Страница 21 из 22
6. Согласно ч. 3 комментируемой статьи порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами Российской Федерации. В настоящее время одним из таких актов является Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15 сентября 2008 г. № 687. О понятии обработки персональных данных без использования средств автоматизации см. комментарий к ст. 1 Закона о персональных данных. Ключевые особенности такой обработки можно свести в следующий перечень:
● Персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях; при этом для разных категорий персональных данных должны использоваться разные носители.
● Обработка должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения материальных носителей персональных данных и установить перечень лиц, осуществляющих их обработку либо имеющих к ним доступ.
● Работники и привлеченные на основании гражданско-правовых договоров лица, осуществляющие такую обработку, должны быть проинформированы об этом, а также об особенностях и правилах такой обработки.
● Используемые типовые формы документов, в которых фигурируют персональные данные, должны соответствовать определенным требованиям (содержать информацию, состав которой по сути совпадает с перечнем ч. 4 ст. 9 Закона о персональных данных и необходим для дачи субъектом информированного согласия на обработку данных; место для подписи и пр.).
● Порядок ведения журналов, содержащих персональные данные, необходимых для однократного пропуска субъекта персональных данных на территорию оператора, должен предусматриваться локальным актом, сведения таких журналов не могут копироваться.
7. Часть 4 комментируемой статьи воспроизводит конституционное положение о приоритете положений международных соглашений перед федеральным законом. К важнейшим международным договорам, имеющим отношение к защите персональных данных, следует отнести Международный пакт от 16 декабря 1966 г. «О гражданских и политических правах», ст. 17 которого предусматривает, что «никто не может подвергаться произвольному или незаконному вмешательству в его личную и семейную жизнь, произвольным или незаконным посягательствам на неприкосновенность его жилища или тайну его корреспонденции или незаконным посягательствам на его честь и репутацию». Кроме того, следует отметить положение ст. 8 Конвенции о защите прав человека и основных свобод 1950 г., по которому «каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции». Данные положения, несмотря на их схожесть, имеют несколько разные акценты: в первом случае акцент делается на недопустимости вмешательства в частную жизнь и обеспечении конфиденциальности таких данных73, во втором – на уважении частной жизни, что дает основания для более широкого толкования данного права. Это достаточно очевидно следует из практики ЕСПЧ, решения которого являются обязательными для Российской Федерации, если она выступает стороной такого спора.
Существует ряд решений ЕСПЧ, касающихся персональных данных, в которых Российская Федерация фигурировала в качестве ответчика и жалобы заявителей на нарушение их права на уважение личной жизни были признаны обоснованными. К их числу можно отнести, в частности, Постановление ЕСПЧ от 6 июня 2013 г. по делу Авилкина и другие против Российской Федерации (жалоба № 1585/09), в котором рассматривалась жалоба на действия лечебных учреждений по передаче прокуратуре некоторых сведений о своих пациентах без их согласия, что было обусловлено их религиозными убеждениями. Другим примером является Постановление ЕСПЧ от 23 февраля 2016 г. по делу Y.Y. против Российской Федерации (жалоба № 40378/06), в котором рассматривалась жалоба по поводу раскрытия лечебным учреждением медицинской информации о заявительнице и ее детях в отсутствие ее согласия для целей проведения проверочных мероприятий. Достаточно резонансным является и Постановление ЕСПЧ от 4 декабря 2015 г. по делу Роман Захаров (Roman Zakharov) против Российской Федерации (жалоба № 47143/06). В данном случае жалоба касалась нарушения права на уважение личной жизни и переписки организацией системы тайного прослушивания мобильной телефонной связи (СОРМ), а также отсутствия эффективных средств правовой защиты. ЕСПЧ признал данную жалобу обоснованной, отметив, помимо прочего, что законодательство РФ в указанной части оставляет властям почти неограниченную дискрецию для определения того, какие события или действия представляют собой подобную угрозу и является ли угроза достаточно серьезной, чтобы оправдать скрытое наблюдение, тем самым создавая возможности для произвола (§ 248). О практике ЕСПЧ по вопросам защиты неприкосновенности частной жизни см. также комментарий к ст. 2 Закона о персональных данных.
Основным международным договором в сфере персональных данных с участием России является Конвенция 1981 г. Данный документ закрепил фундаментальные принципы обработки персональных данных, которые были имплементированы в Закон о персональных данных. Следует отметить, что положения Конвенции не устанавливают непосредственно права и обязанности участников отношений, связанных с обработкой персональных данных, а создают обязательства для государства по их имплементации в национальное право (ст. 4 (1)). Как следствие, положения данной Конвенции не действуют в России непосредственно74. Кроме того, важно подчеркнуть, что Конвенция 1981 г. допускает возможность присоединяющейся стороны сделать заявление об отдельных изъятиях в сфере ее применения. Российская Федерация воспользовалась этим положением, заявив, что не будет применять Конвенцию к персональным данным, обрабатываемым физическими лицами исключительно для личных и семейных нужд, а также к данным, отнесенным к государственной тайне. Кроме того, Российская Федерация прямо указала на то, что сохраняет за собой возможность устанавливать ограничения прав субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка75.
8. Примат положений международного договора действует лишь в отношении федеральных законов, но не в отношении Конституции РФ. В Постановлении от 14 июля 2015 г. № 21-П Конституционный Суд РФ допустил неисполнение постановлений Европейского суда в ситуациях, когда «самим содержанием постановления Европейского суда… неправомерно − с конституционно-правовой точки зрения − затрагиваются принципы и нормы Конституции Российской Федерации», причем «такое отступление является единственно возможным способом избежать нарушения основополагающих принципов и норм Конституции Российской Федерации». Данная позиция получила свое развитие и в иных постановлениях, где Конституционный Суд еще раз указал, что исполнение решений ЕСПЧ не является обязательным, если такое исполнение будет вступать в противоречие с положениями Конституции РФ, обладающей верховенством и высшей юридической силой в российской правовой системе (Постановление Конституционного Суда РФ от 19 апреля 2016 г. № 12-П).
9. Рассматривая систему источников законодательства в области персональных данных, нельзя не упомянуть акты, которые хотя и не содержат юридически обязательных норм, но de facto оказывают серьезное влияние на регулирование отношений, связанных с реализацией оператором организационных и технических мер защиты персональных данных. К таким актам относятся национальные стандарты, каждый из которых − это документ по стандартизации, который разработан участником или участниками работ по стандартизации, по результатам экспертизы в техническом комитете по стандартизации или проектном техническом комитете по стандартизации, утвержден федеральным органом исполнительной власти в сфере стандартизации, и в нем для всеобщего применения устанавливаются общие характеристики объекта стандартизации, а также правила и общие принципы, применяемые в отношении объекта стандартизации (п. 5 ст. 2 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации»). К числу стандартов, релевантных проблематике защиты персональных данных, можно отнести следующие:
73
General Comment 16 issued 23 March 1988 (UN Doc A/43/40, 181‒183).
74
В ч. 3 ст. 5 Федерального закона от 15 июля 1995 г. № 101-ФЗ «О международных договорах Российской Федерации» установлено: «Положения официально опубликованных международных договоров Российской Федерации, не требующие издания внутригосударственных актов для применения, действуют в Российской Федерации непосредственно. Для осуществления иных положений международных договоров Российской Федерации принимаются соответствующие правовые акты».
75
Федеральный закон от 19 декабря 2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».