Федеральный закон о персональных данных
Федеральный закон «О персональных данных» (№ 152-ФЗ) — это нормативный правовой акт Российской Федерации, регулирующий отношения, связанные с обработкой персональных данных граждан физическими и юридическими лицами, а также государственными органами и органами местного самоуправления. Закон был принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года и подписан Президентом Российской Федерации 27 июля 2006 года. Вступил в силу 26 января 2007 года. Основная цель закона — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
История принятия и развития
Предпосылки появления
До принятия 152-ФЗ в России отсутствовал единый законодательный акт, комплексно регулирующий оборот персональных данных. Существовали лишь разрозненные нормы в Конституции РФ (статья 23 — право на неприкосновенность частной жизни, статья 24 — запрет на сбор информации о частной жизни без согласия), Трудовом кодексе, Законе «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ) и отраслевых законах. Необходимость в специальном законе возникла в связи с ратификацией Россией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108) в 2005 году, а также с развитием информационных технологий и массовым сбором данных.
Основные этапы изменений
Закон неоднократно подвергался существенным изменениям. Ключевые поправки включают:
- 2010 год: Введено требование об уведомлении Роскомнадзора о начале обработки персональных данных.
- 2015 год: Принят Федеральный закон № 242-ФЗ («Закон о локализации данных»), обязывающий операторов при сборе персональных данных граждан РФ обеспечивать их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение с использованием баз данных, находящихся на территории РФ. Вступил в силу 1 сентября 2015 года.
- 2017 год: Уточнены требования к обработке биометрических персональных данных (изображения, голос) и введена административная ответственность за невыполнение требований по локализации.
- 2021 год: Введены повышенные штрафы за утечки персональных данных, а также обязанность операторов уведомлять Роскомнадзор о фактах неправомерной передачи данных.
- 2023–2024 годы: Ужесточение ответственности за повторные нарушения, введение оборотных штрафов (до 3% годовой выручки) за утечки, а также расширение перечня случаев, когда согласие на обработку не требуется (например, для исполнения договора, в целях безопасности).
Основные понятия и определения
Закон вводит и закрепляет ключевую терминологию:
- Персональные данные (ПДн): Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Это может быть фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, ИНН, СНИЛС, номер телефона, адрес электронной почты, сведения об образовании, профессии, доходах, состоянии здоровья, биометрические данные (фотография, отпечатки пальцев, голос) и т.д.
- Оператор: Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и состав обрабатываемых данных, действия (операции), совершаемые с ними.
- Обработка персональных данных: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными. Включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- Субъект персональных данных: Физическое лицо, к которому относятся обрабатываемые данные.
- Трансграничная передача: Передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Биометрические персональные данные: Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (изображение лица, отпечатки пальцев, радужная оболочка глаза, голос, ДНК и т.д.) и которые используются оператором для установления личности субъекта.
Классификация персональных данных
Закон выделяет несколько категорий персональных данных, к которым предъявляются разные требования по обработке:
- Общедоступные персональные данные: Данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (например, данные в справочниках, телефонных книгах, адресных базах, опубликованные самим субъектом).
- Специальные категории персональных данных: Данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка по общему правилу запрещается, за исключением случаев, прямо предусмотренных законом (например, в медицинских целях, для обеспечения безопасности, в рамках судопроизводства).
- Биометрические персональные данные: Данные, характеризующие физиологические особенности человека. Их обработка допускается только с письменного согласия субъекта, за исключением случаев, установленных законом (например, в связи с осуществлением правосудия, при идентификации в государственных информационных системах).
- Иные персональные данные: Все остальные данные, не отнесенные к специальным или биометрическим (например, ФИО, контакты, сведения об образовании, месте работы).
Принципы обработки персональных данных
Статья 5 закона устанавливает следующие принципы:
- Законность и справедливость: Обработка должна осуществляться на законной основе и справедливо по отношению к субъекту.
- Целевой характер: Обработка ограничивается достижением конкретных, заранее определенных и законных целей.
- Соответствие целям: Содержание и объем обрабатываемых данных должны соответствовать заявленным целям. Не допускается избыточность данных.
- Достоверность и актуальность: Оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
- Ограничение срока хранения: Хранение данных осуществляется не дольше, чем этого требуют цели обработки, если иное не установлено законом.
- Конфиденциальность: Оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено законом.
Права субъекта персональных данных
Субъект персональных данных имеет право:
- На доступ к своим данным: Требовать от оператора подтверждения факта обработки, ознакомления с ними, получения информации о целях, способах, сроках обработки.
- На уточнение, блокирование и уничтожение: Требовать исправления неточных данных, блокирования или уничтожения незаконно обрабатываемых данных.
- На отзыв согласия: В любой момент отозвать согласие на обработку персональных данных, что влечет за собой прекращение обработки (если она не может быть продолжена на ином законном основании).
- На обжалование действий оператора: Обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
- На возмещение убытков и компенсацию морального вреда: В случае нарушения его прав.
Обязанности оператора
Оператор обязан:
- Обеспечивать конфиденциальность обрабатываемых данных.
- Получать согласие субъекта на обработку (за исключением установленных законом случаев).
- Уведомлять Роскомнадзор о начале обработки (за исключением случаев, когда уведомление не требуется).
- Принимать правовые, организационные и технические меры для защиты данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения.
- Назначать лицо, ответственное за организацию обработки персональных данных.
- Обеспечивать реализацию прав субъектов.
- В случае утечки данных уведомлять Роскомнадзор и пострадавших субъектов (в установленных законом случаях).
- Обеспечивать локализацию баз данных с персональными данными граждан РФ на территории РФ (с 2015 года).
Органы, контролирующие исполнение закона
Основным уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Он осуществляет контроль и надзор за соответствием обработки персональных данных требованиям закона, ведет реестр операторов, рассматривает жалобы граждан, выдает предписания и привлекает к административной ответственности. Также в контроле участвуют Федеральная служба безопасности (ФСБ) и Федеральная служба по техническому и экспортному контролю (ФСТЭК), которые устанавливают требования к технической защите данных.
Ответственность за нарушение закона
Нарушение требований 152-ФЗ влечет за собой:
- Административную ответственность (КоАП РФ, статьи 13.11, 13.12, 13.14, 19.7 и др.): Штрафы для должностных лиц и юридических лиц. С 2023 года размеры штрафов за утечки данных существенно увеличены (до 3% годовой выручки, но не менее 500 тыс. рублей и не более 15 млн рублей для юридических лиц). За повторные нарушения — до 3% выручки, но не менее 1 млн рублей.
- Уголовную ответственность (УК РФ, статья 137 — нарушение неприкосновенности частной жизни, статья 183 — незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну): Вплоть до лишения свободы.
- Гражданско-правовую ответственность: Возмещение убытков и компенсация морального вреда по иску пострадавшего субъекта.
- Дисциплинарную ответственность: Для работников, нарушивших правила обработки данных.
Критика и проблемы
Закон подвергается критике по нескольким направлениям:
- Избыточность требований: Некоторые эксперты считают, что требования к уведомлению Роскомнадзора и получению согласий излишне бюрократизированы и создают нагрузку на бизнес, особенно малый.
- Неоднозначность формулировок: Трактовка таких понятий, как «трансграничная передача», «обезличивание» и «биометрические данные», вызывает споры и требует судебных разъяснений.
- Эффективность контроля: Критикуется недостаточная оперативность реагирования Роскомнадзора на массовые утечки данных и сравнительно низкие (до 2023 года) штрафы, которые не являлись сдерживающим фактором для крупных компаний.
- Конфликт с международными стандартами: Требование о локализации баз данных (2015 год) вызвало критику со стороны международного сообщества и некоторых транснациональных компаний, которые были вынуждены переносить серверы в Россию или ограничивать свою деятельность. В то же время, закон соответствует тенденциям «цифрового суверенитета», принятым в ряде стран (Китай, Индия, Бразилия).
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Кодекс Российской Федерации об административных правонарушениях (КоАП РФ).
- Уголовный кодекс Российской Федерации (УК РФ).
- Конституция Российской Федерации.
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).
- Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
- Разъяснения и методические рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →