Открыть сервис

152-ФЗ О персональных данных

152-ФЗ «О персональных данных» — это федеральный закон Российской Федерации, принятый 27 июля 2006 года и вступивший в силу 26 января 2007 года. Он регулирует отношения, связанные с обработкой персональных данных граждан РФ, а также устанавливает принципы, условия и требования к работе с такой информацией. Закон направлен на защиту прав и свобод человека и гражданина при обработке его персональных данных, включая право на неприкосновенность частной жизни, личную и семейную тайну. Действие закона распространяется на все организации и индивидуальных предпринимателей (операторов), которые обрабатывают персональные данные физических лиц, за исключением случаев, прямо предусмотренных законом (например, обработка данных для личных или семейных нужд).

История принятия

Необходимость принятия закона была обусловлена развитием информационных технологий, ростом объёмов собираемых данных и участившимися случаями их утечки. До 2006 года в России отсутствовал единый законодательный акт, регулирующий оборот персональных данных. Основой для разработки 152-ФЗ послужили положения Конституции РФ (ст. 23, 24), а также международные акты, в частности Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), которую Россия ратифицировала в 2005 году.

Законопроект был внесён в Государственную думу в 2005 году, принят в окончательной редакции 8 июля 2006 года, одобрен Советом Федерации 14 июля и подписан президентом Владимиром Путиным 27 июля 2006 года. Вступление в силу было отложено до 26 января 2007 года, чтобы дать операторам время для приведения своей деятельности в соответствие с новыми требованиями.

Основные понятия

Закон вводит ключевые термины, используемые в сфере обработки данных:

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). К ним относятся: фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, ИНН, СНИЛС, номер телефона, адрес электронной почты, биометрические данные (фотографии, отпечатки пальцев), сведения о состоянии здоровья, религиозных или политических убеждениях.
  • Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и состав обрабатываемых данных.
  • Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
  • Автоматизированная обработка — обработка с помощью средств вычислительной техники.
  • Неавтоматизированная обработка — обработка на материальных носителях (бумажных, картотеках) без использования компьютерных систем.
  • Трансграничная передача — передача персональных данных на территорию иностранного государства.

Принципы и условия обработки

Закон устанавливает следующие принципы обработки персональных данных:

  1. Законность и справедливость — обработка должна осуществляться только на законных основаниях и с согласия субъекта.
  2. Целевой характер — данные обрабатываются исключительно для достижения заранее определённых и законных целей.
  3. Минимизация — объём обрабатываемых данных должен быть достаточным и не избыточным по отношению к заявленным целям.
  4. Достоверность и актуальность — оператор обязан обеспечивать точность данных и своевременно их обновлять.
  5. Сохранение в форме, позволяющей идентифицировать субъекта — не дольше, чем этого требуют цели обработки, после чего данные подлежат уничтожению или обезличиванию.

Обработка персональных данных допускается только при наличии хотя бы одного из следующих условий:

  • согласие субъекта на обработку;
  • необходимость для исполнения договора, стороной которого является субъект;
  • необходимость для выполнения функций, возложенных на оператора законом (например, налоговый учёт);
  • необходимость для защиты жизни, здоровья или иных жизненно важных интересов субъекта;
  • обработка данных, сделанных общедоступными субъектом (например, публикация в открытых источниках);
  • обработка для статистических или иных исследовательских целей при условии обязательного обезличивания.

Согласие на обработку

Согласие субъекта персональных данных должно быть конкретным, информированным и сознательным. Оно может быть дано в любой форме, позволяющей подтвердить факт его получения, в том числе в письменной (на бумажном носителе) или в электронной (с использованием электронной подписи) форме. В согласии обязательно указываются:

  • фамилия, имя, отчество субъекта;
  • адрес электронной почты или почтовый адрес;
  • наименование и адрес оператора;
  • цель обработки данных;
  • перечень персональных данных, на обработку которых даётся согласие;
  • перечень действий с данными;
  • срок действия согласия и способ его отзыва.

Согласие может быть отозвано субъектом в любой момент. Оператор обязан прекратить обработку данных в течение 30 дней с момента получения уведомления об отзыве, если иное не предусмотрено законом (например, для исполнения договора).

Категории персональных данных

Закон выделяет несколько категорий, для которых установлены особые требования:

  • Общедоступные персональные данные — данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта (например, справочники, телефонные книги). Допускается обработка без согласия, если данные сделаны общедоступными самим субъектом.
  • Специальные категории — данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка, как правило, запрещена, за исключением случаев, прямо предусмотренных законом (например, в медицинских целях, для трудовых отношений, при наличии согласия).
  • Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека (фотография, отпечатки пальцев, геномная информация, голос). Обработка допускается только с письменного согласия субъекта, за исключением случаев, установленных федеральными законами (например, в системе государственной гражданской службы, в уголовном судопроизводстве).
  • Трансграничная передача — передача данных за пределы РФ. Требует уведомления Роскомнадзора и может быть ограничена, если страна-получатель не обеспечивает адекватный уровень защиты данных. Перечень стран с адекватным уровнем защиты утверждается Роскомнадзором.

Обязанности оператора

Оператор обязан:

  • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику обработки персональных данных;
  • уведомить Роскомнадзор о намерении осуществлять обработку данных (за исключением ряда случаев, например, обработки данных сотрудников);
  • обеспечить конфиденциальность и безопасность данных при их обработке;
  • принимать необходимые правовые, организационные и технические меры для защиты данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения;
  • по требованию субъекта предоставить информацию о его данных, а также прекратить их обработку или уничтожить их;
  • в случае утечки данных в течение 24 часов уведомить Роскомнадзор о факте утечки, а в течение 72 часов — о результатах внутреннего расследования.

Государственный контроль и надзор

Контроль за соблюдением закона осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Полномочия Роскомнадзора включают:

  • проведение плановых и внеплановых проверок операторов;
  • вынесение предписаний об устранении нарушений;
  • привлечение к административной ответственности;
  • ведение реестра операторов, осуществляющих обработку персональных данных;
  • блокирование доступа к сайтам, нарушающим требования закона (например, при обработке данных без согласия).

Ответственность за нарушение

За нарушение требований 152-ФЗ предусмотрена административная, гражданско-правовая и уголовная ответственность.

  • Административная ответственность (КоАП РФ, ст. 13.11): штрафы для должностных лиц от 5 000 до 20 000 рублей, для юридических лиц — от 30 000 до 75 000 рублей за первичное нарушение; при повторном нарушении штрафы могут достигать 300 000 рублей для юридических лиц. Также возможна дисквалификация должностных лиц на срок до 3 лет.
  • Гражданско-правовая ответственность: субъект вправе требовать возмещения морального вреда и убытков, причинённых неправомерной обработкой его данных.
  • Уголовная ответственность (ст. 137 УК РФ): за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия — вплоть до лишения свободы на срок до 2 лет (при отягчающих обстоятельствах — до 5 лет).

Изменения и поправки

С момента принятия закон неоднократно изменялся. Наиболее значимые поправки:

  • 2015 год — введение требования о локализации персональных данных граждан РФ на территории России (ст. 18.1). Согласно поправке, операторы обязаны при сборе данных обеспечивать их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории РФ.
  • 2019 год — ужесточение требований к согласию на обработку биометрических данных и введение обязательного уведомления Роскомнадзора о трансграничной передаче.
  • 2021 год — введение обязанности операторов уведомлять Роскомнадзор о фактах утечки данных в течение 24 часов, а также о результатах расследования — в течение 72 часов.
  • 2023 год — введение оборотных штрафов за утечки персональных данных: для юридических лиц — до 3% от годовой выручки, но не менее 100 000 рублей и не более 15 000 000 рублей; для должностных лиц — до 1 000 000 рублей.

Критика и обсуждение

Закон 152-ФЗ подвергается критике по нескольким направлениям. Основные претензии:

  • Избыточность требованиймалый бизнес и некоммерческие организации часто не имеют ресурсов для выполнения всех формальностей (например, ведение реестра согласий, уведомление Роскомнадзора).
  • Неопределённость понятий — термин «персональные данные» трактуется расширительно, что приводит к спорам о том, относится ли к ним, например, IP-адрес или cookie-файлы.
  • Сложность локализации — требование хранить данные на территории РФ создаёт дополнительные затраты для международных компаний и может противоречить принципам глобальной сети.
  • Неэффективность контроля — по мнению экспертов, Роскомнадзор не всегда оперативно реагирует на нарушения, а штрафы для крупных компаний остаются незначительными по сравнению с их выручкой.

Источники

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
  • Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), ст. 13.11.
  • Уголовный кодекс Российской Федерации (УК РФ), ст. 137.
  • Разъяснения Роскомнадзора по вопросам обработки персональных данных (официальный сайт).
  • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  • Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →