Федеральный закон № 152-ФЗ
Федеральный закон № 152-ФЗ «О персональных данных» — это нормативный правовой акт Российской Федерации, регулирующий отношения, связанные с обработкой персональных данных физических лиц (субъектов персональных данных) операторами. Закон был принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года и подписан Президентом Российской Федерации 27 июля 2006 года. Вступил в силу 26 января 2007 года. Основной целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
История принятия и развития
Разработка закона была вызвана необходимостью имплементации в российское законодательство требований Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), ратифицированной Россией в 2005 году. Первая редакция закона (2006 года) была относительно либеральной и устанавливала общие принципы обработки данных.
Значительные изменения произошли в 2014—2015 годах. 1 сентября 2015 года вступили в силу поправки, известные как «закон о праве на забвение», которые обязали операторов поисковых систем удалять ссылки на недостоверную или устаревшую информацию о гражданах. Наиболее существенной стала поправка, вступившая в силу 1 сентября 2015 года, которая обязала все компании при сборе персональных данных граждан РФ обеспечивать их обработку с использованием баз данных, находящихся на территории России («закон о локализации данных»). За нарушение этого требования был введён значительный административный штраф, а также блокировка сайтов нарушителей на территории РФ.
Последующие изменения уточняли порядок обработки биометрических данных, срока хранения персональных данных и ответственности за их утечку. В 2021 году были введены оборотные штрафы за повторные утечки.
Основные понятия и определения
Закон даёт ключевые определения, на которых строится регулирование:
- Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Сюда входят ФИО, адрес, телефон, паспортные данные, фотография, IP-адрес, история покупок и т. д.
- Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и состав таких данных.
- Обработка — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без них (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение).
- Субъект персональных данных — физическое лицо, к которому относятся обрабатываемые данные.
- Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (отпечатки пальцев, радужная оболочка глаза, изображение лица, голос) и которые используются для идентификации.
- Трансграничная передача — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Локализация данных — требование об обязательном использовании баз данных, расположенных на территории Российской Федерации, при сборе и обработке персональных данных граждан РФ.
Принципы обработки персональных данных
Закон устанавливает ряд фундаментальных принципов, которым должна соответствовать обработка данных:
- Законность и справедливая основа — обработка допускается только с согласия субъекта или при наличии иных законных оснований.
- Ограничение целями — данные обрабатываются исключительно для достижения заранее определённых и законных целей.
- Минимизация — содержание и объём обрабатываемых данных должны соответствовать заявленным целям обработки.
- Достоверность и актуальность — оператор должен принимать меры по удалению или уточнению неполных или неточных данных.
- Хранение в определенной форме — данные должны храниться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели их обработки, если иное не установлено законом.
- Конфиденциальность — оператор и лица, получившие доступ к данным, обязаны не раскрывать их третьим лицам без согласия субъекта, если иное не предусмотрено законом.
Обязанности оператора
Оператор персональных данных обязан:
- Уведомить Роскомнадзор о намерении осуществлять обработку, за исключением случаев, предусмотренных законом (например, обработка данных работниками в рамках трудовых отношений, обработка без использования средств автоматизации).
- Получить согласие субъекта на обработку его данных в письменной или электронной форме, если иное не установлено законом.
- Обеспечить безопасность данных при их обработке, включая принятие организационных и технических мер (шифрование, разграничение доступа, антивирусная защита).
- Назначить ответственного за организацию обработки персональных данных.
- Предоставить субъекту информацию, касающуюся обработки его данных, по его запросу.
- Устранять нарушения и уничтожать данные при достижении целей обработки или по требованию субъекта.
- Локализовать базы данных на территории РФ при обработке данных граждан России (поправка 2015 года).
- Уведомлять Роскомнадзор о фактах утечек персональных данных (с 2021 года — в течение 24 часов).
Права субъекта персональных данных
Субъект персональных данных имеет следующие права:
- На доступ к своим персональным данным, включая право получать информацию об операторе, целях и способах обработки, сроках хранения.
- На уточнение (исправление) неполных или неточных данных.
- На блокирование и удаление данных, если они обрабатываются с нарушением закона или более не соответствуют целям обработки.
- На отзыв согласия на обработку персональных данных в любое время.
- На обжалование действий (бездействия) оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
- На удаление ссылок на информацию о себе в поисковых системах («право на забвение»).
Ответственность за нарушение закона
За нарушение требований Федерального закона № 152-ФЗ предусмотрена гражданско-правовая, административная, уголовная и дисциплинарная ответственность.
Основной вид ответственности — административная (КоАП РФ). Штрафы для юридических лиц могут достигать:
- До 100 000 рублей за обработку без согласия.
- До 500 000 рублей за неисполнение обязанности по локализации баз данных.
- До 700 000 рублей за повторную утечку персональных данных (если оператор не принял мер по их недопущению). С 2023 года рассматривается введение «оборотных» штрафов в размере до 3% от годовой выручки за повторные утечки.
Уголовная ответственность (ст. 137 УК РФ) предусмотрена за незаконное собирание или распространение сведений о частной жизни лица, в том числе с использованием служебного положения.
Критика и обсуждение
Закон неоднократно подвергался критике со стороны бизнес-ассоциаций, IT-компаний и правозащитников. Основные претензии:
- Чрезмерная бюрократизация — требование уведомлять Роскомнадзор о начале обработки для большого числа операторов, что создаёт избыточную административную нагрузку.
- Размытость определений — понятие «биометрические данные» и «обезличивание» трактуются неоднозначно, что создаёт правовую неопределённость.
- Требование локализации данных — критикуется за ограничение трансграничного оборота данных и создание преград для работы международных компаний. Утверждается, что оно неэффективно для защиты данных, но усложняет ведение бизнеса.
- Правоприменительная практика — Роскомнадзор часто предъявляет претензии к операторам в связи с неполным уведомлением или недостаточной детализацией целей обработки, что признаётся излишне формальным подходом.
Несмотря на критику, закон остаётся основным правовым актом в области защиты персональных данных в России и постоянно корректируется с учётом развития технологий и общественных отношений.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
- Кодекс Российской Федерации об административных правонарушениях (ст. 13.11, 13.11.1).
- Уголовный кодекс Российской Федерации (ст. 137).
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).
- Материалы Роскомнадзора (rkn.gov.ru) — «Разъяснения по вопросам применения Федерального закона от 27.07.2006 № 152-ФЗ».
- Постановления Пленума Верховного Суда РФ по вопросам защиты персональных данных (№ 1 от 28.01.2014, № 17 от 27.06.2018).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →