Как видно из приведенного перечня, законодательство в области персональных данных представляет собой одноуровневую систему, складывающуюся исключительно из норм федерального законодательства. Подобная законодательная оговорка, обусловлена тем обстоятельством, что в соответствии с подп."в" п.1 ст.71 Конституции РФ регулирование прав и свобод человека и гражданина как одних из высших демократических ценностей отнесено к исключительному ведению РФ. Следует отметить, что субъекты РФ при этом правомочны регулировать рассматриваемую группу правоотношений в части касающейся конкретизации условий реализации и соблюдения прав. Принимаемые ими нормативные акты должны соответствовать установленным федеральными законами общим принципам и не могут придать им смысл, который означает по сути ограничение прав и свобод. Подобной позиции придерживается и Конституционный Суд РФ, который неоднократно в своих определениях отмечал, что Федерации принадлежит принципиальное первичное конституционно-правовое регулирование прав и свобод, установление их единых федеральных стандартов, способов, средств и порядка защиты.
2. Построение системы законодательства в области персональных данных обусловлено строгой иерархичностью и соподчинением. Правовую основу построения системы защиты персональных данных составляют положения Конституции РФ. В статьях 22 и 23 содержатся нормы, провозглашающие основные права личности, касающиеся частной жизни. В них закреплено право на неприкосновенность частной жизни, личную и семейную тайну. Запрещается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. На органы государственной власти возлагается обязанность обеспечить каждому возможность ознакомления с документами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Формируя законодательную основу обработки персональных данных, законодатель принимает за основу и нормы международного права, содержащие основные принципы работы с персональными данными в процессе их обработки. Первоначально указанные принципы нашли свое закрепление в Международной конвенции "Об охране личности в отношении автоматизированной обработки персональных данных" ЕТЗ N 108 (28 января 1981г.)[12], которая стала объединяющим началом для соответствующего национального законодательства. Затем система защиты персональных данных развивалась в Директиве Европейского Союза и Парламента 95/46/ЕС от 24 октября 1995г. о защите прав частных лиц применительно к обработке персональных данных и свободном движении таких данных и Директиве 97/66/ЕС от 15 декабря 1997г. по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе. Названные документы содержат перечень основных мер для охраны персональных данных, накопленных в автоматизированных базах данных, от случайного или несанкционированного разрушения или случайной утраты, а равно от несанкционированного доступа, изменения или распространения.
Вступление России в Совет Европы не обязывает ее приводить национальное законодательство в соответствие с директивами Совета Европы, в том числе включенными в настоящее издание. Однако очевидно, что равноправным членом Европейского Сообщества Россия сможет стать, только приняв правила игры, то есть сформированную Сообществом систему ценностей. Вместе с тем, придерживаясь конституционного принципа о включении общепризнанных принципов и норм международного права и международных договоров РФ в состав национальной правовой системы (ст.15 Конституции РФ), законодатель подчеркивает преимущественное положение последних в области правового регулирования обработки персональных данных, при условии если международным договором РФ установлены иные правила, чем предусмотренные законом.
3. Основополагающим нормативным актом в области обращения персональных данных выступает настоящий Закон. Все иные нормативные акты, принимаемые после его подписания, не должны ему противоречить, ранее действующие же — приведены в соответствии с ним. В случае возникновения противоречий приоритет должен отдаваться комментируемому Закону. Последний был принят Государственной Думой 8 июля 2006г., одобрен Советом Федерации 14 июля 2006г. и подписан Президентом РФ 27 июля 2006г. Текст Федерального закона опубликован в "Российской газете" от 29 июля 2006г. N 165. Согласно п.1 ст.25 настоящего Закона момент вступления последнего в законную силу определен истечением 180 дней с момента его официального опубликования.
Рассматриваемый документ представлен в виде 6 глав, включающих в себя 25 статей. В Законе определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, Закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств. Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона. Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных. Операторы, осуществляющие обработку персональных данных до вступления в силу Закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 г.
4. В систему законодательства в области персональных данных помимо названных актов законодателем включены и иные законы. Последние условно можно разделить на две самостоятельные группы: 1) принятые до настоящего Закона и приведенные в соответствие с ним; 2) принятые на основании и в исполнение положений последнего.
В первой группе можно выделить:
Трудовой кодекс РФ, в главе 14 которого закреплены основополагающие требования по защите персональных данных работника. Прием работника по деловым качествам предполагает применение определенных приемов сбора сведений о работнике, с тем чтобы они достаточно полно выявили заранее установленный круг критериев, необходимых для занятия той или иной должности, т.е. работодатель фактически осуществляет сбор персональных данных работника;
Таможенный кодекс РФ от 28 мая 2003г. N 61-ФЗ[13], регламентирующий процедуру обработки персональных данных лиц, осуществляющих деятельность, связанную с перемещением товаров и транспортных средств через таможенную границу либо осуществляющих деятельность в области таможенного дела, в целях проведения таможенного контроля и взимания таможенных платежей;
12
Указанный документ ратифицирован Российской Федерацией ФЗ от 19 декабря 2005г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".