152-ФЗ
152-ФЗ (Федеральный закон «О персональных данных» № 152-ФЗ) — это нормативный правовой акт Российской Федерации, регулирующий отношения, связанные с обработкой персональных данных физических лиц (субъектов персональных данных) операторами. Закон был принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года и подписан Президентом РФ 27 июля 2006 года. Вступил в силу 26 января 2007 года. Основная цель закона — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
История принятия и развития
Необходимость принятия отдельного закона о персональных данных была обусловлена ратификацией Россией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108) в 2005 году. До 2006 года в России отсутствовал единый специализированный закон, регулирующий данную сферу, а нормы были разрозненны и содержались в различных отраслевых актах.
Первоначальная редакция 152-ФЗ была относительно либеральной и устанавливала общие принципы обработки данных. Однако в последующие годы закон претерпел ряд существенных изменений, направленных на ужесточение требований к операторам и усиление контроля со стороны государства.
Ключевые поправки:
- 2015 год: Введено требование о локализации баз данных персональных данных граждан РФ на территории России (ст. 18, ч. 5). Операторы, осуществляющие сбор данных граждан РФ, обязаны обеспечивать их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение с использованием баз данных, находящихся на территории РФ.
- 2016 год: Введена обязательная уведомительная процедура для операторов перед началом обработки персональных данных. Уточнены случаи, когда уведомление не требуется.
- 2019 год: Усилены требования к согласию на обработку персональных данных, особенно в части его конкретности и информированности. Введена административная ответственность за повторные нарушения.
- 2021 год: Введены нормы, касающиеся трансграничной передачи персональных данных. Операторы обязаны уведомлять Роскомнадзор о намерении осуществлять такую передачу. Установлены категории стран, обеспечивающих адекватную защиту прав субъектов.
- 2022-2023 годы: Ужесточена ответственность за утечки персональных данных. Введены оборотные штрафы для юридических лиц за повторные утечки. Расширены полномочия Роскомнадзора по блокировке сайтов, нарушающих требования закона.
Основные понятия и термины
Закон вводит и определяет ключевые термины, используемые в сфере обработки персональных данных:
- Персональные данные: Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Это может быть фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, ИНН, СНИЛС, номер телефона, адрес электронной почты, сведения об образовании, профессии, доходах, состоянии здоровья, биометрические данные и т.д.
- Оператор: Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
- Субъект персональных данных: Физическое лицо, к которому относятся соответствующие персональные данные.
- Обработка персональных данных: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- Трансграничная передача персональных данных: Передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Биометрические персональные данные: Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (например, изображение лица, отпечатки пальцев, радужная оболочка глаза, анализ ДНК, голос).
- Обезличивание персональных данных: Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Принципы и условия обработки персональных данных
Закон устанавливает ряд обязательных принципов, которым должна соответствовать обработка персональных данных:
- Законность и справедливость: Обработка должна осуществляться на законной основе и справедливо по отношению к субъекту.
- Целевая ограниченность: Обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей.
- Минимизация: Содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки. Не допускается избыточность данных.
- Достоверность и актуальность: Оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
- Сроки хранения: Хранение данных должно осуществляться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если иное не установлено федеральным законом.
Основным условием законной обработки является согласие субъекта персональных данных. Согласие должно быть конкретным, информированным и сознательным. Оно может быть дано в любой форме, позволяющей подтвердить факт его получения, однако для определенных видов данных (например, биометрических) закон может устанавливать особые требования к форме согласия (как правило, письменная форма).
Закон также предусматривает случаи, когда обработка возможна без согласия субъекта:
- Обработка необходима для достижения целей, предусмотренных международным договором РФ или законом.
- Обработка необходима для осуществления правосудия, исполнения судебного акта.
- Обработка необходима для исполнения договора, стороной которого является субъект.
- Обработка касается персональных данных, сделанных общедоступными субъектом.
- Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.
Права субъекта персональных данных
Субъект персональных данных обладает рядом прав, которые он может реализовать в отношении оператора:
- Право на доступ к своим персональным данным: Требовать от оператора подтверждения факта обработки, а также предоставления самих данных и информации о них (цели, способы, сроки обработки, источники получения).
- Право на уточнение, блокирование и уничтожение: Требовать уточнения неполных, устаревших или неточных данных, блокирования их на время проверки, а также уничтожения в случае, если обработка осуществляется незаконно или данные больше не нужны для заявленных целей.
- Право на отзыв согласия: Отозвать свое согласие на обработку персональных данных в любой момент. В этом случае оператор обязан прекратить обработку и уничтожить данные, если иное не предусмотрено законом.
- Право на обжалование действий оператора: Обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
- Право на возмещение убытков и компенсацию морального вреда: В случае нарушения его прав.
Обязанности оператора
Операторы персональных данных обязаны выполнять ряд требований, установленных законом:
- Уведомление Роскомнадзора: До начала обработки персональных данных (за исключением установленных законом случаев) оператор обязан направить уведомление в Роскомнадзор о намерении осуществлять обработку.
- Обеспечение конфиденциальности: Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения.
- Локализация баз данных: Обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.
- Назначение ответственного за обработку: В организациях, осуществляющих обработку персональных данных, должно быть назначено лицо, ответственное за организацию обработки.
- Реагирование на запросы субъектов: Предоставлять субъектам персональных данных информацию об обработке их данных в установленные законом сроки.
- Уведомление об утечках: В случае утечки персональных данных оператор обязан уведомить Роскомнадзор о произошедшем инциденте.
Контроль и ответственность
Контроль за соблюдением требований 152-ФЗ осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Служба проводит плановые и внеплановые проверки операторов, рассматривает жалобы граждан, ведет реестр операторов.
Нарушение требований закона влечет за собой ответственность:
- Административная ответственность: Штрафы для должностных и юридических лиц, установленные Кодексом об административных правонарушениях РФ (КоАП РФ). Размеры штрафов варьируются в зависимости от состава правонарушения и могут достигать значительных сумм, особенно за повторные нарушения или утечки данных (оборотные штрафы).
- Уголовная ответственность: В случаях, если нарушение повлекло тяжкие последствия (например, незаконный сбор или распространение сведений о частной жизни лица).
- Гражданско-правовая ответственность: Возмещение убытков и компенсация морального вреда субъекту персональных данных.
Значение и критика
152-ФЗ является основополагающим документом в сфере защиты персональных данных в России. Он создал правовую базу для регулирования цифровых отношений, защиты прав граждан от несанкционированного использования их личной информации коммерческими и государственными структурами.
Вместе с тем, закон и практика его применения подвергаются критике. Основные претензии:
- Избыточность требований: Некоторые нормы, особенно касающиеся локализации данных, критикуются как создающие дополнительные административные и финансовые барьеры для бизнеса, особенно для международных компаний.
- Неоднозначность формулировок: Отдельные положения закона трактуются неоднозначно, что приводит к правовой неопределенности и рискам для операторов.
- Усиление контроля: Ужесточение требований и расширение полномочий Роскомнадзора рассматривается некоторыми экспертами как инструмент усиления государственного контроля за информационными потоками и ограничения конкуренции.
Несмотря на критику, 152-ФЗ остается действующим законом, и его соблюдение является обязательным для всех операторов персональных данных на территории Российской Федерации.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
- Кодекс Российской Федерации об административных правонарушениях (КоАП РФ).
- Уголовный кодекс Российской Федерации (УК РФ).
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).
- Официальные разъяснения и письма Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →