1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
1.1. Положения настоящего Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской Федерации, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) утратил силу. - Федеральный закон от 25.07.2011 N 261-ФЗ;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
5) утратил силу. - Федеральный закон от 29.07.2017 N 223-ФЗ.
3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".
Комментарий к ст. 1 Закона о персональных данных
1. До настоящего времени в РФ сбор и обработку персональных данных осуществляло большое количество различных по своему правовому положению, характеру и объему полномочий субъектов, включая государственные органы, органы местного самоуправления, различные государственные и негосударственные организации, действующие на основании разрозненных и нередко не согласованных между собой положений законодательства РФ. При этом единые подходы к деятельности рассматриваемых субъектов по сбору и обработке персональных данных действующим законодательством не были установлены. Отсутствовал также единый специализированный правовой механизм защиты прав граждан при обработке персональных данных.
Нередки были случаи дублирования полномочий государственных органов и органов местного самоуправления, сбора и обработки избыточных данных, не соответствующих полномочиям осуществляющих сбор и обработку персональных данных органов и организаций. Отсутствовал централизованный контроль за деятельностью по сбору и обработке персональных данных.
В складывающейся ситуации уровень защиты прав граждан при обработке их персональных данных, эффективность выполнения государственными органами и органами местного самоуправления возложенных на них задач и функций существенно снижались, был затруднен доступ граждан к административным услугам, а сами граждане нередко принуждались к выполнению множества лишних процедур.
Широкое распространение получали случаи несанкционированного доступа к собранным различными государственными органами и иными организациями персональным данным, их незаконного копирования, распространения и использования. В результате чего сформировался и достаточно стабильно функционирует рынок полученных преступным путем информационных систем и баз, содержащих персональные данные.
В немалой степени сложившаяся ситуация была обусловлена отсутствием единообразного правового регулирования по рассматриваемым вопросам. Принятие комментируемого Закона, предусматривающего такого рода регулирование, по мнению его разработчиков, позволит создать необходимую правовую основу для реализации конституционных прав граждан, защиты общественных и государственных интересов, обеспечения законных интересов лиц, использующих персональные данные в своей деятельности.
Наряду с этим принятие законодательного акта, основанного на конституционных положениях, гарантирующих защиту прав на неприкосновенность частной жизни, личную и семейную тайну (ч.1 ст.23), запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия (ч.1 ст.24), обязанность органов государственной власти, органов местного самоуправления, их должностных лиц обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы (ч.2 ст.24), право свободно искать, получать, передавать, производить и распространять информацию любым законным способом (ч.4 ст.29), а также возможность ограничения названных конституционных прав граждан в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (ч.3 ст.55), во многом было актуализировано международно-правовыми обязательствами РФ и являлось одним из обязательных условий по ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981г.), что, по представлению разработчиков соответствующего Закона и законодателя, должно способствовать укреплению внешнеполитических позиций страны.
Таким образом, принятие законодательного акта, устанавливающего унифицированные правила сбора и обработки персональных данных физических лиц, а также правовые механизмы защиты прав граждан при сборе и обработке персональных данных, являлось актуальным и концептуально обоснованным.
Настоящий Закон представляет собой достаточно эффективный механизм противодействия повсеместному нарушению прав физических лиц в отношении их персональных данных путем незаконного распространения сведений, содержащихся в информационных системах органов государственной власти и негосударственных организаций. Обеспечивая защиту персональных данных, государство тем самым укрепляет правовую защищенность и безопасность личности, создает благоприятную обстановку для всестороннего развития граждан и общества в целом, создаются предпосылки для экономического роста и обеспечения политической стабильности. Столь же необходимым является создание правовых условий для решения государственных задач в области управления ресурсами с целью решения социальных проблем предоставления услуг на основе сбалансированного и социально справедливого разделения государственных средств, а также реализации функций осуществления государственных учетов, необходимых для работы налоговых служб, правоохранительных органов.
2. Анализируемый Закон является базовым актом, устанавливающим критерии законности действий, связанных с обработкой персональных данных, а также пределы ограничения прав субъектов персональных данных в связи с обеспечением общественных интересов, безопасности личности, общества и государства. Последним формируются унифицированные требования к информации, предоставляемой субъекту персональных данных во время сбора персональных данных, до момента их обработки или передачи третьим лицам, что создает особый правовой механизм обеспечения прав субъекта персональных данных. Построение последнего при работе с персональными данными осуществляется на основе общепринятых международных норм и принципов в соответствии с Конституцией РФ и законами РФ, в том числе и настоящим нормативным актом, необходимо для обеспечения прав и свобод личности, связанных со сбором, обработкой и использованием персональных данных в условиях, когда широкомасштабное применение средств вычислительной техники для этих целей позволяет сделать личную жизнь граждан "прозрачной" для государственных органов.
Комментируемой статьей законодатель очерчивает пределы правового регулирования настоящего Федерального закона, определяет объект воздействия и субъектов правоприменения. Юридическое содержание сферы его действия составляют отношения, связанные с обработкой персональных данных, с использованием средств автоматизации или без использования таковых, при условии, что это соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. При этом следует отметить, что используемые в тексте настоящего Закона правовые категории являются обезличенными, потенциально применимыми к абсолютному большинству случаев обработки персональных данных. Раскрытие содержания каждой из них, их последующая конкретизация будут иметь место лишь в уникальном правовом акте, нормы которого определяют нормы должного и дозволенного поведения в конкретных областях общественной жизни.
В процессе принятия анализируемого документа неоднократно подчеркивалось, что сфера действия Федерального закона ограничивается исключительно обработкой персональных данных, подразумевая под этим, в силу буквального толкования термина, их сбор, хранение, их возможный анализ, и тем самым исключает возможность защиты индивидуальной информации при ее распространении, хотя по статистике чаще нарушение прав и законных интересов граждан и организаций является следствием незаконного распространения персональных данных. Однако следует отметить, что в термин "обработка персональных данных" законодателем было заложено куда более расширенное содержание, чем это представляется на первый взгляд. По смыслу подп.3 п.1 ст.3 настоящего Закона под "обработкой персональных данных" понимаются любые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (см. ст.3 настоящего Закона и комментарий к ней).
Объективные сложности правового регулирования в сфере защиты персональных данных обусловлены необходимостью сбалансировать в законе противоречивые интересы, как минимум, трех групп субъектов:
- граждан, чьи персональные данные собираются и обрабатываются (субъекты персональных данных);
- государственных органов, обязанных обрабатывать персональные данные в связи с исполнением своих полномочий;
- негосударственных организаций, заинтересованных в обработке персональных данных в соответствии с целями своей деятельности, в том числе в интересах бизнеса.
В такого рода ситуациях действующее законодательство, а равно органы государственной власти, ответственные за его исполнение, не могут в полной мере гарантировать охрану всех персональных данных, а также установить ограничения на сбор и распространение некоторых из них (в большей части это касается персональных данных, которые их обладатель распространяет самостоятельно). Однако с их стороны требуется реальный контроль за соблюдением установленных запретов с целью обеспечения надежной охраны для законодательно установленного минимума.
Законодатель определяет общий запрет на обработку персональных данных, не придавая при этом принципиального значения тому, каким именно образом она будет осуществляться - с применением средств автоматизации либо без таковой. В последнем случае законодатель допускает обработку персональных данных лишь при условии, что она соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. По всей видимости, речь идет о персональных данных, содержащихся на бумажных носителях, структурированных или систематизированных определенным образом, без чего доступ к ним без использования средств автоматизации вряд ли может быть обеспечен. Вместе с тем ошибочным было бы представление, что обработку персональных данных без использования средств автоматизации следует рассматривать как исключение. Последняя допустима лишь в случаях обработки данных собранных оператором в целях рекламы, маркетинга, политической и иной агитации, а равно в целях реализации своих полномочий. Ситуация подобного рода существенным образом ограничивала бы права ряда операторов, полностью или частично осуществляющих обработку персональных данных без использования средств автоматизации.
Рядом положений настоящего Закона установлен особый правовой режим защиты специальных категорий персональных данных, в числе которых называются сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (см. ст.10 настоящего Закона и комментарий к ней). Действия с этими персональными данными без должных гарантий обеспечения прав субъекта персональных данных могут нанести ему повышенный ущерб. Одновременно законодатель перечисляет условия, при которых обработка персональных данных может быть произведена без получения предварительного согласия субъекта персональных данных (например, для обеспечения его жизни и здоровья).
Придерживаясь конституционного принципа о праве каждого свободно искать, получать, передавать, производить и распространять информацию любым законным способом, законодатель включает в сферу действия анализируемого нормативного акта полный круг субъектов права - федеральные органы государственной власти, органы государственной власти субъектов РФ, органы муниципальной власти, физические и юридические лица.
3. Вне сферы правового регулирования рассматриваемого нормативного акта были выделены правоотношения, связанные с обработкой персональных данных, осуществляемой с молчаливого согласия их обладателя. Условно правоотношения, сформулированные законодателем в ч.2 комментируемой статьи, можно сгруппировать в две относительно самостоятельные категории.
3.1. Первая представлена правоотношениями, осуществление которых связано с удовлетворением личных потребностей обладателя персональных данных. К ним относятся обработка персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных и обработкой подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством РФ в связи с деятельностью физического лица в качестве индивидуального предпринимателя.
В целях предотвращения нарушений прав граждан на неприкосновенность частной жизни, положения настоящего Закона не применяются к персональным данным, обрабатываемым физическими лицами исключительно для личных и семейных нужд лишь в случаях, если при этом не нарушаются права иных субъектов персональных данных. Представляется, что оговорка о нераспространении положений настоящего Закона на случаи обработки персональных данных исключительно для личных и семейных нужд нуждается в дополнительной конкретизации, поскольку не ясны цели такого рода обработки. В данном случае требуются дополнительные пояснения, например, что при этом не должны нарушаться права иных лиц или что в этом случае персональные данные не должны распространяться или использоваться по иному назначению, поскольку и "личные", и "семейные" нужды при желании можно трактовать достаточно широко.
Можно лишь предположить, что подобного рода ограничения касаются сведений, подлежащих внесению в запись акта о рождении, заключении брака, расторжении брака, об усыновлении (удочерении), установлении отцовства, о перемене имени или смерти в соответствии с требованиями ФЗ от 15 ноября 1997г. N 143-ФЗ "Об актах гражданского состояния". Кроме того, в запись акта гражданского состояния могут быть включены и иные сведения, обусловленные особыми обстоятельствами государственной регистрации конкретного акта гражданского состояния (см. п.3 ст.6 ФЗ "Об актах гражданского состояния"). Кроме того, в числе такого рода сведений также можно отметить данные, отражаемые в трудовых и хозяйственных договорах, не связанных с осуществлением предпринимательской деятельности, публикуемые с согласия обладателя в средствах массовой информации, использование персональных данных в маркетинговых и рекламных целях, для политической и иной агитации, а также трансграничную передачу персональных данных.
В единый государственный реестр индивидуальных предпринимателей по смыслу действующего законодательства подлежат внесению:
а) фамилия, имя и (в случае, если имеется) отчество на русском языке;
б) пол;
в) дата и место рождения;
г) гражданство;
д) место жительства в РФ (указывается адрес — наименование субъекта РФ, района, города, иного населенного пункта, улицы, номера дома, квартиры, — по которому индивидуальный предприниматель зарегистрирован по месту жительства в установленном законодательством РФ порядке);
е) данные основного документа, удостоверяющего личность гражданина РФ на территории РФ;
ж) вид и данные документа, установленного федеральным законом или признаваемого в соответствии с международным договором РФ в качестве документа, удостоверяющего личность иностранного гражданина;
з) вид и данные документа, предусмотренного федеральным законом или признаваемого в соответствии с международным договором РФ в качестве документа, удостоверяющего личность лица без гражданства;
и) вид, данные и срок действия документа, подтверждающего право индивидуального предпринимателя временно или постоянно проживать в РФ;
к) дата государственной регистрации физического лица в качестве индивидуального предпринимателя и данные документа, подтверждающего факт внесения в единый государственный реестр индивидуальных предпринимателей записи об указанной государственной регистрации;
л) дата и способ прекращения физическим лицом деятельности в качестве индивидуального предпринимателя;
м) сведения о лицензиях, полученных индивидуальным предпринимателем;
н) идентификационный номер налогоплательщика, дата постановки на учет индивидуального предпринимателя в налоговом органе;
о) номер и дата регистрации индивидуального предпринимателя в качестве страхователя:
- в территориальном органе Пенсионного фонда РФ;
- в исполнительном органе Фонда социального страхования РФ;
- в территориальном фонде обязательного медицинского страхования;
п) сведения о банковских счетах индивидуального предпринимателя (см. п.2 ст.5 ФЗ от 8 августа 2001г. N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей").
Законодатель подчеркивает, что исключение перечисленных сведений из сферы действия настоящего Федерального закона допустимо исключительно в случаях их обработки в связи с деятельностью физического лица в качестве индивидуального предпринимателя. Работа со сведениями, включенными в государственный реестр, осуществляется регистрирующим органом в порядке и на условиях, установленных Постановлением Правительства РФ от 16 октября 2003г. N 630 "О Едином государственном реестре индивидуальных предпринимателей, Правилах хранения в единых государственных реестрах юридических лиц и индивидуальных предпринимателей документов (сведений) и передачи их на постоянное хранение в государственные архивы, а также о внесении изменений и дополнений в Постановления Правительства РФ от 19 июня 2002г. N 438 и 439". По смыслу последнего обработка персональных данных, включаемых в единый государственный реестр индивидуальных предпринимателей, сводится к ведению книги учета государственной регистрации индивидуальных предпринимателей, регистрационного дела индивидуального предпринимателя; предоставлению сведений о номере, о дате выдачи и об органе, выдавшем документ, удостоверяющий личность физического лица, сведений о банковских счетах индивидуальных предпринимателей государственным органам, органам государственных внебюджетных фондов, органам местного самоуправления, банкам и иным коммерческим организациям, правоохранительным органам и судам по находящимся в производстве делам, а в случаях, определенных федеральными законами, - физическим и юридическим лицам по их запросам.
3.2. Во второй группе отношения объединены по признаку их общественной и государственной значимости. Здесь распространение персональных данных осуществляется без ограничений, установленных настоящим Федеральным законом, в случаях организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ и обработки персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
В соответствии со ст.3 ФЗ от 22 октября 2004г. N 125-ФЗ "Об архивном деле в Российской Федерации" документом Архивного фонда РФ является архивный документ, прошедший экспертизу ценности документов, поставленный на государственный учет и подлежащий постоянному хранению. Любым иным архивным документом, в свою очередь, выступают материальные носители с зафиксированной на них информацией, которые имеют реквизиты, позволяющие его идентифицировать, и подлежат хранению в силу значимости указанных носителей и информации для граждан, общества и государства. В отличие от документов, включенных в состав Архивного фонда РФ в силу их культурно-исторической, научной ценности, важного значения для общества и государства, любые иные архивные документы могут находиться на хранении как в архивных фондах государственных учреждений, организаций, предприятий, органов государственной власти и управления, органов местного самоуправления, прокуратуры, воинских частей, государственных институтов, негосударственных коммерческих и некоммерческих организаций, физических лиц и т.п.(см. Указ Президента РФ от 17 марта 1994г. N 552 "Об утверждении Положения об Архивном фонде РФ").
Отметим, что законодатель не производит специального разграничения относительно формы собственности и принадлежности архивного документа, равно как и обладатель такого рода документов, осуществляющий их хранение, комплектование, учет и использование. Принципиальное значение в подобном отношении приобретает лишь то обстоятельство, что названным категориям архивных документов должна быть обеспечена защита и соблюдаться установленный порядок работы с ними в соответствии с требованиями действующего законодательства. Тем самым законодатель подтверждает право пользователя архивных документов свободно использовать, передавать, распространять информацию, содержащуюся в предоставленных ему архивных документах, а также копии архивных документов для любых законных целей и любым законным способом. Порядок использования архивных документов определяется специально уполномоченным Правительством РФ федеральным органом исполнительной власти (см., например, Приказ Росархива от 6 июля 1998г. N 51 "Об утверждении Правил работы пользователей в читальных залах государственных архивов Российской Федерации").
Правовое регулирование отношений, возникающих в связи с засекречиванием или рассекречиванием сведений, составляющих государственную тайну, их иной обработкой, а равно защитой в интересах обеспечения безопасности РФ, осуществляется положениями Закона РФ от 21 июля 1993г. N 5485-1 "О государственной тайне" и принятыми на его основе иными нормативными правовыми актами, связанными с защитой государственной тайны.
Перечень сведений, отнесенных к государственной тайне, содержит сведения в военной области, в области экономики, науки и техники, внешней политики и экономики, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ, а также наименования государственных органов, наделенных полномочиями по распоряжению этими сведениями. Конкретизация представленных групп сведений, относящихся по смыслу действующего законодательства к конфиденциальной информации, содержащей государственную тайну содержится в нормах ст.5 Закона "О государственной тайне", положениях Указа Президента РФ от 30 ноября 1995г. N 1203 "Об утверждении Перечня сведений, отнесенных к государственной тайне", ведомственных нормативных актах.
Обработка такого рода сведений осуществляется органами государственной власти и управления, правоохранительными органами, юридическими и физическими лицами, в распоряжении которых такого рода сведения находятся, только в объеме, необходимом для достижения поставленных перед ними целей и решения возложенных задач. При этом указанные субъекты должны обладать лицензией на проведение работ с использованием сведений соответствующей степени секретности, а физические лица - соответствующим допуском.