Федеральный закон «О персональных данных» № 152-ФЗ
Федеральный закон «О персональных данных» № 152-ФЗ — это нормативный правовой акт Российской Федерации, регулирующий отношения, связанные с обработкой персональных данных граждан. Закон был принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года и подписан Президентом РФ 27 июля 2006 года. Вступил в силу 26 января 2007 года. Основная цель закона — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
История принятия и развития
Предпосылки создания
До принятия 152-ФЗ в России отсутствовал единый законодательный акт, регулирующий оборот персональных данных. Действовали разрозненные нормы в Конституции РФ (статья 23 о праве на неприкосновенность частной жизни), Гражданском кодексе, Трудовом кодексе и отраслевых законах. Вступление России в Совет Европы и ратификация Конвенции о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108) в 2005 году потребовали создания национального закона, соответствующего европейским стандартам.
Основные этапы
- 2006 год — принятие закона в первоначальной редакции. Документ устанавливал базовые принципы обработки данных, права субъектов и обязанности операторов.
- 2010–2011 годы — масштабные поправки, связанные с созданием государственной информационной системы «Реестр операторов персональных данных» и ужесточением требований к трансграничной передаче данных.
- 2015 год — вступление в силу «закона о локализации персональных данных» (Федеральный закон № 242-ФЗ), который обязал операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории России.
- 2019–2021 годы — введение оборотных штрафов за утечки данных, усиление ответственности за повторные нарушения, расширение полномочий Роскомнадзора.
- 2023 год — поправки, ужесточающие требования к согласию на обработку данных, в том числе введение обязательного уведомления Роскомнадзора о намерении обрабатывать данные.
Основные понятия
Закон вводит ключевые термины:
- Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). К ним относятся: фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, ИНН, СНИЛС, биометрические данные, сведения о состоянии здоровья, образовании, доходах, семейном положении, а также IP-адреса, cookie-файлы, номера телефонов, электронная почта.
- Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных.
- Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Включает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
- Субъект персональных данных — физическое лицо, к которому относятся обрабатываемые данные.
- Трансграничная передача — передача персональных данных на территорию иностранного государства.
Принципы обработки персональных данных
Закон устанавливает следующие принципы (статья 5):
- Законность и справедливость — обработка должна осуществляться на законной основе и в соответствии с целями, определёнными заранее.
- Целевая ограниченность — обработка допускается только для достижения конкретных, заранее определённых и законных целей.
- Минимизация — объём и содержание данных должны соответствовать заявленным целям; не допускается избыточность.
- Достоверность и актуальность — оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
- Срок хранения — данные должны храниться не дольше, чем этого требуют цели обработки, если иное не установлено федеральным законом или договором.
- Конфиденциальность — оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта.
Условия обработки персональных данных
Обработка персональных данных допускается только при наличии одного из следующих оснований (статья 6):
- Согласие субъекта на обработку его персональных данных.
- Обработка необходима для достижения целей, предусмотренных международным договором РФ или федеральным законом.
- Обработка необходима для осуществления правосудия, исполнения судебного акта, акта другого органа.
- Обработка необходима для исполнения договора, стороной которого является субъект данных.
- Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.
- Обработка осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания данных.
- Обработка осуществляется в связи с профессиональной деятельностью журналиста, научной, литературной или иной творческой деятельностью.
Права субъекта персональных данных
Субъект имеет право (статьи 14–17):
- Получать от оператора информацию, касающуюся обработки его персональных данных (цели, способы, сроки, перечень обрабатываемых данных).
- Требовать уточнения, блокирования или уничтожения данных, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не необходимы для заявленной цели.
- Отозвать согласие на обработку данных.
- Требовать прекращения обработки данных в целях продвижения товаров, работ, услуг.
- Обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
Обязанности оператора
Оператор обязан (статьи 18–22):
- Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных.
- Получить согласие субъекта на обработку, за исключением случаев, установленных законом.
- Уведомить Роскомнадзор о намерении обрабатывать персональные данные (за исключением случаев, когда обработка осуществляется без уведомления — например, в рамках трудовых отношений, при обработке данных членами общественных объединений и т.д.).
- Обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (требование локализации).
- Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения.
- Назначить ответственного за организацию обработки персональных данных.
Государственный контроль и надзор
Функции по контролю и надзору за соблюдением требований 152-ФЗ возложены на Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Ведомство ведёт реестр операторов, рассматривает жалобы граждан, проводит плановые и внеплановые проверки, выносит предписания об устранении нарушений, привлекает к административной ответственности.
Ответственность за нарушение закона
Нарушение требований 152-ФЗ влечёт:
- Административную ответственность по статье 13.11 КоАП РФ — штрафы для должностных лиц от 10 000 до 100 000 рублей, для юридических лиц — от 60 000 до 18 000 000 рублей (в зависимости от состава нарушения, включая повторные утечки). С 2023 года введены оборотные штрафы за утечки данных — до 3% годовой выручки, но не менее 1 000 000 рублей.
- Уголовную ответственность — за незаконный сбор, хранение, использование или распространение персональных данных, если это деяние причинило крупный ущерб или совершено из корыстной заинтересованности (статья 137 УК РФ — нарушение неприкосновенности частной жизни, наказание до 5 лет лишения свободы).
- Гражданско-правовую ответственность — возмещение морального вреда и убытков, причинённых субъекту данных.
Критика и проблемы применения
Закон неоднократно подвергался критике со стороны бизнеса и правозащитников. Основные замечания:
- Избыточность требований — необходимость получать отдельное согласие на каждую операцию с данными, что усложняет работу компаний, особенно в сфере электронной коммерции и телекоммуникаций.
- Неопределённость формулировок — понятие «обезличивание» и «трансграничная передача» трактуются неоднозначно, что создаёт риски для операторов.
- Требование локализации — обязательное хранение данных на серверах в РФ критикуется как ограничение для международных компаний и противоречие принципам свободного потока информации. В 2023 году Роскомнадзор активизировал проверки и блокировки зарубежных сервисов, не выполнивших это требование.
- Высокие штрафы — введение оборотных штрафов за утечки, по мнению экспертов, может привести к банкротству малых и средних предприятий, не имеющих ресурсов для обеспечения должного уровня защиты.
Значение закона
Федеральный закон «О персональных данных» № 152-ФЗ является основополагающим актом в сфере защиты информации в России. Он обеспечивает правовую основу для обработки данных, устанавливает баланс между интересами государства, бизнеса и граждан. Закон способствовал развитию инфраструктуры защиты данных, созданию системы государственного контроля и повышению осведомлённости населения о правах в цифровой среде. Вместе с тем, его применение продолжает вызывать дискуссии о необходимости дальнейшего совершенствования законодательства с учётом технологического развития и международных стандартов.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
- Конституция Российской Федерации (статья 23).
- Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
- Уголовный кодекс Российской Федерации (статья 137).
- Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
- Материалы официального сайта Роскомнадзора (rkn.gov.ru).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →