27 июля 2006 года № 152-ФЗ
РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Государственной Думой
8 июля 2006 года
Одобрен
Советом Федерации 14 июля 2006 года
(В ред. федеральных законов от 25.11.2009 № 266-ФЗ, от 27.12.2009 № 363-ФЗ, от 28.06.2010 № 123-ФЗ, от 27.07.2010 № 204-ФЗ, от 27.07.2010 № 227-ФЗ, от 29.11.2010 № 313-ФЗ, от 23.12.2010 № 359-ФЗ, от 04.06.2011 № 123-ФЗ, от 25.07.2011 № 261-ФЗ, от 05.04.2013 № 43-ФЗ, от 23.07.2013 № 205-ФЗ, от 21.12.2013 № 363-ФЗ, от 04.06.2014 № 142-ФЗ, от 21.07.2014 № 216-ФЗ, от 21.07.2014 № 242-ФЗ, от 03.07.2016 № 231-ФЗ, от 22.02.2017 № 16-ФЗ)
Глава 1. Общие положения
Статья 1. Сфера действия настоящего федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее – государственные органы), органами местного самоуправления, иными муниципальными органами (далее – муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) утратил силу. – Федеральный закон от 25 июля 2011 № 261-ФЗ;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».
1. Несмотря на название комментируемая статья определяет лишь предметную сферу действия комментируемого Закона, а именно отношения, на которые он распространяется, а также перечень изъятий из сферы его действия. Сфера действия данного Закона во времени определяется в его ст. 25. К сожалению, комментируемый Закон никак не конкретизирует сферу своего действия в пространстве, что особенно актуально для определения круга иностранных лиц, на которых распространяются его требования. Как следствие, территориальная сфера действия настоящего Закона определяется посредством системного толкования положений иных законов и конкретизирована в разъяснениях Минкомсвязи России, которое является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных и уполномоченным на дачу разъяснений по указанным вопросам1. Данные разъяснения опубликованы на официальном сайте Минкомсвязи России2 и будут предметом подробного анализа далее.
1.1. Предметная сфера действия законодательства РФ о персональных данных определена в комментируемой статье посредством указания на два основных признака правоотношений:
1) наличие связи таких отношений с процессами обработки персональных данных;
2) использование средств автоматизации или иных средств, которые по своему характеру схожи с ними и позволяют осуществлять поиск персональных данных в соответствии с заданным алгоритмом.
Первый признак имеет место всегда, когда положительно решен вопрос о квалификации выступающей объектом правоотношения информации в качестве персональных данных, поскольку существующая дефиниция обработки персональных данных охватывает любые действия, совершаемые с ними (о понятиях персональных данных и их обработки см. комментарий к ст. 3 Закона о персональных данных).
Второй признак имеет место во всех случаях автоматизированной обработки, т.е. использования средств вычислительной техники для обработки персональных данных (компьютеров, планшетов, смартфонов, «умных часов», устройств, подключенных к сети «Интернет», и т.п.). Фактически об автоматизированной обработке персональных данных можно вести речь всегда, когда такие данные выражены в цифровой форме.
Кроме того, рассматриваемый признак имеет место при осуществлении «неавтоматизированной» обработки персональных данных, удовлетворяющей в совокупности следующим условиям (далее – квази-автоматизированная обработка):
а) поиск и (или) доступ к таким данным осуществляется в соответствии с определенным алгоритмом, что предполагает наличие систематизации соответствующих документов по конкретным критериям (например, по фамилиям в алфавитном порядке и (или) по годам);
б) использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных осуществляются при непосредственном участии человека независимо от того, хранятся такие сведения в информационной системе персональных данных или нет3.
1.2. В отсутствие систематизации документов по определенным критериям невозможно осуществление действий с ними по определенному алгоритму, а следовательно, такие действия не могут по своему характеру соответствовать действиям, осуществляемым при автоматизированной обработке, и не подпадают под действие Закона о персональных данных. При этом следует подчеркнуть, что буквальное толкование ч. 1 комментируемой статьи позволяет сделать вывод о том, что требование о наличии алгоритма установлено в виде альтернативы применительно как к поиску, так и к доступу к соответствующим данным, а не только к поиску, как иногда указывается в литературе4. Кроме того, настоящий Закон прямо указывает на то, что речь идет о доступе к «таким данным», отсылая тем самым к предыдущей фразе, в которой речь идет о «зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных». Иными словами, к хранению и иным видам обработки несистематизированных персональных данных без использования средств автоматизации Закон о персональных данных не применяется, даже если к таким сведениям возможен последующий доступ третьих лиц.
1.3. Примером квази-автоматизированной обработки, подпадающей под действие комментируемого Закона, являются действия оператора, связанные с ведением различного рода картотек личных дел сотрудников организации; договоров, заключенных с физическими лицами; медицинских карт пациентов в регистратурах поликлиник; журналов выдачи одноразовых пропусков на территорию и т.п. При этом если персональные данные, содержащиеся в «бумажных» документах и систематизированные в картотеках, параллельно используются, уточняются, распространяются или уничтожаются с помощью средств вычислительной техники (например, при использовании программных продуктов по расчету зарплат и управлению персоналом), то имеет место так называемая смешанная обработка ‒ обработка, осуществляемая оператором без использования средств автоматизации и автоматизированным способом одновременно. Данный термин хотя и не фигурирует в законе, но используется на практике контрольно-надзорными органами и судами (см.: Постановление Четвертого арбитражного апелляционного суда от 17 января 2011 г. по делу № А19-25289/2009; Апелляционное определение Владимирского областного суда от 20 января 2015 г. по делу № 33-139/2015; п. 9 Рекомендаций Роскомнадзора по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных от 29 января 2016 г.). Несмотря на то что в данном случае оба средства обработки подпадают под действие Закона о персональных данных, существуют определенные отличия в правовых последствиях их осуществления, которые необходимо учитывать, например, в части наличия или отсутствия обязанности по уведомлению Роскомнадзора об обработке персональных данных ( см. подробнее комментарий к ст. 22 настоящего Закона). При этом следует учитывать п. 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствии с которым «обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее».