4. Отнесение законодательства в области персональных данных к сфере ведения федерального законодателя не означает невозможности существования нормативных правовых актов иных уровней. Органы государственной власти РФ, субъектов РФ, органы местного самоуправления и Центральный Банк России (который формально не является государственным органом и имеет особый статус) наделены правом принимать нормативные правовые акты в указанной сфере при одновременном соблюдении следующих условий, указанных в ч. 2 комментируемой статьи:

1) такая возможность должна быть прямо предусмотрена в федеральном законе;

2) указанные акты должны быть приняты вышеназванными органами в пределах своих полномочий;

3) указанные акты не могут содержать положения, ограничивающие права субъектов персональных данных, или устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов, или возлагающие на операторов не предусмотренные федеральными законами обязанности;

4) такие акты подлежат обязательному опубликованию, что исключает возможность использования правовых актов с грифом «Для служебного пользования» для регулирования прав и обязанностей лиц, которые не имеют к ним доступа71.

В основном такого рода подзаконные акты касаются вопросов обеспечения информационной безопасности информационных систем (см. комментарий к ст. 19 Закона о персональных данных), порядка проведения контрольно-надзорных мероприятий (см. комментарий к ст. 23 настоящего Закона), особенностей обработки персональных данных в отдельных государственных органах.

5. Среди важных документов, формально не являющихся нормативными правовыми актами, но оказывающими немалое влияние на правоприменительную практику в сфере законодательства о персональных данных, следует отметить разъяснения Минкомсвязи России, которое является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных, и уполномочено на дачу разъяснений по данным вопросам72. Кроме них также следует упомянуть комментарии и информацию Роскомнадзора, которые хотя и не являются официальными актами толкования законодательства, но могут оказывать существенное влияние на практику в силу убедительности содержащихся в них аргументов либо в силу статуса лица, которое их предоставило.

6. Согласно ч. 3 комментируемой статьи порядок обработки персональных данных, осуществляемой без использования средств автоматизации, может устанавливаться федеральными законами и иными нормативными правовыми актами Российской Федерации. В настоящее время одним из таких актов является Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15 сентября 2008 г. № 687. О понятии обработки персональных данных без использования средств автоматизации см. комментарий к ст. 1 Закона о персональных данных. Ключевые особенности такой обработки можно свести в следующий перечень:

● Персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях; при этом для разных категорий персональных данных должны использоваться разные носители.

● Обработка должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения материальных носителей персональных данных и установить перечень лиц, осуществляющих их обработку либо имеющих к ним доступ.