Открыть сервис

Федеральный закон №152-ФЗ

Федеральный закон №152-ФЗ (полное официальное название — Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных») — это основной нормативный правовой акт Российской Федерации, регулирующий отношения, связанные с обработкой персональных данных граждан. Закон устанавливает принципы и условия сбора, хранения, использования, распространения и защиты персональных данных, а также определяет права субъектов персональных данных, обязанности операторов и меры государственного контроля в этой сфере.

История принятия

Необходимость принятия специального закона о персональных данных в России возникла в связи с ратификацией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108). Россия подписала эту конвенцию в 2001 году и ратифицировала её в 2005 году. Законопроект разрабатывался Министерством информационных технологий и связи Российской Федерации совместно с Комитетом Государственной Думы по информационной политике.

Закон был принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года и подписан Президентом Российской Федерации Владимиром Путиным 27 июля 2006 года. Вступил в силу с 26 января 2007 года, за исключением отдельных положений, для которых были установлены более поздние сроки введения.

С момента принятия закон неоднократно подвергался существенным изменениям. Наиболее значимые поправки были внесены в 2011 году (уточнение понятийного аппарата), 2014 году (так называемый «закон о блогерах»), 2015 году (требование о локализации баз данных на территории РФ), 2020 году (регулирование обработки биометрических данных) и 2021 году (ужесточение ответственности за утечки).

Основные понятия

Закон вводит и определяет ключевые термины, используемые в сфере оборота персональных данных:

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
  • Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и осуществляющие обработку персональных данных.
  • Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без них (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение).
  • Субъект персональных данных — физическое лицо, к которому относятся соответствующие персональные данные.
  • Трансграничная передача — передача персональных данных на территорию иностранного государства.

Принципы и условия обработки

Основные принципы

Закон устанавливает следующие принципы обработки персональных данных:

  1. Законность и справедливая основа — обработка должна осуществляться на законной основе и с соблюдением прав субъектов.
  2. Целевая ограниченность — обработка ограничивается достижением конкретных, заранее определённых и законных целей.
  3. Минимизация — содержание и объём обрабатываемых данных должны соответствовать заявленным целям обработки.
  4. Достоверность и актуальность — оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
  5. Сроки хранения — данные должны храниться не дольше, чем этого требуют цели обработки.

Условия обработки

Обработка персональных данных допускается только при наличии хотя бы одного из следующих условий:

  • Согласие субъекта на обработку его персональных данных.
  • Обработка необходима для достижения целей, предусмотренных международным договором или законодательством РФ.
  • Обработка необходима для осуществления правосудия, исполнения судебного акта.
  • Обработка необходима для исполнения договора, стороной которого является субъект.
  • Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта.
  • Обработка осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания данных.

Права субъекта персональных данных

Субъект персональных данных имеет следующие права:

  • Право на получение информации об обработке его персональных данных оператором.
  • Право на уточнение, блокирование и уничтожение данных, если они являются неполными, устаревшими, недостоверными или обрабатываются с нарушением закона.
  • Право отозвать согласие на обработку персональных данных.
  • Право обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
  • Право на защиту своих прав и законных интересов, включая возмещение убытков и компенсацию морального вреда.

Обязанности оператора

Оператор обязан:

  • Получить согласие субъекта на обработку его персональных данных, за исключением случаев, установленных законом.
  • Обеспечить конфиденциальность персональных данных.
  • Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения.
  • Назначить ответственного за организацию обработки персональных данных.
  • Уведомить Роскомнадзор о намерении осуществлять обработку персональных данных (за исключением отдельных случаев).
  • При обработке персональных данных с использованием средств автоматизации обеспечивать их защиту в соответствии с требованиями законодательства.

Требование о локализации баз данных

Одним из наиболее значимых изменений, внесённых в закон в 2015 году, стало требование о локализации баз данных. Согласно статье 18.1, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Это требование вступило в силу с 1 сентября 2015 года.

Исключение составляют случаи, когда обработка необходима для достижения целей, предусмотренных международным договором или законодательством РФ, а также для исполнения договора, стороной которого является субъект. Нарушение этого требования влечёт административную ответственность и может привести к блокировке сайта оператора.

Государственный контроль и надзор

Функции по контролю и надзору за соблюдением законодательства о персональных данных возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Роскомнадзор ведёт реестр операторов, осуществляющих обработку персональных данных, проводит плановые и внеплановые проверки, рассматривает жалобы граждан и принимает меры по пресечению нарушений.

В случае выявления нарушений Роскомнадзор может выдать предписание об устранении нарушений, привлечь оператора к административной ответственности, а также обратиться в суд с иском о защите прав субъектов персональных данных.

Ответственность за нарушение

Нарушение требований Федерального закона №152-ФЗ влечёт за собой гражданско-правовую, административную и уголовную ответственность.

Административная ответственность

Кодекс Российской Федерации об административных правонарушениях (КоАП РФ) предусматривает следующие виды наказаний:

  • Статья 13.11 — нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Влечёт предупреждение или наложение административного штрафа на граждан в размере от 1 000 до 3 000 рублей; на должностных лиц — от 5 000 до 10 000 рублей; на юридических лиц — от 30 000 до 50 000 рублей.
  • Статья 13.11.1распространение персональных данных без согласия субъекта. Штраф для граждан — от 3 000 до 5 000 рублей; для должностных лиц — от 10 000 до 20 000 рублей; для юридических лиц — от 15 000 до 75 000 рублей.
  • Статья 19.7 — непредоставление сведений (информации) в Роскомнадзор. Штраф для граждан — от 100 до 300 рублей; для должностных лиц — от 300 до 500 рублей; для юридических лиц — от 3 000 до 5 000 рублей.

Уголовная ответственность

Уголовный кодекс Российской Федерации предусматривает ответственность за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну (статья 137 УК РФ). Наказание может включать штраф до 200 000 рублей, обязательные работы до 360 часов, исправительные работы до 1 года, арест до 4 месяцев или лишение свободы до 2 лет.

Критика и обсуждение

Закон №152-ФЗ неоднократно подвергался критике со стороны экспертов, правозащитников и представителей бизнеса. Основные претензии касаются:

  • Избыточности требований — некоторые положения закона, по мнению критиков, создают излишнюю административную нагрузку на операторов, особенно на малый бизнес.
  • Неопределённости формулировок — ряд понятий (например, «обезличивание», «биометрические данные») трактуются неоднозначно, что порождает правовую неопределённость.
  • Требования о локализации — обязательное хранение данных на территории РФ критикуется за несоответствие принципам свободного трансграничного потока информации и создание барьеров для международного бизнеса.
  • Неэффективности контроля — отмечается, что Роскомнадзор не всегда оперативно реагирует на нарушения, а штрафы за утечки данных остаются относительно низкими по сравнению с ущербом для субъектов.

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
  2. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).
  3. Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), статьи 13.11, 13.11.1, 19.7.
  4. Уголовный кодекс Российской Федерации, статья 137.
  5. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  6. Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →