Открыть сервис

152-ФЗ «О персональных данных

152-ФЗ «О персональных данных» — это федеральный закон Российской Федерации, принятый 27 июля 2006 года, который регулирует отношения, связанные со сбором, обработкой, хранением, использованием и защитой персональных данных граждан. Закон устанавливает правовые принципы работы с любой информацией, позволяющей прямо или косвенно идентифицировать конкретное физическое лицо (субъекта персональных данных), и определяет права субъектов, обязанности операторов, а также меры государственного контроля в этой сфере.

История принятия и развития

Необходимость принятия закона была обусловлена стремительным развитием информационных технологий, ростом объёмов обрабатываемых данных и необходимостью имплементации в российское законодательство положений Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), ратифицированной Россией в 2005 году.

Закон был принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года и подписан Президентом РФ 27 июля 2006 года. Первоначальная редакция вступила в силу 26 января 2007 года. С момента принятия в закон неоднократно вносились существенные изменения, наиболее значимые из которых:

  • 2009–2011 годы: Уточнение понятийного аппарата, введение требований к трансграничной передаче данных, ужесточение ответственности за нарушения.
  • 2015 год (Федеральный закон № 242-ФЗ): Принятие «закона о локализации персональных данных», который обязал операторов при сборе персональных данных граждан РФ обеспечивать их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории Российской Федерации.
  • 2017–2021 годы: Введение уведомительного порядка обработки данных, расширение полномочий Роскомнадзора, уточнение правил обработки биометрических данных, введение понятия «обезличивание персональных данных».
  • 2022–2023 годы: Уточнение порядка обработки данных в медицинских и образовательных целях, введение упрощённых процедур для операторов, а также ужесточение ответственности за утечки баз данных (вплоть до уголовной).

Основные понятия и термины

Закон вводит ключевую терминологию, которая используется в правоприменительной практике:

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). К ним относятся: фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, ИНН, СНИЛС, сведения об образовании, профессии, доходах, семейном положении, а также IP-адреса, cookie-файлы, номера телефонов, адреса электронной почты и другие идентификаторы.
  • Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и состав таких данных.
  • Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Включает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
  • Субъект персональных данных — физическое лицо, к которому относятся обрабатываемые персональные данные.
  • Трансграничная передача — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или юридическому лицу.
  • Обезличивание — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

Принципы и условия обработки

Закон устанавливает строгие принципы, которым должна следовать любая обработка персональных данных:

  1. Законность и справедливость: Обработка должна осуществляться на законной основе и не нарушать права субъекта.
  2. Целевое ограничение: Обработка допускается только для достижения заранее определённых и законных целей. Не допускается объединение баз данных, обрабатываемых для несовместимых целей.
  3. Минимизация: Содержание и объём обрабатываемых данных должны соответствовать заявленным целям.
  4. Достоверность и актуальность: Оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
  5. Срок хранения: Хранение данных должно осуществляться не дольше, чем этого требуют цели обработки, после чего данные подлежат уничтожению или обезличиванию.

Основным условием законной обработки является согласие субъекта на обработку его персональных данных. Согласие должно быть конкретным, информированным и сознательным. Оно может быть дано в любой форме, позволяющей подтвердить факт его получения (письменной, электронной, через конклюдентные действия). Закон предусматривает случаи, когда обработка возможна без согласия: для исполнения договора, для выполнения требований законодательства (например, передача данных в налоговые органы), для защиты жизни и здоровья субъекта, для осуществления правосудия, для статистических или иных научных целей при условии обезличивания.

Права субъекта персональных данных

Гражданин (субъект) обладает следующими основными правами:

  • Право на доступ к своим данным: Требовать от оператора подтверждения факта обработки, ознакомления с самими данными и источниками их получения.
  • Право на уточнение, блокирование и уничтожение: Требовать исправления неточных данных, блокирования неправомерно обрабатываемых данных и их уничтожения при достижении целей обработки.
  • Право на отзыв согласия: В любой момент отозвать своё согласие на обработку, что влечёт за собой обязанность оператора прекратить обработку и уничтожить данные.
  • Право на обжалование действий оператора: Обращаться с жалобами в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
  • Право на возмещение убытков и компенсацию морального вреда: В случае нарушения его прав.

Обязанности оператора

Оператор обязан:

  • Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных (Политика обработки персональных данных).
  • Уведомить Роскомнадзор о намерении осуществлять обработку персональных данных (за исключением ряда случаев, например, обработки данных только сотрудниками оператора).
  • Принимать необходимые правовые, организационные и технические меры для защиты данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения.
  • Назначить ответственного за организацию обработки персональных данных.
  • Обеспечить соблюдение требований о локализации баз данных на территории РФ.
  • В случае утечки данных незамедлительно (в течение 24 часов) уведомить Роскомнадзор об инциденте и о результатах внутреннего расследования.

Государственный контроль и ответственность

Контроль за соблюдением закона осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Она ведёт реестр операторов, проводит плановые и внеплановые проверки, рассматривает жалобы граждан, выдаёт предписания об устранении нарушений.

Нарушение требований 152-ФЗ влечёт за собой:

  • Административную ответственность (КоАП РФ, ст. 13.11): штрафы для должностных лиц (от 10 000 до 100 000 рублей) и юридических лиц (от 100 000 до 18 000 000 рублей в зависимости от тяжести нарушения и повторности). За утечку баз данных штрафы для юрлиц могут достигать 3% годового оборота компании.
  • Уголовную ответственность (УК РФ, ст. 137, 272, 274): за незаконный сбор и распространение сведений о частной жизни, за неправомерный доступ к компьютерной информации, за нарушение правил эксплуатации средств хранения данных. Наказание может включать крупные штрафы, исправительные работы или лишение свободы до 7 лет за утечку данных, повлёкшую тяжкие последствия.
  • Гражданско-правовую ответственность: обязанность возместить убытки и компенсировать моральный вред, причинённый субъекту.

Значение и критика

152-ФЗ «О персональных данных» является основополагающим нормативным актом в сфере информационной безопасности и защиты прав граждан в России. Он создал правовую базу для регулирования цифровой экономики, электронной коммерции, государственных и муниципальных услуг, а также деятельности социальных сетей и интернет-платформ.

Вместе с тем, закон подвергается критике за:

  • Избыточное регулирование: Некоторые нормы, особенно в части локализации данных, создают дополнительные административные и финансовые издержки для бизнеса, особенно для международных компаний.
  • Сложность правоприменения: Размытость некоторых формулировок приводит к неоднозначной судебной практике и различным трактовкам со стороны контролирующих органов.
  • Недостаточную эффективность защиты: Несмотря на ужесточение ответственности, количество утечек персональных данных в России остаётся высоким, что ставит под сомнение действенность существующих мер контроля и профилактики.

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
  2. Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), ст. 13.11.
  3. Уголовный кодекс Российской Федерации (УК РФ), ст. 137, 272, 274.
  4. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).
  5. Разъяснения и методические рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →