Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных"
Шрифт:
Следует отметить, что распределение персональных данных по самостоятельным категориям имеет место в большинстве иных законодательных и подзаконных нормативных правовых актах. В основу существующей категоризации положен критерий их целевого использования. В частности, нормами Трудового кодекса РФ предусмотрено, что персональные данные работника представляют собой обобщенные данные последнего, необходимые работодателю в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п.1 ст.86 ТК РФ). По смыслу последнего к их числу относятся: фамилия, имя, отчество работника, сведения о предшествующей трудовой деятельности, отношение к воинской обязанности, образование или уровень квалификации. Все персональные данные работника следует получать у него самого. Если персональные
В целях получения допуска по соответствующей форме к сведениям, составляющим государственную тайну, в состав предоставляемых персональных данных по смыслу действующего законодательства [9] в обязательном порядке относятся: фамилия, имя, отчество оформляемого, дата и место его рождения, сведения об образовании — специальность и квалификация по диплому; гражданская принадлежность, наличие ученой степени или ученого звания, владение иностранными языками и соответствующий уровень, сведения о судимости как его самого, так и его родственников, пребывании за границей, наличии за границей родственников, отношении к воинской обязанности, наличии загранпаспорта, семейном положении, место регистрации и жительства. Работники кадрового аппарата в ходе беседы с оформляемым на работу (службу) гражданином сверяют указанные в анкете данные с его личными документами (паспорт, военный билет, трудовая книжка, диплом об образовании, свидетельство о рождении и т.д.), уточняют отдельные вопросы анкеты, выявляют представляющие интерес сведения, не предусмотренные вопросами анкеты, выясняют у гражданина, имел ли он за последний год отношение к секретным работам, документам и изделиям, давал ли он обязательство по неразглашению сведений, составляющих государственную тайну, работал ли (служил) на режимных объектах, запрашивают необходимые справки и документы, знакомят гражданина с содержанием договора (контракта) об оформлении допуска к государственной тайне.
9
См.: Закон РФ от 21 июля 1993г. N 5485-1 "О государственной тайне" // СЗ РФ. 1997. N 41. Ст.4673; Постановление Правительства РФ от 28 октября 1995г. N 1050 "Об утверждении Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне" // СЗ РФ. 1997. N 43. Ст.4987.
3. Комментируемый Закон выделяет несколько видов субъектов, которые участвуют в отношениях оборота персональных данных: операторы персональных данных; субъекты персональных данных;
орган по защите прав субъектов персональных данных; третьи лица.
Введением в правовой оборот категории "оператор персональных данных" законодатель не легитимирует создание нового субъекта общественных отношений по обработке персональных данных, сохраняя сформированный ранее биполярный состав последних. Предопределяя, таким образом, универсальную структуру, авторы настоящего Закона подвели под ее содержание всех без исключения субъектов, независимо от организационно-правовой формы и формы собственности последних, которые по роду деятельности связаны со сбором, накоплением, хранением, обработкой и передачей персональных данных. При этом следует отметить, что используемое в тексте комментируемого Закона понятие "оператор" представляется обезличенной категорией, развернутое представление о которой можно получить лишь в конкретном случае обработки персональных данных.
В основу категории "оператор" в процессе ее формирования законодателем в большей степени было положено не столько организационно-правовая форма субъекта, сколько выполняемые ими функции. Законодатель требует четкой определенности целей сбора и обработки персональных данных. Таким образом, цель результатов обработки персональных данных приобретает решающее значение. Последние во многом поставлены в прямую зависимость от непосредственного допуска к персональным данным в процессе их обработки. В этой связи принято различать организационную деятельность, деятельность по обоснованию целей и содержания обработки персональных данных и непосредственно саму обработку. Тем самым, следуя логике законодателя, лишь последняя из перечисленных функций связана с непосредственным ограничением прав и свобод гражданина, вмешательством в его личную жизнь, в силу чего именно здесь должны быть достаточные ограничения деятельности оператора, создающие гарантии защищенности интересов личности. Однако, проводя
10
СЗ РФ. 2006. N 31 (часть ). Ст.3448.
Наряду с этим сформулированное законодательное определение оператора не дает достаточно ясного представления о последнем как об уникальном субъекте особого рода общественных отношений, правовое регулирование которых осуществляется нормами комментируемого Закона, возможности четко определить качественный состав объединяемых данной категорией лиц.
Придерживаясь избранной терминологии, оператором следует считать любое лицо, работающее с информационной системой персональных данных, независимо от оснований получения доступа к работе с последней. Оставив за рамками сформулированного определения требование к законности деятельности, законодатель сознательно допускает свободный допуск к охраняемой информации, фактически устанавливая заведомую законность деятельности оператора, единственным ограничением на пути которого выступает необходимость получения согласия субъекта персональных данных на последующую работу с ними.
Кроме того, устанавливая, что оператор определяет цели, содержание и применение результатов обработки персональных данных, закон фактически противоречит ч.3 ст.55 Конституции России, в соответствии с которой любые ограничения прав и свобод человека могут быть установлены только федеральным законом. Иными словами, учитывая заведомую значимость и влияние систем учета персональных данных на права и свободы граждан, цели, содержание и применение результатов обработки персональных данных во всех случаях должны устанавливаться федеральным законом.
4. По своему содержанию "обработка персональных данных" достаточно объемное понятие, перечень составляющих ее действий (операций), по логике авторов настоящего документа, не является исчерпывающим. Фактически обработка персональных данных включает в себя любые операции с ними от сбора до полного уничтожения последних. Представив рассматриваемое понятие таким образом, законодатель в очередной раз подтвердил статус персональных данных в качестве особой информационной категории, нуждающейся в достаточно специфическом механизме правовой защиты.
Комментируемый Закон определяет общие условия и принципы обработки персональных данных, устанавливая единые на всей территории страны правовые основы работы с ними. В целях обеспечения прав и свобод человека и гражданина оператор при обработке персональных данных субъектов обязан соблюдать следующие общие требования:
а) обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов;
б) при определении объема и содержания обрабатываемых персональных данных оператор должен руководствоваться Конституцией РФ и настоящим Федеральным законом, иными законодательными и подзаконными актами;
в) все персональные данные субъекта следует получать у него самого, третьих лиц при наличии на то согласия их носителя, за исключением случаев, когда законом не предусмотрена обязательность его получения;
г) обработка персональных данных должна осуществляться при условии законности целей и способов обработки, соответствия данных целей, заранее определенным и заявленным при сборе, а также полномочиям оператора, соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
д) персональные данные, задействованные в обработке, должны отвечать требованиям достоверности и достаточности для целей обработки;
е) обработка персональных данных является недопустимой в случае избыточности последних применительно к целям, заявленным при сборе персональных данных, а равно осуществляемая в несовместимых с ней целях;
ж) обработка персональных данных не должна служить основанием ограничения прав и свобод человека и гражданина по мотивам, связанным с использованием различных способов обработки;