К. Саматов - Персональные данные работников организации и их защита

При этом содержание понятия «персональные данные» в указанном Федеральном законе не было раскрыто. Позже был издан Указ Президента Российской Федерации от 6 марта 1997 г. №188 (действующий на сегодняшний день), утвердивший Перечень сведений конфиденциального характера, согласно которому персональные данные «включают в себя сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность» [107].

Основы правового режима персональных данных, установленные в Федеральном законе «Об информации, информатизации и о защите информации», содержали ряд черт, характерных для европейской модели защиты персональных данных. Принципиальным различием, сохранившимся до настоящего времени, с европейской моделью правового регулирования является акцент на защиту информации персонального характера в отрыве от защиты прав субъектов персональных данных и их интересов. Указанный подход был реализован и в Федеральном законе от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») и принятых в его исполнение подзаконных актах.

В декабре 2005 г. Российская Федерация ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, взяв на себя тем самым обязательства привести национальное законодательство в соответствие с этой Конвенцией. В рамках данных обязательств были приняты упомянутый Федеральный закон «О персональных данных», который закрепляет общие принципы их охраны, а также ряд подзаконных актов. И хотя нормы названного Закона существенно не отличаются от норм Конвенции, подзаконными актами устанавливаются требования, которые не характерны для законодательства и практики других стран, подписавших Конвенцию [107].

Кроме того, следует учитывать, что европейское законодательство после принятия Конвенции активно развивалось и что страны Европейского союза при формировании механизмов защиты прав личности при обработке персональных данных руководствуются положениями Директив 95/46/ЕС и 97/66/ЕС Европейского парламента и Совета Европы, согласно которым юридические и технические требования, устанавливаемые в целях обеспечения защиты персональных данных, прав частных лиц и законных интересов юридических лиц, должны быть четко сбалансированы, чтобы не создавать помех для развития рынка. Сбалансированность, в свою очередь, означает соразмерность, обоснованность и выполнимость этих требований. Именно этого недостает в ряде случаев российскому законодательству.

Понятие персональных данных содержалось ранее и в Трудовом кодексе РФ. Так, согласно ст. 85 ТК РФ персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Данное определение конкретизировало общее понятие персональных данных применительно к сфере трудовых отношений и не противоречило ему.

В то же время, с принятием Федерального закона от 07.05.2013 №99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных» ст. 85 ТК РФ утратила силу.

В действующей редакции Федерального закона «О персональных данных» (ст. 3) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такое определение персональных данных появилось благодаря изменениям, внесенным в названный Закон 25 июля 2011 г. Первоначально под персональными данными понималась любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация [108].

Таким образом, из определения исчезло лишь перечисление той информации, которая относится к персональным данным. Поскольку конструкция данной нормы представляла собой открытый перечень, то исключение этого перечня не повлекло особых изменений в существе понятия «персональные данные». Основной критерий остался прежним: относимость информации к конкретному лицу и возможность его идентификации.