Кроме того, следует учитывать, что европейское законодательство после принятия Конвенции активно развивалось и что страны Европейского союза при формировании механизмов защиты прав личности при обработке персональных данных руководствуются положениями Директив 95/46/ЕС и 97/66/ЕС Европейского парламента и Совета Европы, согласно которым юридические и технические требования, устанавливаемые в целях обеспечения защиты персональных данных, прав частных лиц и законных интересов юридических лиц, должны быть четко сбалансированы, чтобы не создавать помех для развития рынка. Сбалансированность, в свою очередь, означает соразмерность, обоснованность и выполнимость этих требований. Именно этого недостает в ряде случаев российскому законодательству.

Понятие персональных данных содержалось ранее и в Трудовом кодексе РФ. Так, согласно ст. 85 ТК РФ персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Данное определение конкретизировало общее понятие персональных данных применительно к сфере трудовых отношений и не противоречило ему.

В то же время, с принятием Федерального закона от 07.05.2013 №99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных» ст. 85 ТК РФ утратила силу.

В действующей редакции Федерального закона «О персональных данных» (ст. 3) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такое определение персональных данных появилось благодаря изменениям, внесенным в названный Закон 25 июля 2011 г. Первоначально под персональными данными понималась любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация [108].

Таким образом, из определения исчезло лишь перечисление той информации, которая относится к персональным данным. Поскольку конструкция данной нормы представляла собой открытый перечень, то исключение этого перечня не повлекло особых изменений в существе понятия «персональные данные». Основной критерий остался прежним: относимость информации к конкретному лицу и возможность его идентификации.

По мнению ряда авторов (Амелин Р. В., Богатырева Н. В., Волков Ю. В., Марченко Ю. А., Федосин А. С.), конкретно указанные в законе атрибуты позволяли правоприменителям приходить к выводу, что простое сообщение фамилии, имени и отчества лица вне зависимости от контекста является распространением персональных данных. Новое же определение более точно соответствует положению ст. 2 Конвенции Совета Европы о защите физических лиц в отношении автоматизированной обработки персональных данных (ETS N 108) (заключена в г. Страсбурге, 28 января 1981 г.), согласно которому персональной информацией признана любая информация, касающаяся конкретного или могущего быть идентифицированным лица (субъекта данных) [65].

Вместе с тем, по мнению Л. К. Терещенко, наличие такого перечня в первоначальной редакции Закона сыграло важную роль, поскольку давало представление о характере информации, отнесенной законодателем к персональным данным. Несмотря на то, что Федеральный закон «О персональных данных» содержит максимально широкое определение персональных данных, в практической деятельности нередко возникают проблемы с определением того, какая информация относится к персональным данным. Отсутствие перечня в отдельных случаях, в том числе и в судебной практике, позволяет по-разному толковать отнесение тех или иных категорий данных к персональным [108].

По мнению автора, широкое толкование и отсутствие перечня информации относящейся к персональным данным, порождают следующие два негативных момента: во-первых, непонимание операторов (организаций обрабатывающих персональные данные), что необходимо относить к персональным данным и, во-вторых, широкие возможности контролирующих органов по привлечению операторов к ответственности за непредоставление сведений об обработке персональных данных. Так в судебной практике имеются решения судов по спору между территориальными органами Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и операторами персональных данных, в которых последним вменялось отсутствие в уведомлениях об обработке определенных категорий персональных данных. Представляется, что наличие умысла организаций на совершение указанных действий маловероятно.

В теории права, система законодательства определяется как совокупность нормативно-правовых актов, находящихся в иерархическом и субординационном соотношениях друг с другом. Место каждого нормативного акта в данной системе зависит от его юридической силы, которая, в свою очередь, зависит от уровня органа, принявшего данный акт, и порядка его принятия.

В сфере обработки персональных данных существует следующая регулирующая данные правоотношения система нормативных правовых актов:

1. Конституция Российской Федерации и нормы международного права:

Конституция РФ принята на всенародном голосовании 12 декабря 1993 г. и является Основным Законом Российской Федерации. Конституция имеет высшую юридическую силу, прямое действие и применяется на всей территории РФ. Законы и иные правовые акты, принимаемые в РФ, не должны противоречить Конституции. Применительно к институту персональных данных Конституция РФ выступает основным гарантом реализации правовых норм его составляющих и соблюдения прав граждан в процессе их реализации.