Таким образом, из определения исчезло лишь перечисление той информации, которая относится к персональным данным. Поскольку конструкция данной нормы представляла собой открытый перечень, то исключение этого перечня не повлекло особых изменений в существе понятия «персональные данные». Основной критерий остался прежним: относимость информации к конкретному лицу и возможность его идентификации.
По мнению ряда авторов (Амелин Р. В., Богатырева Н. В., Волков Ю. В., Марченко Ю. А., Федосин А. С.), конкретно указанные в законе атрибуты позволяли правоприменителям приходить к выводу, что простое сообщение фамилии, имени и отчества лица вне зависимости от контекста является распространением персональных данных. Новое же определение более точно соответствует положению ст. 2 Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных (ETS N 108) (заключена в г. Страсбурге, 28 января 1981 г.), согласно которому персональной информацией признана любая информация, касающаяся конкретного или могущего быть идентифицированным лица (субъекта данных) [65].
Вместе с тем, по мнению Л. К. Терещенко, наличие такого перечня в первоначальной редакции Закона сыграло важную роль, поскольку давало представление о характере информации, отнесенной законодателем к персональным данным. Несмотря на то, что Федеральный закон «О персональных данных» содержит максимально широкое определение персональных данных, в практической деятельности нередко возникают проблемы с определением того, какая информация относится к персональным данным. Отсутствие перечня в отдельных случаях, в том числе и в судебной практике, позволяет по-разному толковать отнесение тех или иных категорий данных к персональным [108].
По мнению автора, широкое толкование и отсутствие перечня информации относящейся к персональным данным, порождают следующие два негативных момента: во-первых, непонимание операторов (организаций обрабатывающих персональные данные), что необходимо относить к персональным данным и, во-вторых, широкие возможности контролирующих органов по привлечению операторов к ответственности за непредоставление сведений об обработке персональных данных. Так в судебной практике имеются решения судов по спору между территориальными органами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и операторами персональных данных, в которых последним вменялось отсутствие в уведомлениях об обработке определенных категорий персональных данных. Представляется, что наличие умысла организаций на совершение указанных действий маловероятно.
Система законодательства о персональных данных
В теории права, система законодательства определяется как совокупность нормативно-правовых актов, находящихся в иерархическом и субординационном соотношениях друг с другом. Место каждого нормативного акта в данной системе зависит от его юридической силы, которая, в свою очередь, зависит от уровня органа, принявшего данный акт, и порядка его принятия.
В сфере обработки персональных данных существует следующая регулирующая данные правоотношения система нормативных правовых актов:
1. Конституция Российской Федерации и нормы международного права:
Конституция РФ принята на всенародном голосовании 12 декабря 1993 г. и является Основным Законом Российской Федерации. Конституция имеет высшую юридическую силу, прямое действие и применяется на всей территории РФ. Законы и иные правовые акты, принимаемые в РФ, не должны противоречить Конституции. Применительно к институту персональных данных Конституция РФ выступает основным гарантом реализации правовых норм его составляющих и соблюдения прав граждан в процессе их реализации.
Международные договоры Российской Федерации согласно ст. 5 Федерального закона от 15.07.1995 №101-ФЗ «О международных договорах Российской Федерации» наряду с общепризнанными принципами и нормами международного права являются составной частью правовой системы Российской Федерации.
Положения официально опубликованных международных договоров Российской Федерации, не требующие издания внутригосударственных актов для применения, действуют в Российской Федерации непосредственно. Для осуществления иных положений международных договоров Российской Федерации принимаются соответствующие правовые акты [65].
Часть 4 ст. 4 Федерального закона «О персональных данных» устанавливает приоритет международных договоров Российской Федерации в области регулирования отношений по обработке персональных данных, а именно: если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены российским законодательством, применяются правила международного договора. Указанная норма дублирует ч. 2 ст. 5 Федерального закона от 15.07.1995 №101-ФЗ.
Основными международными актами в области защиты персональных данных являются следующие:
– Всеобщая декларация прав человека, принятая на третьей сессии Генеральной Ассамблеи ООН Резолюцией 217А (III) от 10.12.1948, которая провозглашает, что никто не может подвергаться произвольному вмешательству в личную и семейную жизнь, каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств (ст. 12);
– Международный пакт о гражданских и политических правах (Нью-Йорк, 19.12.1966);
– Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных (ETS N 108) (заключена в г. Страсбурге, 28 января 1981 г.).
В Конвенции определяется порядок сбора и обработки данных о личности, принципы хранения и доступа к этим данным, способы физической защиты данных. Конвенция гарантирует соблюдение прав человека при сборе и обработке персональных данных, а также запрещает обработку данных о расе, политических взглядах, здоровье, религии без соответствующих юридических оснований. Данная Конвенция была ратифицирована Федеральным законом от 19.12.2005 №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» с отдельными заявлениями, а именно Российская Федерация заявила, что не будет применять Конвенцию к персональным данным [65]:
а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;
б) отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне;
в) которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации.
Кроме того, Российская Федерация оставила за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка.
2. Собственно законодательство Российской Федерации в области обработки персональных данных включает в себя следующие нормативные правовые акты в порядке приоритета:
1) Федеральный закон «О персональных данных», осуществляющий непосредственное прямое регулирование правоотношений в области обработки персональных данных;
2) иные федеральные законы, определяющие случаи и особенности обработки персональных данных, а именно:
– Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 03.04.1995 №40-ФЗ «О федеральной службе безопасности»;
– Федеральный закон от 07.07.2003 №126-ФЗ «О связи»;
– Федеральный закон от 12.08.1995 №144-ФЗ «Об оперативно-розыскной деятельности»;
– Закон РФ от 21.07.1993 N 5485—1 «О государственной тайне»;
– Федеральный закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
– Федеральный закон от 25.01.2002 №8-ФЗ «О Всероссийской переписи населения»;
– Федеральный закон от 29.11.2010 №326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
– Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации»;
– иные федеральные законы.
Часть норм, определяющих отдельные случаи регулирования обработки персональных данных, содержится в кодексах, которые также являются федеральными законами. Так, Семейный кодекс РФ содержит перечень персональных данных, подлежащих установлению в отношении лиц, желающих усыновить ребенка, установить в отношении него опеку (попечительство), либо взять ребенка в приемную семью (ст. 123 СК РФ). Глава 14 Трудового кодекса РФ (далее – ТК РФ) регулирует защиту персональных данных работника [65].
Ряд норм, содержащихся в Кодексе об административных правонарушениях РФ (КоАП РФ), Уголовном кодексе РФ (УК РФ), устанавливает ответственность за нарушение законодательства в области обработки персональных данных.