152-ФЗ Постатейные комментарии (1027774), страница 5
Текст из файла (страница 5)
1997. N41. Ст. 4673; Постановление Правительства РФ от 28 октября 1995 г. N 1050 "Об утвержденииИнструкции о порядке допуска должностных лиц и граждан Российской Федерации кгосударственной тайне" // СЗ РФ. 1997. N 43. Ст. 4987.3. Комментируемый Закон выделяет несколько видов субъектов, которые участвуют вотношениях оборота персональных данных:операторы персональных данных;субъекты персональных данных;орган по защите прав субъектов персональных данных;третьи лица.Введением в правовой оборот категории "оператор персональных данных" законодатель нелегитимирует создание нового субъекта общественных отношений по обработке персональныхданных, сохраняя сформированный ранее биполярный состав последних. Предопределяя, такимобразом, универсальную структуру, авторы настоящего Закона подвели под ее содержание всехбез исключения субъектов, независимо от организационно-правовой формы и формысобственности последних, которые по роду деятельности связаны со сбором, накоплением,хранением, обработкой и передачей персональных данных.
При этом следует отметить, чтоиспользуемое в тексте комментируемого Закона понятие "оператор" представляется обезличеннойкатегорией, развернутое представление о которой можно получить лишь в конкретном случаеобработки персональных данных.В основу категории "оператор" в процессе ее формирования законодателем в большейстепени было положено не столько организационно-правовая форма субъекта, скольковыполняемые ими функции. Законодатель требует четкой определенности целей сбора иобработки персональных данных. Таким образом, цель результатов обработки персональныхданных приобретает решающее значение. Последние во многом поставлены в прямуюзависимость от непосредственного допуска к персональным данным в процессе их обработки.
Вэтой связи принято различать организационную деятельность, деятельность по обоснованиюцелей и содержания обработки персональных данных и непосредственно саму обработку. Темсамым, следуя логике законодателя, лишь последняя из перечисленных функций связана снепосредственным ограничением прав и свобод гражданина, вмешательством в его личную жизнь,в силу чего именно здесь должны быть достаточные ограничения деятельности оператора,создающие гарантии защищенности интересов личности. Однако, проводя разграничения в части,10касающейся функциональной составляющей субъекта, законодатель наделяет их единымнабором прав и обязанностей в части, касающейся обработки персональных данных. Такимобразом, законодатель при формальном разграничении де-факто не проводит разграниченияотносительно тех, кто непосредственно обрабатывает персональные данные и тем самымполучает в максимально полном объеме защищаемую информацию, и теми, в чьи обязанностисогласно букве закона вменяется исключительно организация процесса, создание и ведениефактически созданного банка данных.
По ходу разработки и последующего рассмотрениязаконопроекта неоднократно предлагалось провести параллель между непосредственнымиоператорами и организаторами процесса обработки конфиденциальных сведений, наделив ихстатусом обладателей персональных данных. Подобного рода деление во многом бысогласовывалось с положениями и терминологией действующего российского законодательства(см. подп. 5 ст.
2 ФЗ от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологияхи о защите информации" <*>).-------------------------------<*> СЗ РФ. 2006. N 31 (часть I). Ст. 3448.Наряду с этим сформулированное законодательное определение оператора не даетдостаточно ясного представления о последнем как об уникальном субъекте особого родаобщественных отношений, правовое регулирование которых осуществляется нормамикомментируемого Закона, возможности четко определить качественный состав объединяемыхданной категорией лиц.Придерживаясь избранной терминологии, оператором следует считать любое лицо,работающее с информационной системой персональных данных, независимо от основанийполучения доступа к работе с последней.
Оставив за рамками сформулированного определениятребование к законности деятельности, законодатель сознательно допускает свободный допуск кохраняемой информации, фактически устанавливая заведомую законность деятельностиоператора, единственным ограничением на пути которого выступает необходимость получениясогласия субъекта персональных данных на последующую работу с ними.Кроме того, устанавливая, что оператор определяет цели, содержание и применениерезультатов обработки персональных данных, закон фактически противоречит ч. 3 ст. 55Конституции России, в соответствии с которой любые ограничения прав и свобод человека могутбыть установлены только федеральным законом.
Иными словами, учитывая заведомуюзначимость и влияние систем учета персональных данных на права и свободы граждан, цели,содержание и применение результатов обработки персональных данных во всех случаях должныустанавливаться федеральным законом.4. По своему содержанию "обработка персональных данных" достаточно объемное понятие,перечень составляющих ее действий (операций), по логике авторов настоящего документа, неявляется исчерпывающим. Фактически обработка персональных данных включает в себя любыеоперации с ними от сбора до полного уничтожения последних.
Представив рассматриваемоепонятие таким образом, законодатель в очередной раз подтвердил статус персональных данных вкачестве особой информационной категории, нуждающейся в достаточно специфическоммеханизме правовой защиты.Комментируемый Закон определяет общие условия и принципы обработки персональныхданных, устанавливая единые на всей территории страны правовые основы работы с ними. Вцелях обеспечения прав и свобод человека и гражданина оператор при обработке персональныхданных субъектов обязан соблюдать следующие общие требования:а) обработка персональных данных может осуществляться исключительно в целяхобеспечения соблюдения законов и иных нормативных правовых актов;б) при определении объема и содержания обрабатываемых персональных данных оператордолжен руководствоваться Конституцией РФ и настоящим Федеральным законом, инымизаконодательными и подзаконными актами;в) все персональные данные субъекта следует получать у него самого, третьих лиц приналичии на то согласия их носителя, за исключением случаев, когда законом не предусмотренаобязательность его получения;г) обработка персональных данных должна осуществляться при условии законности целей испособов обработки, соответствия данных целей, заранее определенным и заявленным при сборе,а также полномочиям оператора, соответствия объема и характера обрабатываемыхперсональных данных, способов обработки персональных данных целям обработки персональныхданных;д) персональные данные, задействованные в обработке, должны отвечать требованиямдостоверности и достаточности для целей обработки;11е) обработка персональных данных является недопустимой в случае избыточностипоследних применительно к целям, заявленным при сборе персональных данных, а равноосуществляемая в несовместимых с ней целях;ж) обработка персональных данных не должна служить основанием ограничения прав исвобод человека и гражданина по мотивам, связанным с использованием различных способовобработки;з) защита персональных данных субъектов от неправомерного их использования или утратыдолжна быть обеспечена оператором в процессе их обработки за счет его средств и в порядке,установленном настоящим Федеральным законом;и) оператор должен своевременно вырабатывать меры защиты персональных данныхсубъектов.Кроме того, персональные данные, проходящие автоматическую обработку:1) должны быть получены и обработаны добросовестным и законным образом;2) должны накапливаться для точно определенных и законных целей и не использоваться впротиворечии с этими целями;3) должны быть адекватными, относящимися к делу и не быть избыточными применительнок целям, для которых они накапливаются;4) должны быть точными и в случае необходимости обновляться;5) должны храниться в такой форме, которая позволяет идентифицировать субъектовданных не дольше, чем этого требует цель, для которой эти данные накапливаются.По смыслу комментируемой статьи "обработка персональных данных" представлена как вшироком, так и в узком своем значении.
В первом случае предложенным термином охватываютсявсе без исключения действия (операции), проводимые с персональными данными, второе включает в себя лишь те, разъяснение которых содержится в тексте настоящей статьи(использование, распространение (в том числе передача), обезличивание, блокирование,уничтожение персональных данных).Такого рода правовое деление объяснимо тем, что в своем процессе обработкаперсональных данных проходит две стадии: формирование информационной системыперсональных данных и последующие операции с ними с использованием средств автоматизацииили без их применения. В отношении каждой из представленных стадий действуют свои правовыемеханизмы, регулирующие поэтапную процедуру ее реализации.В целях обеспечения защиты конфиденциальности персональных данных, создания иэксплуатации информационной системы, согласно требованиям настоящего Закона, вобязательном порядке должно предшествовать согласие субъекта персональных данных на ихобработку.














