Персональные данные относятся к категории конфиденциальной информации, предполагающей отсутствие свободного доступа к ней и наличие эффективной системы ее защиты. Включение персональных данных в разряд конфиденциальных сведений направлено на предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в личную жизнь гражданина и тем самым реализует базисные цели, положенные в основу разработки и принятия настоящего Закона.
Действующие в отношении них ограничения снимаются при наличии согласия обладателя персональных данных. Последнее предполагается также и в том случае, когда субъект выполняет ряд возложенных на него обязанностей, например при оформлении паспорта, регистрации актов гражданского состояния и т.п.
Представленные в качестве динамичной монолитной категории, персональные данные по смыслу комментируемого Закона имеют достаточно четкое внутреннее структурирование. Формирование в их составе ряда самостоятельных групп сведений обусловлено необходимостью их повышенной правовой защиты. В этой связи принято различать:
общедоступные персональные данные, доступ к которым неограниченного круга лиц предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
К разряду общедоступных персональных данных могут быть отнесены: фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии субъекта персональных данных. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. Обладатель информации, ставшей общедоступной по его решению, вправе требовать от лиц, распространяющих такую информацию, указывать себя в качестве источника такой информации.
Анализируемый Закон предусматривает, что требование о конфиденциальности информации не распространяется применительно к персональным данным в случаях, прямо оговоренных федеральным законом. Следует отметить, что в настоящее время ни один из действующих федеральных законов не содержит прямого указания на возможность свободного использования конфиденциальной информации;
биометрические персональные данные, характеризующие физиологические особенности человека и на основе которых можно установить его личность;
персональные данные специальной категории, включающие в свой состав данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни лица.
При этом следует отметить, что комментируемый Закон не проводит принципиальных различий относительно внутреннего содержания персональных данных, представляя последние в качестве единого самостоятельного объекта правовой защиты. Подход такого рода вполне объясним целями, сформулированными разработчиками рассматриваемого нормативного акта, -обеспечением защиты конфиденциальности всего массива персональных данных без учета их содержания и степени относимости к личности обладателя.
Следует отметить, что распределение персональных данных по самостоятельным категориям имеет место в большинстве иных законодательных и подзаконных нормативных правовых актах. В основу существующей категоризации положен критерий их целевого использования. В частности, нормами Трудового кодекса РФ предусмотрено, что персональные данные работника представляют собой обобщенные данные последнего, необходимые работодателю в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п.1 ст.86 ТК РФ). По смыслу последнего к их числу относятся: фамилия, имя, отчество работника, сведения о предшествующей трудовой деятельности, отношение к воинской обязанности, образование или уровень квалификации. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Работодателю категорически запрещается получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни.
В целях получения допуска по соответствующей форме к сведениям, составляющим государственную тайну, в состав предоставляемых персональных данных по смыслу действующего законодательства[9] в обязательном порядке относятся: фамилия, имя, отчество оформляемого, дата и место его рождения, сведения об образовании — специальность и квалификация по диплому; гражданская принадлежность, наличие ученой степени или ученого звания, владение иностранными языками и соответствующий уровень, сведения о судимости как его самого, так и его родственников, пребывании за границей, наличии за границей родственников, отношении к воинской обязанности, наличии загранпаспорта, семейном положении, место регистрации и жительства. Работники кадрового аппарата в ходе беседы с оформляемым на работу (службу) гражданином сверяют указанные в анкете данные с его личными документами (паспорт, военный билет, трудовая книжка, диплом об образовании, свидетельство о рождении и т.д.), уточняют отдельные вопросы анкеты, выявляют представляющие интерес сведения, не предусмотренные вопросами анкеты, выясняют у гражданина, имел ли он за последний год отношение к секретным работам, документам и изделиям, давал ли он обязательство по неразглашению сведений, составляющих государственную тайну, работал ли (служил) на режимных объектах, запрашивают необходимые справки и документы, знакомят гражданина с содержанием договора (контракта) об оформлении допуска к государственной тайне.
3. Комментируемый Закон выделяет несколько видов субъектов, которые участвуют в отношениях оборота персональных данных: операторы персональных данных; субъекты персональных данных;
орган по защите прав субъектов персональных данных; третьи лица.
Введением в правовой оборот категории "оператор персональных данных" законодатель не легитимирует создание нового субъекта общественных отношений по обработке персональных данных, сохраняя сформированный ранее биполярный состав последних. Предопределяя, таким образом, универсальную структуру, авторы настоящего Закона подвели под ее содержание всех без исключения субъектов, независимо от организационно-правовой формы и формы собственности последних, которые по роду деятельности связаны со сбором, накоплением, хранением, обработкой и передачей персональных данных. При этом следует отметить, что используемое в тексте комментируемого Закона понятие "оператор" представляется обезличенной категорией, развернутое представление о которой можно получить лишь в конкретном случае обработки персональных данных.
В основу категории "оператор" в процессе ее формирования законодателем в большей степени было положено не столько организационно-правовая форма субъекта, сколько выполняемые ими функции. Законодатель требует четкой определенности целей сбора и обработки персональных данных. Таким образом, цель результатов обработки персональных данных приобретает решающее значение. Последние во многом поставлены в прямую зависимость от непосредственного допуска к персональным данным в процессе их обработки. В этой связи принято различать организационную деятельность, деятельность по обоснованию целей и содержания обработки персональных данных и непосредственно саму обработку. Тем самым, следуя логике законодателя, лишь последняя из перечисленных функций связана с непосредственным ограничением прав и свобод гражданина, вмешательством в его личную жизнь, в силу чего именно здесь должны быть достаточные ограничения деятельности оператора, создающие гарантии защищенности интересов личности. Однако, проводя разграничения в части, касающейся функциональной составляющей субъекта, законодатель наделяет их единым набором прав и обязанностей в части, касающейся обработки персональных данных. Таким образом, законодатель при формальном разграничении де-факто не проводит разграничения относительно тех, кто непосредственно обрабатывает персональные данные и тем самым получает в максимально полном объеме защищаемую информацию, и теми, в чьи обязанности согласно букве закона вменяется исключительно организация процесса, создание и ведение фактически созданного банка данных. По ходу разработки и последующего рассмотрения законопроекта неоднократно предлагалось провести параллель между непосредственными операторами и организаторами процесса обработки конфиденциальных сведений, наделив их статусом обладателей персональных данных. Подобного рода деление во многом бы согласовывалось с положениями и терминологией действующего российского законодательства (см. подп.5 ст.2 ФЗ от 27 июля 2006г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"[10]).
9
См.: Закон РФ от 21 июля 1993г. N 5485-1 "О государственной тайне" // СЗ РФ. 1997. N 41. Ст.4673; Постановление Правительства РФ от 28 октября 1995г. N 1050 "Об утверждении Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне" // СЗ РФ. 1997. N 43. Ст.4987.
10
СЗ РФ. 2006. N 31 (часть ). Ст.3448.