Помоги проекту - поделись книгой:
М.И. Петров
Комментарий к федеральному закону от 27 июля 2006г. N 152-ФЗ "О персональных данных"
(постатейный)
Петров Михаил Игоревич
Практикующий юрист, область специализации — военное, социальное законодательство, защита информации и обеспечения информационной безопасности. Автор ряда публикаций в данной области: Комментарий к должностным инструкциям; практические пособия: "Безопасность и персонал", "Нормирование труда" и др.
Федеральный закон О персональных данных
27 июля 2006 года
N 152-ФЗ
Российская Федерация
Федеральный закон О персональных данных
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
Глава 1.
Общие положения
Статья 1.
Сфера действия настоящего Федерального закона
Комментарий к статье 1
1. До настоящего времени в РФ сбор и обработку персональных данных осуществляло большое количество различных по своему правовому положению, характеру и объему полномочий субъектов, включая государственные органы, органы местного самоуправления, различные государственные и негосударственные организации, действующие на основании разрозненных и нередко не согласованных между собой положений законодательства РФ. При этом единые подходы к деятельности рассматриваемых субъектов по сбору и обработке персональных данных действующим законодательством не были установлены. Отсутствовал также единый специализированный правовой механизм защиты прав граждан при обработке персональных данных.
Нередки были случаи дублирования полномочий государственных органов и органов местного самоуправления, сбора и обработки избыточных данных, не соответствующих полномочиям осуществляющих сбор и обработку персональных данных органов и организаций. Отсутствовал централизованный контроль за деятельностью по сбору и обработке персональных данных.
В складывающейся ситуации уровень защиты прав граждан при обработке их персональных данных, эффективность выполнения государственными органами и органами местного самоуправления возложенных на них задач и функций существенно снижались, был затруднен доступ граждан к административным услугам, а сами граждане нередко принуждались к выполнению множества лишних процедур.
Широкое распространение получали случаи несанкционированного доступа к собранным различными государственными органами и иными организациями персональным данным, их незаконного копирования, распространения и использования. В результате чего сформировался и достаточно стабильно функционирует рынок полученных преступным путем информационных систем и баз, содержащих персональные данные.
В немалой степени сложившаяся ситуация была обусловлена отсутствием единообразного правового регулирования по рассматриваемым вопросам. Принятие комментируемого Закона, предусматривающего такого рода регулирование, по мнению его разработчиков, позволит создать необходимую правовую основу для реализации конституционных прав граждан, защиты общественных и государственных интересов, обеспечения законных интересов лиц, использующих персональные данные в своей деятельности.
Наряду с этим принятие законодательного акта, основанного на конституционных положениях, гарантирующих защиту прав на неприкосновенность частной жизни, личную и семейную тайну (ч.1 ст.23), запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (ч.1 ст.24), обязанность органов государственной власти, органов местного самоуправления, их должностных лиц обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы (ч.2 ст.24), право свободно искать, получать, передавать, производить и распространять информацию любым законным способом (ч.4 ст.29), а также возможность ограничения названных конституционных прав граждан в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (ч.3 ст.55), во многом было актуализировано международно-правовыми обязательствами РФ и являлось одним из обязательных условий по ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981г.), что, по представлению разработчиков соответствующего Закона и законодателя, должно способствовать укреплению внешнеполитических позиций страны.
Таким образом, принятие законодательного акта, устанавливающего унифицированные правила сбора и обработки персональных данных физических лиц, а также правовые механизмы защиты прав граждан при сборе и обработке персональных данных, являлось актуальным и концептуально обоснованным.
Настоящий Закон представляет собой достаточно эффективный механизм противодействия повсеместному нарушению прав физических лиц в отношении их персональных данных путем незаконного распространения сведений, содержащихся в информационных системах органов государственной власти и негосударственных организаций. Обеспечивая защиту персональных данных, государство тем самым укрепляет правовую защищенность и безопасность личности, создает благоприятную обстановку для всестороннего развития граждан и общества в целом, создаются предпосылки для экономического роста и обеспечения политической стабильности. Столь же необходимым является создание правовых условий для решения государственных задач в области управления ресурсами с целью решения социальных проблем предоставления услуг на основе сбалансированного и социально справедливого разделения государственных средств, а также реализации функций осуществления государственных учетов, необходимых для работы налоговых служб, правоохранительных органов.
2. Анализируемый Закон является базовым актом, устанавливающим критерии законности действий, связанных с обработкой персональных данных, а также пределы ограничения прав субъектов персональных данных в связи с обеспечением общественных интересов, безопасности личности, общества и государства. Последним формируются унифицированные требования к информации, предоставляемой субъекту персональных данных во время сбора персональных данных, до момента их обработки или передачи третьим лицам, что создает особый правовой механизм обеспечения прав субъекта персональных данных. Построение последнего при работе с персональными данными осуществляется на основе общепринятых международных норм и принципов в соответствии с Конституцией РФ и законами РФ, в том числе и настоящим нормативным актом, необходимо для обеспечения прав и свобод личности, связанных со сбором, обработкой и использованием персональных данных в условиях, когда широкомасштабное применение средств вычислительной техники для этих целей позволяет сделать личную жизнь граждан "прозрачной" для государственных органов.
Комментируемой статьей законодатель очерчивает пределы правового регулирования настоящего Федерального закона, определяет объект воздействия и субъектов правоприменения. Юридическое содержание сферы его действия составляют отношения, связанные с обработкой персональных данных, с использованием средств автоматизации или без использования таковых, при условии, что это соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. При этом следует отметить, что используемые в тексте настоящего Закона правовые категории являются обезличенными, потенциально применимыми к абсолютному большинству случаев обработки персональных данных. Раскрытие содержания каждой из них, их последующая конкретизация будут иметь место лишь в уникальном правовом акте, нормы которого определяют нормы должного и дозволенного поведения в конкретных областях общественной жизни.
В процессе принятия анализируемого документа неоднократно подчеркивалось, что сфера действия Федерального закона ограничивается исключительно обработкой персональных данных, подразумевая под этим, в силу буквального толкования термина, их сбор, хранение, их возможный анализ, и тем самым исключает возможность защиты индивидуальной информации при ее распространении, хотя по статистике чаще нарушение прав и законных интересов граждан и организаций является следствием незаконного распространения персональных данных. Однако следует отметить, что в термин "обработка персональных данных" законодателем было заложено куда более расширенное содержание, чем это представляется на первый взгляд. По смыслу подп.3 п.1 ст.3 настоящего Закона под "обработкой персональных данных" понимаются любые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (см. ст.3 настоящего Закона и комментарий к ней).
Объективные сложности правового регулирования в сфере защиты персональных данных обусловлены необходимостью сбалансировать в законе противоречивые интересы, как минимум, трех групп субъектов:
граждан, чьи персональные данные собираются и обрабатываются (субъекты персональных данных);
государственных органов, обязанных обрабатывать персональные данные в связи с исполнением своих полномочий;
негосударственных организаций, заинтересованных в обработке персональных данных в соответствии с целями своей деятельности, в том числе в интересах бизнеса.
В такого рода ситуациях действующее законодательство, а равно органы государственной власти, ответственные за его исполнение, не могут в полной мере гарантировать охрану всех персональных данных, а также установить ограничения на сбор и распространение некоторых из них (в большей части это касается персональных данных, которые их обладатель распространяет самостоятельно). Однако с их стороны требуется реальный контроль за соблюдением установленных запретов с целью обеспечения надежной охраны для законодательно установленного минимума.
Законодатель определяет общий запрет на обработку персональных данных, не придавая при этом принципиального значения тому, каким именно образом она будет осуществляться — с применением средств автоматизации либо без таковой. В последнем случае законодатель допускает обработку персональных данных лишь при условии, что она соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. По всей видимости, речь идет о персональных данных, содержащихся на бумажных носителях, структурированных или систематизированных определенным образом, без чего доступ к ним без использования средств автоматизации вряд ли может быть обеспечен. Вместе с тем ошибочным было бы представление, что обработку персональных данных без использования средств автоматизации следует рассматривать как исключение. Последняя допустима лишь в случаях обработки данных собранных оператором в целях рекламы, маркетинга, политической и иной агитации, а равно в целях реализации своих полномочий. Ситуация подобного рода существенным образом ограничивала бы права ряда операторов, полностью или частично осуществляющих обработку персональных данных без использования средств автоматизации.
Рядом положений настоящего Закона установлен особый правовой режим защиты специальных категорий персональных данных, в числе которых называются сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (см. ст.10 настоящего Закона и комментарий к ней). Действия с этими персональными данными без должных гарантий обеспечения прав субъекта персональных данных могут нанести ему повышенный ущерб. Одновременно законодатель перечисляет условия, при которых обработка персональных данных может быть произведена без получения предварительного согласия субъекта персональных данных (например, для обеспечения его жизни и здоровья).
Придерживаясь конституционного принципа о праве каждого свободно искать, получать, передавать, производить и распространять информацию любым законным способом, законодатель включает в сферу действия анализируемого нормативного акта полный круг субъектов права — федеральные органы государственной власти, органы государственной власти субъектов РФ, органы муниципальной власти, физические и юридические лица.
3. Вне сферы правового регулирования рассматриваемого нормативного акта были выделены правоотношения, связанные с обработкой персональных данных, осуществляемой с молчаливого согласия их обладателя. Условно правоотношения, сформулированные законодателем в ч.2 комментируемой статьи, можно сгруппировать в две относительно самостоятельные категории.
3.1. Первая представлена правоотношениями, осуществление которых связано с удовлетворением личных потребностей обладателя персональных данных. К ним относятся обработка персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных и обработкой подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством РФ в связи с деятельностью физического лица в качестве индивидуального предпринимателя.
В целях предотвращения нарушений прав граждан на неприкосновенность частной жизни, положения настоящего Закона не применяются к персональным данным, обрабатываемым физическими лицами исключительно для личных и семейных нужд лишь в случаях, если при этом не нарушаются права иных субъектов персональных данных. Представляется, что оговорка о нераспространении положений настоящего Закона на случаи обработки персональных данных исключительно для личных и семейных нужд нуждается в дополнительной конкретизации, поскольку не ясны цели такого рода обработки. В данном случае требуются дополнительные пояснения, например, что при этом не должны нарушаться права иных лиц или что в этом случае персональные данные не должны распространяться или использоваться по иному назначению, поскольку и "личные", и "семейные" нужды при желании можно трактовать достаточно широко.
Можно лишь предположить, что подобного рода ограничения касаются сведений, подлежащих внесению в запись акта о рождении, заключении брака, расторжении брака, об усыновлении (удочерении), установлении отцовства, о перемене имени или смерти в соответствии с требованиями ФЗ от 15 ноября 1997г. N 143-ФЗ "Об актах гражданского состояния"[1]. Кроме того, в запись акта гражданского состояния могут быть включены и иные сведения, обусловленные особыми обстоятельствами государственной регистрации конкретного акта гражданского состояния (см. п.3 ст.6 ФЗ "Об актах гражданского состояния"). Кроме того, в числе такого рода сведений также можно отметить данные, отражаемые в трудовых и хозяйственных договорах, не связанных с осуществлением предпринимательской деятельности, публикуемые с согласия обладателя в средствах массовой информации, использование персональных данных в маркетинговых и рекламных целях, для политической и иной агитации, а также трансграничную передачу персональных данных.
В единый государственный реестр индивидуальных предпринимателей по смыслу действующего законодательства подлежат внесению:
а) фамилия, имя и (в случае, если имеется) отчество на русском языке;
б) пол;
в) дата и место рождения;
г) гражданство;
д) место жительства в РФ (указывается адрес — наименование субъекта РФ, района, города, иного населенного пункта, улицы, номера дома, квартиры, — по которому индивидуальный предприниматель зарегистрирован по месту жительства в установленном законодательством РФ порядке);
е) данные основного документа, удостоверяющего личность гражданина РФ на территории РФ;
ж) вид и данные документа, установленного федеральным законом или признаваемого в соответствии с международным договором РФ в качестве документа, удостоверяющего личность иностранного гражданина;
з) вид и данные документа, предусмотренного федеральным законом или признаваемого в соответствии с международным договором РФ в качестве документа, удостоверяющего личность лица без гражданства;
и) вид, данные и срок действия документа, подтверждающего право индивидуального предпринимателя временно или постоянно проживать в РФ;
к) дата государственной регистрации физического лица в качестве индивидуального предпринимателя и данные документа, подтверждающего факт внесения в единый государственный реестр индивидуальных предпринимателей записи об указанной государственной регистрации;
л) дата и способ прекращения физическим лицом деятельности в качестве индивидуального предпринимателя;
м) сведения о лицензиях, полученных индивидуальным предпринимателем;
н) идентификационный номер налогоплательщика, дата постановки на учет индивидуального предпринимателя в налоговом органе;
о) номер и дата регистрации индивидуального предпринимателя в качестве страхователя: в территориальном органе Пенсионного фонда РФ; в исполнительном органе Фонда социального страхования РФ; в территориальном фонде обязательного медицинского страхования;
п) сведения о банковских счетах индивидуального предпринимателя (см. п.2 ст.5 ФЗ от 8 августа 2001г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей"[2]).
Законодатель подчеркивает, что исключение перечисленных сведений из сферы действия настоящего Федерального закона допустимо исключительно в случаях их обработки в связи с деятельностью физического лица в качестве индивидуального предпринимателя. Работа со сведениями, включенными в государственный реестр, осуществляется регистрирующим органом в порядке и на условиях, установленных Постановлением Правительства РФ от 16 октября 2003г. N 630 "О Едином государственном реестре индивидуальных предпринимателей, Правилах хранения в единых государственных реестрах юридических лиц и индивидуальных предпринимателей документов (сведений) и передачи их на постоянное хранение в государственные архивы, а также о внесении изменений и дополнений в Постановления Правительства РФ от 19 июня 2002г. N 438 и 439"[3]. По смыслу последнего обработка персональных данных, включаемых в единый государственный реестр индивидуальных предпринимателей, сводится к ведению книги учета государственной регистрации индивидуальных предпринимателей, регистрационного дела индивидуального предпринимателя; предоставлению сведений о номере, о дате выдачи и об органе, выдавшем документ, удостоверяющий личность физического лица, сведений о банковских счетах индивидуальных предпринимателей государственным органам, органам государственных внебюджетных фондов, органам местного самоуправления, банкам и иным коммерческим организациям, правоохранительным органам и судам по находящимся в производстве делам, а в случаях, определенных федеральными законами, — физическим и юридическим лицам по их запросам.
3.2. Во второй группе отношения объединены по признаку их общественной и государственной значимости. Здесь распространение персональных данных осуществляется без ограничений, установленных настоящим Федеральным законом, в случаях организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ и обработки персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
В соответствии со ст.3 ФЗ от 22 октября 2004г. N 125-ФЗ "Об архивном деле в Российской Федерации" документом Архивного фонда РФ является архивный документ, прошедший экспертизу ценности документов, поставленный на государственный учет и подлежащий постоянному хранению. Любым иным архивным документом, в свою очередь, выступают материальные носители с зафиксированной на них информацией, которые имеют реквизиты, позволяющие его идентифицировать, и подлежат хранению в силу значимости указанных носителей и информации для граждан, общества и государства. В отличие от документов, включенных в состав Архивного фонда РФ в силу их культурно-исторической, научной ценности, важного значения для общества и государства, любые иные архивные документы могут находиться на хранении как в архивных фондах государственных учреждений, организаций, предприятий, органов государственной власти и управления, органов местного самоуправления, прокуратуры, воинских частей, государственных институтов, негосударственных коммерческих и некоммерческих организаций, физических лиц и т.п.(см. Указ Президента РФ от 17 марта 1994г. N 552 "Об утверждении Положения об Архивном фонде РФ"[4]).
Отметим, что законодатель не производит специального разграничения относительно формы собственности и принадлежности архивного документа, равно как и обладатель такого рода документов, осуществляющий их хранение, комплектование, учет и использование. Принципиальное значение в подобном отношении приобретает лишь то обстоятельство, что названным категориям архивных документов должна быть обеспечена защита и соблюдаться установленный порядок работы с ними в соответствии с требованиями действующего законодательства. Тем самым законодатель подтверждает право пользователя архивных документов свободно использовать, передавать, распространять информацию, содержащуюся в предоставленных ему архивных документах, а также копии архивных документов для любых законных целей и любым законным способом. Порядок использования архивных документов определяется специально уполномоченным Правительством РФ федеральным органом исполнительной власти (см., например, Приказ Росархива от 6 июля 1998г. N 51 "Об утверждении Правил работы пользователей в читальных залах государственных архивов Российской Федерации").
Правовое регулирование отношений, возникающих в связи с засекречиванием или рассекречиванием сведений, составляющих государственную тайну, их иной обработкой, а равно защитой в интересах обеспечения безопасности РФ, осуществляется положениями Закона РФ от 21 июля 1993г. N 5485-1 "О государственной тайне"[5] и принятыми на его основе иными нормативными правовыми актами, связанными с защитой государственной тайны.
Перечень сведений, отнесенных к государственной тайне, содержит сведения в военной области, в области экономики, науки и техники, внешней политики и экономики, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ, а также наименования государственных органов, наделенных полномочиями по распоряжению этими сведениями. Конкретизация представленных групп сведений, относящихся по смыслу действующего законодательства к конфиденциальной информации, содержащей государственную тайну содержится в нормах ст.5 Закона "О государственной тайне", положениях Указа Президента РФ от 30 ноября 1995г. N 1203 "Об утверждении Перечня сведений, отнесенных к государственной тайне"[6], ведомственных нормативных актах.
Обработка такого рода сведений осуществляется органами государственной власти и управления, правоохранительными органами, юридическими и физическими лицами, в распоряжении которых такого рода сведения находятся, только в объеме, необходимом для достижения поставленных перед ними целей и решения возложенных задач. При этом указанные субъекты должны обладать лицензией на проведение работ с использованием сведений соответствующей степени секретности, а физические лица — соответствующим допуском.
Статья 2.
Цель настоящего Федерального закона
Комментарий к статье 2
Определив в числе целей принятия настоящего Закона необходимость создания общих унифицированных требований к действиям, связанным с персональными данными, во всех сферах, где персональные данные используются (см. комментарий к ст.1 настоящего Закона), законодатель подчеркивает, что это далеко не единственная и не основная цель его применения. В числе основных доминант его действия названо обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Тем самым Закон принимает особый статус, обеспечивая реализацию правоохранительной функции государства как гаранта этих прав и свобод. Сказанное, по мнению разработчиков рассматриваемого нормативного акта, должно обеспечить создание необходимой правовой основы для реализации соответствующих конституционных положений, защиты общественных и государственных интересов, обеспечения законных интересов лиц, использующих персональные данные в своей деятельности. Обеспечивая защиту персональных данных, государство тем самым укрепляет правовую защищенность и безопасность личности, создает благоприятную обстановку для всестороннего развития граждан и общества в целом. Тем самым создаются предпосылки для экономического роста и обеспечения политической стабильности.
Утверждение в обществе уважения к личности, ее достоинству на основе создания и соблюдения правовых норм, направленных на защиту прав и интересов человека и гражданина, в частности права на неприкосновенность частной жизни, требует выделение следующих основных приоритетов, которые в своей совокупности и составляют цель правового регулирования, обозначенную законодателем в настоящей статье:
а) защита персональных данных лиц от несанкционированного доступа к ним со стороны криминальных структур, других граждан, представителей государственных органов и служб, не имеющих на то соответствующих полномочий, путем регулирования порядка доступа субъектов персональных данных к своим данным;
б) обеспечение сохранности, целостности и достоверности данных на основе: установления режима конфиденциальности соответствующих персональных данных; регламентации обязанностей, прав и ответственности держателей (обладателей) массивов
персональных данных по работе с этими данными;
в) обеспечение в условиях развития рыночных отношений в стране возможностей для работы с персональными данными держателей (обладателей) или третьих лиц, которым раскрыты персональные данные, имеющих лицензию на проведение работ с этими данными, в частности на основе прямого маркетинга.
В этой связи реализация сформулированной настоящей статьей цели комментируемого Закона должна осуществляться по следующим основным направлениям:
обеспечение правовой защиты граждан в условиях бурного роста баз персональных данных, создаваемых в последнее десятилетие на основе новейших информационных технологий;
создание правовой основы для максимально адекватной защиты персональной информации от усиливающегося к ней интереса со стороны криминальных структур;
выполнение международных обязательств России по формированию правового регулирования трансграничной передачи персональных данных в рамках международных соглашений; совершенствование организационно-правового обеспечения деятельности физических и юридических лиц, органов государственной власти, органов местного самоуправления по формированию и использованию массивов персональных данных на основе законодательного закрепления прав, обязанностей и ответственности держателей (обладателей) этих массивов;
открытие внутреннего информационного рынка России для деятельности негосударственных коммерческих структур, в частности для развития прямого маркетинга в области работы с персональными данными.
Статья 3.
Основные понятия, используемые в настоящем Федеральном законе
Комментарий к статье 3
1. Включение в текст федеральных законов определений основных понятий, раскрывающих содержание последующих его положений, в последние годы становится традицией. Подобного рода законодательные конструкции в первую очередь объяснимы стремлением разработчиков устранить неправильное толкование законодательных положений в процессе правоприменения. Вместе с этим включение в текст комментируемого Закона основных понятий, формирующих последующие законодательные конструкции, в большей степени способствует уяснению лежащих в основе защиты персональных данных технологий и механизма правового регулирования. Таким образом, попытки сформировать терминологическую базу, направленные на обеспечение правового единообразия, заслуживают положительной оценки. Однако разработчики настоящего Закона, равно как и большинства нормативных правовых актов, существенным образом упростили свою задачу, обозначив пределы применения содержащихся в комментируемой статье терминов использованием исключительно в целях рассматриваемого документа.
Положениями комментируемой статьи законодатель формирует основу инструментария, используемого в тексте Закона, и раскрывает его содержание. Разъяснение основных понятий, используемых в настоящем Законе, связано с необходимостью однозначного и точного понимания закрепленных норм и правильной их практической реализации.
Следует подчеркнуть, что содержащиеся в нормах рассматриваемой статьи понятия в абсолютном большинстве своем знакомы отечественной правовой системе, ряд из них уже встречались в ряде действующих нормативных правовых актов. Применение подобного рода законодательной конструкции предполагает возможность создания достаточно надежного механизма защиты персональных данных в процессе их обработки во всех сферах жизни и деятельности социума. Наряду с этим осуществляется дальнейшая унификация отечественного законодательства посредством создания достаточно монолитных правовых блоков, регулирующих отдельно взятые общественные отношения.
2. Ключевое и решающее значение в системе представленных терминов принадлежит понятию "персональные данные", которое составляет основу предмета регулирования, поскольку с ним законодатель связывает вопросы о правах и обязанностях субъектов регулируемых отношений и вопросы ответственности.
Введенные в правовой оборот Указом Президента РФ от 6 марта 1997г. N 188 "Об утверждении Перечня сведений конфиденциального характера"[7] и получившие значительное распространение в связи с принятием нового Трудового кодекса РФ персональные данные постепенно становятся неотъемлемой частью информационных процессов, связанных с обработкой, использованием и защитой сведений конфиденциального характера.
Персональные данные по смыслу рассматриваемого Закона представляются в качестве информации, неразрывно связанной с личностью ее обладателя. Определяя персональные данные в качестве открытого перечня сведений, независимо от формы их представления (ст.2 ФЗ от 27 июля 2006г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"[8]), законодатель тем самым сохраняет возможность их расширения по мере того, как будет меняться социальный статус их обладателя на конкретном этапе его жизненного пути. В основу такого рода системы по смыслу комментируемой статьи положены: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы физического лица. В состав персональных данных подлежат включению также сведения, связанные с поступлением на работу (службу), ее прохождением и увольнением; данные о супруге, детях и иных членах семьи обладателя, данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи, данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, сведения о доходах, имуществе и обязательствах имущественного характера, сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность, сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, владение языками (родной язык, русский язык, другой язык или другие языки), образование общее (начальное общее, основное общее, среднее (полное) общее) и профессиональное (начальное профессиональное, среднее профессиональное, высшее профессиональное, послевузовское профессиональное), жилищные условия (тип жилого помещения, время постройки дома, размер общей и жилой площади, количество жилых комнат, виды благоустройства жилого помещения), источники средств к существованию (доход от трудовой деятельности или иного занятия, пенсия, в том числе пенсия по инвалидности, стипендия, пособие, другой вид государственного обеспечения, иной источник средств к существованию).
Персональные данные относятся к категории конфиденциальной информации, предполагающей отсутствие свободного доступа к ней и наличие эффективной системы ее защиты. Включение персональных данных в разряд конфиденциальных сведений направлено на предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в личную жизнь гражданина и тем самым реализует базисные цели, положенные в основу разработки и принятия настоящего Закона.
Действующие в отношении них ограничения снимаются при наличии согласия обладателя персональных данных. Последнее предполагается также и в том случае, когда субъект выполняет ряд возложенных на него обязанностей, например при оформлении паспорта, регистрации актов гражданского состояния и т.п.
Представленные в качестве динамичной монолитной категории, персональные данные по смыслу комментируемого Закона имеют достаточно четкое внутреннее структурирование. Формирование в их составе ряда самостоятельных групп сведений обусловлено необходимостью их повышенной правовой защиты. В этой связи принято различать:
общедоступные персональные данные, доступ к которым неограниченного круга лиц предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
К разряду общедоступных персональных данных могут быть отнесены: фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии субъекта персональных данных. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.
Анализируемый Закон предусматривает, что требование о конфиденциальности информации не распространяется применительно к персональным данным в случаях, прямо оговоренных федеральным законом. Следует отметить, что в настоящее время ни один из действующих федеральных законов не содержит прямого указания на возможность свободного использования конфиденциальной информации;
биометрические персональные данные, характеризующие физиологические особенности человека и на основе которых можно установить его личность;
персональные данные специальной категории, включающие в свой состав данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни лица.
При этом следует отметить, что комментируемый Закон не проводит принципиальных различий относительно внутреннего содержания персональных данных, представляя последние в качестве единого самостоятельного объекта правовой защиты. Подход такого рода вполне объясним целями, сформулированными разработчиками рассматриваемого нормативного акта, -обеспечением защиты конфиденциальности всего массива персональных данных без учета их содержания и степени относимости к личности обладателя.
Следует отметить, что распределение персональных данных по самостоятельным категориям имеет место в большинстве иных законодательных и подзаконных нормативных правовых актах. В основу существующей категоризации положен критерий их целевого использования. В частности, нормами Трудового кодекса РФ предусмотрено, что персональные данные работника представляют собой обобщенные данные последнего, необходимые работодателю в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п.1 ст.86 ТК РФ). По смыслу последнего к их числу относятся: фамилия, имя, отчество работника, сведения о предшествующей трудовой деятельности, отношение к воинской обязанности, образование или уровень квалификации. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Работодателю категорически запрещается получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни.
В целях получения допуска по соответствующей форме к сведениям, составляющим государственную тайну, в состав предоставляемых персональных данных по смыслу действующего законодательства[9] в обязательном порядке относятся: фамилия, имя, отчество оформляемого, дата и место его рождения, сведения об образовании — специальность и квалификация по диплому; гражданская принадлежность, наличие ученой степени или ученого звания, владение иностранными языками и соответствующий уровень, сведения о судимости как его самого, так и его родственников, пребывании за границей, наличии за границей родственников, отношении к воинской обязанности, наличии загранпаспорта, семейном положении, место регистрации и жительства. Работники кадрового аппарата в ходе беседы с оформляемым на работу (службу) гражданином сверяют указанные в анкете данные с его личными документами (паспорт, военный билет, трудовая книжка, диплом об образовании, свидетельство о рождении и т.д.), уточняют отдельные вопросы анкеты, выявляют представляющие интерес сведения, не предусмотренные вопросами анкеты, выясняют у гражданина, имел ли он за последний год отношение к секретным работам, документам и изделиям, давал ли он обязательство по неразглашению сведений, составляющих государственную тайну, работал ли (служил) на режимных объектах, запрашивают необходимые справки и документы, знакомят гражданина с содержанием договора (контракта) об оформлении допуска к государственной тайне.
3. Комментируемый Закон выделяет несколько видов субъектов, которые участвуют в отношениях оборота персональных данных: операторы персональных данных; субъекты персональных данных;
орган по защите прав субъектов персональных данных; третьи лица.
Введением в правовой оборот категории "оператор персональных данных" законодатель не легитимирует создание нового субъекта общественных отношений по обработке персональных данных, сохраняя сформированный ранее биполярный состав последних. Предопределяя, таким образом, универсальную структуру, авторы настоящего Закона подвели под ее содержание всех без исключения субъектов, независимо от организационно-правовой формы и формы собственности последних, которые по роду деятельности связаны со сбором, накоплением, хранением, обработкой и передачей персональных данных. При этом следует отметить, что используемое в тексте комментируемого Закона понятие "оператор" представляется обезличенной категорией, развернутое представление о которой можно получить лишь в конкретном случае обработки персональных данных.
В основу категории "оператор" в процессе ее формирования законодателем в большей степени было положено не столько организационно-правовая форма субъекта, сколько выполняемые ими функции. Законодатель требует четкой определенности целей сбора и обработки персональных данных. Таким образом, цель результатов обработки персональных данных приобретает решающее значение. Последние во многом поставлены в прямую зависимость от непосредственного допуска к персональным данным в процессе их обработки. В этой связи принято различать организационную деятельность, деятельность по обоснованию целей и содержания обработки персональных данных и непосредственно саму обработку. Тем самым, следуя логике законодателя, лишь последняя из перечисленных функций связана с непосредственным ограничением прав и свобод гражданина, вмешательством в его личную жизнь, в силу чего именно здесь должны быть достаточные ограничения деятельности оператора, создающие гарантии защищенности интересов личности. Однако, проводя разграничения в части, касающейся функциональной составляющей субъекта, законодатель наделяет их единым набором прав и обязанностей в части, касающейся обработки персональных данных. Таким образом, законодатель при формальном разграничении де-факто не проводит разграничения относительно тех, кто непосредственно обрабатывает персональные данные и тем самым получает в максимально полном объеме защищаемую информацию, и теми, в чьи обязанности согласно букве закона вменяется исключительно организация процесса, создание и ведение фактически созданного банка данных. По ходу разработки и последующего рассмотрения законопроекта неоднократно предлагалось провести параллель между непосредственными операторами и организаторами процесса обработки конфиденциальных сведений, наделив их статусом обладателей персональных данных. Подобного рода деление во многом бы согласовывалось с положениями и терминологией действующего российского законодательства (см. подп.5 ст.2 ФЗ от 27 июля 2006г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"[10]).
Наряду с этим сформулированное законодательное определение оператора не дает достаточно ясного представления о последнем как об уникальном субъекте особого рода общественных отношений, правовое регулирование которых осуществляется нормами комментируемого Закона, возможности четко определить качественный состав объединяемых данной категорией лиц.
Поделиться книгой: