Страница 20 из 22
Нельзя говорить о трансграничной передаче персональных данных и в тех случаях, когда данные остаются на территории Российской Федерации, хотя и попадают к иностранному лицу, которое находится на его территории (отсутствие признака 1). Размещение персональных данных на интернет-сайте, хостинг которого осуществляется в России, но доступен по всему миру, само по себе не является трансграничной передачей данных. В данном случае инициатором передачи информации будет являться не владелец интернет-сайта, а пользователь, который «сам приходит» на данный ресурс и тем самым инициирует процесс передачи ему соответствующих данных (отсутствие признака 3). Аналогичным образом осуществляемый вследствие алгоритмов протокола TCP/IP «транзит» данных через территорию третьих стран при передаче данных в сети «Интернет» также не является их трансграничной передачей. Иной подход вступал бы в противоречие с архитектурой сети «Интернет» и информационных процессов, происходящих в ней, превращая нормы о трансграничной передаче данных в неисполнимые на практике. Подробнее о трансграничной передаче данных см. комментарий к ст. 12 Закона о персональных данных.
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее ‒ нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
1. Законодательство о персональных данных является сравнительно «молодым», но динамично развивающимся. Первый закон о персональных данных появился в 1970 г. в Германии, в земле Гессен (Hessisches Datenschutzgesetz). В 1973 г. соответствующие нормы были приняты в Швеции (Datalagen), в 1977 г. – снова в Германии (Bundesdatenschutzgesetz), в 1978 г. – во Франции (Loi informatique et libertés), а впоследствии и в иных европейских странах. В США соответствующие законодательные нормы также начали появляться в 70-е гг. прошлого века, к их числу следует отнести Закон о справедливых кредитных историях (Fair Credit Reporting Act 1970) и Закон о защите частной жизни (Privacy Act of 1974), который регламентировал обработку персональных данных граждан федеральными органами власти.
Первые упоминания о персональных данных в российском законодательстве появились в Федеральном законе от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации». Однако детальное регулирование было осуществлено возникло лишь с принятием в 2006 г. Закона о персональных данных, который не только был основан на положениях Конвенции 1981 г., ратифицированной Россией в 2005 г., но и заимствовал многие нормы Директивы 1995 г. (особенно в массивном пакете поправок, принятых в 2011 г.). В этой связи европейский подход к толкованию положений этих документов представляет собой особый интерес непосредственно для российской практики, позволяя не только не «изобретать велосипед», но и взвешенно подходить к решению достаточно сложных проблем, возникающих при применении весьма специфического по своей сути законодательства.
2. Как следует из ч. 1 комментируемой статьи, регулирование отношений, связанных с обработкой персональных данных, осуществляется исключительно на уровне нормативных правовых актов федерального уровня. Субъекты Российской Федерации не могут принимать нормативные правовые акты в указанной сфере. Это обусловлено направленностью законодательства о персональных данных на защиту конституционного права на неприкосновенность частной жизни, личную и семейную тайну, а также иных прав и свобод, связанных с обработкой персональных данных. При этом в соответствии с подп. «в» п. 1 ст. 71 Конституции РФ регулирование и защита прав и свобод человека и гражданина как высших демократических ценностей отнесены к исключительному ведению Российской Федерации.
3. Закон о персональных данных является базовым законодательным актом, регулирующим отношения, связанные с обработкой персональных данных, и определяет принципы, условия и правила обработки персональных данных (Определение Конституционного Суда РФ от 17 июля 2012 г. № 1346-О). Иные федеральные законы могут конкретизировать случаи и особенности обработки отдельных категорий персональных данных, но не могут устанавливать иные принципы обработки персональных данных или давать дефиниции ключевых терминов. Примером такого федерального закона служит Трудовой кодекс РФ, который содержит специальную главу (гл.14), посвященную особенностям защиты персональных данных работников. Другим примером подобного акта является Федеральный закон от 7 июня 2013 г. № 108-ФЗ «О подготовке и проведении в Российской Федерации чемпионата мира по футболу FIFA 2018 года, Кубка конфедераций FIFA 2017 года и внесении изменений в отдельные законодательные акты Российской Федерации», который содержит специальную статью (ст. 23.1), посвященную особенностям обработки персональных данных граждан Российской Федерации в процессе подготовки и проведения указанных мероприятий.
4. Отнесение законодательства в области персональных данных к сфере ведения федерального законодателя не означает невозможности существования нормативных правовых актов иных уровней. Органы государственной власти РФ, субъектов РФ, органы местного самоуправления и Центральный Банк России (который формально не является государственным органом и имеет особый статус) наделены правом принимать нормативные правовые акты в указанной сфере при одновременном соблюдении следующих условий, указанных в ч. 2 комментируемой статьи:
1) такая возможность должна быть прямо предусмотрена в федеральном законе;
2) указанные акты должны быть приняты вышеназванными органами в пределах своих полномочий;
3) указанные акты не могут содержать положения, ограничивающие права субъектов персональных данных, или устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов, или возлагающие на операторов не предусмотренные федеральными законами обязанности;
4) такие акты подлежат обязательному опубликованию, что исключает возможность использования правовых актов с грифом «Для служебного пользования» для регулирования прав и обязанностей лиц, которые не имеют к ним доступа71.
В основном такого рода подзаконные акты касаются вопросов обеспечения информационной безопасности информационных систем (см. комментарий к ст. 19 Закона о персональных данных), порядка проведения контрольно-надзорных мероприятий (см. комментарий к ст. 23 настоящего Закона), особенностей обработки персональных данных в отдельных государственных органах.
5. Среди важных документов, формально не являющихся нормативными правовыми актами, но оказывающими немалое влияние на правоприменительную практику в сфере законодательства о персональных данных, следует отметить разъяснения Минкомсвязи России, которое является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных, и уполномочено на дачу разъяснений по данным вопросам72. Кроме них также следует упомянуть комментарии и информацию Роскомнадзора, которые хотя и не являются официальными актами толкования законодательства, но могут оказывать существенное влияние на практику в силу убедительности содержащихся в них аргументов либо в силу статуса лица, которое их предоставило.
71
К сожалению, такие ситуации иногда имеют место на практике. Например, при регулировании вопросов обязательной сертификации средств защиты информации в информационных системах персональных данных, когда государственные органы аргументируют свою позицию ссылкой на Постановление Правительства РФ от 15 мая 2010 г. № 330 с грифом «Для служебного пользования». См. подробнее: Савельев А.И. Электронная коммерция в России и за рубежом: правовое регулирование. М.: Статут, 2014. С. 514−515.
72
См. п. 1 и 6.6 Положения о Министерстве связи и массовых коммуникаций Российской Федерации, утв. постановлением Правительства РФ от 2 июня 2008 г. № 418 «О Министерстве связи и массовых коммуникаций Российской Федерации».