Открыть сервис

Федеральный закон «О персональных данных» № 152-ФЗ

Федеральный закон «О персональных данных» № 152-ФЗ — это нормативный правовой акт Российской Федерации, регулирующий отношения, связанные с обработкой персональных данных граждан. Закон был принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года и подписан Президентом РФ 27 июля 2006 года. Вступил в силу 26 января 2007 года. Основная цель закона — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

История принятия и развития

Предпосылки создания

До принятия 152-ФЗ в России отсутствовал единый законодательный акт, регулирующий оборот персональных данных. Действовали разрозненные нормы в Конституции РФ (статья 23 о праве на неприкосновенность частной жизни), Гражданском кодексе, Трудовом кодексе и отраслевых законах. Вступление России в Совет Европы и ратификация Конвенции о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108) в 2005 году потребовали создания национального закона, соответствующего европейским стандартам.

Основные этапы

  • 2006 год — принятие закона в первоначальной редакции. Документ устанавливал базовые принципы обработки данных, права субъектов и обязанности операторов.
  • 2010–2011 годы — масштабные поправки, связанные с созданием государственной информационной системы «Реестр операторов персональных данных» и ужесточением требований к трансграничной передаче данных.
  • 2015 год — вступление в силу «закона о локализации персональных данных» (Федеральный закон № 242-ФЗ), который обязал операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории России.
  • 2019–2021 годы — введение оборотных штрафов за утечки данных, усиление ответственности за повторные нарушения, расширение полномочий Роскомнадзора.
  • 2023 год — поправки, ужесточающие требования к согласию на обработку данных, в том числе введение обязательного уведомления Роскомнадзора о намерении обрабатывать данные.

Основные понятия

Закон вводит ключевые термины:

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). К ним относятся: фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, ИНН, СНИЛС, биометрические данные, сведения о состоянии здоровья, образовании, доходах, семейном положении, а также IP-адреса, cookie-файлы, номера телефонов, электронная почта.
  • Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.
  • Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Включает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
  • Субъект персональных данных — физическое лицо, к которому относятся обрабатываемые данные.
  • Трансграничная передача — передача персональных данных на территорию иностранного государства.

Принципы обработки персональных данных

Закон устанавливает следующие принципы (статья 5):

  1. Законность и справедливость — обработка должна осуществляться на законной основе и в соответствии с целями, определёнными заранее.
  2. Целевая ограниченность — обработка допускается только для достижения конкретных, заранее определённых и законных целей.
  3. Минимизация — объём и содержание данных должны соответствовать заявленным целям; не допускается избыточность.
  4. Достоверность и актуальность — оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
  5. Срок хранения — данные должны храниться не дольше, чем этого требуют цели обработки, если иное не установлено федеральным законом или договором.
  6. Конфиденциальность — оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта.

Условия обработки персональных данных

Обработка персональных данных допускается только при наличии одного из следующих оснований (статья 6):

  • Согласие субъекта на обработку его персональных данных.
  • Обработка необходима для достижения целей, предусмотренных международным договором РФ или федеральным законом.
  • Обработка необходима для осуществления правосудия, исполнения судебного акта, акта другого органа.
  • Обработка необходима для исполнения договора, стороной которого является субъект данных.
  • Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.
  • Обработка осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания данных.
  • Обработка осуществляется в связи с профессиональной деятельностью журналиста, научной, литературной или иной творческой деятельностью.

Права субъекта персональных данных

Субъект имеет право (статьи 14–17):

  • Получать от оператора информацию, касающуюся обработки его персональных данных (цели, способы, сроки, перечень обрабатываемых данных).
  • Требовать уточнения, блокирования или уничтожения данных, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не необходимы для заявленной цели.
  • Отозвать согласие на обработку данных.
  • Требовать прекращения обработки данных в целях продвижения товаров, работ, услуг.
  • Обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.

Обязанности оператора

Оператор обязан (статьи 18–22):

  • Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных.
  • Получить согласие субъекта на обработку, за исключением случаев, установленных законом.
  • Уведомить Роскомнадзор о намерении обрабатывать персональные данные (за исключением случаев, когда обработка осуществляется без уведомления — например, в рамках трудовых отношений, при обработке данных членами общественных объединений и т.д.).
  • Обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (требование локализации).
  • Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения.
  • Назначить ответственного за организацию обработки персональных данных.

Государственный контроль и надзор

Функции по контролю и надзору за соблюдением требований 152-ФЗ возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Ведомство ведёт реестр операторов, рассматривает жалобы граждан, проводит плановые и внеплановые проверки, выносит предписания об устранении нарушений, привлекает к административной ответственности.

Ответственность за нарушение закона

Нарушение требований 152-ФЗ влечёт:

  • Административную ответственность по статье 13.11 КоАП РФ — штрафы для должностных лиц от 10 000 до 100 000 рублей, для юридических лиц — от 60 000 до 18 000 000 рублей (в зависимости от состава нарушения, включая повторные утечки). С 2023 года введены оборотные штрафы за утечки данных — до 3% годовой выручки, но не менее 1 000 000 рублей.
  • Уголовную ответственность — за незаконный сбор, хранение, использование или распространение персональных данных, если это деяние причинило крупный ущерб или совершено из корыстной заинтересованности (статья 137 УК РФ — нарушение неприкосновенности частной жизни, наказание до 5 лет лишения свободы).
  • Гражданско-правовую ответственность — возмещение морального вреда и убытков, причинённых субъекту данных.

Критика и проблемы применения

Закон неоднократно подвергался критике со стороны бизнеса и правозащитников. Основные замечания:

  • Избыточность требований — необходимость получать отдельное согласие на каждую операцию с данными, что усложняет работу компаний, особенно в сфере электронной коммерции и телекоммуникаций.
  • Неопределённость формулировок — понятие «обезличивание» и «трансграничная передача» трактуются неоднозначно, что создаёт риски для операторов.
  • Требование локализации — обязательное хранение данных на серверах в РФ критикуется как ограничение для международных компаний и противоречие принципам свободного потока информации. В 2023 году Роскомнадзор активизировал проверки и блокировки зарубежных сервисов, не выполнивших это требование.
  • Высокие штрафы — введение оборотных штрафов за утечки, по мнению экспертов, может привести к банкротству малых и средних предприятий, не имеющих ресурсов для обеспечения должного уровня защиты.

Значение закона

Федеральный закон «О персональных данных» № 152-ФЗ является основополагающим актом в сфере защиты информации в России. Он обеспечивает правовую основу для обработки данных, устанавливает баланс между интересами государства, бизнеса и граждан. Закон способствовал развитию инфраструктуры защиты данных, созданию системы государственного контроля и повышению осведомлённости населения о правах в цифровой среде. Вместе с тем, его применение продолжает вызывать дискуссии о необходимости дальнейшего совершенствования законодательства с учётом технологического развития и международных стандартов.

Источники

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
  • Конституция Российской Федерации (статья 23).
  • Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
  • Уголовный кодекс Российской Федерации (статья 137).
  • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  • Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
  • Материалы официального сайта Роскомнадзора (rkn.gov.ru).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →