Глава 7 Федерального закона от 27.07.2004 n 79-фз "о государственной гражданской службе Российской Федерации" посвящена персональным данным гражданского служащего.

Таким образом, законодательство РФ в области персональных данных, основываясь на Конституции РФ и международных договорах РФ, состоит из Закона о персональных данных, а также других определяющих случаи и особенности обработки персональных данных федеральных законов.

Следует иметь в виду, что Закон о персональных данных является актом комплексного характера, содержащим не только гражданско-правовые нормы, но и нормы других отраслей права. Если проанализировать содержание норм и актов, составляющих законодательство в области персональных данных, то большинство из них принадлежит к гражданскому, административному, предпринимательскому и другим отраслям права и законодательства.

2. Часть 2 комментируемой статьи базируется на положении, определяющем полномочия государственных органов, Банка России, органов местного самоуправления по принятию на основании и во исполнение федеральных законов в пределах своих полномочий нормативных правовых актов по отдельным вопросам, касающимся обработки персональных данных.

При этом такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.

Таким образом, государственные органы, Банк России, органы местного самоуправления при подготовке внутренних ведомственных актов, затрагивающих вопросы обработки персональных данных, должны соблюдать указанные выше требования к актам.

В практике Роскомнадзора имелись случаи выявления ведомственных актов, не соответствующих Закону о персональных данных в части избыточного объема обработки персональных данных, несоответствия обработки персональных данных целям их сбора и др. По результатам выявления подобных фактов Роскомнадзором принимались соответствующие меры реагирования, направленные на приведение в соответствие таких актов Закону о персональных данных.

3. Часть 3 комментируемой статьи устанавливает, что особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами РФ с учетом положений Закона о персональных данных.

Так, Постановлением Правительства РФ от 15.09.2008 N 687 утверждено Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.

Согласно данному Положению обработкой персональных данных без применения средств автоматизации считаются использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, которые осуществляются при непосредственном участии человека.

Вместе с тем в 2011 году законодатель закрепил новое понятие автоматизированной обработки персональных данных, под которой понимается обработка персональных данных с помощью средств вычислительной техники (ст. 3 Закона о персональных данных). Прежде обработка персональных данных в компьютерной (информационной) системе не приравнивалась к обработке сведений с помощью средств автоматизации (п. 2 вышеназванного Положения). В настоящее время вся обработка персональных данных с использованием вычислительной техники считается автоматизированной, и к ней применяются в том числе требования Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Каждый оператор персональных данных обязан привести в соответствие с этими Требованиями систему защиты персональных данных, хранящихся и обрабатываемых в электронных информационных системах.

4. Как следует из ч. 4 анализируемой статьи, если международным договором РФ установлены иные правила, чем предусмотренные Законом о персональных данных, то применяются правила международного договора РФ. Указанная норма определяет правила разрешения правовых коллизий между положениями комментируемого Закона и положениями международных договоров в случае их возникновения.

С момента принятия в 1993 году Конституции РФ общепризнанные нормы и принципы международного права и международные договоры РФ являются составной частью ее правовой системы (ст. 15). Утверждение приоритета норм международного права перед национальным законодательством потребовало серьезного изменения в подходах к разработке и оценке внутреннего законодательства.

Защита персональных данных является одним из направлений международного сотрудничества Российской Федерации и иностранных государств. В частности, международное сотрудничество Российской Федерации в области защиты персональных данных в настоящее время регулируется Конвенцией 1981 года.

Важным условием действия международного договора на территории Российской Федерации для презюмируемого комментируемой нормой приоритета над нормами российского законодательства является выражение согласия Российской Федерации на обязательность для нее международного договора. В соответствии с п. п. "б" - "г" ст. 2 Федерального закона от 15.07.1995 N 101-ФЗ "О международных договорах Российской Федерации" формами выражения такого согласия Российской Федерации выступают ратификация, утверждение, принятие, присоединение, а также подписание и заключение международного договора.

Ратификация как форма выражения согласия Российской Федерации на обязательность для нее условий международных договоров требует принятия соответствующего федерального закона. Данная форма выражения согласия актуальна для тех международных договоров, в том числе в области персональных данных, которыми устанавливаются иные правила, чем предусмотренные российским законодательством (ст. 14, подп. "а" п. 1 ст. 15 названного Закона). Следовательно, учитывая положения комментируемой нормы, международные договоры, о которых идет речь в ст. 4 Закона о персональных данных, подлежат в обязательном порядке ратификации в форме федерального закона.

Для России ратификация Конвенции 1981 года породила обязательства по приведению в соответствие с этой Конвенцией норм национального законодательства.

Кроме этого, в рамках СНГ международные отношения в сфере защиты прав субъектов персональных данных регулируются Модельным законом "О персональных данных", принятым Постановлением от 16.10.1999 N 14-19 на 14-м пленарном заседании Межпарламентской Ассамблеи государств - участников СНГ.

В Модельном законе определено содержание категорий "персональные данные", "база персональных данных", "операции с персональными данными" и иных. Также в нем закреплены правовой режим персональных данных и основные формы государственного регулирования в данной области, уделено внимание трансграничной передаче персональных данных, предусмотрены права и обязанности субъекта персональных данных и держателя персональных данных.