Федеральный закон № 27-ФЗ
Федеральный закон № 27-ФЗ «О персональных данных» — это нормативный правовой акт Российской Федерации, регулирующий отношения, связанные со сбором, записью, систематизацией, накоплением, хранением, уточнением (обновлением, изменением), извлечением, использованием, передачей (распространением, предоставлением, доступом), обезличиванием, блокированием, удалением, уничтожением персональных данных, обрабатываемых с использованием средств автоматизации или без их использования. Закон устанавливает правовой режим персональных данных, определяет принципы их обработки, права субъектов персональных данных, обязанности операторов, а также меры по обеспечению безопасности данных. Принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года, подписан Президентом Российской Федерации 27 июля 2006 года. Вступил в силу 26 января 2007 года (за исключением отдельных положений, для которых установлены иные сроки).
История принятия
Разработка Федерального закона № 27-ФЗ была обусловлена необходимостью приведения российского законодательства в соответствие с международными стандартами в области защиты персональных данных, в первую очередь с Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), ратифицированной Россией в 2005 году (Федеральный закон от 19 декабря 2005 г. № 160-ФЗ). До принятия закона вопросы, связанные с персональными данными, регулировались разрозненными нормами различных отраслей права (гражданского, трудового, информационного), что создавало правовую неопределённость.
Законопроект № 384010-4 «О персональных данных» был внесён в Государственную Думу 28 февраля 2006 года депутатами В.В. Володиным, А.К. Луговым, Г.Б. Мирзоевым и другими. В ходе рассмотрения претерпел значительные изменения: были уточнены понятия, введены категории биометрических и общедоступных персональных данных, установлены требования к трансграничной передаче. После принятия закон неоднократно подвергался существенным изменениям (в 2009, 2010, 2011, 2013, 2014, 2017, 2019, 2021, 2023 годах), расширявшим его сферу действия, ужесточавшим требования к операторам и усиливавшим ответственность за нарушения.
Основные понятия
Закон вводит иерархию ключевых терминов (статья 3):
- Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
- Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели такой обработки.
- Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными.
- Автоматизированная обработка — обработка с помощью средств вычислительной техники.
- Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.
- Предоставление персональных данных — действия, направленные на раскрытие определённому лицу или определённому кругу лиц.
- Блокирование — временное прекращение обработки (за исключением случаев, когда обработка необходима для уточнения).
- Уничтожение — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе.
- Обезличивание — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
- Трансграничная передача — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
Закон выделяет специальные категории персональных данных (статья 10):
- Специальные категории — сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Их обработка допускается только в строго ограниченных случаях (например, с письменного согласия субъекта, в целях противодействия терроризму и коррупции, для оказания медицинской помощи и других).
- Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (отпечатки пальцев, радужная оболочка глаз, изображение лица, голос, ДНК). Обрабатываются только при наличии письменного согласия, за исключением случаев, установленных федеральными законами (например, осуществление правосудия, пограничный контроль).
Принципы обработки персональных данных
Статья 5 закона закрепляет следующие обязательные принципы:
- Законность и справедливость — обработка должна осуществляться на законной основе и не нарушать права субъекта.
- Целевая ограниченность — обработка допускается исключительно для достижения заранее определённых и законных целей. Не допускается обработка, несовместимая с первоначальными целями.
- Соразмерность — содержание и объём обрабатываемых данных должны соответствовать заявленным целям. Не допускается избыточность.
- Достоверность и достаточность — оператор обязан принимать меры по актуализации, уточнению и обеспечению актуальности данных.
- Сроки хранения — данные не должны храниться дольше, чем это требуется для целей их обработки, если иное не установлено федеральным законом.
- Конфиденциальность — оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено законом.
Права субъекта персональных данных
Закон предоставляет субъекту широкий набор прав (статьи 14–18):
- Право на доступ к своим персональным данным, включая право получать информацию об их обработке (цель, объём, сроки, способы, наименование оператора и его адрес).
- Право на уточнение (требовать изменения, дополнения, блокирования или уничтожения).
- Право на отзыв согласия — в любое время отозвать своё согласие на обработку, за исключением случаев, прямо предусмотренных законом.
- Право на обжалование действий или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
- Право на возмещение убытков и компенсацию морального вреда, причинённых неправомерной обработкой.
Для специальных категорий и биометрии требуется письменное согласие субъекта, которое должно содержать конкретные сведения: фамилию, имя, отчество, адрес субъекта, реквизиты документа, удостоверяющего личность, информацию об операторе, цели и перечень действий с данными, срок действия согласия.
Обязанности оператора
Оператор обязан (статьи 18.1 – 22):
- Уведомить Роскомнадзор о намерении осуществлять обработку персональных данных до начала такой обработки, за исключением случаев, когда оператор обрабатывает данные исключительно в целях исполнения трудового законодательства, для заключения договора с субъектом, для однократного пропуска на территорию и других.
- Разработать и разместить на своём сайте (или в месте осуществления деятельности) политику в отношении обработки персональных данных.
- Назначить ответственного за организацию обработки персональных данных (в организациях, обрабатывающих данные).
- Принять внутренние локальные акты, регламентирующие порядок обработки.
- Обеспечить безопасность данных — применять правовые, организационные и технические меры (включая шифрование, разграничение доступа, антивирусную защиту), установленные Правительством РФ и ФСТЭК России в зависимости от категории информационной системы.
- Прекратить обработку по требованию субъекта или уполномоченного органа.
- Уничтожить данные по достижении цели обработки.
- Сообщить в Роскомнадзор о фактах утечки персональных данных (с 1 сентября 2017 года — в течение 24 часов с момента установления факта утечки).
Трансграничная передача
Порядок трансграничной передачи персональных данных регулируется статьёй 12. До 1 сентября 2015 года оператор был обязан получить предварительное разрешение Роскомнадзора на передачу в государства, не обеспечивающие «адекватную защиту» прав субъектов. С 1 сентября 2015 года введён уведомительный порядок: оператор обязан уведомить Роскомнадзор о намерении осуществлять трансграничную передачу, а также о факте передачи.
Ответственность за нарушение
Нарушение требований Федерального закона № 27-ФЗ влечёт:
- Административную ответственность по статье 13.11 КоАП РФ (штрафы на должностных лиц до 20 тысяч рублей, на юридических лиц до 75 тысяч рублей — за обработку без согласия; до 10 тысяч и до 50 тысяч рублей — за непредоставление информации субъекту; за утечку данных — до 300–500 тысяч рублей или дисквалификация на срок до трёх лет для должностных лиц, до 1–2 миллионов рублей для юридических лиц).
- Гражданско-правовую ответственность (возмещение убытков и морального вреда).
- Уголовную ответственность (при незаконном собирании или распространении сведений о частной жизни, составляющих личную или семейную тайну — статья 137 УК РФ).
Контроль (надзор) за соблюдением закона осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и его территориальные органы.
Изменения и актуальное состояние
Наиболее значимые поправки в закон вносились:
- В 2013 году (Федеральный закон № 242-ФЗ) — введено требование об обработке персональных данных граждан РФ исключительно с использованием баз данных, находящихся на территории РФ (так называемый «закон о локализации персональных данных»).
- В 2014 году (Федеральный закон № 152-ФЗ) — уточнены требования к согласию на обработку, введена категория биометрических данных.
- В 2019 году (Федеральный закон № 137-ФЗ) — введён уведомительный порядок трансграничной передачи.
- В 2021 году (Федеральный закон № 519-ФЗ) — расширены права субъекта, уточнены обязанности оператора в части уведомления об утечках, введена обязанность вести журнал учёта обращений субъектов.
- В 2023 году (Федеральный закон № 405-ФЗ) — введено понятие «оператор единой системы идентификации и аутентификации», уточнены требования к обработке биометрических данных в государственных информационных системах.
По состоянию на 2025 год закон остаётся основным нормативным актом, регулирующим оборот персональных данных в России, и продолжает адаптироваться к развитию цифровых технологий и международным вызовам. Действие закона не распространяется на отношения, возникающие при обработке персональных данных исключительно для личных и семейных нужд, если это не нарушает права субъектов, а также на государственные тайны.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
- Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), статья 13.11.
- Уголовный кодекс Российской Федерации (УК РФ), статья 137.
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →