Михаил Петров - Комментарий к Федеральному закону от 27 июля 2006г. N 152-ФЗ О персональных данных

4. По своему содержанию "обработка персональных данных" достаточно объемное понятие, перечень составляющих ее действий (операций), по логике авторов настоящего документа, не является исчерпывающим. Фактически обработка персональных данных включает в себя любые операции с ними от сбора до полного уничтожения последних. Представив рассматриваемое понятие таким образом, законодатель в очередной раз подтвердил статус персональных данных в качестве особой информационной категории, нуждающейся в достаточно специфическом механизме правовой защиты.

Комментируемый Закон определяет общие условия и принципы обработки персональных данных, устанавливая единые на всей территории страны правовые основы работы с ними. В целях обеспечения прав и свобод человека и гражданина оператор при обработке персональных данных субъектов обязан соблюдать следующие общие требования:

а) обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов;

б) при определении объема и содержания обрабатываемых персональных данных оператор должен руководствоваться Конституцией РФ и настоящим Федеральным законом, иными законодательными и подзаконными актами;

в) все персональные данные субъекта следует получать у него самого, третьих лиц при наличии на то согласия их носителя, за исключением случаев, когда законом не предусмотрена обязательность его получения;

г) обработка персональных данных должна осуществляться при условии законности целей и способов обработки, соответствия данных целей, заранее определенным и заявленным при сборе, а также полномочиям оператора, соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

д) персональные данные, задействованные в обработке, должны отвечать требованиям достоверности и достаточности для целей обработки;

е) обработка персональных данных является недопустимой в случае избыточности последних применительно к целям, заявленным при сборе персональных данных, а равно осуществляемая в несовместимых с ней целях;

ж) обработка персональных данных не должна служить основанием ограничения прав и свобод человека и гражданина по мотивам, связанным с использованием различных способов обработки;

з) защита персональных данных субъектов от неправомерного их использования или утраты должна быть обеспечена оператором в процессе их обработки за счет его средств и в порядке, установленном настоящим Федеральным законом;

и) оператор должен своевременно вырабатывать меры защиты персональных данных субъектов.

Кроме того, персональные данные, проходящие автоматическую обработку:

1) должны быть получены и обработаны добросовестным и законным образом;

2) должны накапливаться для точно определенных и законных целей и не использоваться в противоречии с этими целями;

3) должны быть адекватными, относящимися к делу и не быть избыточными применительно к целям, для которых они накапливаются;

4) должны быть точными и в случае необходимости обновляться;

5) должны храниться в такой форме, которая позволяет идентифицировать субъектов данных не дольше, чем этого требует цель, для которой эти данные накапливаются.

По смыслу комментируемой статьи "обработка персональных данных" представлена как в широком, так и в узком своем значении. В первом случае предложенным термином охватываются все без исключения действия (операции), проводимые с персональными данными, второе -включает в себя лишь те, разъяснение которых содержится в тексте настоящей статьи (использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных).

Такого рода правовое деление объяснимо тем, что в своем процессе обработка персональных данных проходит две стадии: формирование информационной системы персональных данных и последующие операции с ними с использованием средств автоматизации или без их применения. В отношении каждой из представленных стадий действуют свои правовые механизмы, регулирующие поэтапную процедуру ее реализации.

В целях обеспечения защиты конфиденциальности персональных данных, создания и эксплуатации информационной системы, согласно требованиям настоящего Закона, в обязательном порядке должно предшествовать согласие субъекта персональных данных на их обработку. В остальном порядок создания информационной системы и последующей ее эксплуатации определяется положениями иных нормативных актов, затрагивающих иные стороны общественной жизни, существование которых так или иначе связано с работой с персональными данными. В частности, процедура сбора, систематизации, накопления, хранения, уточнения персональных данных регламентирована: