Федеральный закон №152-ФЗ
Федеральный закон №152-ФЗ (полное официальное название — Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных») — это основной нормативный правовой акт Российской Федерации, регулирующий отношения, связанные с обработкой персональных данных граждан. Закон устанавливает принципы и условия сбора, хранения, использования, распространения и защиты персональных данных, а также определяет права субъектов персональных данных, обязанности операторов и меры государственного контроля в этой сфере.
История принятия
Необходимость принятия специального закона о персональных данных в России возникла в связи с ратификацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108). Россия подписала эту конвенцию в 2001 году и ратифицировала её в 2005 году. Законопроект разрабатывался Министерством информационных технологий и связи Российской Федерации совместно с Комитетом Государственной Думы по информационной политике.
Закон был принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года и подписан Президентом Российской Федерации Владимиром Путиным 27 июля 2006 года. Вступил в силу с 26 января 2007 года, за исключением отдельных положений, для которых были установлены более поздние сроки введения.
С момента принятия закон неоднократно подвергался существенным изменениям. Наиболее значимые поправки были внесены в 2011 году (уточнение понятийного аппарата), 2014 году (так называемый «закон о блогерах»), 2015 году (требование о локализации баз данных на территории РФ), 2020 году (регулирование обработки биометрических данных) и 2021 году (ужесточение ответственности за утечки).
Основные понятия
Закон вводит и определяет ключевые термины, используемые в сфере оборота персональных данных:
- Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
- Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и осуществляющие обработку персональных данных.
- Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без них (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение).
- Субъект персональных данных — физическое лицо, к которому относятся соответствующие персональные данные.
- Трансграничная передача — передача персональных данных на территорию иностранного государства.
Принципы и условия обработки
Основные принципы
Закон устанавливает следующие принципы обработки персональных данных:
- Законность и справедливая основа — обработка должна осуществляться на законной основе и с соблюдением прав субъектов.
- Целевая ограниченность — обработка ограничивается достижением конкретных, заранее определённых и законных целей.
- Минимизация — содержание и объём обрабатываемых данных должны соответствовать заявленным целям обработки.
- Достоверность и актуальность — оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
- Сроки хранения — данные должны храниться не дольше, чем этого требуют цели обработки.
Условия обработки
Обработка персональных данных допускается только при наличии хотя бы одного из следующих условий:
- Согласие субъекта на обработку его персональных данных.
- Обработка необходима для достижения целей, предусмотренных международным договором или законодательством РФ.
- Обработка необходима для осуществления правосудия, исполнения судебного акта.
- Обработка необходима для исполнения договора, стороной которого является субъект.
- Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта.
- Обработка осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания данных.
Права субъекта персональных данных
Субъект персональных данных имеет следующие права:
- Право на получение информации об обработке его персональных данных оператором.
- Право на уточнение, блокирование и уничтожение данных, если они являются неполными, устаревшими, недостоверными или обрабатываются с нарушением закона.
- Право отозвать согласие на обработку персональных данных.
- Право обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
- Право на защиту своих прав и законных интересов, включая возмещение убытков и компенсацию морального вреда.
Обязанности оператора
Оператор обязан:
- Получить согласие субъекта на обработку его персональных данных, за исключением случаев, установленных законом.
- Обеспечить конфиденциальность персональных данных.
- Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения.
- Назначить ответственного за организацию обработки персональных данных.
- Уведомить Роскомнадзор о намерении осуществлять обработку персональных данных (за исключением отдельных случаев).
- При обработке персональных данных с использованием средств автоматизации обеспечивать их защиту в соответствии с требованиями законодательства.
Требование о локализации баз данных
Одним из наиболее значимых изменений, внесённых в закон в 2015 году, стало требование о локализации баз данных. Согласно статье 18.1, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Это требование вступило в силу с 1 сентября 2015 года.
Исключение составляют случаи, когда обработка необходима для достижения целей, предусмотренных международным договором или законодательством РФ, а также для исполнения договора, стороной которого является субъект. Нарушение этого требования влечёт административную ответственность и может привести к блокировке сайта оператора.
Государственный контроль и надзор
Функции по контролю и надзору за соблюдением законодательства о персональных данных возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Роскомнадзор ведёт реестр операторов, осуществляющих обработку персональных данных, проводит плановые и внеплановые проверки, рассматривает жалобы граждан и принимает меры по пресечению нарушений.
В случае выявления нарушений Роскомнадзор может выдать предписание об устранении нарушений, привлечь оператора к административной ответственности, а также обратиться в суд с иском о защите прав субъектов персональных данных.
Ответственность за нарушение
Нарушение требований Федерального закона №152-ФЗ влечёт за собой гражданско-правовую, административную и уголовную ответственность.
Административная ответственность
Кодекс Российской Федерации об административных правонарушениях (КоАП РФ) предусматривает следующие виды наказаний:
- Статья 13.11 — нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Влечёт предупреждение или наложение административного штрафа на граждан в размере от 1 000 до 3 000 рублей; на должностных лиц — от 5 000 до 10 000 рублей; на юридических лиц — от 30 000 до 50 000 рублей.
- Статья 13.11.1 — распространение персональных данных без согласия субъекта. Штраф для граждан — от 3 000 до 5 000 рублей; для должностных лиц — от 10 000 до 20 000 рублей; для юридических лиц — от 15 000 до 75 000 рублей.
- Статья 19.7 — непредоставление сведений (информации) в Роскомнадзор. Штраф для граждан — от 100 до 300 рублей; для должностных лиц — от 300 до 500 рублей; для юридических лиц — от 3 000 до 5 000 рублей.
Уголовная ответственность
Уголовный кодекс Российской Федерации предусматривает ответственность за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну (статья 137 УК РФ). Наказание может включать штраф до 200 000 рублей, обязательные работы до 360 часов, исправительные работы до 1 года, арест до 4 месяцев или лишение свободы до 2 лет.
Критика и обсуждение
Закон №152-ФЗ неоднократно подвергался критике со стороны экспертов, правозащитников и представителей бизнеса. Основные претензии касаются:
- Избыточности требований — некоторые положения закона, по мнению критиков, создают излишнюю административную нагрузку на операторов, особенно на малый бизнес.
- Неопределённости формулировок — ряд понятий (например, «обезличивание», «биометрические данные») трактуются неоднозначно, что порождает правовую неопределённость.
- Требования о локализации — обязательное хранение данных на территории РФ критикуется за несоответствие принципам свободного трансграничного потока информации и создание барьеров для международного бизнеса.
- Неэффективности контроля — отмечается, что Роскомнадзор не всегда оперативно реагирует на нарушения, а штрафы за утечки данных остаются относительно низкими по сравнению с ущербом для субъектов.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).
- Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), статьи 13.11, 13.11.1, 19.7.
- Уголовный кодекс Российской Федерации, статья 137.
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →