• Текст документа
  • Статус
Оглавление
Поиск в тексте


Комментарий к Федеральному закону от 27 июля 2006 года N 152-ФЗ "О персональных данных"


Комментарий к главе 1. Общие положения     

Комментарий к статье 1. Сфера действия настоящего Федерального закона

1. Статьей 1 комментируемого Закона определяется сфера действия Закона, а также уточняются отношения, на которые действие этого Закона не распространяется.

Персональные данные (далее также - ПД) могут обрабатывать федеральные органы государственной власти. Под федеральными органами власти следует понимать органы власти, осуществляющие властные полномочия на федеральном уровне. Согласно ст.10 Конституции РФ государственная власть в РФ осуществляется на основе разделения на законодательную, исполнительную и судебную. Статья 11 Конституции РФ определяет, что государственную власть в Российской Федерации осуществляют Президент РФ; Федеральное Собрание (Совет Федерации и Государственная Дума); Правительство РФ; суды РФ.

Действие комментируемого Закона распространяется также на органы государственной власти субъектов РФ, обрабатывающие ПД. На уровне субъектов РФ существуют органы исполнительной и законодательной власти субъектов РФ.

Субъектами, обрабатывающими ПД, также могут быть иные органы государственной власти, кроме тех, что перечислены выше. К ним, например, относятся Центральный банк РФ, Пенсионный фонд РФ, Федеральный фонд обязательного медицинского страхования, Фонд социального страхования РФ, Центральная избирательная комиссия РФ и т.п.

Обработка ПД ведется и органами местного самоуправления.

Согласно ч.1 ст.34 Федерального закона от 6 октября 2003 года N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации" структуру органов местного самоуправления составляют:

- представительный орган муниципального образования;

- глава муниципального образования;

- местная администрация (исполнительно-распорядительный орган муниципального образования);

- контрольно-счетный орган муниципального образования;

- иные органы и выборные должностные лица местного самоуправления, предусмотренные уставом муниципального образования и обладающие собственными полномочиями по решению вопросов местного значения.

Обработку ПД осуществляют, в том числе, иные муниципальные органы.

Если юридические лица обрабатывают ПД, на них также распространяется действие комментируемого Закона (о юридических лицах см. ст.48 и др. Гражданского кодекса РФ (далее по тексту - ГК РФ)). Стоит учитывать, что требования комментируемого Закона распространяются также на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке ПД на территории РФ.

Под физическими лицами, осуществляющими обработку ПД в рамках комментируемого Закона, понимаются граждане, осуществляющие предпринимательскую деятельность без образования юридического лица с момента государственной регистрации в качестве индивидуального предпринимателя (см. ст.23 ГК РФ). Обращаем внимание, что согласно ч.1 комментируемой статьи обработка ПД может происходить как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.


Понятие информационно-телекоммуникационной сети раскрывается в ст.2 Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее по тексту - ФЗ "Об информации, информационных технологиях и о защите информации"). Под информационно-телекоммуникационной сетью понимается технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. Таким образом, нормы комментируемого Закона теперь распространяются и на участников и операторов передачи голосовых и иных сообщений (данных) по сетям связи (например, передача сообщений по электронной или голосовой почте и т.п.).


Порядок обработки ПД без использования средств автоматизации регулируется комментируемым Законом в том случае, если такая обработка, как установлено в ч.1 комментируемой статьи, соответствует характеру действий (операций), совершаемых с ПД с использованием средств автоматизации.


Под обработкой ПД без использования средств автоматизации здесь понимается такая обработка ПД, которая позволяет осуществлять в соответствии с заданным алгоритмом поиск ПД, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях ПД, и (или) доступ к таким данным. Таким образом, действия комментируемого Закона распространяются только на массовую обработку ПД. Например, создание в организации картотеки данных клиентов на бумажных носителях будет считаться обработкой ПД без использования средств автоматизации и подпадать под действие комментируемого Закона.


Под средствами автоматизации понимаются технические средства, освобождающие человека частично или полностью от непосредственного участия в процессах получения, преобразования, передачи и использования информации. В качестве примера можно привести автоматизированные банковские системы, содержащие данные о сотрудниках банка, о клиентах, партнерах, биллинговые системы, содержащие данные о клиентах, осуществляющих оплату услуг, call-центры, содержащие данные о клиентах и сотрудниках в зависимости от предназначения call-центра, автоматизированные медицинские системы, содержащие данные о пациентах и т.п.


Автоматизированная обработка ПД включает в себя действия с автоматизированными файлами ПД. В случае с обработкой ПД понятие "автоматизированный файл ПД" обозначает любой комплекс данных о субъектах ПД, подвергающийся автоматизированной обработке.

В ст.2 Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 года) "автоматизированная база данных" означает любой набор данных, к которым применяется автоматическая обработка. При этом "автоматическая обработка" включает следующие операции, если они полностью или частично осуществляются с применением автоматизированных средств:

- накопление данных;

- проведение логических или/и арифметических операций с такими данными;

- их изменение, стирание, восстановление или распространение.

Статья 5 указанной Конвенции определяет, ПД, проходящие автоматизированную обработку, должны быть:

- получены и обработаны добросовестным и законным образом;

- накопленными для точно определенных и законных целей и не использоваться в противоречии с этими целями;

- адекватными, относящимися к делу и не избыточными применительно к целям, для которых они накапливаются;

- точными и в случае необходимости обновляться;

- сохранены в такой форме, которая позволяет идентифицировать субъектов данных, не дольше, чем этого требует цель, для которой эти данные накапливаются.

Статьей 6 Конвенции устанавливается, что ПД о национальной принадлежности, политических взглядах либо религиозных или иных убеждениях, а равно ПД, касающиеся здоровья или сексуальной жизни, могут подвергаться автоматической обработке только в тех случаях, когда национальное право предусматривает надлежащие гарантии. Это же правило применяется к ПД, касающимся судимости. Кроме того Конвенция обязывает операторов ПД принимать надлежащие меры для охраны ПД, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.

Постановлением Правительства РФ от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" установлен порядок обработки ПД без использования средств автоматизации. Согласно данному постановлению обработкой ПД, содержащихся в информационной системе ПД либо извлеченных из такой системы, без использования средств автоматизации называется такая обработка, когда действия с ПД, такие как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов ПД, осуществляются при непосредственном участии человека. Из этого следует вывод, что обработка ПД не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПД содержатся в информационной системе ПД либо были извлечены из нее. И все же определение того, будет ли обработка ПД считаться автоматизированной или осуществляемой без использования средств автоматизации, является сложным вопросом для операторов. Как показала практика, даже в том случае, когда организация хранит ПД на компьютере только в текстовых файлах формата doc, не включая их в базу, то такая обработка ПД также признается Роскомнадзором автоматизированной, поскольку имеет место запись, систематизация и накопление ПД. Приведем пример. Так, если сотрудник организации занес данные о работниках в компьютер лишь с целью их распечатать, а затем удалил эти данные, такую обработку ПД, на наш взгляд, можно считать неавтоматизированной. Однако если же оператор сохранил ПД в виде файла и хранит их на компьютере для дальнейшего использования, то, полагаем, такую обработку ПД нужно рассматривать, в том числе, и как автоматизированную.


В том случае, если обработка ПД осуществляется без использования средств автоматизации, необходимо учитывать, что такая информация должна обособляться от иной информации. Такие ПД могут, например, фиксироваться на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).

Так, согласно требованиям постановления Правительства РФ от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" при фиксации ПД на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Поэтому для обработки различных категорий ПД для каждой категории ПД должен использоваться отдельный материальный носитель.

Часто в организациях используются типовые формы документов, характер информации в которых предполагает или допускает включение в них ПД. В этом случае типовая форма должна соответствовать некоторым требованиям. Так, сама типовая форма или связанные с ней документы (например, инструкции по ее заполнению, карточки, реестры и журналы) должны содержать:

- сведения о цели обработки ПД, осуществляемой без использования средств автоматизации;

- имя (наименование) и адрес оператора;

- фамилию, имя, отчество и адрес субъекта ПД;

- источник получения ПД;

- сроки обработки ПД;

- перечень действий с ПД, которые будут совершаться в процессе их обработки;

- общее описание используемых оператором способов обработки ПД.

Кроме того, типовая форма, которая предполагает включение в нее ПД, должна предусматривать поле, в котором субъект ПД может поставить отметку о своем согласии на обработку его данных, осуществляемую без использования средств автоматизации. Такое поле должно быть обязательно, если в соответствии с требованиями комментируемого Закона необходимо получение письменного согласия на обработку ПД от субъекта ПД.

Следует помнить, что типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПД, содержащихся в документе, имел возможность ознакомиться со своими ПД, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПД. А также типовая форма должна исключать объединение полей, предназначенных для внесения ПД, цели обработки которых заведомо не совместимы.

Во многих организациях ведутся журналы (реестры, книги), необходимые для однократного пропуска субъекта ПД на территорию, на которой находится оператор, содержащие ПД. В подобных случаях оператором ПД должны выполняться определенные условия. Например, необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора. В акте будут содержаться следующие сведения:

- сведения о цели обработки ПД, осуществляемой без использования средств автоматизации;

- способы фиксации и состав информации, запрашиваемой у субъектов ПД;

- перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги);

- сроки обработки ПД;

- сведения о порядке пропуска субъекта ПД на территорию, на которой находится оператор, без подтверждения подлинности ПД, сообщенных субъектом ПД.

Копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается. Кроме того, ПД каждого субъекта ПД могут заноситься в подобный журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта ПД на территорию, на которой находится оператор.

Если требуется уточнить ПД, обработка которых осуществляется без использования средств автоматизации, то это должно быть произведено путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПД.

Постановлением Правительства РФ от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" устанавливаются и требования к обеспечению безопасности ПД при их обработке, осуществляемой без использования средств автоматизации. Обработка ПД должна осуществляться таким образом, чтобы в отношении каждой категории ПД можно было определить места хранения ПД (материальных носителей) и установить перечень лиц, осуществляющих обработку ПД либо имеющих к ним доступ. Необходимо обеспечивать раздельное хранение ПД (материальных носителей), обработка которых осуществляется в различных целях. Важно учитывать, что при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПД и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

Пример. Операторы, обрабатывающие ПД неавтоматизированным способом, хранят каждую категорию полученных от граждан ПД в разных папках, ящиках, файлах и т.д. Приказом руководителя организации определяется перечень лиц, которые обрабатывают тот или иной информационный блок либо получают к нему доступ.

Необходимо помнить, что в случае нарушения указанных выше требований оператор может быть привлечен к ответственности (см., например, ст.13.11 Кодекса об административных правонарушениях (далее - КоАП РФ)).

2. Частью 2 комментируемой статьи определяются случаи, на которые не распространяется действие Закона.

Обрабатывать ПД может физическое лицо, не являющееся индивидуальным предпринимателем. При этом ПД обрабатываются в личных целях при условии соблюдения прав субъектов ПД. Таким образом, гражданин имеет право для себя лично вести сбор и накопление ПД, например, на домашнем компьютере (сделать справочник с данными своих знакомых: адресами, фамилиями, датами рождения). Однако Закон требует, чтобы в таких случаях не нарушались права субъектов ПД. То есть, справочник, приведенный в качестве примера, может использоваться гражданином только лично, передача его другим лицам не допустима.

Действие комментируемого Закона не распространяется на организацию, хранение, комплектование, учет и использование содержащих ПД документов Архивного фонда РФ и других архивных документов в соответствии с Федеральным законом от 22 октября 2004 года N 125-ФЗ "Об архивном деле в Российской Федерации". Архивный фонд РФ содержит документы, относящиеся к федеральной, муниципальной и частной собственности, а также собственности субъектов РФ (см. об этом подробнее ст.7, 8, 9 и др. указанного закона).

Обработка таких документов производится в соответствии с Федеральным законом от 22 октября 2004 года N 125-ФЗ "Об архивном деле в Российской Федерации". Так, в ч.3 ст.25 данного закона указывается, что ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, устанавливается на срок 75 лет со дня создания указанных документов. С письменного разрешения гражданина, а после его смерти с письменного разрешения наследников данного гражданина ограничение на доступ к архивным документам, содержащим сведения о личной и семейной тайне гражданина, его частной жизни, а также сведения, создающие угрозу для его безопасности, может быть отменено ранее чем через 75 лет со дня создания указанных документов.

Действие комментируемого Закона не распространяется на обработку ПД, отнесенных к сведениям, составляющим государственную тайну. При этом порядок отнесения сведений к государственной тайне определен Законом РФ от 21 июля 1993 года N 5485-I "О государственной тайне"; см. также Указ Президента РФ от 30 ноября 1995 года N 1203 "Об утверждении перечня сведений, отнесенных к государственной тайне".

Действие комментируемого Закона также не распространяется на предоставление уполномоченными органами информации о деятельности судов в РФ. Порядок предоставления указанной информации регулируется Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".

Под информацией о деятельности судов понимается информация, подготовленная в пределах своих полномочий судами, Судебным департаментом, органами Судебного департамента, органами судейского сообщества либо поступившая в суды, Судебный департамент, органы Судебного департамента, органы судейского сообщества и относящаяся к деятельности судов.

Доступ к информации о деятельности судов обеспечивается следующими способами:

- присутствием граждан (физических лиц), в том числе представителей организаций (юридических лиц), общественных объединений, органов государственной власти и органов местного самоуправления, в открытом судебном заседании;

- обнародованием (опубликованием) информации о деятельности судов в средствах массовой информации (см. Положение о порядке обнародования (опубликования) информации о деятельности Верховного Суда Российской Федерации в средствах массовой информации и взаимодействия Верховного Суда РФ с редакциями средств массовой информации, утвержденное приказом Председателя Верховного Суда РФ от 14 января 2016 года N 1-П);

- размещением информации о деятельности судов в информационно-телекоммуникационной сети "Интернет" (см. Положение о порядке размещения текстов судебных актов на официальном сайте Верховного Суда РФ в информационно-телекоммуникационной сети "Интернет", утвержденное приказом Председателя Верховного Суда РФ от 14 января 2016 года N 1-П);

- размещением информации о деятельности судов в занимаемых судами, Судебным департаментом, органами Судебного департамента, органами судейского сообщества помещениях (см. Рекомендации по размещению информации в информационных киосках, расположенных в занимаемых Судебным департаментом при Верховном Суде РФ, управлениями (отделами) Судебного департамента в субъектах РФ зданиях (помещениях), утвержденные приказом Судебного департамента при Верховном Суде РФ от 25 декабря 2012 года N 242; см. Методические рекомендации по оформлению судами общей юрисдикции информационных стендов и (или) технических средств аналогичного назначения, утвержденные постановлением Совета судей РФ от 2 декабря 2010 года N 268);

- ознакомлением пользователей информацией с информацией о деятельности судов, находящейся в архивных фондах (см. Положение о порядке ознакомления пользователей информацией с информацией о деятельности Верховного Суда Российской Федерации, находящейся в архивном фонде Верховного Суда РФ, утвержденное приказом Председателя Верховного Суда РФ от 14 января 2016 года N 1-П);

- предоставлением пользователям информацией по их запросу информации о деятельности судов.

В связи с встречающимися частыми ошибками в трактовке норм комментируемой статьи обращаем внимание также на то, что действия арбитражных управляющих по сбору сведений о должнике, его обязательствах и принадлежащем имуществе, а также оглашение этих сведений в заседании арбитражного суда не подпадают под регулирование комментируемого Закона. Такой вывод следует, например, из апелляционного определения Санкт-Петербургского городского суда от 24 июня 2015 года N 33-10102/2015 по делу N 2-1450/2014. В данном случае речь идет, прежде всего, об отношениях, которые регулируются Федеральным законом от 26 октября 2002 года N 127-ФЗ "О несостоятельности (банкротстве)". И здесь под должником понимается гражданин, в том числе индивидуальный предприниматель, или юридическое лицо, оказавшиеся неспособными удовлетворить требования кредиторов по денежным обязательствам, о выплате выходных пособий и (или) об оплате труда лиц, работающих или работавших по трудовому договору, и (или) исполнить обязанность по уплате обязательных платежей в течение срока, указанным выше законом. При этом арбитражным управляющим может быть гражданин РФ, являющийся членом саморегулируемой организации арбитражных управляющих. В свою очередь, саморегулируемой организацией арбитражных управляющих называется некоммерческая организация, обладающая следующими признаками:

- она основана на членстве;

- она создана гражданами РФ;

- сведения об этой организации включены в единый государственный реестр саморегулируемых организаций арбитражных управляющих;

- целями деятельности такой организации являются регулирование и обеспечение деятельности арбитражных управляющих.

Комментарий к статье 2. Цель настоящего Федерального закона


В комментируемой статье определена основная цель Закона. Он призван обеспечить эффективную защиту прав и свобод человека и гражданина в соответствии с основными правами и свободами, провозглашенными Конституцией РФ.

Согласно ст.17 Конституции РФ в России признаются и гарантируются права и свободы человека и гражданина согласно общепризнанным принципам и нормам международного права. Статьи 23-24 Конституции РФ устанавливают, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения. При этом сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. На органы государственной власти и органы местного самоуправления, их должностные лица возлагается обязанность обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

В силу ст.150 ГК РФ неприкосновенность частной жизни, личная и семейная тайна, имя гражданина, иные нематериальные блага, принадлежащие гражданину от рождения или в силу закона, неотчуждаемы и непередаваемы иным способом. Указанные блага защищаются в судебном и ином порядке.

В современном мире почти каждый желающий может найти в Интернете информацию о ПД граждан. При этом свои ПД граждане раскрывают зачастую сами, например, оформляя покупку товара с доставкой на дом, регистрируясь на веб-сайте. Но далеко не всегда лица, получающие такую информацию, добросовестно сохраняют ее. Частным нарушением прав граждан в Интернете является размещение фотографий гражданина без его согласия средствами массовой информации или блогерами (изданиями в Интернете). В то время как, в соответствии со ст.152.1 ГК РФ обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. А после смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии - с согласия родителей. Такое согласие не требуется только в следующих случаях, когда:


- использование изображения осуществляется в государственных, общественных или иных публичных интересах;

- изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

- гражданин позировал за плату.

В случае нарушения прав гражданина, изготовленные в целях введения в гражданский оборот, а также находящиеся в обороте экземпляры материальных носителей, содержащих изображение гражданина, подлежат на основании судебного решения изъятию из оборота и уничтожению без какой бы то ни было компенсации. При этом если изображение гражданина, полученное или используемое с нарушениями вышеупомянутых требований ГК РФ, распространено в Интернете, то гражданин вправе требовать удаления этого изображения, а также пресечения или запрещения дальнейшего его распространения.

Статьей 152.2 ГК РФ охраняется частная жизнь гражданина. Законодатель запрещает без согласия гражданина сбор, хранение, распространение и использование любой информации о его частной жизни, в частности сведений о его происхождении, о месте его пребывания или жительства, о личной и семейной жизни. Исключением из этого правила является только следующее:


- обработка информации о частной жизни гражданина в государственных, общественных или иных публичных интересах;

- обработка общедоступной информация о частной жизни гражданина.

Для защиты своих прав гражданин может обратиться в суд с требованием об удалении соответствующей информации, а также о пресечении или запрещении дальнейшего ее распространения путем изъятия и уничтожения без какой бы то ни было компенсации изготовленных в целях введения в гражданский оборот экземпляров материальных носителей, содержащих соответствующую информацию, если без уничтожения таких экземпляров материальных носителей удаление соответствующей информации невозможно.

В последнее время за защитой своих прав в связи с распространением в средствах массовой информации (далее также - СМИ) изображений публичных персон без их согласия или информации об их частной жизни в суд часто обращаются знаменитости.

Рассмотрим пример из судебной практики. Истцы, являющиеся публичными персонами, обратились в суд с иском о защите права на неприкосновенность частной жизни, о защите права на охрану изображения гражданина и взыскании компенсации морального вреда с СМИ. Мотивируя иски, истцы указали, что в печатном СМИ без согласия истцов на обложке был опубликован анонс, содержащий информацию о частной жизни гражданина, и без согласия истцов были использованы их изображения (фотографии). Выслушав участников процесса, исследовав письменные материалы дела и представленные доказательства, суд пришел к следующему выводу. Согласно п.1 ст.8 Конвенции о защите прав человека и основных свобод ETS N 005 (Рим, 4 ноября 1950 года) каждый человек имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции. В соответствии с положением ч.1 ст.23 и ч.1 ст.24 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. В соответствии со ст.150 ГК РФ неприкосновенность частной жизни, личная и семейная тайна являются нематериальными благами, принадлежащими гражданину от рождения. В соответствии со ст.152.1 ГК РФ обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускается только с согласия этого гражданина. Согласно ст.49 Закона РФ от 27 декабря 1991 года N 2124-1 "О средствах массовой информации" журналист обязан получить согласие (за исключением случаев, когда это необходимо для защиты общественных интересов) на распространение в средстве массовой информации сведений о личной жизни гражданина от самого гражданина или его законных представителей. В силу ст.56 указанного закона учредители, редакции, издатели, распространители, государственные органы, организации, учреждения, предприятия и общественные объединения, должностные лица, журналисты, авторы распространенных сообщений и материалов несут ответственность за нарушения законодательства РФ о средствах массовой информации. Публичность граждан, исходя из равенства всех перед законом (ч.1 ст.19 Конституции РФ), не влияет на подход суда при решении вопросов о правах, обязанностях и ответственности, закрепленных в нормативных правовых актах РФ. Верховный Суд РФ обращает внимание на то, что концепция частной жизни распространяется также на аспекты, относящиеся к установлению личности, в частности, на изображение лица. В ч.1 ст.29 Конституции РФ определено, что каждому гарантируется свобода мысли и слова. Однако в ч.4 ст.29 Конституции РФ разъясняется, что каждый имеет право свободно искать, получать, передавать, производить и распространять информацию только законным способом, то есть, с учетом соблюдения прав и свобод других лиц, и не допуская их нарушения. Частью 3 ст.17 Конституции РФ установлено, что осуществление прав и свобод человека и гражданина не должно нарушать права и свободы других лиц. Соответственно, осуществление прав и свобод представителей средств массовой информации и читателей на выражение мысли и слова, на сбор и получение информации не должно нарушать прав других граждан на неприкосновенность их частной жизни и на охрану изображения. Как указано в п.7 ст.3 ФЗ "Об информации, информационных технологиях и о защите информации" одним из принципов правового регулирования отношений в сфере информации, информационных технологий и защиты информации является неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия. Из содержания ст.152.1 ГК РФ следует, что право на охрану изображения гражданина сформулировано законодателем как абсолютное. Соответственно, гражданин вправе требовать применения соответствующих случаю мер гражданско-правовой защиты от любого лица, неправомерно распространившего сведения о его частной жизни и/или неправомерно использующего его изображение.


Учитывая изложенное, суд посчитал исковые требования о нарушении ответчиком личных неимущественных прав истцов, - права на неприкосновенность частной жизни и права на охрану изображения, - нашедшими свое подтверждение. В связи с указанным, требования истцов о взыскании с ответчика компенсации морального вреда были удовлетворены (см. апелляционное определение Московского городского суда от 20 ноября 2015 года N 33-39646/15; см. также Обзор практики рассмотрения судами дел по спорам о защите чести, достоинства и деловой репутации (утв. Президиумом Верховного Суда РФ 16 марта 2016 года), постановление Пленума Верховного Суда РФ от 24 февраля 2005 года N 3 "О судебной практике по делам о защите чести и достоинства граждан, а также деловой репутации граждан и юридических лиц").

Во всем мире ПД стремятся защищать на уровне государства, принимая законы, регулирующие порядок сбора, хранения и использования сведений о гражданах страны.

Обеспечивая защиту ПД, Россия укрепляет правовую защищенность и безопасность личности и создает благоприятную обстановку для всестороннего развития граждан и общества в целом.

Комментируемый Закон установил такие гарантии защиты ПД в нашей стране, как:

- ограничение на передачу персональной информации третьим лицам без согласия человека;

- требование к информированию человека о целях и способах обработки информации о нем;

- необходимость получать согласие на сбор сведений о человеке у него самого;

- обеспечение безопасности и конфиденциальности персональных данных.

Основными правовыми актами, защищающими права субъектов ПД, являются:

- комментируемый Закон;

- ФЗ "Об информации, информационных технологиях и о защите информации";

- Указ Президента РФ от 6 марта 1997 года N 188 "Об утверждении перечня сведений конфиденциального характера";

- Указ Президента РФ от 30 мая 2005 года N 609 "Об утверждении положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

- Указ Президента РФ от 17 марта 2008 года N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";

- постановление Правительства РФ от 3 ноября 1994 года N 1233 "Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти";

- постановление Правительства РФ от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- постановление Правительства РФ от 6 июля 2008 года N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";

- постановление Правительства РФ от 15 сентября 2008 года N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- постановление Правительства РФ от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";

- приказ Министерства связи и массовых коммуникаций от 21 декабря 2011 года N 346 "Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных";

- приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 29 января 2016 года N 82 "О Консультативном совете при уполномоченном органе по защите прав субъектов персональных данных";

- приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 3 декабря 2012 года N 1255 "Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций";

- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 15 февраля 2008 года);

- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 года);

- Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утверждены Центром ФСБ России от 21 февраля 2008 года N 149/54-144);

- Типовые требования по организации и обеспечению функционирования шифро- (крипто-) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (утверждены 8 Центром ФСБ России от 21 февраля 2008 года N 149/6/6-622).

Среди международных актов, связанных с регулированием порядка обработки ПД, участником которых является Российская Федерация, необходимо отметить Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 года) и некоторые другие акты (см. об этом подробнее комментарий к ст.4 Закона).

Комментарий к статье 3. Основные понятия, используемые в настоящем Федеральном законе

1. В комментируемой статье законодатель формирует инструментарий, который затем используется в тексте Закона. Разъяснение основных понятий, используемых в Законе, необходимо для более точного понимания положений этого нормативного акта.

Понятие "персональные данные" является основополагающим в Законе. ПД определяются как любая информация, которая хоть как-то относится к определенному лицу.

Однако, например, только указанное в информационной базе место рождения не считается ПД, если эти сведения не будут связаны с конкретной фамилией человека. В то время как информация - Петров Иван Петрович, рожденный в селе Новолокти Тюменской области, - будет являться ПД конкретного гражданина.

Представляется, что такая новая формулировка понятия "персональные данные" подводит под действия комментируемого Закона большинство веб-сайтов в сети Интернет, где регистрируются пользователи, оставляющие адреса своей электронной почты. Ведь электронный адрес косвенно относится к определяемому физическому лицу.

В соответствии с действующим законодательством состав ПД определяют операторы ПД в зависимости от целей их обработки. Как правило, операторы различных организаций, оказывающих услуги, просят предоставить им контактные данные клиента. Такие базы данных по контактам ведутся не только по постоянным клиентам, но и по информации, полученной в ходе рекламных кампаний. Все эти сведения являются ПД.

Понятие "персональные данные" раскрывается также в Указе Президента РФ от 6 марта 1997 года N 188 "Об утверждении Перечня сведений конфиденциального характера". Так, к сведениям конфиденциального характера Указ относит сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

Согласно приказу Судебного департамента при Верховном Суде РФ от 14 марта 2011 года N 47 "Об утверждении Инструкции о порядке обработки и защиты персональных данных судей районных, городских, межрайонных судов, гарнизонных военных судов" ПД и иные сведения, содержащиеся в личных делах судей, в том числе хранящиеся в электронном виде в подсистеме "Кадры", относятся к сведениям ограниченного доступа и разглашению не подлежат, за исключением ПД, на которые в соответствии с федеральными законами не распространяются требования о соблюдении их конфиденциальности. При этом передача ПД судей не допускается без их письменного согласия, за исключением случаев, установленных федеральными законами. Личные дела судей ведутся отделами государственной службы и кадров управлений Судебного департамента в субъектах РФ или государственными гражданскими служащими, ответственными за кадровую работу в отделах Судебного департамента в субъектах РФ. В личное дело судьи вносятся его ПД и иные сведения, связанные с назначением на соответствующую должность, исполнением должностных обязанностей, прекращением полномочий, а также другие необходимые сведения. Обработка ПД в электронном виде в подсистеме "Кадры" осуществляется только с автоматизированных рабочих мест Государственной автоматизированной системы РФ "Правосудие" работников отделов государственной службы и кадров.


На охране ПД граждан стоят и суды. Например, суд частично удовлетворил требование гражданина о компенсации ему морального вреда, в связи с тем, что были нарушены его права, гарантирующие защиту при обработке ПД. Судом при рассмотрении дела было установлено, что ответчики совершили действия, направленные на сбор, обработку, распространение ПД истца, не имея согласия гражданина на осуществление указанных действий (см. апелляционное определение Алтайского краевого суда от 29 сентября 2015 года по делу N 33-9241/2015).

Однако анализ судебной практики последних лет позволяет прийти к выводу о том, что далеко не во всех случаях действия оператора ПД признаются судом неправомерными, даже если истец считает их таковыми. Зачастую это связано со сложностью и неоднозначностью некоторых норм комментируемого Закона, наличием коллизий, а также с юридической безграмотностью основной массы населения. Приведем примеры из судебной практики, когда суды отказывали истцам в удовлетворении их требований.

Пример 1. Истец обратился в суд с иском об обязании прекратить передачу ПД третьим лицам, прекратить обработку ПД, взыскании компенсации морального вреда, опровергнуть сведения, порочащие честь, достоинство и деловую репутацию. В обосновании своих требований истец указал на то, что между ним и ответчиком был заключен кредитный договор. По мнению истца, им были полностью выполнены обязательства по уплате задолженности перед банком. Но при этом ему продолжали поступать звонки с требованием уплаты долга. Исследовав материалы дела, суд отказал в удовлетворении требований истца, ссылаясь на то, что доказательств того, что ответчик передавал или передает сведения о ПД истца каким-либо иным третьим лицам, истцом не было представлено (см. апелляционное определение Московского городского суда от 10 декабря 2015 года по делу N 33-46704/2015).


Пример 2. Ответчик, являющийся владельцем сайта, без ведома истца разместил на сайте объявление о продаже квартиры с указанием городского номера телефона истца. При этом истец утверждал, что данное объявление истцом и членами семьи истца не размещалось, к риэлторам истец не обращался. В связи с указанным, истец просил суд взыскать с ответчика моральный вред, причиненный истцу. Однако суд отказал в удовлетворении этих требований, потому что, исследовав материалы дела, не нашел в действиях ответчика действий, непосредственно направленных на нарушение личных неимущественных прав истца либо посягающих на принадлежащие ему нематериальные блага (см. апелляционное определение Московского городского суда от 2 февраля 2016 года по делу N 33-3609/2016).


Пример 3. В своем почтовом ящике гражданин обнаружил письмо от ответчика, в котором содержались его данные, а также требование уплаты задолженности за коммунальные услуги. Истец пришел к выводу, что тем самым ответчик нарушил его права, предусмотренные комментируемым Законом, так как истец не был уведомлен ответчиком о начале обработки его ПД. Истец обратился в суд с иском о возмещении морального вреда. Однако, по мнению суда, истец не представил в суд надлежащих доказательств того, что ему действиями ответчика были причинены нравственные и физические страдания, а также доказательств наличия причинно-следственной связи между действиями ответчика и последствиями нарушения его личных неимущественных прав, и доказательств нарушения ответчиком положений комментируемого Закона. Поэтому в удовлетворении исковых требований суд отказал (см. апелляционное определение Московского городского суда от 8 декабря 2015 года по делу N 33-37848/2015).


ПД - это определенная информация. Согласно ст.2 ФЗ "Об информации, информационных технологиях и о защите информации" информацией являются сведения (сообщения, данные) независимо от формы их представления. Информация может являться объектом публичных, гражданских и иных правовых отношений, а также свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными законами не установлены ограничения доступа к информации либо иные требования к порядку ее предоставления или распространения. Поэтому информация в зависимости от категории доступа к ней подразделяется на:

- общедоступную информацию;

- информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

Таким образом, ПД граждан, кроме тех, которые относятся к общедоступным, являются информацией, доступ к которой ограничен комментируемым Законом.

Кроме того, вся информация согласно ФЗ "Об информации, информационных технологиях и о защите информации" в зависимости от порядка ее предоставления или распространения подразделяется на:

- информацию, свободно распространяемую;

- информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

- информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

- информацию, распространение которой в РФ ограничивается или запрещается.

Существуют различные категории ПД, например:

- общедоступные ПД;

- специальные категории ПД;

- категории ПД, обрабатываемые в информационных системах персональных данных;

- биометрические ПД и т.д.

2. Законодатель называет оператором ПД государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку ПД. Оператор также определяет цели и содержание обработки ПД. Оператор ПД может действовать в отношении обработки ПД как самостоятельно, так и совместно с другими лицами. Оператор ПД определяет:

- цели обработки ПД;

- состав ПД, подлежащих обработке;

- действия (операции), совершаемые с ПД.

Таким образом, оператором ПД будет являться любая организация, осуществляющая пусть даже простую систематизацию или накопление ПД. Как правило, под это определение подходят почти все компании независимо от форм собственности, т.к. они как минимум осуществляют сбор, систематизацию, хранение и уточнение сведений о своих сотрудниках. Кроме этого большинство организаций по роду своей деятельности обрабатывают сведения о своих клиентах, партнерах, поставщиках.

Операторами ПД будут считаться:

- организации, которые нанимают работников по трудовым договорам, договорам гражданско-правового характера;

- страховые компании;

- операторы сотовой связи;

- образовательные организации;

- интернет-магазины;

- медицинские организации;

- государственные и муниципальные учреждения, ведомства и службы;

- перевозчики всех видов транспорта;

- банки и т.п.

В письме Федеральной нотариальной палаты письмо от 23 декабря 2011 года N 2515/07-17 дается разъяснение, что ряд из перечисленных в ст.3 комментируемого Закона действий, осуществляемых оператором ПД, относится к деятельности, также осуществляемой нотариусами и нотариальными палатами субъектов РФ, и предусмотренной, в частности, ст.24, 25, 29, 30, 42, 50, 52, 60 Основ законодательства Российской Федерации о нотариате от 11 февраля 1993 года N 4462-I. Поэтому нотариусы и нотариальные палаты являются операторами ПД.

Как показала практика, некоторые организации считают, что они будут являться операторами ПД и на них распространятся требования комментируемого Закона лишь в том случае, если организации подадут уведомление об обработке ПД в Роскомнадзор в соответствии со ст.22 комментируемого Закона. Такая точка зрения является ошибочной. Указанные выше лица являются операторами ПД независимо от включения их в реестр операторов, осуществляющих обработку ПД, который ведет Роскомнадзор.

Физические лица вынуждены представлять свои ПД организациям для заключения договоров, получения комплекса услуг. Но важно помнить, что оператору ПД не следует требовать от субъектов ПД сведений больше того, чем это нужно для какой-то конкретной цели. При этом храниться ПД могут не дольше, чем этого требуют цели, для которых они накапливались. По достижению такой цели или утраты необходимости в достижении цели ПД подлежат уничтожению. Кроме того операторы ПД обязаны гарантировать конфиденциальность информации и предоставить гражданину право самостоятельно решать какую информацию и в каком объеме он готов раскрывать.

3. Под обработкой ПД понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, в том числе, следующие действия:


- сбор ПД;

- запись ПД;

- систематизацию ПД;

- накопление ПД;

- хранение ПД;

- уточнение (обновление, изменение) ПД;

- извлечение ПД;

- использование ПД;

- передачу (распространение, предоставление, доступ) ПД;

- обезличивание ПД;

- блокирование ПД;

- удаление ПД;

- уничтожение ПД.

Статьей 86 Трудового кодекса РФ (далее - ТК РФ) устанавливаются общие требования при обработке ПД работника и гарантии их защиты:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, ТК РФ и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных ТК РФ и другими федеральными законами;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном ТК РФ и иными федеральными законами;

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Как показывает практика, образовательные организации в последние годы сталкиваются с тем, что некоторые родители отказываются давать согласие на обработку ПД учащихся с целью ведения электронных дневников и журналов. Поскольку в большинстве современных российских школ электронные дневники и классные журналы заменили полностью их бумажные варианты, такие действия родителей создают проблемы для нормального осуществления учебного процесса. По этому поводу в отчете о деятельности Роскомнадзора за 2014 год, размещенном на официальном сайте Роскомнадзора в сети Интернет (см. URL: http://rkn.gov.ru/docs/Otchet_ZPD_rus.pdf), разъяснено, что в указанных случаях оказание услуги по ведению электронных дневников и журналов посредством единого портала государственных и муниципальных услуг согласия субъекта ПД на обработку данных не требуется. Но в случае если оператор поручил обработку ПД другому лицу с согласия субъекта ПД, и в случае последующего отказа законных представителей от предоставления согласия на обработку ПД, образовательные организации теряют право для передачи ПД обучающихся третьему лицу.

Также важно учитывать разъяснения Роскомнадзора, касающиеся оказания услуг по осуществлению расчетов за помещения и коммунальные услуги третьими лицами в отсутствие согласия на передачу ПД. В указанном выше отчете за 2014 год Роскомнадзор разъяснил, что ч.15 ст.155 Жилищного кодекса РФ (далее - ЖК РФ) предусмотрено право управляющей организации осуществлять расчеты с нанимателями и собственниками жилых помещений при участии платежных агентов. Кроме того, в соответствии с ч.16 ст.155 ЖК РФ в указанных случаях согласие нанимателей и собственников жилых помещений на передачу их персональных данных платежным агентам не требуется.

4. Под "автоматизированной обработкой ПД" законодатель понимает обработку ПД при помощи любых средств вычислительной техники.

5. Согласно ст.2 ФЗ "Об информации, информационных технологиях и о защите информации" распространением информации называются действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.

Одной из форм распространения ПД может являться обнародование ПД в средствах массовой информации. В соответствии со ст.2 Закона РФ от 27 декабря 1991 года N 2124-1 "О средствах массовой информации" (далее по тексту - Закон "О средствах массовой информации") массовой информацией называются предназначенные для неограниченного круга лиц печатные, аудио-, аудиовизуальные и иные сообщения и материалы. Под средством массовой информации понимается периодическое печатное издание, сетевое издание, телеканал, радиоканал, телепрограмма, радиопрограмма, видеопрограмма, кинохроникальная программа, иная форма периодического распространения массовой информации под постоянным наименованием (названием).

Распространение ПД может происходить и в форме размещения ПД в информационно-телекоммуникационных сетях. Примером информационно-телекоммуникационной сети является сеть Интернет.

Операторы информационных систем общего пользования и операторы связи обязаны обеспечивать информационную безопасность при подключении информационных систем общего пользования к информационно-телекоммуникационным сетям.

Отношения, связанные с обработкой ПД в Интернете, также регулируются положениями комментируемого Закона. Основным органом, который отслеживает факты нарушения прав субъектов ПД в Интернете, является Роскомнадзор. При этом механизм защиты прав субъектов ПД является следующим (см. URL: http://75.rkn.gov.ru/directions/p7166/p18007/):

- после поступления в Роскомнадзор информации о нарушении законодательства в области ПД путем незаконного размещения на конкретном информационном ресурсе сведений, содержащих персональные данные, Роскомнадзор устанавливает данные владельца и администратора информационного ресурса, а также провайдера хостинга;

- установление данных (адреса и наименование организаций) информационных посредников осуществляется посредством открытых сервисов whois в сети "Интернет" (http://1whois.ru/, https://www.reg.ru). В случае отсутствия такой информации в общедоступных сервисах, а также при необходимости уточнения данных информационных посредников Роскомнадзор взаимодействует с регистраторами доменных имен;

- впоследствии в рамках полномочий Роскомнадзора и в целях установления факта незаконной обработки персональных данных запрашивает у информационного посредника документы, подтверждающие осуществление деятельности по обработке персональных данных в соответствии с требованиями законодательства в области персональных данных, а также направляет требование об удалении размещенной информации о персональных данных;

- в случае не удаления персональных данных заявителя, Роскомнадзор направляет в адрес органов прокуратуры материалы для привлечения владельца информационного ресурса к административной ответственности.

6. Согласно ст.87 ТК РФ порядок хранения и использования ПД работников устанавливается работодателем с соблюдением требований ТК РФ, комментируемого Закона и иных федеральных законов. Таким образом, в организациях должно быть разработано и утверждено Положение о порядке хранения и использования ПД работников. Невыполнение этого требования законодательства влечет наложение административного штрафа на должностных лиц в соответствии со ст.5.27 КоАП РФ. Статьей 88 ТК РФ устанавливаются требования к порядку передачи ПД работника:

- работодатель не имеет права сообщать ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в некоторых других случаях, предусмотренных ТК РФ, комментируемым Законом или иными федеральными законами, о чем будет рассказано в последующих комментариях к статьям Закона;

- работодатель не имеет права сообщать ПД работника в коммерческих целях без его письменного согласия;

- работодатель обязан предупредить лиц, получающих ПД работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено (кроме случаев обмена ПД работников в порядке, установленном ТК РФ);

- работодатель обязан осуществлять передачу ПД работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

- работодатель может разрешать доступ к ПД работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД работника, которые необходимы для выполнения конкретных функций;

- работодатель не имеет права запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

- работодатель должен передавать ПД работника представителям работников в порядке, установленном ТК РФ, комментируемым Законом и иными федеральными законами, и ограничивать эту информацию только теми ПД работника, которые необходимы для выполнения указанными представителями их функций.

7. Блокированием ПД признается временное прекращение любой обработки ПД. В качестве исключения назван случай, когда такая обработка необходима для уточнения ПД.

Следует отметить, что такой способ как блокирование ПД в отечественной практике введен впервые комментируемым Законом.

8. Уничтожение ПД. Существует ряд ситуаций, когда оператор обязан прекратить обработку ПД, блокировать или уничтожить их. Эти случаи предусмотрены ст.5, 14, 21 комментируемого Закона.

9. В результате обезличивания ПД становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД.

Рассмотрим некоторые случаи, когда целесообразно обезличить ПД.

В настоящее время в сети интернет существует множество веб-сайтов, требующих указывать сведения о пользователе при регистрации. Согласно требованиям комментируемого Закона использование ПД пользователей подобных ресурсов возможно только с письменного согласия того посетителя, которому эти данные соответствуют. Выходом в данной ситуации может быть обезличивание ПД. Таким образом, нужно сделать так, чтобы по этим ПД нельзя было идентифицировать пользователя.

Приказом Роскомнадзора от 5 сентября 2013 года N 996 утверждены требования и методы по обезличиванию ПД, обрабатываемых в информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ. В силу указанного документа обезличивание ПД должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых ПД. К таким свойствам относятся:

- полнота: сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания;

- структурированность: сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания;

- релевантность: возможность обработки запросов по обработке ПД и получения ответов в одинаковой семантической форме;

- семантическая целостность: сохранение семантики ПД при их обезличивании;

- применимость: возможность решения задач обработки ПД, стоящих перед оператором, осуществляющим обезличивание ПД, без предварительного деобезличивания всего объема записей о субъектах;

- анонимность: невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации.

Наиболее удобными для практического применения являются следующие методы обезличивания:

- метод введения идентификаторов: замена части значений ПД идентификаторами с созданием таблицы соответствия идентификаторов исходным данным;

- метод изменения состава или семантики: изменение состава или семантики ПД путем замены результатами статистической обработки, обобщения или удаления части сведений;

- метод декомпозиции: разбиение множества ПД на несколько подмножеств с последующим раздельным хранением подмножеств;

- метод перемешивания: перестановка отдельных записей, а также групп записей в массиве ПД.

Рассмотрим указанные методы обезличивания детальнее.

Метод введения идентификаторов представляет собой замену части ПД, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия. При этом данный метод обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- семантическая целостность;

- применимость.

Оценками свойств данного метода являются:

- обратимость (метод позволяет провести процедуру деобезличивания);

- вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);

- изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);

- стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием ПД, имеющихся у других операторов);

- совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);

- параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах ПД, подлежащих обезличиванию);

- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Метод изменения состава или семантики представляет собой обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта. При этом данный метод обеспечивает следующие свойства обезличенных данных:

- структурированность;

- релевантность;

- применимость;

- анонимность.

Оценкой свойств метода являются:

- обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке ПД);

- вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);

- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

- стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых ПД);

- возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием ПД, имеющихся у других операторов);

- совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);

- параметрический объем (параметры метода определяются набором правил изменения состава или семантики ПД);

- возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения ПД).

Метод декомпозиции реализуется путем разбиения множества записей ПД на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.

Данный метод обеспечивает следующие свойства обезличенных данных:

- полноту;

- структурированность;

- релевантность;

- семантическая целостность;

- применимость.

При этом оценкой этих свойств являются:

- обратимость (метод позволяет провести процедуру деобезличивания);

- вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);

- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

- стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);

- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием ПД, имеющихся у других операторов);

- совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);

- параметрический объем (определяется числом подмножеств и числом субъектов ПД, массив которых обезличивается, а также правилами разделения ПД на части и объемом таблиц связывания записей, находящихся в различных хранилищах);

- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Метод перемешивания представляет собой перемешивание отдельных записей, а также групп записей между собой, и обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- релевантность;

- семантическая целостность;

- применимость;

- анонимность.

В качестве оценки свойств метода следует считать:

- обратимость (метод позволяет провести процедуру деобезличивания);

- вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);

- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

- стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);

- возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием ПД, имеющихся у других операторов);

- совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);

- параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);

- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

10. Информационная система ПД. Приведем примеры информационных систем ПД:

- автоматизированные банковские системы, содержащие данные о сотрудниках банка, о клиентах, партнерах и т.п.;

- автоматизированные медицинские системы, содержащие данные о пациентах и т.п.;

- кадровые системы, содержащие данные о соискателях работы;

- бухгалтерские системы, содержащие данные о сотрудниках и клиентах организации;

- почтовые системы, содержащие данные о сотрудниках организации, клиентах, партнерах, заполненные карточки в адресных книгах почтовых систем и т.п.;

- системы документооборота, содержащие данные о сотрудниках организации, клиентах, партнерах;

- автоматизированные системы бюро пропусков, содержащие данные о посетителях.

Информационные системы по принадлежности можно классифицировать следующим образом:

- информационные системы государственных органов;

- информационные системы муниципальных органов;

- информационные системы юридических лиц;

- информационные системы физических лиц (за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд).

Постановление Правительства РФ от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" называет следующие основные виды информационных систем:

- информационная система, обрабатывающая специальные категории ПД, - это система, в которой обрабатываются ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПД;

- информационная система, обрабатывающая биометрические ПД, - это система, обрабатывающая сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПД, и не обрабатываются сведения, относящиеся к специальным категориям ПД;

- информационная система, обрабатывающая общедоступные ПД, - это система, в которой обрабатываются ПД, полученные только из общедоступных источников ПД, созданных в соответствии со ст.8 комментируемого Закона;

- информационная система, обрабатывающая иные категории ПД, - система, обрабатывающая ПД кроме тех, что указаны выше;

- информационная система, обрабатывающая ПД сотрудников оператора, - это система, в которой обрабатываются ПД только указанных сотрудников.

11. Конфиденциальность подразумевает обязанность операторов и иных лиц, получивших доступ к ПД, не раскрывать их третьим лицам и не распространять без согласия субъекта данных.

Требования к сохранению конфиденциальности информации закреплены также Законом РФ "О средствах массовой информации". Согласно ст.41 данного закона редакция не вправе разглашать в распространяемых сообщениях и материалах сведения, предоставленные гражданином с условием сохранения их в тайне. Кроме того редакция обязана сохранять в тайне источник информации и не вправе называть лицо, предоставившее сведения с условием неразглашения его имени, за исключением случая, когда соответствующее требование поступило от суда в связи с находящимся в его производстве делом.

Редакция также не вправе разглашать в сообщениях и материалах информацию о несовершеннолетних за исключением случаев, если распространение такой информации осуществляется в целях защиты прав и законных интересов несовершеннолетнего, пострадавшего в результате противоправных действий. В указанных случаях информация может быть распространена в СМИ и Интернете только:

- с согласия несовершеннолетнего, достигшего четырнадцатилетнего возраста, и его законного представителя;

- с согласия законного представителя несовершеннолетнего, не достигшего четырнадцатилетнего возраста;

- без согласия несовершеннолетнего, достигшего четырнадцатилетнего возраста), и (или) законного представителя такого несовершеннолетнего, если получить это согласие невозможно, либо если законный представитель такого несовершеннолетнего является подозреваемым или обвиняемым в совершении данных противоправных действий.

Что касается преступлений против половой неприкосновенности и половой свободы личности несовершеннолетнего, то распространение информации допускается лишь в случаях, если это необходимо для расследования преступления, установления лиц, причастных к совершению преступления, розыска пропавших несовершеннолетних и т.п.

12. Впервые вопрос о трансграничной передаче ПД возник, когда начался процесс объединения Европы. Ранее субъект ПД имел право отстоять свои интересы в собственной стране, но если нарушение его прав произошло за ее пределами, обеспечить полноценную защиту своих интересов он не мог.

Комментарий к статье 4. Законодательство Российской Федерации в области персональных данных

1. Комментируемая статья устанавливает перечень основных актов, которые формируют систему законодательства в области защиты ПД.

Частью 1 комментируемой статьи устанавливается, что законодательство РФ в области ПД основывается на:

- Конституции РФ;

- международных договорах РФ.

Конституция РФ - это основной закон РФ. Конституция РФ имеет высшую юридическую силу, прямое действие и применяется на всей территории РФ. Законы и иные правовые акты, принимаемые в РФ, не должны противоречить Конституции РФ. Таким образом, правовую основу системы защиты ПД составляют положения Конституции РФ.

Международный договор РФ - это международное соглашение, заключенное РФ с иностранным государством (или государствами), с международной организацией либо с иным образованием, обладающим правом заключать международные договоры, в письменной форме и регулируемое международным правом, независимо от того, содержится такое соглашение в одном документе или в нескольких связанных между собой документах, а также независимо от его конкретного наименования. Согласно положениям Федерального закона от 15 июля 1995 года N 101-ФЗ "О международных договорах Российской Федерации" международные договоры образуют правовую основу межгосударственных отношений, содействуют поддержанию всеобщего мира и безопасности, развитию международного сотрудничества в соответствии с целями и принципами Устава Организации Объединенных Наций. Международным договорам принадлежит важная роль в защите основных прав и свобод человека, в обеспечении законных интересов государств. Международные договоры РФ наряду с общепризнанными принципами и нормами международного права являются в соответствии с Конституцией РФ составной частью ее правовой системы.

Законодательство РФ в области ПД состоит из комментируемого Закона, других определяющих случаи и особенности обработки ПД федеральных законов, например:

- ТК РФ (гл.14 "Защита персональных данных работника" и др.);

- ФЗ "Об информации, информационных технологиях и о защите информации";

- Федерального закона от 15 ноября 1997 года N 143-ФЗ "Об актах гражданского состояния";

- Федерального закона от 22 октября 2004 года N 125-ФЗ "Об архивном деле в Российской Федерации";

- Федерального закона от 12 августа 1995 года N 144-ФЗ "Об оперативно-розыскной деятельности";

- Федерального закона от 12 июня 2002 года N 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации";

- Федерального закона от 21 ноября 2011 года N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";

- Федерального закона от 1 апреля 1996 года N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования";

- Федерального закона от 8 августа 2001 года N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей";

- Закона РФ от 21 июля 1993 года N 5485-I "О государственной тайне" и др.

2. В пределах своих полномочий определенные субъекты имеют право по вопросам, касающимся обработки ПД, принимать:

- нормативные правовые акты;

- нормативные акты;

- правовые акты.

Положениями ч.2 комментируемой статьи на этот счет закреплено, что на основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты по отдельным вопросам, касающимся обработки персональных данных.

При этом необходимо учесть, что указанные акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.

В силу Положения Банка России "О порядке подготовки и вступления в силу нормативных актов Банка России", утвержденного приказом Банка России от 15 сентября 1997 года N 02-395, нормативные акты Банка России принимаются им по вопросам, отнесенным к компетенции Банка России Федеральным законом от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" и другими федеральными законами. Нормативные акты Банка России могут издаваться в следующих формах:

- указание Банка России;

- положение Банка России;

- инструкция Банка России.

Согласно ст.7 Федерального закона от 6 октября 2003 года N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации" органами местного самоуправления и должностными лицами местного самоуправления по вопросам местного значения принимаются муниципальные правовые акты. По вопросам осуществления отдельных государственных полномочий, переданных органам местного самоуправления федеральными законами и законами субъектов РФ, могут приниматься муниципальные правовые акты на основании и во исполнение положений, установленных соответствующими федеральными законами и (или) законами субъектов РФ.


В качестве примера актов, принятых в силу положений ч.2 комментируемой статьи, укажем на следующие акты:

- приказ Федеральной службы судебных приставов от 17 июля 2015 года N 354 "Об обработке персональных данных в Федеральной службе судебных приставов";

- приказ Федерального агентства по делам молодежи от 1 июня 2015 года N 78 "Об обработке персональных данных в Федеральном агентстве по делам молодежи";

- приказ Федеральной службы по регулированию алкогольного рынка от 20 мая 2015 года N 132 "Об утверждении типовых форм согласия на обработку персональных данных федеральных государственных гражданских служащих Федеральной службы по регулированию алкогольного рынка, а также иных субъектов персональных данных и разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные";

- приказ Федеральной миграционной службы от 29 апреля 2015 года N 230 "Об обработке персональных данных в системе ФМС России";

- приказ Федерального агентства по рыболовству от 12 января 2015 года N 1 "Об утверждении Правил обработки персональных данных в Росрыболовстве";

- приказ Федеральной службы по ветеринарному и фитосанитарному надзору от 24 декабря 2014 года N 779 "О персональных данных в Федеральной службе по ветеринарному и фитосанитарному надзору";

- приказ Федеральной таможенной службы от 18 декабря 2014 года N 2495 "Об утверждении правил обработки персональных данных в таможенных органах Российской Федерации, организациях, находящихся в ведении ФТС России, представительствах (представителями) таможенной службы Российской Федерации в иностранных государствах";

- приказ Министерства энергетики РФ от 14 октября 2014 года N 724 "О персональных данных в Министерстве энергетики Российской Федерации";

- приказ Главного управления специальных программ Президента РФ от 25 июля 2014 года N 42 "Об организации работы с персональными данными в Главном управлении специальных программ Президента Российской Федерации";

- приказ Министерства строительства и жилищно-коммунального хозяйства РФ от 28 марта 2014 года N 132/пр "Об утверждении Положения об обработке и защите персональных данных в Министерстве строительства и жилищно-коммунального хозяйства Российской Федерации";

- приказ Федеральной службы по финансовому мониторингу от 21 января 2014 года N 10 "Об утверждении Положения об обработке и защите персональных данных в Федеральной службе по финансовому мониторингу";

- приказ Министерства спорта РФ от 24 декабря 2013 года N 1112 "О персональных данных в Министерстве спорта Российской Федерации";

- приказ Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека от 23 декабря 2013 года N 964 "Об утверждении Положения об обработке и защите персональных данных в Роспотребнадзоре";

- приказ Федеральной службы государственной статистики от 9 августа 2013 года N 316 "Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы государственной статистики, связанных с реализацией служебных или трудовых отношений";

- приказ МИД России от 5 августа 2013 года N 14172 "Об утверждении Положения об организации работы с персональными данными федеральных государственных гражданских служащих центрального аппарата Министерства иностранных дел Российской Федерации, дипломатических представительств и консульских учреждений Российской Федерации при международных (межгосударственных, межправительственных) организациях, территориальных органах - представительствах Министерства иностранных дел Российской Федерации на территории Российской Федерации";

- приказ Государственной фельдъегерской службы РФ от 12 июля 2013 года N 306 "О персональных данных в системе ГФС России";

- приказ Федеральной службы по надзору в сфере транспорта от 21 января 2013 года N АК-35фс "Об утверждении Положения об обработке персональных данных в центральном аппарате Федеральной службы по надзору в сфере транспорта";

- приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 3 декабря 2012 года N 1255 "Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций";

- приказ Федерального казначейства от 14 сентября 2012 года N 16н "Об утверждении Положения об организации работы с персональными данными федеральных государственных гражданских служащих центрального аппарата Федерального казначейства, заместителей руководителей территориальных органов Федерального казначейства";

- приказ Федеральной службы по оборонному заказу от 23 июля 2012 года N 100 "О защите персональных данных федеральных государственных гражданских служащих Рособоронзаказа";

- приказ Министра обороны РФ от 16 июня 2012 года N 1500 "Об утверждении Положения об обработке персональных данных в центральном аппарате Министерства обороны Российской Федерации";

- приказ Федеральной службы судебных приставов от 12 мая 2012 года N 248 "Об утверждении Порядка создания и ведения банка данных в исполнительном производстве Федеральной службы судебных приставов в электронном виде";

- приказ Управления делами Президента РФ от 28 июля 2011 года N 451 "О защите персональных данных федеральных государственных гражданских служащих Управления делами Президента Российской Федерации";

- приказ Минфина РФ от 4 июля 2011 года N 75н "О защите персональных данных федеральных государственных гражданских служащих Министерства финансов Российской Федерации, заместителей руководителей федеральных служб, находящихся в ведении Министерства финансов Российской Федерации, руководителей их территориальных органов, назначаемых на должность Министром финансов Российской Федерации";

- приказ Федерального агентства по поставкам вооружения, военной, специальной техники и материальных средств от 22 апреля 2011 года N 116 "О защите персональных данных федеральных государственных гражданских служащих центрального аппарата Федерального агентства по поставкам вооружения, военной, специальной техники и материальных средств";

- приказ Федерального агентства по печати и массовым коммуникациям от 1 декабря 2010 года N 584 "О защите персональных данных государственного гражданского служащего Федерального агентства по печати и массовым коммуникациям";

- приказ Федеральной миграционной службы от 26 ноября 2010 года N 423 "Об утверждении Положения о защите персональных данных работников системы ФМС России";

- приказ Федеральной миграционной службы от 25 ноября 2010 года N 420 "О защите персональных данных федеральных государственных гражданских служащих ФМС России";

- приказ Минюста РФ от 22 октября 2010 года N 316 "О защите персональных данных федеральных государственных гражданских служащих Минюста России";

- приказ Федеральной антимонопольной службы от 4 октября 2010 года N 559 "Об утверждении Положения об организации работы с персональными данными федерального государственного гражданского служащего ФАС России и ведении его личного дела";

- приказ Федеральной службы по экологическому, технологическому и атомному надзору от 17 сентября 2010 года N 919 "Об организации работы с персональными данными государственного гражданского служащего центрального аппарата Федеральной службы по экологическому, технологическому и атомному надзору";

- приказ Федерального агентства специального строительства от 21 июня 2010 года N 278 "О мерах по защите персональных данных в Федеральном агентстве специального строительства";

- приказ Федерального агентства железнодорожного транспорта от 7 апреля 2010 года N 137 "Об организации работы с персональными данными государственного гражданского служащего центрального аппарата Федерального агентства железнодорожного транспорта и ведении его личного дела";

- приказ Федерального медико-биологического агентства от 8 июля 2009 года N 501 "Об утверждении Положения о работе с персональными данными государственного гражданского служащего Федерального медико-биологического агентства и ведении его личного дела";

- приказ Федеральной службы по надзору в сфере здравоохранения и социального развития от 12 мая 2009 года N 3500-Пр/09 "О защите персональных данных государственных гражданских служащих центрального аппарата и заместителей руководителей территориальных органов Федеральной службы по надзору в сфере здравоохранения и социального развития";

- приказ Минтранса РФ от 17 февраля 2009 года N 27 "Об утверждении Положения об организации работы с персональными данными государственного гражданского служащего Министерства транспорта Российской Федерации и ведении его личного дела";

- приказ Федерального дорожного агентства от 2 февраля 2009 года N 5 "О защите персональных данных государственных гражданских служащих Федерального дорожного агентства";

- приказ Министерства энергетики РФ от 11 ноября 2008 года N 166 "Об утверждении Положения о работе по обработке персональных данных в Министерстве энергетики Российской Федерации";

- приказ Федеральной службы по тарифам от 7 ноября 2008 года N 441-к "Об утверждении Положения о работе с персональными данными государственного гражданского служащего ФСТ России и ведении его личного дела";

- приказ Федерального агентства по обустройству государственной границы РФ от 13 октября 2008 года N 101 "О защите персональных данных федеральных государственных гражданских служащих Федерального агентства по обустройству государственной границы Российской Федерации";

- приказ Федерального фонда ОМС от 19 августа 2008 года N 180 "Об утверждении Положения о защите персональных данных работников Федерального фонда обязательного медицинского страхования";

- приказ Министерства экономического развития РФ от 2 сентября 2014 года N 549 "Об утверждении Инструкции по формированию, ведению, хранению, передаче личных дел и учету персональных данных государственных гражданских служащих и работников Министерства экономического развития Российской Федерации";

- приказ Федерального агентства по образованию от 18 ноября 2009 года N 2114 "Об утверждении Положения об обработке и защите персональных данных в Федеральном агентстве по образованию";

- приказ Генеральной прокуратуры РФ от 22 ноября 2013 года N 506 "Об утверждении и введении в действие Инструкции о порядке обработки в органах прокуратуры Российской Федерации персональных данных, полученных в связи с осуществлением прокурорского надзора";

- приказ Судебного департамента при Верховном Суде РФ от 10 апреля 2015 года N 96 "Об утверждении списка должностей федеральных государственных гражданских служащих Судебного департамента при Верховном Суде Российской Федерации, уполномоченных на обработку персональных данных судей и имеющих доступ к соответствующим программно-техническим средствам, информационным системам и помещениям";

- приказ Судебного департамента при Верховном Суде РФ от 14 марта 2011 года N 47 "Об утверждении Инструкции о порядке обработки и защиты персональных данных судей районных, городских, межрайонных судов, гарнизонных военных судов";

- приказ Министра финансов Московской области от 22 апреля 2014 года N 22П-47 "Об обработке персональных данных в Министерстве финансов Московской области";

- приказ Министра физической культуры, спорта, туризма и работы с молодежью МО от 2 апреля 2013 года N 14-86-П "Об утверждении Правил обработки персональных данных в Министерстве физической культуры, спорта, туризма и работы с молодежью Московской области";

- приказ Министра транспорта Московской области от 30 ноября 2012 года N 188 "Об утверждении Положения об обработке персональных данных в Министерстве транспорта Московской области" и др.

3. Частью 3 комментируемой статьи устанавливается, что особенности обработки ПД, осуществляемой без использования средств автоматизации, могут быть установлены иными федеральными законами и иными нормативными правовыми актами. При этом должны учитываться положения комментируемого Закона.

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

При этом обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

В настоящее время особенности обработки ПД, осуществляемой без использования средств автоматизации, регулируются постановлением Правительства РФ от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". С учетом норм комментируемого Закона и указанного постановления утвержден приказ Фонда социального страхования РФ от 21 января 2014 года N 10 "Об утверждении Положения о защите персональных данных работников Фонда социального страхования Российской Федерации, обрабатываемых без использования средств автоматизации".

В Положении об обработке персональных данных в центральном аппарате Министерства обороны Российской Федерации, утв. приказом Министра обороны РФ от 16 июня 2012 года N 1500, содержится отдельный раздел, регулирующий правила обработки персональных данных, осуществляемой без использования средств автоматизации. Аналогичный раздел присутствует и в Положении об обработке персональных данных в центральном аппарате Федеральной службы по надзору в сфере транспорта, утв. приказом Федеральной службы по надзору в сфере транспорта от 21 января 2013 года N АК-35фс.

4. Комментируемая норма, воспроизводя положения ч.4 ст.15 Конституции РФ и п.2 ст.5 Федерального закона от 15 июля 1995 года N 101-ФЗ "О международных договорах Российской Федерации" о превосходстве применения международных договоров РФ по отношению к национальному законодательству, носит предельно лаконичный характер, вызывая тем самым ряд определенных трудностей в ее практическом применении. Так, в частности, не установлено, какие именно международные договоры РФ (межгосударственные, межправительственные, межведомственного характера) и в отношении каких именно законов имеют приоритет. Представляется, что в решении данного вопроса необходимо учитывать такой критерий, как юридическая сила международных договоров Российской Федерации и характер их взаимоотношений с национальными законами. По этой причине достаточно обоснованным можно считать изложенное в отечественной юридической литературе мнение об установлении следующей дифференциацииКомментарий к Федеральному закону от 27 июля 2006 года N 152-ФЗ :
________________

Комментарий к Федеральному закону от 27 июля 2006 года N 152-ФЗ См. Агешкина Н.А. Научно-практический комментарий к Федеральному закону от 15 июля 1995 года N 101-ФЗ "О международных договорах Российской Федерации". М., 2013. Комментарий к ст.5.


- юридическая сила международных договоров РФ, утвержденных Указом Президента РФ, равна юридической силе самого указа;

- юридическая сила международных договоров, утвержденных постановлением Правительства РФ, равнозначна юридической силе данного постановления.

Таким образом, указанные группы международных договоров РФ, наряду с утвердившими их нормативными правовыми актами, занимают в иерархической системе источников национального права место, следующее за федеральными законами, а соответственно, должны заключаться и применяться в строгом соответствии с ними. Из этого следует, что международные договоры РФ, утвержденные Президентом или Правительством РФ, имеют приоритет только в отношении президентских, правительственных или иных актов, издаваемых нижестоящими органами государственной власти. Договоры межведомственного характера пользуются приоритетом лишь в отношении актов соответствующего ведомства (ведомств).

Перед внутригосударственными законодательными нормами приоритетом обладают те международные договоры РФ, которые в соответствии с установленным законодательством порядком, ратифицированы и опубликованы. Именно ратификация придает международному договору РФ юридическую силу федерального закона и наделяет его свойствами приоритета по отношению к другим законам. Нератифицированные международные (межгосударственные, межправительственные, межведомственные) договоры не обладают иерархическим приоритетом в случае возникновения коллизии между положениями закона и положениями вышеупомянутых договоров.

Международный договор РФ, устанавливающий иные по сравнению с национальными нормами правила, не отменяет действия последних. Его преимущественная сила может проявляться только на стадии правоприменения. Несоответствие норм внутригосударственного закона и международного договора РФ не ведет к автоматической отмене или неприменимости этого закона. В силу ч.6 ст.125 Конституции РФ приоритет международных договоров РФ не может быть исключительным, поскольку международные договоры РФ, не соответствующие Конституции РФ, не подлежат введению в действие и применению.

Для практической реализации комментируемых норм следует учитывать и тот факт, что устанавливаемые международным договором РФ правила подлежат применению в случаях, если:

- Российская Федерация в лице компетентных органов государственной власти выразила свое согласие на обязательность для нее международного договора посредством одного из действий, перечисленных в ст.6 Федерального закона от 15 июля 1995 года N 101-ФЗ "О международных договорах Российской Федерации";

- международный договор вступил в силу для Российской Федерации.

Такое положение целенаправленно закреплено в п.4 постановления Пленума Верховного Суда РФ от 10 октября 2003 года N 5 "О применении судами общей юрисдикции общепризнанных принципов и норм международного права и международных договоров Российской Федерации". При этом судебными органами РФ при осуществлении правосудия принимаются во внимание не только соответствующие международные договоры РФ, но и общепризнанные принципы и нормы международного права, ставшие частью правовой системы Российской Федерации в силу ч.4 ст.15 Конституции РФ.

В силу изложенного, для целей комментируемого Закона особое значение имеют международные нормы, закрепленные в Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 года), поскольку данный акт был ратифицирован Россией посредством принятия Федерального закона от 19 декабря 2005 года N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".

Цель обозначенной Конвенции состоит в обеспечении на территории каждой стороны для каждого физического лица, независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его персональных данных ("защита данных").

Необходимо учитывать, что указанная Конвенция была ратифицирована со следующими заявлениями:

1) Российская Федерация заявляет, что в соответствии с подпунктом "а" пункта 2 статьи 3 Конвенции не будет применять Конвенцию к персональным данным:

а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;

б) отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне;

2) Российская Федерация заявляет, что в соответствии с подпунктом "с" пункта 2 статьи 3 Конвенции будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации;

3) Российская Федерация заявляет, что в соответствии с подпунктом "а" пункта 2 статьи 9 Конвенции оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.

Также обратим внимание, что Россия не ратифицировала Дополнительный протокол к Конвенции о защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информации ETS N 181 (Страсбург, 8 ноября 2001 года), что исключает возможность его применения к внутригосударственным отношениям, направленным на защиту физических лиц при автоматизированной обработке персональных данных.

В рамках комментируемой статьи хотелось бы указать на Рекомендации Комитета Министров Совета Европы СМ/REC (2014) Государствам-членам о Руководстве по правам человека для пользователей Интернета (принята Комитетом Министров Совета Европы 16 апреля 2014 года на 1197-м заседании Заместителей Министров)Комментарий к Федеральному закону от 27 июля 2006 года N 152-ФЗ . В этих Рекомендациях, в частности, содержится раздел "Защита частной жизни и защита данных", где, помимо прочего, отражено, что персональные данные пользователей Интернета должны обрабатываться только в установленных законодательством случаях или с их согласия. Пользователи должны быть проинформированы о том, какие ваши персональные данные обрабатываются и/или передаются третьим лицам, о том, когда, кем и для какой цели это делается. По общему правилу пользователи должны иметь возможность осуществлять контроль своих персональных данных (проверять их точность, требовать внесения изменений, удаления или обращаться с требованием о том, чтобы персональные данные не хранились дольше положенного срока).
________________
Комментарий к Федеральному закону от 27 июля 2006 года N 152-ФЗ Совет Европы - международная организация, созданная в 1949 году, целью которой является достижение большего единства между его членами во имя защиты и осуществления идеалов и принципов, являющихся их общим достоянием, и содействие их экономическому и социальному прогрессу. Это достигается усилиями органов Совета Европы посредством рассмотрения вопросов, представляющих общий интерес, заключения соглашений и проведения совместных действий в экономической, социальной, культурной, научной, правовой и административной областях, равно как и путем поддержания и дальнейшего осуществления прав человека и основных свобод (см. Устав Совета Европы ETS N 001 (Лондон, 5 мая 1949 года) (официальный сайт: URL: http://www.coe.int)). Российская Федерация присоединилась к Уставу Совета Европы Федеральным законом от 23 февраля 1996 года N 19-ФЗ "О присоединении России к Уставу Совета Европы"; Устав вступил в силу для Российской Федерации 28 февраля 1996 года. Совет Европы является полностью самостоятельной организацией, не входящей в систему Европейского союза.


При практической реализации норм ч.4 комментируемой статьи, а также положений ст.12 Закона относительно трансграничной передачи персональных данных на территории иностранных государств, равно как и других норм комментируемого Закона, следует учитывать, что Российская Федерация не является членом Европейского Союза (см. официальный сайт Евросоюза: URL: www.europa.eu.int), что исключает возможность применения к внутригосударственным отношениям соответствующих норм Директив Европейского Парламента и Совета Европейского Союза, в частности, таких, как:


- Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС от 24 октября 1995 года о защите физических лиц при обработке персональных данных и о свободном обращении таких данных;

- Директива Европейского Парламента и Совета Европейского Союза 97/66/EC от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций;

- Директива Европейского Парламента и Совета Европейского Союза 2002/58/ЕС от 12 июля 2002 года в отношении обработки персональных данных и защиты конфиденциальности в секторе электронных средств связи (Директива о конфиденциальности и электронных средствах связи).

Положения, затрагивающие аспекты обмена информацией и ее защиты при этом, включаются и в двухсторонние международные договоры, например, о реадмиссии, правовой помощи, об упрощении процедуры выдачи виз, о сотрудничестве в определенной общественной, культурной сфере и т.п.

Так, в ст.15 Договора между Российской Федерацией и Республикой Индией о взаимной правовой помощи по уголовным делам (Дели, 21 декабря 1998 года) указано, что запрашиваемая сторона может потребовать, чтобы предоставленная информация или доказательства либо источник такой информации или доказательств сохранялись конфиденциальными или были раскрыты или использованы только на определенных ею условиях. Если запрашивающая сторона принимает эту информацию или доказательства на таких условиях, она будет их соблюдать. Кроме того запрашиваемая сторона должна будет по запросу и в запрошенном объеме сохранять конфиденциальность запроса, его содержания, прилагаемых документов и любого действия, предпринимаемого в соответствии с запросом. Если запрос не может быть исполнен без нарушения конфиденциальности, запрашиваемая сторона должна уведомить об этом запрашивающую сторону, которая решает, должен ли запрос, несмотря на это, быть исполнен.

Защите персональных данных посвящена ст.9 Соглашения между Правительством Российской Федерации и Правительством Республики Сербии о реадмиссии (Белград, 16 октября 2014 года), ст.8 Соглашения между Правительством Российской Федерации и Советом Министров Боснии и Герцеговины о реадмиссии (Москва, 22 июня 2015 года), ст.11 Соглашения между Правительством Российской Федерации и Правительством Иорданского Хашимитского Королевства о сотрудничестве и взаимной помощи в таможенных делах (Амман, 21 января 2015 года), ст.14 Соглашения между Правительством Российской Федерации и Правительством Княжества Лихтенштейн об упрощении процедуры выдачи виз гражданам Российской Федерации и Княжества Лихтенштейн (Вадуц, 12 ноября 2013 года), ст.9 Соглашения между Правительством Российской Федерации и Правительством Республики Болгарии о сотрудничестве в борьбе с преступностью, особенно в ее организованных формах (Москва, 10 ноября 2006 года), ст.8 Соглашения между Правительством Российской Федерации и Правительством Республики Армения о реадмиссии (Ереван, 20 августа 2010 года) и др.

Доступ к полной версии этого документа ограничен

Ознакомиться с документом вы можете, заказав бесплатную демонстрацию систем «Кодекс» и «Техэксперт» или купите этот документ прямо сейчас всего за 49 руб.

Что вы получите:

После завершения процесса оплаты вы получите доступ к полному тексту документа, возможность сохранить его в формате .pdf, а также копию документа на свой e-mail. На мобильный телефон придет подтверждение оплаты.

При возникновении проблем свяжитесь с нами по адресу uwt@kodeks.ru

Примеры

аналогичных документов, доступных с полным текстом:

Комментарий к Федеральному закону от 27 июля 2006 года N 152-ФЗ "О персональных данных" (постатейный)

Название документа: Комментарий к Федеральному закону от 27 июля 2006 года N 152-ФЗ "О персональных данных" (постатейный)

Вид документа: Комментарий, разъяснение, статья

Дата принятия: 20 апреля 2016

Информация о данном документе содержится в профессиональных справочных системах «Кодекс» и «Техэксперт»
Узнать больше о системах