Федеральный закон «О персональных данных
Федеральный закон «О персональных данных» (№ 152-ФЗ) — это нормативный правовой акт Российской Федерации, регулирующий отношения, связанные с обработкой персональных данных граждан. Закон определяет принципы и условия сбора, хранения, использования, распространения и защиты персональных данных, а также устанавливает права субъектов персональных данных и обязанности операторов, осуществляющих их обработку. Принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года, подписан Президентом Российской Федерации 27 июля 2006 года и вступил в силу с 1 января 2007 года, за исключением отдельных положений.
История принятия и развития
Необходимость принятия закона была обусловлена развитием информационных технологий, ростом объёмов собираемой информации о гражданах и потребностью в гармонизации российского законодательства с европейскими стандартами защиты данных, в частности с Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), ратифицированной Россией в 2005 году.
Первая редакция закона носила рамочный характер и устанавливала общие принципы. В последующие годы в него неоднократно вносились существенные поправки, направленные на конкретизацию требований и усиление контроля. Ключевые изменения:
- 2008 год: введено понятие биометрических персональных данных и уточнены требования к их обработке.
- 2011 год: внесены поправки, обязывающие операторов уведомлять Роскомнадзор о начале обработки персональных данных.
- 2015 год: вступили в силу поправки, известные как «закон о локализации персональных данных» (статья 18, часть 5), обязывающие операторов при сборе персональных данных граждан РФ обеспечивать их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории Российской Федерации.
- 2019 год: введены оборотные штрафы за нарушения в области персональных данных (статья 13.11 КоАП РФ), размер которых может достигать 1% от годовой выручки компании.
- 2021 год: уточнены требования к трансграничной передаче данных, введена процедура уведомления и получения разрешения Роскомнадзора на передачу данных в страны, не обеспечивающие адекватную защиту.
- 2022-2023 годы: ужесточена ответственность за утечки персональных данных, введена обязанность операторов сообщать об инцидентах в Роскомнадзор в течение 24 часов.
Основные понятия и определения
Закон вводит и закрепляет ключевую терминологию:
- Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). К ним относятся: фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, образование, профессия, доходы, семейное положение, IP-адрес, cookie-файлы, номера телефонов, адреса электронной почты и т.д.
- Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание такой обработки.
- Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без них. Включает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение.
- Субъект персональных данных — физическое лицо, к которому относятся обрабатываемые персональные данные.
- Трансграничная передача — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или юридическому лицу.
Классификация персональных данных
Закон выделяет несколько категорий персональных данных, для каждой из которых устанавливаются особые правила обработки:
- Общедоступные персональные данные — данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта или на которые не распространяются требования конфиденциальности (например, данные из справочников, телефонных книг, с согласия субъекта — из социальных сетей).
- Специальные категории персональных данных — данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обработка таких данных по общему правилу запрещена, за исключением случаев, прямо предусмотренных законом (например, для целей медицинской помощи, трудовых отношений, деятельности религиозных организаций).
- Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. К ним относятся отпечатки пальцев, рисунок радужной оболочки глаза, образцы ДНК, изображение лица (фотография), запись голоса. Обработка биометрических данных возможна только при наличии письменного согласия субъекта, за исключением случаев, установленных федеральными законами (например, в системах безопасности на транспорте, при пропускном режиме на предприятиях).
Принципы и условия обработки
Закон устанавливает следующие принципы обработки персональных данных:
- Законность и справедливость — обработка должна осуществляться на законных основаниях и не нарушать права субъекта.
- Целевой характер — обработка ограничивается достижением конкретных, заранее определённых и законных целей.
- Минимизация — содержание и объём обрабатываемых данных должны соответствовать заявленным целям обработки.
- Достоверность и актуальность — оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
- Конфиденциальность — оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять без согласия субъекта.
- Уничтожение по достижении цели — персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в их достижении.
Обработка персональных данных допускается только при наличии одного из следующих оснований:
- Согласие субъекта на обработку его персональных данных.
- Обработка необходима для достижения целей, предусмотренных международным договором РФ или законом.
- Обработка необходима для осуществления правосудия, исполнения судебного акта.
- Обработка необходима для исполнения договора, стороной которого является субъект.
- Обработка осуществляется для статистических или иных исследовательских целей при условии обязательного обезличивания данных.
- Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.
Права субъекта персональных данных
Закон предоставляет субъекту следующие основные права:
- Право на доступ к своим персональным данным — требовать от оператора подтверждения факта обработки, ознакомления с самими данными и информацией о способах их обработки.
- Право на уточнение, блокирование и уничтожение — требовать исправления неверных или неполных данных, блокирования или уничтожения данных, если они обрабатываются с нарушением закона или не соответствуют заявленным целям.
- Право на отзыв согласия — в любое время отозвать своё согласие на обработку, что влечёт за собой прекращение обработки и уничтожение данных, если иное не предусмотрено законом.
- Право на обжалование действий оператора — обращаться с жалобой в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
- Право на возмещение убытков и компенсацию морального вреда — в случае нарушения его прав при обработке персональных данных.
Обязанности оператора
Оператор обязан:
- Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных (Политика обработки персональных данных).
- Уведомить Роскомнадзор о намерении осуществлять обработку персональных данных (за исключением ряда случаев, например, обработки данных только сотрудниками).
- Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения.
- Назначить ответственного за организацию обработки персональных данных.
- Обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (требование о локализации).
- В случае утечки персональных данных уведомить Роскомнадзор в установленный срок (24 часа с момента обнаружения инцидента).
Контроль и ответственность
Контроль за соблюдением закона осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Служба ведёт реестр операторов, рассматривает жалобы граждан, проводит проверки и выдает предписания об устранении нарушений.
Нарушение требований закона влечёт за собой ответственность:
- Административная — по статье 13.11 КоАП РФ. Штрафы для должностных лиц составляют от 10 000 до 100 000 рублей, для юридических лиц — от 60 000 до 18 000 000 рублей (в зависимости от состава правонарушения и повторности). За утечку персональных данных предусмотрены оборотные штрафы.
- Уголовная — за незаконный сбор или распространение персональных данных (статья 137 УК РФ), за неправомерный доступ к компьютерной информации, повлёкший утечку (статья 272 УК РФ).
- Гражданско-правовая — обязанность возместить убытки и компенсировать моральный вред.
Критика и правоприменительная практика
Закон подвергается критике со стороны представителей бизнеса и правозащитников. Основные претензии:
- Избыточность требований — особенно в части локализации данных и уведомления Роскомнадзора, что создаёт административную нагрузку на малый бизнес.
- Неопределённость формулировок — например, понятие «обезличивание» трактуется неоднозначно, что затрудняет его применение на практике.
- Высокие штрафы — введённые оборотные штрафы за утечки рассматриваются как чрезмерные, особенно для небольших компаний, не имеющих ресурсов для построения сложных систем защиты.
- Ограничение трансграничной передачи — требование о согласовании передачи данных в определённые страны может затруднять международное сотрудничество и использование зарубежных облачных сервисов.
В правоприменительной практике Роскомнадзор активно проводит проверки и выносит предписания. Наиболее громкие дела связаны с утечками баз данных крупных компаний (сервисы доставки, онлайн-кинотеатры, маркетплейсы), после которых ведомство инициировало административные расследования и наложило значительные штрафы.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
- Уголовный кодекс Российской Федерации (статьи 137, 272).
- Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по вопросам применения 152-ФЗ.
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →