Законодательство РФ

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

3.1. Нормативные правовые акты, принимаемые в соответствии с частью 2 настоящей статьи, подлежат обязательному согласованию с уполномоченным органом по защите прав субъектов персональных данных в случаях, если указанные нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания. Срок указанного согласования не может превышать тридцать дней с даты поступления соответствующего нормативного правового акта в уполномоченный орган по защите прав субъектов персональных данных.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

5. Решения межгосударственных органов, принятые на основании положений международных договоров Российской Федерации в их истолковании, противоречащем Конституции Российской Федерации, не подлежат исполнению в Российской Федерации. Такое противоречие может быть установлено в порядке, определенном федеральным конституционным законом.


Комментарии к статье 4 152-ФЗ О персональных данных:

1. Комментируемая статья устанавливает систему нормативных правовых актов, регулирующих правоотношения в сфере обработки персональных данных.

Часть первая комментируемой статьи непосредственно провозглашает законодательную основу регулирования отношений в сфере обработки персональных данных. Согласно ей законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации.

Конституция РФ принята на всенародном голосовании 12 декабря 1993 г. и является Основным Законом Российской Федерации. Конституция имеет высшую юридическую силу, прямое действие и применяется на всей территории РФ. Законы и иные правовые акты, принимаемые в РФ, не должны противоречить Конституции. Органы государственной власти, органы местного самоуправления, должностные лица, граждане и их объединения обязаны соблюдать Конституцию и законы. Важное место Конституция РФ отводит человеку, его правам и свободам, которые являются высшей ценностью. Обязанность государства по признанию, соблюдению и защите прав и свобод человека и гражданина закреплена в ст. 2 Конституции РФ.

В контексте комментируемого Закона Конституция РФ выступает основным гарантом реализации комментируемого Закона и соблюдения прав граждан в процессе его реализации (см. подробнее об этом комментарий к ст. 2).

Международные договоры Российской Федерации согласно ст. 5 Федерального закона от 15.07.1995 N 101-ФЗ "О международных договорах Российской Федерации" наряду с общепризнанными принципами и нормами международного права являются составной частью правовой системы Российской Федерации. Международные договоры Российской Федерации заключаются, выполняются и прекращаются в соответствии с общепризнанными принципами и нормами международного права, положениями самого договора, Конституцией Российской Федерации, Федеральным законом от 15.07.1995 N 101-ФЗ.

Международный договор Российской Федерации означает международное соглашение, заключенное Российской Федерацией с иностранным государством (или государствами), с международной организацией либо с иным образованием, обладающим правом заключать международные договоры, в письменной форме и регулируемое международным правом, независимо от того, содержится такое соглашение в одном документе или в нескольких связанных между собой документах, а также независимо от его конкретного наименования.

Выполнение международных договоров регулируется ст. 31 Федерального закона от 15.07.1995 N 101-ФЗ, согласно которой они подлежат добросовестному выполнению в соответствии с условиями самих международных договоров, нормами международного права, Конституцией РФ, указанным Законом, иными актами законодательства Российской Федерации. Российская Федерация до вступления для нее международного договора в силу воздерживается с учетом соответствующих норм международного права от действий, которые лишили бы договор его объекта и цели. Международный договор подлежит выполнению Российской Федерацией с момента вступления его в силу для Российской Федерации.

В соответствии со ст. 38 Федерального закона от 15.07.1995 N 101-ФЗ в случае прекращения международного договора Российская Федерация освобождается от всякого обязательства выполнять договор в дальнейшем, если договором не предусматривается иное, а также если не имеется иной договоренности с другими его участниками и договор не влияет на права, обязательства или юридическое положение Российской Федерации, возникшие в результате выполнения договора до его прекращения.

Положения официально опубликованных международных договоров Российской Федерации, не требующие издания внутригосударственных актов для применения, действуют в Российской Федерации непосредственно. Для осуществления иных положений международных договоров Российской Федерации принимаются соответствующие правовые акты.

Основными международными актами в области защиты персональных данных являются следующие:

- Всеобщая декларация прав человека, принятая на третьей сессии Генеральной Ассамблеи ООН Резолюцией 217 А (III) от 10.12.1948, которая провозглашает, что никто не может подвергаться произвольному вмешательству в личную и семейную жизнь, каждый человек имеет право на защиту закона от такого вмешательства или таких посягательств (ст. 12);

- Международный пакт о гражданских и политических правах (Нью-Йорк, 19.12.1966);

- Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных (ETS N 108) (заключена в г. Страсбурге, 28 января 1981 г.).

В Конвенции определяется порядок сбора и обработки данных о личности, принципы хранения и доступа к этим данным, способы физической защиты данных. Конвенция гарантирует соблюдение прав человека при сборе и обработке персональных данных, а также запрещает обработку данных о расе, политических взглядах, здоровье, религии без соответствующих юридических оснований. Данная Конвенция была ратифицирована Федеральным законом от 19.12.2005 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" с отдельными заявлениями, а именно Российская Федерация заявила, что не будет применять Конвенцию к персональным данным:

а) обрабатываемым физическими лицами исключительно для личных и семейных нужд;

б) отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне;

в) которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации.

Кроме того, Российская Федерация оставила за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка;

- Директива 95/46/EC Европейского парламента и Совета ЕС от 24.10.1995 о защите физических лиц в отношении обработки персональных данных и свободного обращения таких данных.

Согласно положениям данной Директивы персональные данные означают любую информацию, связанную с идентифицированным или идентифицируемым физическим лицом (субъектом данных). Идентифицируемым лицом является лицо, которое может быть идентифицировано прямо или косвенно, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности.

Обработка персональных данных означает любую операцию или набор операций, выполняемых над персональными данными, как автоматическими средствами, так и без таковых. Это сбор, запись, организация, хранение, актуализация или изменение, извлечение, консультирование, использование, раскрытие посредством передачи, распространения или предоставления иного доступа, группировка, блокирование, стирание или удаление.

Директива вводит понятие "контролер персональных данных" - это физическое или юридическое лицо, официальный орган, агентство или иной орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных. В случае, когда цели или средства обработки определяются национальным законодательством или законами или нормами Сообщества, контролер или особые критерии его назначения могут устанавливаться национальным законом или законом Сообщества;

- Директива 97/66/EC Европейского парламента и Совета ЕС от 15.12.1997, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций;

- Директива 2002/58/EC Европейского парламента и Совета ЕС от 12.07.2002 об обработке персональных данных и защите информации о частной жизни в сфере электронных коммуникаций (Директива о конфиденциальности информации о частной жизни в сфере электронных коммуникаций).

Часть 4 комментируемой статьи устанавливает приоритет международных договоров Российской Федерации в области регулирования отношений по обработке персональных данных, а именно: если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены комментируемым Законом, применяются правила международного договора. Указанная норма дублирует ч. 2 ст. 5 Федерального закона от 15.07.1995 N 101-ФЗ.

2. Собственно законодательство Российской Федерации в области обработки персональных данных включает в себя следующие нормативные правовые акты в порядке приоритета:

1) комментируемый Закон, осуществляющий непосредственное прямое регулирование правоотношений в области обработки персональных данных;

2) иные федеральные законы, определяющие случаи и особенности обработки персональных данных, а именно:

- Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральный закон от 03.04.1995 N 40-ФЗ "О федеральной службе безопасности";

- Федеральный закон от 07.07.2003 N 126-ФЗ "О связи";

- Федеральный закон от 12.08.1995 N 144-ФЗ "Об оперативно-розыскной деятельности";

- Закон РФ от 21.07.1993 N 5485-1 "О государственной тайне";

- Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";

- Федеральный закон от 25.01.2002 N 8-ФЗ "О Всероссийской переписи населения";

- Федеральный закон от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";

- Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации";

- другие федеральные законы.

Часть норм, определяющих отдельные случаи регулирования обработки персональных данных, содержится в кодексах, которые также являются федеральными законами. Так, СК РФ содержит перечень персональных данных, подлежащих установлению в отношении лиц, желающих усыновить ребенка, установить в отношении него опеку/попечительство либо взять ребенка в приемную семью (ст. 123 СК РФ). Статьи 85 - 90 ТК РФ регулируют защиту персональных данных работника. Статья 85.1 ВК РФ регулирует порядок передачи персональных данных пассажиров воздушных судов в автоматизированные централизованные базы персональных данных о пассажирах.

Ряд норм, содержащихся в кодексах, устанавливают ответственность за нарушение законодательства в области обработки персональных данных. Например, нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей, на должностных лиц - от пятисот до одной тысячи рублей, на юридических лиц - от пяти тысяч до десяти тысяч рублей в соответствии со ст. 13.11 КоАП РФ.

Кроме того, административная ответственность предусмотрена за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).

Нецелевая обработка персональных данных может повлечь также уголовную ответственность. Так, ст. 137 УК РФ предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Статья 272 УК РФ устанавливает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, в том числе баз персональных данных.

3. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Указанные нормативные правовые акты по своей юридической силе являются подзаконными. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. Среди данной категории нормативных правовых актов, регулирующих отношения сфере обработки персональных данных, можно выделить следующие:

1) указы и распоряжения Президента Российской Федерации:

- Указ Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера";

- Указ Президента РФ от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

- Указ Президента РФ от 17.03.2008 N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";

- распоряжение Президента РФ от 10.07.2001 N 366-рп "О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных" и пр.;

2) акты Правительства Российской Федерации:

- Постановление Правительства РФ от 03.11.1994 N 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти";

- Постановление Правительства РФ от 06.07.2008 N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";

- Постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- распоряжение Правительства РФ от 15.08.2007 N 1055-р "О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона "О персональных данных";

- Постановление Правительства РФ от 21.03.2012 N 211 "Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и пр.;

3) нормативные правовые акты органов федеральных органов исполнительной власти:

- Приказ Министерства связи и массовых коммуникаций от 21.12.2011 N 346 "Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги "Ведение реестра операторов, осуществляющих обработку персональных данных";

- Приказ ФСТЭК России от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных";

- Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных";

- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19.08.2011 N 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществить обработку) персональных данных";

- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 20.06.2012 N 621 "О Консультативном совете при уполномоченном органе по защите прав субъектов персональных данных";

- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 03.12.2012 N 1255 "Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций" и пр.;

4) а также акты органов местного самоуправления в пределах их полномочий.

Порядок опубликования и вступления в силу указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, а также нормативных правовых актов федеральных органов исполнительной власти регулируется Указом Президента РФ от 23.05.1996 N 763 "О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти".

Так, по общему правилу, установленному данным Указом, акты Президента Российской Федерации, имеющие нормативный характер, и акты Правительства Российской Федерации, затрагивающие права, свободы и обязанности человека и гражданина, устанавливающие правовой статус федеральных органов исполнительной власти, а также организаций, вступают в силу одновременно на всей территории Российской Федерации по истечении семи дней после дня их первого официального опубликования. Акты Президента Российской Федерации и акты Правительства Российской Федерации в течение 10 дней после дня их подписания подлежат официальному опубликованию в "Российской газете", Собрании законодательства Российской Федерации и на Официальном интернет-портале правовой информации (www.pravo.gov.ru), функционирование которого обеспечивает Федеральная служба охраны Российской Федерации.

Нормативные правовые акты федеральных органов исполнительной власти вступают в силу одновременно на всей территории Российской Федерации по истечении десяти дней после дня их официального опубликования, если самими актами не установлен другой порядок вступления их в силу. Нормативные правовые акты федеральных органов исполнительной власти подлежат официальному опубликованию в "Российской газете" в течение десяти дней после дня их регистрации, а также в Бюллетене нормативных актов федеральных органов исполнительной власти государственного учреждения - издательства "Юридическая литература" Администрации Президента Российской Федерации, который издается еженедельно. Официальным также является указанный Бюллетень, распространяемый в электронном виде федеральным государственным унитарным предприятием "Научно-технический центр правовой информации "Система" Федеральной службы охраны Российской Федерации, а также органами государственной охраны.

4. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений комментируемого Закона.

В настоящее время особенности обработки персональных данных, осуществляемой без использования средств автоматизации, регулируются Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

"Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (постатейный)
Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С.
Год издания: 2013

Популярные статьи и материалы
N 400-ФЗ от 28.12.2013

ФЗ о страховых пенсиях

N 69-ФЗ от 21.12.1994

ФЗ о пожарной безопасности

N 40-ФЗ от 25.04.2002

ФЗ об ОСАГО

N 273-ФЗ от 29.12.2012

ФЗ об образовании

N 79-ФЗ от 27.07.2004

ФЗ о государственной гражданской службе

N 275-ФЗ от 29.12.2012

ФЗ о государственном оборонном заказе

N2300-1 от 07.02.1992 ЗППП

О защите прав потребителей

N 273-ФЗ от 25.12.2008

ФЗ о противодействии коррупции

N 38-ФЗ от 13.03.2006

ФЗ о рекламе

N 7-ФЗ от 10.01.2002

ФЗ об охране окружающей среды

N 3-ФЗ от 07.02.2011

ФЗ о полиции

N 402-ФЗ от 06.12.2011

ФЗ о бухгалтерском учете

N 135-ФЗ от 26.07.2006

ФЗ о защите конкуренции

N 99-ФЗ от 04.05.2011

ФЗ о лицензировании отдельных видов деятельности

N 223-ФЗ от 18.07.2011

ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц

N 2202-1 от 17.01.1992

ФЗ о прокуратуре

N 127-ФЗ 26.10.2002

ФЗ о несостоятельности (банкротстве)

N 152-ФЗ от 27.07.2006

ФЗ о персональных данных

N 44-ФЗ от 05.04.2013

ФЗ о госзакупках

N 229-ФЗ от 02.10.2007

ФЗ об исполнительном производстве

N 53-ФЗ от 28.03.1998

ФЗ о воинской службе

N 395-1 от 02.12.1990

ФЗ о банках и банковской деятельности

ст. 333 ГК РФ

Уменьшение неустойки

ст. 317.1 ГК РФ

Проценты по денежному обязательству

ст. 395 ГК РФ

Ответственность за неисполнение денежного обязательства

ст 20.25 КоАП РФ

Уклонение от исполнения административного наказания

ст. 81 ТК РФ

Расторжение трудового договора по инициативе работодателя

ст. 78 БК РФ

Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам

ст. 12.8 КоАП РФ

Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения

ст. 161 БК РФ

Особенности правового положения казенных учреждений

ст. 77 ТК РФ

Общие основания прекращения трудового договора

ст. 144 УПК РФ

Порядок рассмотрения сообщения о преступлении

ст. 125 УПК РФ

Судебный порядок рассмотрения жалоб

ст. 24 УПК РФ

Основания отказа в возбуждении уголовного дела или прекращения уголовного дела

ст. 126 АПК РФ

Документы, прилагаемые к исковому заявлению

ст. 49 АПК РФ

Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение

ст. 125 АПК РФ

Форма и содержание искового заявления