2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее ‒ нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

1. Законодательство о персональных данных является сравнительно «молодым», но динамично развивающимся. Первый закон о персональных данных появился в 1970 г. в Германии, в земле Гессен (Hessisches Datenschutzgesetz). В 1973 г. соответствующие нормы были приняты в Швеции (Datalagen), в 1977 г. – снова в Германии (Bundesdatenschutzgesetz), в 1978 г. – во Франции (Loi informatique et libertés), а впоследствии и в иных европейских странах. В США соответствующие законодательные нормы также начали появляться в 70-е гг. прошлого века, к их числу следует отнести Закон о справедливых кредитных историях (Fair Credit Reporting Act 1970) и Закон о защите частной жизни (Privacy Act of 1974), который регламентировал обработку персональных данных граждан федеральными органами власти.

Первые упоминания о персональных данных в российском законодательстве появились в Федеральном законе от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации». Однако детальное регулирование было осуществлено возникло лишь с принятием в 2006 г. Закона о персональных данных, который не только был основан на положениях Конвенции 1981 г., ратифицированной Россией в 2005 г., но и заимствовал многие нормы Директивы 1995 г. (особенно в массивном пакете поправок, принятых в 2011 г.). В этой связи европейский подход к толкованию положений этих документов представляет собой особый интерес непосредственно для российской практики, позволяя не только не «изобретать велосипед», но и взвешенно подходить к решению достаточно сложных проблем, возникающих при применении весьма специфического по своей сути законодательства.

2. Как следует из ч. 1 комментируемой статьи, регулирование отношений, связанных с обработкой персональных данных, осуществляется исключительно на уровне нормативных правовых актов федерального уровня. Субъекты Российской Федерации не могут принимать нормативные правовые акты в указанной сфере. Это обусловлено направленностью законодательства о персональных данных на защиту конституционного права на неприкосновенность частной жизни, личную и семейную тайну, а также иных прав и свобод, связанных с обработкой персональных данных. При этом в соответствии с подп. «в» п. 1 ст. 71 Конституции РФ регулирование и защита прав и свобод человека и гражданина как высших демократических ценностей отнесены к исключительному ведению Российской Федерации.

3. Закон о персональных данных является базовым законодательным актом, регулирующим отношения, связанные с обработкой персональных данных, и определяет принципы, условия и правила обработки персональных данных (Определение Конституционного Суда РФ от 17 июля 2012 г. № 1346-О). Иные федеральные законы могут конкретизировать случаи и особенности обработки отдельных категорий персональных данных, но не могут устанавливать иные принципы обработки персональных данных или давать дефиниции ключевых терминов. Примером такого федерального закона служит Трудовой кодекс РФ, который содержит специальную главу (гл.14), посвященную особенностям защиты персональных данных работников. Другим примером подобного акта является Федеральный закон от 7 июня 2013 г. № 108-ФЗ «О подготовке и проведении в Российской Федерации чемпионата мира по футболу FIFA 2018 года, Кубка конфедераций FIFA 2017 года и внесении изменений в отдельные законодательные акты Российской Федерации», который содержит специальную статью (ст. 23.1), посвященную особенностям обработки персональных данных граждан Российской Федерации в процессе подготовки и проведения указанных мероприятий.