В основу категории "оператор" в процессе ее формирования законодателем в большей степени было положено не столько организационно-правовая форма субъекта, сколько выполняемые ими функции. Законодатель требует четкой определенности целей сбора и обработки персональных данных. Таким образом, цель результатов обработки персональных данных приобретает решающее значение. Последние во многом поставлены в прямую зависимость от непосредственного допуска к персональным данным в процессе их обработки. В этой связи принято различать организационную деятельность, деятельность по обоснованию целей и содержания обработки персональных данных и непосредственно саму обработку. Тем самым, следуя логике законодателя, лишь последняя из перечисленных функций связана с непосредственным ограничением прав и свобод гражданина, вмешательством в его личную жизнь, в силу чего именно здесь должны быть достаточные ограничения деятельности оператора, создающие гарантии защищенности интересов личности. Однако, проводя разграничения в части, касающейся функциональной составляющей субъекта, законодатель наделяет их единым набором прав и обязанностей в части, касающейся обработки персональных данных. Таким образом, законодатель при формальном разграничении де-факто не проводит разграничения относительно тех, кто непосредственно обрабатывает персональные данные и тем самым получает в максимально полном объеме защищаемую информацию, и теми, в чьи обязанности согласно букве закона вменяется исключительно организация процесса, создание и ведение фактически созданного банка данных. По ходу разработки и последующего рассмотрения законопроекта неоднократно предлагалось провести параллель между непосредственными операторами и организаторами процесса обработки конфиденциальных сведений, наделив их статусом обладателей персональных данных. Подобного рода деление во многом бы согласовывалось с положениями и терминологией действующего российского законодательства (см. подп.5 ст.2 ФЗ от 27 июля 2006г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"[10]).
Наряду с этим сформулированное законодательное определение оператора не дает достаточно ясного представления о последнем как об уникальном субъекте особого рода общественных отношений, правовое регулирование которых осуществляется нормами комментируемого Закона, возможности четко определить качественный состав объединяемых данной категорией лиц.
Придерживаясь избранной терминологии, оператором следует считать любое лицо, работающее с информационной системой персональных данных, независимо от оснований получения доступа к работе с последней. Оставив за рамками сформулированного определения требование к законности деятельности, законодатель сознательно допускает свободный допуск к охраняемой информации, фактически устанавливая заведомую законность деятельности оператора, единственным ограничением на пути которого выступает необходимость получения согласия субъекта персональных данных на последующую работу с ними.
Кроме того, устанавливая, что оператор определяет цели, содержание и применение результатов обработки персональных данных, закон фактически противоречит ч.3 ст.55 Конституции России, в соответствии с которой любые ограничения прав и свобод человека могут быть установлены только федеральным законом. Иными словами, учитывая заведомую значимость и влияние систем учета персональных данных на права и свободы граждан, цели, содержание и применение результатов обработки персональных данных во всех случаях должны устанавливаться федеральным законом.
4. По своему содержанию "обработка персональных данных" достаточно объемное понятие, перечень составляющих ее действий (операций), по логике авторов настоящего документа, не является исчерпывающим. Фактически обработка персональных данных включает в себя любые операции с ними от сбора до полного уничтожения последних. Представив рассматриваемое понятие таким образом, законодатель в очередной раз подтвердил статус персональных данных в качестве особой информационной категории, нуждающейся в достаточно специфическом механизме правовой защиты.
Комментируемый Закон определяет общие условия и принципы обработки персональных данных, устанавливая единые на всей территории страны правовые основы работы с ними. В целях обеспечения прав и свобод человека и гражданина оператор при обработке персональных данных субъектов обязан соблюдать следующие общие требования:
а) обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов;
б) при определении объема и содержания обрабатываемых персональных данных оператор должен руководствоваться Конституцией РФ и настоящим Федеральным законом, иными законодательными и подзаконными актами;
в) все персональные данные субъекта следует получать у него самого, третьих лиц при наличии на то согласия их носителя, за исключением случаев, когда законом не предусмотрена обязательность его получения;
г) обработка персональных данных должна осуществляться при условии законности целей и способов обработки, соответствия данных целей, заранее определенным и заявленным при сборе, а также полномочиям оператора, соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
д) персональные данные, задействованные в обработке, должны отвечать требованиям достоверности и достаточности для целей обработки;
е) обработка персональных данных является недопустимой в случае избыточности последних применительно к целям, заявленным при сборе персональных данных, а равно осуществляемая в несовместимых с ней целях;
ж) обработка персональных данных не должна служить основанием ограничения прав и свобод человека и гражданина по мотивам, связанным с использованием различных способов обработки;
з) защита персональных данных субъектов от неправомерного их использования или утраты должна быть обеспечена оператором в процессе их обработки за счет его средств и в порядке, установленном настоящим Федеральным законом;
и) оператор должен своевременно вырабатывать меры защиты персональных данных субъектов.
Кроме того, персональные данные, проходящие автоматическую обработку:
1) должны быть получены и обработаны добросовестным и законным образом;
2) должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;
3) должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;
4) должны быть точными и в случае необходимости обновляться;
5) должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.
По смыслу комментируемой статьи "обработка персональных данных" представлена как в широком, так и в узком своем значении. В первом случае предложенным термином охватываются все без исключения действия (операции), проводимые с персональными данными, второе -включает в себя лишь те, разъяснение которых содержится в тексте настоящей статьи (использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных).
Такого рода правовое деление объяснимо тем, что в своем процессе обработка персональных данных проходит две стадии: формирование информационной системы персональных данных и последующие операции с ними с использованием средств автоматизации или без их применения. В отношении каждой из представленных стадий действуют свои правовые механизмы, регулирующие поэтапную процедуру ее реализации.