Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»
Шрифт:
Первые упоминания о персональных данных в российском законодательстве появились в Федеральном законе от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации». Однако детальное регулирование было осуществлено возникло лишь с принятием в 2006 г. Закона о персональных данных, который не только был основан на положениях Конвенции 1981 г., ратифицированной Россией в 2005 г., но и заимствовал многие нормы Директивы 1995 г. (особенно в массивном пакете поправок, принятых в 2011 г.). В этой связи европейский подход к толкованию положений этих документов представляет собой особый интерес непосредственно для российской практики, позволяя не только не «изобретать велосипед», но и взвешенно подходить к решению достаточно сложных проблем, возникающих при применении весьма специфического по своей сути законодательства.
2. Как следует из ч. 1 комментируемой статьи, регулирование
3. Закон о персональных данных является базовым законодательным актом, регулирующим отношения, связанные с обработкой персональных данных, и определяет принципы, условия и правила обработки персональных данных (Определение Конституционного Суда РФ от 17 июля 2012 г. № 1346-О). Иные федеральные законы могут конкретизировать случаи и особенности обработки отдельных категорий персональных данных, но не могут устанавливать иные принципы обработки персональных данных или давать дефиниции ключевых терминов. Примером такого федерального закона служит Трудовой кодекс РФ, который содержит специальную главу (гл.14), посвященную особенностям защиты персональных данных работников. Другим примером подобного акта является Федеральный закон от 7 июня 2013 г. № 108-ФЗ «О подготовке и проведении в Российской Федерации чемпионата мира по футболу FIFA 2018 года, Кубка конфедераций FIFA 2017 года и внесении изменений в отдельные законодательные акты Российской Федерации», который содержит специальную статью (ст. 23.1), посвященную особенностям обработки персональных данных граждан Российской Федерации в процессе подготовки и проведения указанных мероприятий.
4. Отнесение законодательства в области персональных данных к сфере ведения федерального законодателя не означает невозможности существования нормативных правовых актов иных уровней. Органы государственной власти РФ, субъектов РФ, органы местного самоуправления и Центральный Банк России (который формально не является государственным органом и имеет особый статус) наделены правом принимать нормативные правовые акты в указанной сфере при одновременном соблюдении следующих условий, указанных в ч. 2 комментируемой статьи:
1) такая возможность должна быть прямо предусмотрена в федеральном законе;
2) указанные акты должны быть приняты вышеназванными органами в пределах своих полномочий;
3) указанные акты не могут содержать положения, ограничивающие права субъектов персональных данных, или устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов, или возлагающие на операторов не предусмотренные федеральными законами обязанности;
4) такие акты подлежат обязательному опубликованию, что исключает возможность использования правовых актов с грифом «Для служебного пользования» для регулирования прав и обязанностей лиц, которые не имеют к ним доступа 71 .
71
К сожалению, такие ситуации иногда имеют место на практике. Например, при регулировании вопросов обязательной сертификации средств защиты информации в информационных системах персональных данных, когда государственные органы аргументируют свою позицию ссылкой на Постановление Правительства РФ от 15 мая 2010 г. № 330 с грифом «Для служебного пользования». См. подробнее: Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. М.: Статут, 2014. С. 514-515.
В основном такого рода подзаконные акты касаются вопросов обеспечения информационной безопасности информационных систем (см. комментарий к ст. 19 Закона о персональных данных), порядка проведения контрольно-надзорных мероприятий (см. комментарий к ст. 23 настоящего Закона), особенностей обработки персональных данных в отдельных государственных органах.
5. Среди важных документов, формально не являющихся нормативными правовыми актами, но оказывающими немалое влияние на правоприменительную практику в сфере законодательства о персональных данных, следует отметить разъяснения Минкомсвязи России, которое является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных, и уполномочено на дачу разъяснений по данным вопросам 72 . Кроме них также следует упомянуть комментарии и информацию Роскомнадзора, которые хотя и не являются официальными актами толкования законодательства, но могут оказывать существенное влияние на практику в силу убедительности содержащихся в них аргументов либо в силу статуса лица, которое их предоставило.
72
См. п. 1 и 6.6 Положения о Министерстве связи и массовых коммуникаций Российской Федерации, утв. постановлением Правительства РФ от 2 июня 2008 г. № 418 «О Министерстве связи и массовых коммуникаций Российской Федерации».
6. Согласно ч. 3 комментируемой статьи порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами Российской Федерации. В настоящее время одним из таких актов является Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15 сентября 2008 г. № 687. О понятии обработки персональных данных без использования средств автоматизации см. комментарий к ст. 1 Закона о персональных данных. Ключевые особенности такой обработки можно свести в следующий перечень:
Персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях; при этом для разных категорий персональных данных должны использоваться разные носители.
Обработка должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения материальных носителей персональных данных и установить перечень лиц, осуществляющих их обработку либо имеющих к ним доступ.
Работники и привлеченные на основании гражданско-правовых договоров лица, осуществляющие такую обработку, должны быть проинформированы об этом, а также об особенностях и правилах такой обработки.
Используемые типовые формы документов, в которых фигурируют персональные данные, должны соответствовать определенным требованиям (содержать информацию, состав которой по сути совпадает с перечнем ч. 4 ст. 9 Закона о персональных данных и необходим для дачи субъектом информированного согласия на обработку данных; место для подписи и пр.).
Порядок ведения журналов, содержащих персональные данные, необходимых для однократного пропуска субъекта персональных данных на территорию оператора, должен предусматриваться локальным актом, сведения таких журналов не могут копироваться.
7. Часть 4 комментируемой статьи воспроизводит конституционное положение о приоритете положений международных соглашений перед федеральным законом. К важнейшим международным договорам, имеющим отношение к защите персональных данных, следует отнести Международный пакт от 16 декабря 1966 г. «О гражданских и политических правах», ст. 17 которого предусматривает, что «никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию». Кроме того, следует отметить положение ст. 8 Конвенции о защите прав человека и основных свобод 1950 г., по которому «каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции». Данные положения, несмотря на их схожесть, имеют несколько разные акценты: в первом случае акцент делается на недопустимости вмешательства в частную жизнь и обеспечении конфиденциальности таких данных 73 , во втором – на уважении частной жизни, что дает основания для более широкого толкования данного права. Это достаточно очевидно следует из практики ЕСПЧ, решения которого являются обязательными для Российской Федерации, если она выступает стороной такого спора.
73
General Comment 16 issued 23 March 1988 (UN Doc A/43/40, 181-183).