В целях обеспечения физической сохранности персональных данных, защиты их от искажения и уничтожения, действующим законодательством предусмотрена обязательная процедура лицензирования деятельности по технической защите конфиденциальной информации в процессе работы с ней (см. Постановление Правительства РФ от 15 августа 2006г. N 504 "О лицензировании деятельности по технической защите конфиденциальной информации"[11]).

Кроме того, в указанных целях предусмотрена обязательная процедура сертификации средств обеспечения автоматизированных информационных систем и информационных технологий, предназначенных для работы с персональными данными, направленная на обеспечение их защиты от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию.

7. Включение информации в разряд конфиденциальной подразумевает соответствие последней следующим обязательным условиям: отсутствие свободного доступа к ней; наличие достаточного механизма ее защиты.

Последний, в свою очередь, включает в себя комплекс организационных, технических и юридических мероприятий, обеспечивающих информационную безопасность.

По замыслу авторов рассматриваемого Закона юридическое обеспечение конфиденциальности персональных данных требует обязательного согласия субъекта персональных данных на их обработку оператором или иными лицами, которым на законных основаниях был предоставлен доступ к персональным данным. В отдельных случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

Следует отметить, что комментируемая статья несколько сужает представление о конфиденциальности персональных данных, сводя последнее к ограничениям, связанным с их распространением. Как уже было отмечено, конфиденциальность информации, в целях предотвращения угроз ее утечки, хищения, утраты, искажения или подделки должна охватывать весь процесс ее обработки (см. ст.9 настоящего Закона и комментарий к ней).

Оператор должен постоянно извещать обладателя персональных данных о проводимых в отношении последних операциях. Требование такого рода, с одной стороны, обусловлено требованиями повышенной защиты персональных данных, с другой — связано с созданием условий реализации права субъекта персональных данных на отзыв собственного согласия.

По смыслу комментируемого Закона требование конфиденциальности персональных данных не распространяется на случаи их обработки в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Кроме того, обеспечение конфиденциальности персональных данных не требуется: 1) в случае обезличивания персональных данных; 2) в отношении общедоступных персональных данных.

8. Необходимость трансграничной передачи персональных данных диктуется требованием их правовой защиты за пределами РФ, поскольку юрисдикция российских властей в силу суверенитета иностранных государств не может распространяться на их территории.

Трансграничная передача представляется законодателем в качестве одного из самостоятельных этапов их обработки. По своей юридической природе последний во многом приближен к обнародованию персональных данных, т.к. связан с их распространением неограниченному кругу лиц. Подчиняясь общим правилам обработки персональных данных, в том числе и требованию сохранения их конфиденциальности, трансграничная передача в то же время имеет свои особенности. Согласно ст.12 настоящего Закона осуществление трансграничной передачи персональных данных допустимо при условии, что на территории государства-получателя будет обеспечена их адекватная защита, гарантирующая право на неприкосновенность частной жизни при передаче персональных данных.