Анализируемый Закон предусматривает, что требование о конфиденциальности информации не распространяется применительно к персональным данным в случаях, прямо оговоренных федеральным законом. Следует отметить, что в настоящее время ни один из действующих федеральных законов не содержит прямого указания на возможность свободного использования конфиденциальной информации;
биометрические персональные данные, характеризующие физиологические особенности человека и на основе которых можно установить его личность;
персональные данные специальной категории, включающие в свой состав данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни лица.
При этом следует отметить, что комментируемый Закон не проводит принципиальных различий относительно внутреннего содержания персональных данных, представляя последние в качестве единого самостоятельного объекта правовой защиты. Подход такого рода вполне объясним целями, сформулированными разработчиками рассматриваемого нормативного акта, -обеспечением защиты конфиденциальности всего массива персональных данных без учета их содержания и степени относимости к личности обладателя.
Следует отметить, что распределение персональных данных по самостоятельным категориям имеет место в большинстве иных законодательных и подзаконных нормативных правовых актах. В основу существующей категоризации положен критерий их целевого использования. В частности, нормами Трудового кодекса РФ предусмотрено, что персональные данные работника представляют собой обобщенные данные последнего, необходимые работодателю в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п.1 ст.86 ТК РФ). По смыслу последнего к их числу относятся: фамилия, имя, отчество работника, сведения о предшествующей трудовой деятельности, отношение к воинской обязанности, образование или уровень квалификации. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение. Работодателю категорически запрещается получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни.
В целях получения допуска по соответствующей форме к сведениям, составляющим государственную тайну, в состав предоставляемых персональных данных по смыслу действующего законодательства[9] в обязательном порядке относятся: фамилия, имя, отчество оформляемого, дата и место его рождения, сведения об образовании — специальность и квалификация по диплому; гражданская принадлежность, наличие ученой степени или ученого звания, владение иностранными языками и соответствующий уровень, сведения о судимости как его самого, так и его родственников, пребывании за границей, наличии за границей родственников, отношении к воинской обязанности, наличии загранпаспорта, семейном положении, место регистрации и жительства. Работники кадрового аппарата в ходе беседы с оформляемым на работу (службу) гражданином сверяют указанные в анкете данные с его личными документами (паспорт, военный билет, трудовая книжка, диплом об образовании, свидетельство о рождении и т.д.), уточняют отдельные вопросы анкеты, выявляют представляющие интерес сведения, не предусмотренные вопросами анкеты, выясняют у гражданина, имел ли он за последний год отношение к секретным работам, документам и изделиям, давал ли он обязательство по неразглашению сведений, составляющих государственную тайну, работал ли (служил) на режимных объектах, запрашивают необходимые справки и документы, знакомят гражданина с содержанием договора (контракта) об оформлении допуска к государственной тайне.
3. Комментируемый Закон выделяет несколько видов субъектов, которые участвуют в отношениях оборота персональных данных: операторы персональных данных; субъекты персональных данных;
орган по защите прав субъектов персональных данных; третьи лица.
Введением в правовой оборот категории "оператор персональных данных" законодатель не легитимирует создание нового субъекта общественных отношений по обработке персональных данных, сохраняя сформированный ранее биполярный состав последних. Предопределяя, таким образом, универсальную структуру, авторы настоящего Закона подвели под ее содержание всех без исключения субъектов, независимо от организационно-правовой формы и формы собственности последних, которые по роду деятельности связаны со сбором, накоплением, хранением, обработкой и передачей персональных данных. При этом следует отметить, что используемое в тексте комментируемого Закона понятие "оператор" представляется обезличенной категорией, развернутое представление о которой можно получить лишь в конкретном случае обработки персональных данных.
В основу категории "оператор" в процессе ее формирования законодателем в большей степени было положено не столько организационно-правовая форма субъекта, сколько выполняемые ими функции. Законодатель требует четкой определенности целей сбора и обработки персональных данных. Таким образом, цель результатов обработки персональных данных приобретает решающее значение. Последние во многом поставлены в прямую зависимость от непосредственного допуска к персональным данным в процессе их обработки. В этой связи принято различать организационную деятельность, деятельность по обоснованию целей и содержания обработки персональных данных и непосредственно саму обработку. Тем самым, следуя логике законодателя, лишь последняя из перечисленных функций связана с непосредственным ограничением прав и свобод гражданина, вмешательством в его личную жизнь, в силу чего именно здесь должны быть достаточные ограничения деятельности оператора, создающие гарантии защищенности интересов личности. Однако, проводя разграничения в части, касающейся функциональной составляющей субъекта, законодатель наделяет их единым набором прав и обязанностей в части, касающейся обработки персональных данных. Таким образом, законодатель при формальном разграничении де-факто не проводит разграничения относительно тех, кто непосредственно обрабатывает персональные данные и тем самым получает в максимально полном объеме защищаемую информацию, и теми, в чьи обязанности согласно букве закона вменяется исключительно организация процесса, создание и ведение фактически созданного банка данных. По ходу разработки и последующего рассмотрения законопроекта неоднократно предлагалось провести параллель между непосредственными операторами и организаторами процесса обработки конфиденциальных сведений, наделив их статусом обладателей персональных данных. Подобного рода деление во многом бы согласовывалось с положениями и терминологией действующего российского законодательства (см. подп.5 ст.2 ФЗ от 27 июля 2006г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"[10]).
Наряду с этим сформулированное законодательное определение оператора не дает достаточно ясного представления о последнем как об уникальном субъекте особого рода общественных отношений, правовое регулирование которых осуществляется нормами комментируемого Закона, возможности четко определить качественный состав объединяемых данной категорией лиц.
Придерживаясь избранной терминологии, оператором следует считать любое лицо, работающее с информационной системой персональных данных, независимо от оснований получения доступа к работе с последней. Оставив за рамками сформулированного определения требование к законности деятельности, законодатель сознательно допускает свободный допуск к охраняемой информации, фактически устанавливая заведомую законность деятельности оператора, единственным ограничением на пути которого выступает необходимость получения согласия субъекта персональных данных на последующую работу с ними.
Кроме того, устанавливая, что оператор определяет цели, содержание и применение результатов обработки персональных данных, закон фактически противоречит ч.3 ст.55 Конституции России, в соответствии с которой любые ограничения прав и свобод человека могут быть установлены только федеральным законом. Иными словами, учитывая заведомую значимость и влияние систем учета персональных данных на права и свободы граждан, цели, содержание и применение результатов обработки персональных данных во всех случаях должны устанавливаться федеральным законом.