемой субъекту персональных данных во время сбора персональных данных, до момента их обработки или передачи третьим лицам, что создает особый правовой механизм обеспечения прав субъекта персональных данных. Построение последнего при работе с персональными данными осуществляется на основе общепринятых международных норм и принципов в соответствии с Конституцией РФ и законами РФ, в том числе и настоящим нормативным актом, необходимо для обеспечения прав и свобод личности, связанных со сбором, обработкой и использованием персональных данных в условиях, когда широкомасштабное применение средств вычислительной техники для этих целей позволяет сделать личную жизнь граждан "прозрачной" для государственных органов.
Комментируемой статьей законодатель очерчивает пределы правового регулирования настоящего Федерального закона, определяет объект воздействия и субъектов правоприменения. Юридическое содержание сферы его действия составляют отношения, связанные с обработкой персональных данных, с использованием средств автоматизации или без использования таковых, при условии, что это соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. При этом следует отметить, что используемые в тексте настоящего Закона правовые категории являются обезличенными, потенциально применимыми к абсолютному большинству случаев обработки персональных данных. Раскрытие содержания каждой из них, их последующая конкретизация будут иметь место лишь в уникальном правовом акте, нормы которого определяют нормы должного и дозволенного поведения в конкретных областях общественной жизни.
В процессе принятия анализируемого документа неоднократно подчеркивалось, что сфера действия Федерального закона ограничивается исключительно обработкой персональных данных, подразумевая под этим, в силу буквального толкования термина, их сбор, хранение, их возможный анализ, и тем самым исключает возможность защиты индивидуальной информации при ее распространении, хотя по статистике чаще нарушение прав и законных интересов граждан и организаций является следствием незаконного распространения персональных данных. Однако следует отметить, что в термин "обработка персональных данных" законодателем было заложено куда более расширенное содержание, чем это представляется на первый взгляд. По смыслу подп.3 п.1 ст.3 настоящего Закона под "обработкой персональных данных" понимаются любые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (см. ст.3 настоящего Закона и комментарий к ней).
Объективные сложности правового регулирования в сфере защиты персональных данных обусловлены необходимостью сбалансировать в законе противоречивые интересы, как минимум, трех групп субъектов:
граждан, чьи персональные данные собираются и обрабатываются (субъекты персональных данных);
государственных органов, обязанных обрабатывать персональные данные в связи с исполнением своих полномочий;
негосударственных организаций, заинтересованных в обработке персональных данных в соответствии с целями своей деятельности, в том числе в интересах бизнеса.
В такого рода ситуациях действующее законодательство, а равно органы государственной власти, ответственные за его исполнение, не могут в полной мере гарантировать охрану всех персональных данных, а также установить ограничения на сбор и распространение некоторых из них (в большей части это касается персональных данных, которые их обладатель распространяет самостоятельно). Однако с их стороны требуется реальный контроль за соблюдением установленных запретов с целью обеспечения надежной охраны для законодательно установленного минимума.
Законодатель определяет общий запрет на обработку персональных данных, не придавая при этом принципиального значения тому, каким именно образом она будет осуществляться — с применением средств автоматизации либо без таковой. В последнем случае законодатель допускает обработку персональных данных лишь при условии, что она соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. По всей видимости, речь идет о персональных данных, содержащихся на бумажных носителях, структурированных или систематизированных определенным образом, без чего доступ к ним без использования средств автоматизации вряд ли может быть обеспечен. Вместе с тем ошибочным было бы представление, что обработку персональных данных без использования средств автоматизации следует рассматривать как исключение. Последняя допустима лишь в случаях обработки данных собранных оператором в целях рекламы, маркетинга, политической и иной агитации, а равно в целях реализации своих полномочий. Ситуация подобного рода существенным образом ограничивала бы права ряда операторов, полностью или частично осуществляющих обработку персональных данных без использования средств автоматизации.
Рядом положений настоящего Закона установлен особый правовой режим защиты специальных категорий персональных данных, в числе которых называются сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (см. ст.10 настоящего Закона и комментарий к ней). Действия с этими персональными данными без должных гарантий обеспечения прав субъекта персональных данных могут нанести ему повышенный ущерб. Одновременно законодатель перечисляет условия, при которых обработка персональных данных может быть произведена без получения предварительного согласия субъекта персональных данных (например, для обеспечения его жизни и здоровья).
Придерживаясь конституционного принципа о праве каждого свободно искать, получать, передавать, производить и распространять информацию любым законным способом, законодатель включает в сферу действия анализируемого нормативного акта полный круг субъектов права — федеральные органы государственной власти, органы государственной власти субъектов РФ, органы муниципальной власти, физические и юридические лица.
3. Вне сферы правового регулирования рассматриваемого нормативного акта были выделены правоотношения, связанные с обработкой персональных данных, осуществляемой с молчаливого согласия их обладателя. Условно правоотношения, сформулированные законодателем в ч.2 комментируемой статьи, можно сгруппировать в две относительно самостоятельные категории.
3.1. Первая представлена правоотношениями, осуществление которых связано с удовлетворением личных потребностей обладателя персональных данных. К ним относятся обработка персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных и обработкой подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством РФ в связи с деятельностью физического лица в качестве индивидуального предпринимателя.
В целях предотвращения нарушений прав граждан на неприкосновенность частной жизни, положения настоящего Закона не применяются к персональным данным, обрабатываемым физическими лицами исключительно для личных и семейных нужд лишь в случаях, если при этом не нарушаются права иных субъектов персональных данных. Представляется, что оговорка о нераспространении положений настоящего Закона на случаи обработки персональных данных исключительно для личных и семейных нужд нуждается в дополнительной конкретизации, поскольку не ясны цели такого рода обработки. В данном случае требуются дополнительные пояснения, например, что при этом не должны нарушаться права иных лиц или что в этом случае персональные данные не должны распространяться или использоваться по иному назначению, поскольку и "личные", и "семейные" нужды при желании можно трактовать достаточно широко.
Можно лишь предположить, что подобного рода ограничения касаются сведений, подлежащих внесению в запись акта о рождении, заключении брака, расторжении брака, об усыновлении (удочерении), установлении отцовства, о перемене имени или смерти в соответствии с требованиями ФЗ от 15 ноября 1997г. N 143-ФЗ "Об актах гражданского состояния"[1]. Кроме того, в запись акта гражданского состояния могут быть включены и иные сведения, обусловленные особыми обстоятельствами государственной регистрации конкретного акта гражданского состояния (см. п.3 ст.6 ФЗ "Об актах гражданского состояния"). Кроме того, в числе такого рода сведений также можно отметить данные, отражаемые в трудовых и хозяйственных договорах, не связанных с осуществлением предпринимательской деятельности, публикуемые с согласия обладателя в средствах массовой информации, использование персональных данных в маркетинговых и рекламных целях, для политической и иной агитации, а также трансграничную передачу персональных данных.
В единый государственный реестр индивидуальных предпринимателей по смыслу действующего законодательства подлежат внесению:
а) фамилия, имя и (в случае, если имеется) отчество на русском языке;
б) пол;
в) дата и место рождения;
г) гражданство;
д) место жительства в РФ (указывается адрес — наименование субъекта РФ, района, города, иного населенного пункта, улицы, номера дома, квартиры, — по которому индивидуальный предприниматель зарегистрирован по месту жительства в установленном законодательством РФ порядке);
е) данные основного документа, удостоверяющего личность гражданина РФ на территории РФ;
ж) вид и данные документа, установленного федеральным законом или признаваемого в соответствии с международным договором РФ в качестве документа, удостоверяющего личность иностранного гражданина;
з) вид и данные документа, предусмотренного федеральным законом или признаваемого в соответствии с международным договором РФ в качестве документа, удостоверяющего личность лица без гражданства;
и) вид, данные и срок действия документа, подтверждающего право индивидуального предпринимателя временно или постоянно проживать в РФ;
к) дата государственной регистрации физического лица в качестве индивидуального предпринимателя и данные документа, подтверждающего факт внесения в единый государственный реестр индивидуальных предпринимателей записи об указанной государственной регистрации;
л) дата и способ прекращения физическим лицом деятельности в качестве индивидуального предпринимателя;
м) сведения о лицензиях, полученных индивидуальным предпринимателем;
н) идентификационный номер налогоплательщика, дата постановки на учет индивидуального предпринимателя в налоговом органе;
о) номер и дата регистрации индивидуального предпринимателя в качестве страхователя: в территориальном органе Пенсионного фонда РФ; в исполнительном органе Фонда социального страхования РФ; в территориальном фонде обязательного медицинского страхования;
п) сведения о банковских счетах индивидуального предпринимателя (см. п.2 ст.5 ФЗ от 8 августа 2001г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей"[2]).
Законодатель подчеркивает, что исключение перечисленных сведений из сферы действия настоящего Федерального закона допустимо исключительно в случаях их обработки в связи с деятельностью физического лица в качестве индивидуального предпринимателя. Работа со сведениями, включенными в государственный реестр, осуществляется регистрирующим органом в порядке и на условиях, установленных Постановлением Правительства РФ от 16 октября 2003г. N 630 "О Едином государственном реестре индивидуальных предпринимателей, Правилах хранения в единых государственных реестрах юридических лиц и индивидуальных предпринимателей документов (сведений) и передачи их на постоянное хранение в государственные архивы, а также о внесении изменений и дополнений в Постановления Правительства РФ от 19 июня 2002г. N 438 и 439"[3]. По смыслу последнего обработка персональных данных, включаемых в единый государственный реестр индивидуальных предпринимателей, сводится к ведению книги учета государственной регистрации индивидуальных предпринимателей, регистрационного дела индивидуального предпринимателя; предоставлению сведений о номере, о дате выдачи и об органе, выдавшем документ, удостоверяющий личность физического лица, сведений о банковских счетах индивидуальных предпринимателей государственным органам, органам государственных внебюджетных фондов, органам местного самоуправления, банкам и иным коммерческим организациям, правоохранительным органам и судам по находящимся в производстве делам, а в случаях, определенных федеральными законами, — физическим и юридическим лицам по их запросам.
3.2. Во второй группе отношения объединены по признаку их общественной и государственной значимости. Здесь распространение персональных данных осуществляется без ограничений, установленных настоящим Федеральным законом, в случаях организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ и обработки персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
В соответствии со ст.3 ФЗ от 22 октября 2004г. N 125-ФЗ "Об архивном деле в Российской Федерации" документом Архивного фонда РФ является архивный документ, прошедший экспертизу ценности документов, поставленный на государственный учет и подлежащий постоянному хранению. Любым иным архивным документом, в свою очередь, выступают материальные носители с зафиксированной на них информацией, которые имеют реквизиты, позволяющие его идентифицировать, и подлежат хранению в силу значимости указанных носителей и информации для граждан, общества и государства. В отличие от документов, включенных в состав Архивного фонда РФ в силу их культурно-исторической, научной ценности, важного значения для общества и государства, любые иные архивные документы могут находиться на хранении как в архивных фондах государственных учреждений, организаций, предприятий, органов государственной власти и управления, органов местного самоуправления, прокуратуры, воинских частей, государственных институтов, негосударственных коммерческих и некоммерческих организаций, физических лиц и т.п.(см. Указ Президента РФ от 17 марта 1994г. N 552 "Об утверждении Положения об Архивном фонде РФ"[4]).
Отметим, что законодатель не производит специального разграничения относительно формы собственности и принадлежности архивного документа, равно как и обладатель такого рода документов, осуществляющий их хранение, комплектование, учет и использование. Принципиальное значение в подобном отношении приобретает лишь то обстоятельство, что названным категориям архивных документов должна быть обеспечена защита и соблюдаться установленный порядок работы с ними в соответствии с требованиями действующего законодательства. Тем самым законодатель подтверждает право пользователя архивных документов свободно использовать, передавать, распространять информацию, содержащуюся в предоставленных ему архивных документах, а также копии архивных документов для любых законных целей и любым законным способом. Порядок использования архивных документов определяется специально уполномоченным Правительством РФ федеральным органом исполнительной власти (см., например, Приказ Росархива от 6 июля 1998г. N 51 "Об утверждении Правил работы пользователей в читальных залах государственных архивов Российской Федерации").
Правовое регулирование отношений, возникающих в связи с засекречиванием или рассекречиванием сведений, составляющих государственную тайну, их иной обработкой, а равно защитой в интересах обеспечения безопасности РФ, осуществляется положениями Закона РФ от 21 июля 1993г. N 5485-1 "О государственной тайне"[5] и принятыми на его основе иными нормативными правовыми актами, связанными с защитой государственной тайны.
Перечень сведений, отнесенных к государственной тайне, содержит сведения в военной области, в области экономики, науки и техники, внешней политики и экономики, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ, а также наименования государственных органов, наделенных полномочиями по распоряжению этими сведениями. Конкретизация представленных групп сведений, относящихся по смыслу действующего законодательства к конфиденциальной информации, содержащей государственную тайну содержится в нормах ст.5 Закона "О государственной тайне", положениях Указа Президента РФ от 30 ноября 1995г. N 1203 "Об утверждении Перечня сведений, отнесенных к государственной тайне"[6], ведомственных нормативных актах.
Обработка такого рода сведений осуществляется органами государственной власти и управления, правоохранительными органами, юридическими и физическими лицами, в распоряжении которых такого рода сведения находятся, только в объеме, необходимом для достижения поставленных перед ними целей и решения возложенных задач. При этом указанные субъекты должны обладать лицензией на проведение работ с использованием сведений соответствующей степени секретности, а физические лица — соответствующим допуском.
Статья 2.Цель настоящего Федерального закона
Комментарий к статье 2
Определив в числе целей принятия настоящего Закона необходимость создания общих унифицированных требований к действиям, связанным с персональными данными, во всех сферах, где персональные данные используются (см. комментарий к ст.1 настоящего Закона), законодатель подчеркивает, что это далеко не единственная и не основная цель его применения. В числе основных доминант его действия названо обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Тем самым Закон принимает особый статус, обеспечивая реализацию правоохранительной функции государства как гаранта этих прав и свобод. Сказанное, по мнению разработчиков рассматриваемого нормативного акта, должно обеспечить создание необходимой правовой основы для реализации соответствующих конституционных положений, защиты общественных и государственных интересов, обеспечения законных интересов лиц, использующих персональные данные в своей деятельности. Обеспечивая защиту персональных данных, государство тем самым укрепляет правовую защищенность и безопасность личности, создает благоприятную обстановку для всестороннего развития граждан и общества в целом. Тем самым создаются предпосылки для экономического роста и обеспечения политической стабильности.
Утверждение в обществе уважения к личности, ее достоинству на основе создания и соблюдения правовых норм, направленных на защиту прав и интересов человека и гражданина, в частности права на неприкосновенность частной жизни, требует выделение следующих основных приоритетов, которые в своей совокупности и составляют цель правового регулирования, обозначенную законодателем в настоящей статье:
а) защита персональных данных лиц от несанкционированного доступа к ним со стороны криминальных структур, других граждан, представителей государственных органов и служб, не имеющих на то соответствующих полномочий, путем регулирования порядка доступа субъектов персональных данных к своим данным;
б) обеспечение сохранности, целостности и достоверности данных на основе: установления режима конфиденциальности соответствующих персональных данных; регламентации обязанностей, прав и ответственности держателей (обладателей) массивов
персональных данных по работе с этими данными;
в) обеспечение в условиях развития рыночных отношений в стране возможностей для работы с персональными данными держателей (обладателей) или третьих лиц, которым раскрыты персональные данные, имеющих лицензию на проведение работ с этими данными, в частности на основе прямого маркетинга.
В этой связи реализация сформулированной настоящей статьей цели комментируемого Закона должна осуществляться по следующим основным направлениям:
обеспечение правовой защиты граждан в условиях бурного роста баз персональных данных, создаваемых в последнее десятилетие на основе новейших информационных технологий;
создание правовой основы для максимально адекватной защиты персональной информации от усиливающегося к ней интереса со стороны криминальных структур;
выполнение международных обязательств России по формированию правового регулирования трансграничной передачи персональных данных в рамках международных соглашений; совершенствование организационно-правового обеспечения деятельности физических и юридических лиц, органов государственной власти, органов местного самоуправления по формированию и использованию массивов персональных данных на основе законодательного закрепления прав, обязанностей и ответственности держателей (обладателей) этих массивов;
открытие внутреннего информационного рынка России для деятельности негосударственных коммерческих структур, в частности для развития прямого маркетинга в области работы с персональными данными.
Статья 3.Основные понятия, используемые в настоящем Федеральном законе
Комментарий к статье 3
1. Включение в текст федеральных законов определений основных понятий, раскрывающих содержание последующих его положений, в последние годы становится традицией. Подобного рода законодательные конструкции в первую очередь объяснимы стремлением разработчиков устранить неправильное толкование законодательных положений в процессе правоприменения. Вместе с этим включение в текст комментируемого Закона основных понятий, формирующих последующие законодательные конструкции, в большей степени способствует уяснению лежащих в основе защиты персональных данных технологий и механизма правового регулирования. Таким образом, попытки сформировать терминологическую базу, направленные на обеспечение правового единообразия, заслуживают положительной оценки. Однако разработчики настоящего Закона, равно как и большинства нормативных правовых актов, существенным образом упростили свою задачу, обозначив пределы применения содержащихся в комментируемой статье терминов использованием исключительно в целях рассматриваемого документа.
Положениями комментируемой статьи законодатель формирует основу инструментария, используемого в тексте Закона, и раскрывает его содержание. Разъяснение основных понятий, используемых в настоящем Законе, связано с необходимостью однозначного и точного понимания закрепленных норм и правильной их практической реализации.
Следует подчеркнуть, что содержащиеся в нормах рассматриваемой статьи понятия в абсолютном большинстве своем знакомы отечественной правовой системе, ряд из них уже встречались в ряде действующих нормативных правовых актов. Применение подобного рода законодательной конструкции предполагает возможность создания достаточно надежного механизма защиты персональных данных в процессе их обработки во всех сферах жизни и деятельности социума. Наряду с этим осуществляется дальнейшая унификация отечественного законодательства посредством создания достаточно монолитных правовых блоков, регулирующих отдельно взятые общественные отношения.
2. Ключевое и решающее значение в системе представленных терминов принадлежит понятию "персональные данные", которое составляет основу предмета регулирования, поскольку с ним законодатель связывает вопросы о правах и обязанностях субъектов регулируемых отношений и вопросы ответственности.
Введенные в правовой оборот Указом Президента РФ от 6 марта 1997г. N 188 "Об утверждении Перечня сведений конфиденциального характера"[7] и получившие значительное распространение в связи с принятием нового Трудового кодекса РФ персональные данные постепенно становятся неотъемлемой частью информационных процессов, связанных с обработкой, использованием и защитой сведений конфиденциального характера.
Персональные данные по смыслу рассматриваемого Закона представляются в качестве информации, неразрывно связанной с личностью ее обладателя. Определяя персональные данные в качестве открытого перечня сведений, независимо от формы их представления (ст.2 ФЗ от 27 июля 2006г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"[8]), законодатель тем самым сохраняет возможность их расширения по мере того, как будет меняться социальный статус их обладателя на конкретном этапе его жизненного пути. В основу такого рода системы по смыслу комментируемой статьи положены: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы физического лица. В состав персональных данных подлежат включению также сведения, связанные с поступлением на работу (службу), ее прохождением и увольнением; данные о супруге, детях и иных членах семьи обладателя, данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи, данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, сведения о доходах, имуществе и обязательствах имущественного характера, сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, владение языками (родной язык, русский язык, другой язык или другие языки), образование общее (начальное общее, основное общее, среднее (полное) общее) и профессиональное (начальное профессиональное, среднее профессиональное, высшее профессиональное, послевузовское профессиональное), жилищные условия (тип жилого помещения, время постройки дома, размер общей и жилой площади, количество жилых комнат, виды благоустройства жилого помещения), источники средств к существованию (доход от трудовой деятельности или иного занятия, пенсия, в том числе пенсия по инвалидности, стипендия, пособие, другой вид государственного обеспечения, иной источник средств к существованию).
Персональные данные относятся к категории конфиденциальной информации, предполагающей отсутствие свободного доступа к ней и наличие эффективной системы ее защиты. Включение персональных данных в разряд конфиденциальных сведений направлено на предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в личную жизнь гражданина и тем самым реализует базисные цели, положенные в основу разработки и принятия настоящего Закона.
Действующие в отношении них ограничения снимаются при наличии согласия обладателя персональных данных. Последнее предполагается также и в том случае, когда субъект выполняет ряд возложенных на него обязанностей, например при оформлении паспорта, регистрации актов гражданского состояния и т.п.
Представленные в качестве динамичной монолитной категории, персональные данные по смыслу комментируемого Закона имеют достаточно четкое внутреннее структурирование. Формирование в их составе ряда самостоятельных групп сведений обусловлено необходимостью их повышенной правовой защиты. В этой связи принято различать:
общедоступные персональные данные, доступ к которым неограниченного круга лиц предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
К разряду общедоступных персональных данных могут быть отнесены: фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии субъекта персональных данных. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.
Анализируемый Закон предусматривает, что требование о конфиденциальности информации не распространяется применительно к персональным данным в случаях, прямо оговоренных федеральным законом. Следует отметить, что в настоящее время ни один из действующих федеральных законов не содержит прямого указания на возможность свободного использования конфиденциальной информации;
биометрические персональные данные, характеризующие физиологические особенности человека и на основе которых можно установить его личность;
персональные данные специальной категории, включающие в свой состав данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни лица.
При этом следует отметить, что комментируемый Закон не проводит принципиальных различий относительно внутреннего содержания персональных данных, представляя последние в качестве единого самостоятельного объекта правовой защиты. Подход такого рода вполне объясним целями, сформулированными разработчиками рассматриваемого нормативного акта, -обеспечением защиты конфиденциальности всего массива персональных данных без учета их содержания и степени относимости к личности обладателя.
Следует отметить, что распределение персональных данных по самостоятельным категориям имеет место в большинстве иных законодательных и подзаконных нормативных правовых актах. В основу существующей категоризации положен критерий их целевого использования. В частности, нормами Трудового кодекса РФ предусмотрено, что персональные данные работника представляют собой обобщенные данные последнего, необходимые работодателю в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п.1 ст.86 ТК РФ). По смыслу последнего к их числу относятся: фамилия, имя, отчество работника, сведения о предшествующей трудовой деятельности, отношение к воинской обязанности, образование или уровень квалификации. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Работодателю категорически запрещается получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни.
В целях получения допуска по соответствующей форме к сведениям, составляющим государственную тайну, в состав предоставляемых персональных данных по смыслу действующего законодательства[9] в обязательном порядке относятся: фамилия, имя, отчество оформляемого, дата и место его рождения, сведения об образовании — специальность и квалификация по диплому; гражданская принадлежность, наличие ученой степени или ученого звания, владение иностранными языками и соответствующий уровень, сведения о судимости как его самого, так и его родственников, пребывании за границей, наличии за границей родственников, отношении к воинской обязанности, наличии загранпаспорта, семейном положении, место регистрации и жительства. Работники кадрового аппарата в ходе беседы с оформляемым на работу (службу) гражданином сверяют указанные в анкете данные с его личными документами (паспорт, военный билет, трудовая книжка, диплом об образовании, свидетельство о рождении и т.д.), уточняют отдельные вопросы анкеты, выявляют представляющие интерес сведения, не предусмотренные вопросами анкеты, выясняют у гражданина, имел ли он за последний год отношение к секретным работам, документам и изделиям, давал ли он обязательство по неразглашению сведений, составляющих государственную тайну, работал ли (служил) на режимных объектах, запрашивают необходимые справки и документы, знакомят гражданина с содержанием договора (контракта) об оформлении допуска к государственной тайне.
3. Комментируемый Закон выделяет несколько видов субъектов, которые участвуют в отношениях оборота персональных данных: операторы персональных данных; субъекты персональных данных;
орган по защите прав субъектов персональных данных; третьи лица.
Введением в правовой оборот категории "оператор персональных данных" законодатель не легитимирует создание нового субъекта общественных отношений по обработке персональных данных, сохраняя сформированный ранее биполярный состав последних. Предопределяя, таким образом, универсальную структуру, авторы настоящего Закона подвели под ее содержание всех без исключения субъектов, независимо от организационно-правовой формы и формы собственности последних, которые по роду деятельности связаны со сбором, накоплением, хранением, обработкой и передачей персональных данных. При этом следует отметить, что используемое в тексте комментируемого Закона понятие "оператор" представляется обезличенной категорией, развернутое представление о которой можно получить лишь в конкретном случае обработки персональных данных.
В основу категории "оператор" в процессе ее формирования законодателем в большей степени было положено не столько организационно-правовая форма субъекта, сколько выполняемые ими функции. Законодатель требует четкой определенности целей сбора и обработки персональных данных. Таким образом, цель результатов обработки персональных данных приобретает решающее значение. Последние во многом поставлены в прямую зависимость от непосредственного допуска к персональным данным в процессе их обработки. В этой связи принято различать организационную деятельность, деятельность по обоснованию целей и содержания обработки персональных данных и непосредственно саму обработку. Тем самым, следуя логике законодателя, лишь последняя из перечисленных функций связана с непосредственным ограничением прав и свобод гражданина, вмешательством в его личную жизнь, в силу чего именно здесь должны быть достаточные ограничения деятельности оператора, создающие гарантии защищенности интересов личности. Однако, проводя разграничения в части, касающейся функциональной составляющей субъекта, законодатель наделяет их единым набором прав и обязанностей в части, касающейся обработки персональных данных. Таким образом, законодатель при формальном разграничении де-факто не проводит разграничения относительно тех, кто непосредственно обрабатывает персональные данные и тем самым получает в максимально полном объеме защищаемую информацию, и теми, в чьи обязанности согласно букве закона вменяется исключительно организация процесса, создание и ведение фактически созданного банка данных. По ходу разработки и последующего рассмотрения законопроекта неоднократно предлагалось провести параллель между непосредственными операторами и организаторами процесса обработки конфиденциальных сведений, наделив их статусом обладателей персональных данных. Подобного рода деление во многом бы согласовывалось с положениями и терминологией действующего российского законодательства (см. подп.5 ст.2 ФЗ от 27 июля 2006г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"[10]).
Наряду с этим сформулированное законодательное определение оператора не дает достаточно ясного представления о последнем как об уникальном субъекте особого рода общественных отношений, правовое регулирование которых осуществляется нормами комментируемого Закона, возможности четко определить качественный состав объединяемых данной категорией лиц.
Придерживаясь избранной терминологии, оператором следует считать любое лицо, работающее с информационной системой персональных данных, независимо от оснований получения доступа к работе с последней. Оставив за рамками сформулированного определения требование к законности деятельности, законодатель сознательно допускает свободный допуск к охраняемой информации, фактически устанавливая заведомую законность деятельности оператора, единственным ограничением на пути которого выступает необходимость получения согласия субъекта персональных данных на последующую работу с ними.
Кроме того, устанавливая, что оператор определяет цели, содержание и применение результатов обработки персональных данных, закон фактически противоречит ч.3 ст.55 Конституции России, в соответствии с которой любые ограничения прав и свобод человека могут быть установлены только федеральным законом. Иными словами, учитывая заведомую значимость и влияние систем учета персональных данных на права и свободы граждан, цели, содержание и применение результатов обработки персональных данных во всех случаях должны устанавливаться федеральным законом.
4. По своему содержанию "обработка персональных данных" достаточно объемное понятие, перечень составляющих ее действий (операций), по логике авторов настоящего документа, не является исчерпывающим. Фактически обработка персональных данных включает в себя любые операции с ними от сбора до полного уничтожения последних. Представив рассматриваемое понятие таким образом, законодатель в очередной раз подтвердил статус персональных данных в качестве особой информационной категории, нуждающейся в достаточно специфическом механизме правовой защиты.
Комментируемый Закон определяет общие условия и принципы обработки персональных данных, устанавливая единые на всей территории страны правовые основы работы с ними. В целях обеспечения прав и свобод человека и гражданина оператор при обработке персональных данных субъектов обязан соблюдать следующие общие требования:
а) обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов;
б) при определении объема и содержания обрабатываемых персональных данных оператор должен руководствоваться Конституцией РФ и настоящим Федеральным законом, иными законодательными и подзаконными актами;
в) все персональные данные субъекта следует получать у него самого, третьих лиц при наличии на то согласия их носителя, за исключением случаев, когда законом не предусмотрена обязательность его получения;
г) обработка персональных данных должна осуществляться при условии законности целей и способов обработки, соответствия данных целей, заранее определенным и заявленным при сборе, а также полномочиям оператора, соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
д) персональные данные, задействованные в обработке, должны отвечать требованиям достоверности и достаточности для целей обработки;
е) обработка персональных данных является недопустимой в случае избыточности последних применительно к целям, заявленным при сборе персональных данных, а равно осуществляемая в несовместимых с ней целях;
ж) обработка персональных данных не должна служить основанием ограничения прав и свобод человека и гражданина по мотивам, связанным с использованием различных способов обработки;
з) защита персональных данных субъектов от неправомерного их использования или утраты должна быть обеспечена оператором в процессе их обработки за счет его средств и в порядке, установленном настоящим Федеральным законом;
и) оператор должен своевременно вырабатывать меры защиты персональных данных субъектов.
Кроме того, персональные данные, проходящие автоматическую обработку:
1) должны быть получены и обработаны добросовестным и законным образом;
2) должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;
3) должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;
4) должны быть точными и в случае необходимости обновляться;
5) должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.
По смыслу комментируемой статьи "обработка персональных данных" представлена как в широком, так и в узком своем значении. В первом случае предложенным термином охватываются все без исключения действия (операции), проводимые с персональными данными, второе -включает в себя лишь те, разъяснение которых содержится в тексте настоящей статьи (использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных).
Такого рода правовое деление объяснимо тем, что в своем процессе обработка персональных данных проходит две стадии: формирование информационной системы персональных данных и последующие операции с ними с использованием средств автоматизации или без их применения. В отношении каждой из представленных стадий действуют свои правовые механизмы, регулирующие поэтапную процедуру ее реализации.
В целях обеспечения защиты конфиденциальности персональных данных, создания и эксплуатации информационной системы, согласно требованиям настоящего Закона, в обязательном порядке должно предшествовать согласие субъекта персональных данных на их обработку. В остальном порядок создания информационной системы и последующей ее эксплуатации определяется положениями иных нормативных актов, затрагивающих иные стороны общественной жизни, существование которых так или иначе связано с работой с персональными данными. В частности, процедура сбора, систематизации, накопления, хранения, уточнения персональных данных регламентирована:
ФЗ от 28 марта 1998г. N 53-ФЗ "О воинской обязанности и военной службе", определяющим порядок сбора, хранения, обработки сведений, в целях организации и осуществления воинского учета граждан, призыва граждан на военную службу, заключения с ними контракта о прохождении военной службы и т.п.;
Трудовым кодексом РФ — в части, касающейся информации, необходимой работодателю в связи с трудовыми отношениями;
ФЗ от 27 мая 1998г. N 76-ФЗ "О статусе военнослужащих" — в части обеспечения декларируемых прав военнослужащих, реализации предоставляемых им социальных гарантий;
ФЗ от 15 декабря 2001г. N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации" — процесс формирования информационных банков данных в отношении страхователя и застрахованных лиц в целях осуществления обязательного пенсионного страхования;
ФЗ от 1 апреля 1996г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования" — в целях создания условий для назначения трудовых пенсий в соответствии с результатами труда каждого застрахованного лица; обеспечения достоверности сведений о стаже и заработке (доходе), определяющих размер трудовой пенсии при ее назначении; создания информационной базы для реализации и совершенствования пенсионного законодательства РФ, а также для назначения трудовых пенсий на основе страхового стажа застрахованных лиц и их страховых взносов; создания условий для контроля за оплатой страховых взносов застрахованными лицами; информационной поддержки прогнозирования расходов на выплату трудовых пенсий, определения тарифа страховых взносов в Пенсионный фонд РФ, расчета макроэкономических показателей, касающихся обязательного пенсионного страхования;
ФЗ от 15 ноября 1997г. N 143-ФЗ "Об актах гражданского состояния" — в части обеспечения процедуры государственной регистрации актов гражданского состояния; формирования актовых книг, внесения в них исправлений, изменений; восстановления и аннулирования записей актов гражданского состояния; иными законодательными и подзаконными нормативными актами, регулирующими общественные отношения в области предпринимательской деятельности, формирования судейского корпуса, органов законодательной и исполнительной власти всех уровней, прохождения государственной гражданской и иной службы, осуществления оперативно-розыскной, следственной, судебной и иной процессуальной деятельности, охраны государственной, коммерческой, банковской, налоговой и иных видов тайн и т.д.
5. Действия оператора по распространению, использованию, блокированию, уничтожению, обезличиванию персональных данных осуществляются в рамках созданной им информационной системы при соблюдении необходимых технических и иных мер защиты последних от неправомерного или случайного доступа к ним, а также от незаконного уничтожения, копирования, распространения и иных неправомерных действий. Обработка персональных данных в информационных системах, в том числе в ходе их обнародования в средствах массовой информации, размещения в информационно-телекоммуникационных сетях осуществляется в соответствии с действующими требованиями к обеспечению безопасности конфиденциальной информации. Кроме получения согласия субъекта персональных данных на их обработку, до момента распространения, использования, блокирования, уничтожения, обезличивания информации, оператор обязан поставить в известность уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
В случаях нахождения в информационных системах неполных, устаревших, недостоверных или незаконно полученных персональных данных, право инициировать их блокирование или уничтожение, по смыслу настоящего Закона, наряду с оператором предоставляется субъекту персональных данных, который тем самым реализует возможности своего доступа к ним.
Декларируя то, что персональные данные в отдельных случаях могут быть уничтожены, законодатель тем самым создает потенциальные возможности для различного рода махинаций, коррупционных проявлений и иных умышленных или случайных нарушений прав граждан без возможности последующего восстановления в своих правах. Вводя термин "уничтожение персональных данных", авторы законопроекта не предусмотрели возможность существования копий уничтожаемых данных, хотя очевидно, что данные можно считать уничтоженными не только в случае невозможности дальнейшего восстановления содержания данных в информационной системе, но и при одновременном уничтожении всех копий этих данных во всех других информационных системах, включая резервные. Для стабильной и пригодной к эксплуатации в целях управления общественными отношениями работы систем учета населения эти системы должны хранить не только сами данные о людях, но и сведения обо всех изменениях в самой системе хранения данных.
В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в информационных системах предполагается возможность создания государственного регистра населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом (см. ст.13 настоящего Закона и комментарий к ней).
6. Организационно упорядоченная совокупность персональных данных (их массивов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы, представляет собой еще один немаловажный объект рассматриваемых отношений — информационная система.
Информационные системы включают в себя:
1) государственные информационные системы — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.
Законом не предусматривается никаких различий между информационными системами, использующими персональные данные граждан, применяющимися в органах государственной власти и негосударственных структурах. Также не имеет принципиального различия форма накопления банков персональных данных в информационных системах. Последние могут быть представлены как в электронном виде, так и на бумажных носителях.
Наиболее распространенными видами информационных систем на сегодняшний день являются:
библиотека;
архив;
фонд;
банк данных.
Технические средства, предназначенные для обработки информации, содержащейся в информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства РФ о техническом регулировании.
Средства обеспечения автоматизированных информационных систем и их технологий подразделяются на:
программные (программы для электронных вычислительных машин); технические (средства вычислительной техники и связи); лингвистические (словари, тезаурусы и классификаторы);
организационно-правовые (инструкции и методики; положения, уставы, должностные инструкции, схемы и их описания, другая эксплуатационная и сопроводительная документация).
В целях создания условий для согласованного функционирования и взаимодействия операторов, органов по защите прав субъектов персональных данных, обеспечения прав, законных интересов и безопасности субъектов персональных данных, возникает необходимость в формировании единого информационного пространства, посредством интеграции разрозненных банков персональных данных, накопленных в процессе их обработки.
Формированию единой информационной системы персональных данных предшествует прохождение следующих этапов:
достаточность накопления конфиденциальной информации в базе данных, соответствующих целям и способам их обработки;
разработка унифицированных информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных.
Ценность и эффективность функционирования создаваемой информационной системы во многом будет определяться, прежде всего, ее информационными ресурсами, полнотой, достоверностью и регулярностью их поступления не только из центральных, но и региональных источников. Таким образом, формирование информационной системы персональных данных предполагает усиление работы по ее созданию как в общефедеральном масштабе, так и на уровне территорий, посредством деятельности региональных опорных зон информатизации, выступающих одновременно коммуникационными системами транзитной транспортировки данных в единый центр. Тем самым принцип комплексного согласованного развития всех элементов системы должен стать основополагающим для становления и совершенствования единой информационной технологии в сфере обработки персональных данных. При этом в качестве начальных условий принимается существующее состояние дел в информатизации указанной деятельности.
По своей правовой природе любая информационная система является сложным (составным) объектом, отдельно взятые элементы (модули) которого могут охраняться в рамках различных правовых институтов.
Создание информационной системы персональных данных предполагает широкомасштабную компьютеризацию процессов переработки информации во всех сферах деятельности и активное использование телекоммуникационных систем информационного обмена. Основными "инструментами" этого процесса являются информационные технологии, технологии связи, технические средства их реализации. Последние представляют собой всю совокупность программных, технических и организационно-экономических средств, объединенных структурно и функционально в целях осуществления поиска, сбора, хранения, обработки, предоставления, распространения информации, а равно совокупность содержащихся в базах данных информации для повышения эффективности функционирования социально-экономических объектов или структур. Информационные технологии и технические средства являются системообразующим элементом информационного пространства, определяющим уровень реального использования информации в качестве ресурса. Применение в комплекте средств криптографической защиты информации может быть использовано для повышения гарантий качества защиты.
В целях обеспечения физической сохранности персональных данных, защиты их от искажения и уничтожения, действующим законодательством предусмотрена обязательная процедура лицензирования деятельности по технической защите конфиденциальной информации в процессе работы с ней (см. Постановление Правительства РФ от 15 августа 2006г. N 504 "О лицензировании деятельности по технической защите конфиденциальной информации"[11]).
Кроме того, в указанных целях предусмотрена обязательная процедура сертификации средств обеспечения автоматизированных информационных систем и информационных технологий, предназначенных для работы с персональными данными, направленная на обеспечение их защиты от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию.
7. Включение информации в разряд конфиденциальной подразумевает соответствие последней следующим обязательным условиям: отсутствие свободного доступа к ней; наличие достаточного механизма ее защиты.
Последний, в свою очередь, включает в себя комплекс организационных, технических и юридических мероприятий, обеспечивающих информационную безопасность.
По замыслу авторов рассматриваемого Закона юридическое обеспечение конфиденциальности персональных данных требует обязательного согласия субъекта персональных данных на их обработку оператором или иными лицами, которым на законных основаниях был предоставлен доступ к персональным данным. В отдельных случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Следует отметить, что комментируемая статья несколько сужает представление о конфиденциальности персональных данных, сводя последнее к ограничениям, связанным с их распространением. Как уже было отмечено, конфиденциальность информации, в целях предотвращения угроз ее утечки, хищения, утраты, искажения или подделки должна охватывать весь процесс ее обработки (см. ст.9 настоящего Закона и комментарий к ней).
Оператор должен постоянно извещать обладателя персональных данных о проводимых в отношении последних операциях. Требование такого рода, с одной стороны, обусловлено требованиями повышенной защиты персональных данных, с другой — связано с созданием условий реализации права субъекта персональных данных на отзыв собственного согласия.
По смыслу комментируемого Закона требование конфиденциальности персональных данных не распространяется на случаи их обработки в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Кроме того, обеспечение конфиденциальности персональных данных не требуется: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных.
8. Необходимость трансграничной передачи персональных данных диктуется требованием их правовой защиты за пределами РФ, поскольку юрисдикция российских властей в силу суверенитета иностранных государств не может распространяться на их территории.
Трансграничная передача представляется законодателем в качестве одного из самостоятельных этапов их обработки. По своей юридической природе последний во многом приближен к обнародованию персональных данных, т.к. связан с их распространением неограниченному кругу лиц. Подчиняясь общим правилам обработки персональных данных, в том числе и требованию сохранения их конфиденциальности, трансграничная передача в то же время имеет свои особенности. Согласно ст.12 настоящего Закона осуществление трансграничной передачи персональных данных допустимо при условии, что на территории государства-получателя будет обеспечена их адекватная защита, гарантирующая право на неприкосновенность частной жизни при передаче персональных данных.
Статья 4.Законодательство Российской Федерации в области персональных данных
Комментарий к статье 4
1. Комментируемая статья определяет состав основных нормативных актов, формирующих систему законодательства в области персональных данных, их структуру и содержание. Законодательство в области персональных данных складывается из отдельных норм Конституции РФ, международно-правовых положений, настоящего Федерального закона, иных федеральных законов, определяющих случаи и особенности обработки персональных данных, принимаемых на основании и во исполнение последних органами государственной власти в пределах их компетенции нормативных правовых актов по отдельным вопросам, касающимся обработки персональных данных.
Как видно из приведенного перечня, законодательство в области персональных данных представляет собой одноуровневую систему, складывающуюся исключительно из норм федерального законодательства. Подобная законодательная оговорка, обусловлена тем обстоятельством, что в соответствии с подп."в" п.1 ст.71 Конституции РФ регулирование прав и свобод человека и гражданина как одних из высших демократических ценностей отнесено к исключительному ведению РФ. Следует отметить, что субъекты РФ при этом правомочны регулировать рассматриваемую группу правоотношений в части касающейся конкретизации условий реализации и соблюдения прав. Принимаемые ими нормативные акты должны соответствовать установленным федеральными законами общим принципам и не могут придать им смысл, который означает по сути ограничение прав и свобод. Подобной позиции придерживается и Конституционный Суд РФ, который неоднократно в своих определениях отмечал, что Федерации принадлежит принципиальное первичное конституционно-правовое регулирование прав и свобод, установление их единых федеральных стандартов, способов, средств и порядка защиты.
2. Построение системы законодательства в области персональных данных обусловлено строгой иерархичностью и соподчинением. Правовую основу построения системы защиты персональных данных составляют положения Конституции РФ. В статьях 22 и 23 содержатся нормы, провозглашающие основные права личности, касающиеся частной жизни. В них закреплено право на неприкосновенность частной жизни, личную и семейную тайну. Запрещается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. На органы государственной власти возлагается обязанность обеспечить каждому возможность ознакомления с документами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Формируя законодательную основу обработки персональных данных, законодатель принимает за основу и нормы международного права, содержащие основные принципы работы с персональными данными в процессе их обработки. Первоначально указанные принципы нашли свое закрепление в Международной конвенции "Об охране личности в отношении автоматизированной обработки персональных данных" ЕТЗ N 108 (28 января 1981г.)[12], которая стала объединяющим началом для соответствующего национального законодательства. Затем система защиты персональных данных развивалась в Директиве Европейского Союза и Парламента 95/46/ЕС от 24 октября 1995г. о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных и Директиве 97/66/ЕС от 15 декабря 1997г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе. Названные документы содержат перечень основных мер для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.
Вступление России в Совет Европы не обязывает ее приводить национальное законодательство в соответствие с директивами Совета Европы, в том числе включенными в настоящее издание. Однако очевидно, что равноправным членом Европейского Сообщества Россия сможет стать, только приняв правила игры, то есть сформированную Сообществом систему ценностей. Вместе с тем, придерживаясь конституционного принципа о включении общепризнанных принципов и норм международного права и международных договоров РФ в состав национальной правовой системы (ст.15 Конституции РФ), законодатель подчеркивает преимущественное положение последних в области правового регулирования обработки персональных данных, при условии если международным договором РФ установлены иные правила, чем предусмотренные законом.
3. Основополагающим нормативным актом в области обращения персональных данных выступает настоящий Закон. Все иные нормативные акты, принимаемые после его подписания, не должны ему противоречить, ранее действующие же — приведены в соответствии с ним. В случае возникновения противоречий приоритет должен отдаваться комментируемому Закону. Последний был принят Государственной Думой 8 июля 2006г., одобрен Советом Федерации 14 июля 2006г. и подписан Президентом РФ 27 июля 2006г. Текст Федерального закона опубликован в "Российской газете" от 29 июля 2006г. N 165. Согласно п.1 ст.25 настоящего Закона момент вступления последнего в законную силу определен истечением 180 дней с момента его официального опубликования.
Рассматриваемый документ представлен в виде 6 глав, включающих в себя 25 статей. В Законе определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, Закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств. Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона. Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных. Операторы, осуществляющие обработку персональных данных до вступления в силу Закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 г.
4. В систему законодательства в области персональных данных помимо названных актов законодателем включены и иные законы. Последние условно можно разделить на две самостоятельные группы: 1) принятые до настоящего Закона и приведенные в соответствие с ним; 2) принятые на основании и в исполнение положений последнего.
В первой группе можно выделить:
Трудовой кодекс РФ, в главе 14 которого закреплены основополагающие требования по защите персональных данных работника. Прием работника по деловым качествам предполагает применение определенных приемов сбора сведений о работнике, с тем чтобы они достаточно полно выявили заранее установленный круг критериев, необходимых для занятия той или иной должности, т.е. работодатель фактически осуществляет сбор персональных данных работника;
Таможенный кодекс РФ от 28 мая 2003г. N 61-ФЗ[13], регламентирующий процедуру обработки персональных данных лиц, осуществляющих деятельность, связанную с перемещением товаров и транспортных средств через таможенную границу либо осуществляющих деятельность в области таможенного дела, в целях проведения таможенного контроля и взимания таможенных платежей;
Федеральный закон от 27 июля 2006г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"[14] дает общее определение персональных данных, закладывает основные принципы правового регулирования деятельности, связанной с персональными данными. Здесь же вводится ответственность за нарушение их конфиденциальности, а также обязательность лицензирования для негосударственных организаций и частных лиц деятельности, связанной с обработкой и предоставлением персональных данных;
Федеральный закон от 15 ноября 1997г. N 143-ФЗ "Об актах гражданского состояния" регламентирует процедуру защиты конфиденциальных сведений в процессе регистрации актов гражданского состояния.
Кроме того, вопросы правового регулирования работы с персональными данными затронуты в Федеральных законах от 22 октября 2004г. N 125-ФЗ "Об архивном деле в Российской Федерации", от 12 августа 1995г. N 144-ФЗ "Об оперативно-розыскной деятельности", от 12 июня 2002г. N 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации", Налоговом кодексе РФ, Основах законодательства РФ об охране здоровья граждан от 22 июля 1993г. N 5487-1, Законах РФ от 21 июля 1993г. N 5485-1 "О государственной тайне", от 28 марта 1998г. N 53-ФЗ "О воинской обязанности и военной службе", Федеральных законах от 1 апреля 1996г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", от 8 августа 2001г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей" и ряде иных. В Гражданском кодексе РФ статья 152 защищает честь, достоинство и деловую репутацию гражданина. В Уголовном кодексе РФ в ст.137 устанавливается уголовная ответственность "за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну".
Вторая группа только предстоит формированию.
5. Важная роль в организации работы с персональными данными принадлежит Президенту РФ, Правительству РФ, органам государственной власти и управления, нормативные правовые акты которых создают организационную основу применения соответствующих законодательных положений. Они формируют существо повседневного регулирования обработки и защиты персональных данных. В числе основных здесь можно отметить: Приказ Минсельхоза РФ от 28 июля 2005г. N 134 "О защите персональных данных государственных гражданских служащих Минсельхоза России"; Указ Президента РФ от 30 мая 2005г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела"; Приказ Федерального агентства правительственной связи и информации при Президенте РФ от 23 сентября 1999г. N 158 "Об утверждении Положения о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну".
Комментируемой статьей законодатель определяет основные требования их легитимности. Во-первых, подзаконные нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных и тем самым противоречить требованиям настоящего Закона. Во-вторых, указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами. К числу последних относятся ведомственные приказы, распоряжения и инструкции, содержащие сведения, составляющие государственную, коммерческую или иную охраняемую законом тайну.