Открыть сервис

Федеральный закон № 27-ФЗ

Федеральный закон № 27-ФЗ «О персональных данных» — это нормативный правовой акт Российской Федерации, регулирующий отношения, связанные со сбором, записью, систематизацией, накоплением, хранением, уточнением (обновлением, изменением), извлечением, использованием, передачей (распространением, предоставлением, доступом), обезличиванием, блокированием, удалением, уничтожением персональных данных, обрабатываемых с использованием средств автоматизации или без их использования. Закон устанавливает правовой режим персональных данных, определяет принципы их обработки, права субъектов персональных данных, обязанности операторов, а также меры по обеспечению безопасности данных. Принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года, подписан Президентом Российской Федерации 27 июля 2006 года. Вступил в силу 26 января 2007 года (за исключением отдельных положений, для которых установлены иные сроки).

История принятия

Разработка Федерального закона № 27-ФЗ была обусловлена необходимостью приведения российского законодательства в соответствие с международными стандартами в области защиты персональных данных, в первую очередь с Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), ратифицированной Россией в 2005 году (Федеральный закон от 19 декабря 2005 г. № 160-ФЗ). До принятия закона вопросы, связанные с персональными данными, регулировались разрозненными нормами различных отраслей права (гражданского, трудового, информационного), что создавало правовую неопределённость.

Законопроект № 384010-4 «О персональных данных» был внесён в Государственную Думу 28 февраля 2006 года депутатами В.В. Володиным, А.К. Луговым, Г.Б. Мирзоевым и другими. В ходе рассмотрения претерпел значительные изменения: были уточнены понятия, введены категории биометрических и общедоступных персональных данных, установлены требования к трансграничной передаче. После принятия закон неоднократно подвергался существенным изменениям (в 2009, 2010, 2011, 2013, 2014, 2017, 2019, 2021, 2023 годах), расширявшим его сферу действия, ужесточавшим требования к операторам и усиливавшим ответственность за нарушения.

Основные понятия

Закон вводит иерархию ключевых терминов (статья 3):

Закон выделяет специальные категории персональных данных (статья 10):

Принципы обработки персональных данных

Статья 5 закона закрепляет следующие обязательные принципы:

  1. Законность и справедливость — обработка должна осуществляться на законной основе и не нарушать права субъекта.
  2. Целевая ограниченность — обработка допускается исключительно для достижения заранее определённых и законных целей. Не допускается обработка, несовместимая с первоначальными целями.
  3. Соразмерность — содержание и объём обрабатываемых данных должны соответствовать заявленным целям. Не допускается избыточность.
  4. Достоверность и достаточность — оператор обязан принимать меры по актуализации, уточнению и обеспечению актуальности данных.
  5. Сроки хранения — данные не должны храниться дольше, чем это требуется для целей их обработки, если иное не установлено федеральным законом.
  6. Конфиденциальность — оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено законом.

Права субъекта персональных данных

Закон предоставляет субъекту широкий набор прав (статьи 14–18):

Для специальных категорий и биометрии требуется письменное согласие субъекта, которое должно содержать конкретные сведения: фамилию, имя, отчество, адрес субъекта, реквизиты документа, удостоверяющего личность, информацию об операторе, цели и перечень действий с данными, срок действия согласия.

Обязанности оператора

Оператор обязан (статьи 18.1 – 22):

  1. Уведомить Роскомнадзор о намерении осуществлять обработку персональных данных до начала такой обработки, за исключением случаев, когда оператор обрабатывает данные исключительно в целях исполнения трудового законодательства, для заключения договора с субъектом, для однократного пропуска на территорию и других.
  2. Разработать и разместить на своём сайте (или в месте осуществления деятельности) политику в отношении обработки персональных данных.
  3. Назначить ответственного за организацию обработки персональных данных (в организациях, обрабатывающих данные).
  4. Принять внутренние локальные акты, регламентирующие порядок обработки.
  5. Обеспечить безопасность данных — применять правовые, организационные и технические меры (включая шифрование, разграничение доступа, антивирусную защиту), установленные Правительством РФ и ФСТЭК России в зависимости от категории информационной системы.
  6. Прекратить обработку по требованию субъекта или уполномоченного органа.
  7. Уничтожить данные по достижении цели обработки.
  8. Сообщить в Роскомнадзор о фактах утечки персональных данных (с 1 сентября 2017 года — в течение 24 часов с момента установления факта утечки).

Трансграничная передача

Порядок трансграничной передачи персональных данных регулируется статьёй 12. До 1 сентября 2015 года оператор был обязан получить предварительное разрешение Роскомнадзора на передачу в государства, не обеспечивающие «адекватную защиту» прав субъектов. С 1 сентября 2015 года введён уведомительный порядок: оператор обязан уведомить Роскомнадзор о намерении осуществлять трансграничную передачу, а также о факте передачи.

Ответственность за нарушение

Нарушение требований Федерального закона № 27-ФЗ влечёт:

Контроль (надзор) за соблюдением закона осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и его территориальные органы.

Изменения и актуальное состояние

Наиболее значимые поправки в закон вносились:

По состоянию на 2025 год закон остаётся основным нормативным актом, регулирующим оборот персональных данных в России, и продолжает адаптироваться к развитию цифровых технологий и международным вызовам. Действие закона не распространяется на отношения, возникающие при обработке персональных данных исключительно для личных и семейных нужд, если это не нарушает права субъектов, а также на государственные тайны.

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
  2. Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), статья 13.11.
  3. Уголовный кодекс Российской Федерации (УК РФ), статья 137.
  4. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  5. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  6. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →