3. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты по отдельным вопросам, касающимся обработки персональных данных. Указанные нормативные правовые акты по своей юридической силе являются подзаконными. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. Среди данной категории нормативных правовых актов, регулирующих отношения по обработки персональных данных, можно выделить [65]:
1) указы и распоряжения Президента Российской Федерации:
– Указ Президента РФ от 06.03.1997 №188 «Об утверждении Перечня сведений конфиденциального характера»;
– Указ Президента РФ от 30.05.2005 №609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;
– Указ Президента РФ от 17.03.2008 №351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
– распоряжение Президента РФ от 10.07.2001 №366-рп «О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»;
2) акты Правительства Российской Федерации:
– Постановление Правительства РФ от 03.11.1994 №1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»;
– Постановление Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
– Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– распоряжение Правительства РФ от 15.08.2007 №1055-р «О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных»;
– Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– Постановление Правительства РФ от 21.03.2012 №211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
3) нормативные правовые акты федеральных органов исполнительной власти:
– Приказ Министерства связи и массовых коммуникаций от 21.12.2011 №346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»;
– Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 20.06.2012 №621 «О Консультативном совете при уполномоченном органе по защите прав субъектов персональных данных»;
– Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 03.12.2012 №1255 «Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций»;
– Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
– Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
– Приказ ФСБ России от 10 июля 2014 г. №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством российской федерации требований к защите персональных данных для каждого из уровней защищенности».
4) акты органов местного самоуправления в пределах их полномочий (различные политики в области обработки персональных данных).
4. Локальные нормативные акты, регламентирующие порядок обработки персональных данных и их защиты в конкретной организации.
Таким образом, можно говорить о том, что институт персональных данных регламентирован достаточно большим набором нормативных актов. При этом, действующий на сегодняшний день Федеральный закон «О персональных данных» включает в себя достаточно большое количество положений закрепленных в нормах международного права.
Место института персональных данных в системе права РФ
Система права – совокупность правовых форм, внутренне упорядоченная по отношениям, обеспечивающим относительную самостоятельность и единство этой совокупности, которое выражается в ее интегральных, обеспечительных и координационных свойствах и функциях. Это определение, сформулированное А. Б. Ипатовым, охватывает существенные признаки, как системы права, так и ее подсистем: отраслей, подотраслей, институтов.1
Структурными элементами системы права (подсистемами) являются: отрасль, подотрасль, институт, субинститут и норма права.
Вопрос о том, какое место в системе права занимает институт персональных данных, является на сегодняшний день наименее изученным. Несмотря на важность данного института с практической точки зрения, сегодняшняя юридическая наука практически не имеет научных работ, посвященных его изучению.
Возможными причинами этого является то, что, во-первых, защита персональных данных многими понимается скорее как чисто техническая задача – защита от утечки, защита от несанкционированного доступа, от кражи и так далее. При таком понимании происходит смещение акцентов в чисто техническую область. Между тем защита персональных данных – это защита субъекта данных, то есть того лица, которое предоставляет свои персональные данные государственному органу либо частной организации, защита его прав [62].
Другой возможной причиной этого является то, что нормы регулирующие обработку персональных данных принято считать частью института неприкосновенности частной жизни.
Одна из основных идей, которая имеет место во многих исследовательских работах, такова: права субъекта персональных данных – это юридическая конструкция, производная от прав человека, сконцентрированная в источниках международного права.
По мнению автора, необходимо различать два понятия – персональные данные и тайну частной жизни. Тайна частной жизни (личная и семейная тайна) – достаточно широкое понятие, не получившее точного нормативного закрепления и, в ряде случаев, охватывающее персональные данные. Тем не менее, отдельно взятые факты о лице, такие как фамилия, имя, отчество, место работы, адрес и т.п., а также сведения о большинстве повседневных событий, связанных с этим лицом, не всегда могут считаться тайной, поскольку по своему характеру эти сведения являются общедоступными и могут быть непроизвольно получены любым случайным лицом.
В понятие «частная жизнь» включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если она носит непротивоправный характер2. В противовес этому, персональные данные, как правило, являются своего рода идентификатором субъекта в человеческом обществе.
Институт тайны частной жизни защищает от умышленного вмешательства в личную жизнь, которое, как правило, выражается в нарушении тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, о чем прямо указано в Конституции Российской Федерации (ст. 23). Термин персональные данные, в свою очередь, тесно связан с понятием обработка. Обработка персональных данных начинается тогда, когда гражданин «свободно, своей волей и в своем интересе» (на что прямо указано в ч. 1 ст. 9 Федерального закона «О персональных данных») передает свои данные оператору для выполнения каких либо функций (например, заключение трудового договора) или делает их общедоступными (например, регистрируясь в социальных сетях).