Текст книги "Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»"

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее ‒ нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

1. Законодательство о персональных данных является сравнительно «молодым», но динамично развивающимся. Первый закон о персональных данных появился в 1970 г. в Германии, в земле Гессен (Hessisches Datenschutzgesetz). В 1973 г. соответствующие нормы были приняты в Швеции (Datalagen), в 1977 г. – снова в Германии (Bundesdatenschutzgesetz), в 1978 г. – во Франции (Loi informatique et libertés), а впоследствии и в иных европейских странах. В США соответствующие законодательные нормы также начали появляться в 70-е гг. прошлого века, к их числу следует отнести Закон о справедливых кредитных историях (Fair Credit Reporting Act 1970) и Закон о защите частной жизни (Privacy Act of 1974), который регламентировал обработку персональных данных граждан федеральными органами власти.

Первые упоминания о персональных данных в российском законодательстве появились в Федеральном законе от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации». Однако детальное регулирование было осуществлено возникло лишь с принятием в 2006 г. Закона о персональных данных, который не только был основан на положениях Конвенции 1981 г., ратифицированной Россией в 2005 г., но и заимствовал многие нормы Директивы 1995 г. (особенно в массивном пакете поправок, принятых в 2011 г.). В этой связи европейский подход к толкованию положений этих документов представляет собой особый интерес непосредственно для российской практики, позволяя не только не «изобретать велосипед», но и взвешенно подходить к решению достаточно сложных проблем, возникающих при применении весьма специфического по своей сути законодательства.

2. Как следует из ч. 1 комментируемой статьи, регулирование отношений, связанных с обработкой персональных данных, осуществляется исключительно на уровне нормативных правовых актов федерального уровня. Субъекты Российской Федерации не могут принимать нормативные правовые акты в указанной сфере. Это обусловлено направленностью законодательства о персональных данных на защиту конституционного права на неприкосновенность частной жизни, личную и семейную тайну, а также иных прав и свобод, связанных с обработкой персональных данных. При этом в соответствии с подп. «в» п. 1 ст. 71 Конституции РФ регулирование и защита прав и свобод человека и гражданина как высших демократических ценностей отнесены к исключительному ведению Российской Федерации.

3. Закон о персональных данных является базовым законодательным актом, регулирующим отношения, связанные с обработкой персональных данных, и определяет принципы, условия и правила обработки персональных данных (Определение Конституционного Суда РФ от 17 июля 2012 г. № 1346-О). Иные федеральные законы могут конкретизировать случаи и особенности обработки отдельных категорий персональных данных, но не могут устанавливать иные принципы обработки персональных данных или давать дефиниции ключевых терминов. Примером такого федерального закона служит Трудовой кодекс РФ, который содержит специальную главу (гл.14), посвященную особенностям защиты персональных данных работников. Другим примером подобного акта является Федеральный закон от 7 июня 2013 г. № 108-ФЗ «О подготовке и проведении в Российской Федерации чемпионата мира по футболу FIFA 2018 года, Кубка конфедераций FIFA 2017 года и внесении изменений в отдельные законодательные акты Российской Федерации», который содержит специальную статью (ст. 23.1), посвященную особенностям обработки персональных данных граждан Российской Федерации в процессе подготовки и проведения указанных мероприятий.

4. Отнесение законодательства в области персональных данных к сфере ведения федерального законодателя не означает невозможности существования нормативных правовых актов иных уровней. Органы государственной власти РФ, субъектов РФ, органы местного самоуправления и Центральный Банк России (который формально не является государственным органом и имеет особый статус) наделены правом принимать нормативные правовые акты в указанной сфере при одновременном соблюдении следующих условий, указанных в ч. 2 комментируемой статьи:

1) такая возможность должна быть прямо предусмотрена в федеральном законе;

2) указанные акты должны быть приняты вышеназванными органами в пределах своих полномочий;

3) указанные акты не могут содержать положения, ограничивающие права субъектов персональных данных, или устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов, или возлагающие на операторов не предусмотренные федеральными законами обязанности;

4) такие акты подлежат обязательному опубликованию, что исключает возможность использования правовых актов с грифом «Для служебного пользования» для регулирования прав и обязанностей лиц, которые не имеют к ним доступа7171
  К сожалению, такие ситуации иногда имеют место на практике. Например, при регулировании вопросов обязательной сертификации средств защиты информации в информационных системах персональных данных, когда государственные органы аргументируют свою позицию ссылкой на Постановление Правительства РФ от 15 мая 2010 г. № 330 с грифом «Для служебного пользования». См. подробнее: Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. М.: Статут, 2014. С. 514−515.


[Закрыть].

В основном такого рода подзаконные акты касаются вопросов обеспечения информационной безопасности информационных систем (см. комментарий к ст. 19 Закона о персональных данных), порядка проведения контрольно-надзорных мероприятий (см. комментарий к ст. 23 настоящего Закона), особенностей обработки персональных данных в отдельных государственных органах.

5. Среди важных документов, формально не являющихся нормативными правовыми актами, но оказывающими немалое влияние на правоприменительную практику в сфере законодательства о персональных данных, следует отметить разъяснения Минкомсвязи России, которое является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных, и уполномочено на дачу разъяснений по данным вопросам7272
  См. п. 1 и 6.6 Положения о Министерстве связи и массовых коммуникаций Российской Федерации, утв. постановлением Правительства РФ от 2 июня 2008 г. № 418 «О Министерстве связи и массовых коммуникаций Российской Федерации».


[Закрыть]. Кроме них также следует упомянуть комментарии и информацию Роскомнадзора, которые хотя и не являются официальными актами толкования законодательства, но могут оказывать существенное влияние на практику в силу убедительности содержащихся в них аргументов либо в силу статуса лица, которое их предоставило.

6. Согласно ч. 3 комментируемой статьи порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами Российской Федерации. В настоящее время одним из таких актов является Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15 сентября 2008 г. № 687. О понятии обработки персональных данных без использования средств автоматизации см. комментарий к ст. 1 Закона о персональных данных. Ключевые особенности такой обработки можно свести в следующий перечень:

● Персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях; при этом для разных категорий персональных данных должны использоваться разные носители.

● Обработка должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения материальных носителей персональных данных и установить перечень лиц, осуществляющих их обработку либо имеющих к ним доступ.

● Работники и привлеченные на основании гражданско-правовых договоров лица, осуществляющие такую обработку, должны быть проинформированы об этом, а также об особенностях и правилах такой обработки.

● Используемые типовые формы документов, в которых фигурируют персональные данные, должны соответствовать определенным требованиям (содержать информацию, состав которой по сути совпадает с перечнем ч. 4 ст. 9 Закона о персональных данных и необходим для дачи субъектом информированного согласия на обработку данных; место для подписи и пр.).

● Порядок ведения журналов, содержащих персональные данные, необходимых для однократного пропуска субъекта персональных данных на территорию оператора, должен предусматриваться локальным актом, сведения таких журналов не могут копироваться.

7. Часть 4 комментируемой статьи воспроизводит конституционное положение о приоритете положений международных соглашений перед федеральным законом. К важнейшим международным договорам, имеющим отношение к защите персональных данных, следует отнести Международный пакт от 16 декабря 1966 г. «О гражданских и политических правах», ст. 17 которого предусматривает, что «никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию». Кроме того, следует отметить положение ст. 8 Конвенции о защите прав человека и основных свобод 1950 г., по которому «каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции». Данные положения, несмотря на их схожесть, имеют несколько разные акценты: в первом случае акцент делается на недопустимости вмешательства в частную жизнь и обеспечении конфиденциальности таких данных7373
  General Comment 16 issued 23 March 1988 (UN Doc A/43/40, 181‒183).


[Закрыть], во втором – на уважении частной жизни, что дает основания для более широкого толкования данного права. Это достаточно очевидно следует из практики ЕСПЧ, решения которого являются обязательными для Российской Федерации, если она выступает стороной такого спора.

Существует ряд решений ЕСПЧ, касающихся персональных данных, в которых Российская Федерация фигурировала в качестве ответчика и жалобы заявителей на нарушение их права на уважение личной жизни были признаны обоснованными. К их числу можно отнести, в частности, Постановление ЕСПЧ от 6 июня 2013 г. по делу Авилкина и другие против Российской Федерации (жалоба № 1585/09), в котором рассматривалась жалоба на действия лечебных учреждений по передаче прокуратуре некоторых сведений о своих пациентах без их согласия, что было обусловлено их религиозными убеждениями. Другим примером является Постановление ЕСПЧ от 23 февраля 2016 г. по делу Y.Y. против Российской Федерации (жалоба № 40378/06), в котором рассматривалась жалоба по поводу раскрытия лечебным учреждением медицинской информации о заявительнице и ее детях в отсутствие ее согласия для целей проведения проверочных мероприятий. Достаточно резонансным является и Постановление ЕСПЧ от 4 декабря 2015 г. по делу Роман Захаров (Roman Zakharov) против Российской Федерации (жалоба № 47143/06). В данном случае жалоба касалась нарушения права на уважение личной жизни и переписки организацией системы тайного прослушивания мобильной телефонной связи (СОРМ), а также отсутствия эффективных средств правовой защиты. ЕСПЧ признал данную жалобу обоснованной, отметив, помимо прочего, что законодательство РФ в указанной части оставляет властям почти неограниченную дискрецию для определения того, какие события или действия представляют собой подобную угрозу и является ли угроза достаточно серьезной, чтобы оправдать скрытое наблюдение, тем самым создавая возможности для произвола (§ 248). О практике ЕСПЧ по вопросам защиты неприкосновенности частной жизни см. также комментарий к ст. 2 Закона о персональных данных.

Основным международным договором в сфере персональных данных с участием России является Конвенция 1981 г. Данный документ закрепил фундаментальные принципы обработки персональных данных, которые были имплементированы в Закон о персональных данных. Следует отметить, что положения Конвенции не устанавливают непосредственно права и обязанности участников отношений, связанных с обработкой персональных данных, а создают обязательства для государства по их имплементации в национальное право (ст. 4 (1)). Как следствие, положения данной Конвенции не действуют в России непосредственно7474
  В ч. 3 ст. 5 Федерального закона от 15 июля 1995 г. № 101-ФЗ «О международных договорах Российской Федерации» установлено: «Положения официально опубликованных международных договоров Российской Федерации, не требующие издания внутригосударственных актов для применения, действуют в Российской Федерации непосредственно. Для осуществления иных положений международных договоров Российской Федерации принимаются соответствующие правовые акты».


[Закрыть]. Кроме того, важно подчеркнуть, что Конвенция 1981 г. допускает возможность присоединяющейся стороны сделать заявление об отдельных изъятиях в сфере ее применения. Российская Федерация воспользовалась этим положением, заявив, что не будет применять Конвенцию к персональным данным, обрабатываемым физическими лицами исключительно для личных и семейных нужд, а также к данным, отнесенным к государственной тайне. Кроме того, Российская Федерация прямо указала на то, что сохраняет за собой возможность устанавливать ограничения прав субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка7575
  Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».


[Закрыть].

8. Примат положений международного договора действует лишь в отношении федеральных законов, но не в отношении Конституции РФ. В Постановлении от 14 июля 2015 г. № 21-П Конституционный Суд РФ допустил неисполнение постановлений Европейского суда в ситуациях, когда «самим содержанием постановления Европейского суда… неправомерно − с конституционно-правовой точки зрения − затрагиваются принципы и нормы Конституции Российской Федерации», причем «такое отступление является единственно возможным способом избежать нарушения основополагающих принципов и норм Конституции Российской Федерации». Данная позиция получила свое развитие и в иных постановлениях, где Конституционный Суд еще раз указал, что исполнение решений ЕСПЧ не является обязательным, если такое исполнение будет вступать в противоречие с положениями Конституции РФ, обладающей верховенством и высшей юридической силой в российской правовой системе (Постановление Конституционного Суда РФ от 19 апреля 2016 г. № 12-П).

9. Рассматривая систему источников законодательства в области персональных данных, нельзя не упомянуть акты, которые хотя и не содержат юридически обязательных норм, но de facto оказывают серьезное влияние на регулирование отношений, связанных с реализацией оператором организационных и технических мер защиты персональных данных. К таким актам относятся национальные стандарты, каждый из которых − это документ по стандартизации, который разработан участником или участниками работ по стандартизации, по результатам экспертизы в техническом комитете по стандартизации или проектном техническом комитете по стандартизации, утвержден федеральным органом исполнительной власти в сфере стандартизации, и в нем для всеобщего применения устанавливаются общие характеристики объекта стандартизации, а также правила и общие принципы, применяемые в отношении объекта стандартизации (п. 5 ст. 2 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации»). К числу стандартов, релевантных проблематике защиты персональных данных, можно отнести следующие:

● ГОСТ Р 50922-2006. Защита информации. Основные термины и определения;

● ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения;

● ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи;

● ГОСТ Р 34.11-2012. Информационная технология. Криптографическая защита информации. Функция хэширования;

● ГОСТ Р ИСО/МЭК 15408-2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий (утв. приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 г. № 1340-ст);

● ГОСТ Р ИСО/МЭК 27001-2013. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. № 375-ст.);

● ГОСТ Р ИСО/МЭК 27002-2012. Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности (утв. приказом Федерального агентства по техническому регулированию и метрологии от 24 сентября 2012 г. № 423-ст);

● ГОСТ Р ИСО/МЭК 27003-2012. Информационные технологии. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности (утв. приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2012 г. № 812-ст.);

● ГОСТ Р ИСО/МЭК 27004-2011. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения (утв. приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. № 681-ст.);

● ГОСТ Р ИСО/МЭК 27005-2010. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности (утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. № 632-ст);

● ГОСТ Р ИСО/МЭК 27006-2008. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. № 524-ст).

Следует отметить, что с 1 июня 2016 г. при осуществлении закупок по федеральным законам от 18 июля 2011 г. № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» и от 5 апреля 2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» заказчики обязаны при описании объекта закупки использовать документы национальной системы стандартизации, т.е. закупать продукцию, соответствующую требованиям стандартов (см. п. 1 ч. 10 ст. 4 Федерального закона № 223-ФЗ и п. 2 ч. 1 ст. 33 Федерального закона № 44-ФЗ ). Соответственно приобретаемое государственными заказчиками оборудование, программное обеспечение, работы и услуги, связанные с защитой персональных данных, должны соответствовать показателям, требованиям, условным обозначениям и терминологии, указанным в соответствующих стандартах, в противном случае в закупочной документации должно содержаться обоснование необходимости использования других показателей, требований, условных обозначений и терминологии.

10. Европейское законодательство о персональных данных в настоящее время имеет двухуровневый характер и представлено в виде ряда директив, важнейшей из которых является Директива 1995 г. Кроме нее также следует упомянуть Директиву 2002/58/EC от 12 июля 2002 г. об обработке персональных данных и защите информации о частной жизни в сфере электронных коммуникаций (в ред. Директивы 2009/136/EC)7676
  Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector (E-privacy directive).


[Закрыть], которая содержит дополнительный набор правил, касающихся обработки персональных данных в сфере электронной коммерции (необходимость получения согласия на размещения файлов cookie и иного доступа к устройствам пользователей; получения явного согласия на обработку геолокационных данных пользователей; регулирования сообщений рекламного характера и спама и т.п.). Обработка персональных данных в рамках взаимной правовой помощи при расследовании уголовных дел и осуществлении судопроизводства государств − членов ЕС осуществляется в соответствии с Рамочным решением Совета Европы 2008/977/JHA7777
  Council Framework Decision 2008/977/JHA of 27 November 2008 on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters.


[Закрыть]. Указанные документы направлены на гармонизацию законодательства государств − членов ЕС и не имеют прямого действия, предполагая необходимость их имплементации в национальное законодательство. В этой связи при решении конкретных вопросов обработки персональных данных непосредственное применение будут иметь именно положения национальных законов государств − членов ЕС о защите персональных данных. C текстами указанных законов на английском языке можно ознакомиться на сайте Уполномоченного по защите персональных данных при Европейской Комиссии по ссылке: http://ec.europa.eu/ dataprotectionoficer/dpl_transposition_en.htm.

После 25 мая 2018 г. (дата вступления в силу Регламента 2016 г.) ситуация несколько изменится. В отличие от директив, регламенты представляют собой инструмент унификации законодательства государств − членов ЕС и обладают прямым действием. Однако говорить о полной унификации законодательства об обработке персональных данных в рамках всего Европейского Союза даже после вступления в силу указанного Регламента вряд ли возможно. Во-первых, в одном пакете с Регламентом 2016 г. дана Директива 2016/6807878
  Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data and repealing Council Framework Decision 2008/977/JHA.


[Закрыть], которая придет на смену Рамочного решения Совета Европы 2008/977/JHA и будет регулировать вопросы взаимной правовой помощи при расследовании уголовных дел и осуществлении судопроизводства государств − членов ЕС, т.е. регулировать обмен такими данными между уполномоченными органами государств − членов ЕС. Кроме того, в силу положений ст. 2 (2)(d) Регламента 2016 г. из его сферы действия выведены вопросы обработки персональных данных, осуществляемой уполномоченными органами для целей предотвращения, расследования, обнаружения преступлений, исполнения наказаний, предотвращения угроз национальной безопасности. Данные вопросы продолжают регулироваться национальным законодательством. В этой связи говорить о полной унификации законодательства о персональных данных на уровне ЕС несколько преждевременно.

11. Что касается источников регулирования отношений в области защиты персональных данных, то здесь необходимо упомянуть о возрастающей роли саморегулирования в указанной сфере. Особенно ярко это проявляется в положениях ст. 40 и 41 Регламента 2016 г., касающихся имплементации так называемых кодексов поведения (code of conduct). Такого рода кодексы поведения должны разрабатываться ассоциациями операторов и учитывать особенности обработки персональных данных в соответствующей индустрии, организациях малого и среднего бизнеса. Тексты кодексов одобряются уполномоченными органами по защите персональных данных с учетом мнения Европейского совета по защите персональных данных (правопреемник рабочей группы ст. 29 Директивы 1995 г.), регистрируются и публикуются в специальном реестре.

Помимо оказания операторам содействия в понимании и применении положений Регламента 2016 г. к их деятельности принятие оператором положений кодекса поведения имеет ряд важных последствий. Во-первых, они выполняют сигнальную функцию, обозначая добросовестность оператора или обработчика и его готовность соблюдать положения законодательства о персональных данных. Это может стать конкурентным преимуществом или способствовать формированию позитивного имиджа оператора (обработчика). Во-вторых, соответствующие положения кодекса поведения, который принял оператор (обработчик), становятся для него юридически обязательными и их несоблюдение может выступать основанием для предъявления соответствующих требований со стороны субъектов персональных данных или контрольно-надзорных органов. В-третьих, юридически обязательная природа положений кодекса поведения позволила сделать его одним из оснований для трансграничной передачи данных в страны, не обеспечивающие адекватный уровень защиты прав субъектов персональных данных, если оператор-импортер его принял. В-четвертых, наличие и степень соблюдения положений кодекса поведения может влиять на размер штрафов за нарушение законодательства о персональных данных. Важно отметить, что контроль за соблюдением положений кодекса поведения может осуществлять не только уполномоченный государственный орган, но и аккредитованная им организация, что, по сути, означает частичное делегирование контрольно-надзорных функций за пределы деятельности собственно государственных органов. В условиях, когда количество операторов является чрезмерно большим, а ресурсы уполномоченных органов ограничены, данный подход является неизбежным шагом. Кроме того, саморегулирование позволяет осуществлять «тонкую настройку» регулирования с учетом специфики и нужд конкретной индустрии, в то время как механизмы государственного принуждения всегда являются примером «грубой» силы.

К сожалению, российский Закон о персональных данных не предусматривает возможность принятия кодексов поведения и их правовой статус, поскольку в принципе не предполагает какой-либо возможности для саморегулирования в области защиты персональных данных. В этой связи до внесения изменений в указанный Закон подобного рода кодексы поведения в лучшем случае могут выполнять лишь поясняющую роль. Соблюдение операторами подготовленных ассоциациями или иными объединениями кодексов поведения может служить аргументом в спорах с Роскомнадзором при осуществлении последним контрольно-надзорной деятельности.