Открыть сервис

Федеральный закон о персональных данных

Федеральный закон «О персональных данных» (№ 152-ФЗ) — это нормативный правовой акт Российской Федерации, регулирующий отношения, связанные с обработкой персональных данных граждан физическими и юридическими лицами, а также государственными органами и органами местного самоуправления. Закон был принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года и подписан Президентом Российской Федерации 27 июля 2006 года. Вступил в силу 26 января 2007 года. Основная цель закона — обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

История принятия и развития

Предпосылки появления

До принятия 152-ФЗ в России отсутствовал единый законодательный акт, комплексно регулирующий оборот персональных данных. Существовали лишь разрозненные нормы в Конституции РФ (статья 23 — право на неприкосновенность частной жизни, статья 24 — запрет на сбор информации о частной жизни без согласия), Трудовом кодексе, Законе «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ) и отраслевых законах. Необходимость в специальном законе возникла в связи с ратификацией Россией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108) в 2005 году, а также с развитием информационных технологий и массовым сбором данных.

Основные этапы изменений

Закон неоднократно подвергался существенным изменениям. Ключевые поправки включают:

  • 2010 год: Введено требование об уведомлении Роскомнадзора о начале обработки персональных данных.
  • 2015 год: Принят Федеральный закон № 242-ФЗ («Закон о локализации данных»), обязывающий операторов при сборе персональных данных граждан РФ обеспечивать их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение с использованием баз данных, находящихся на территории РФ. Вступил в силу 1 сентября 2015 года.
  • 2017 год: Уточнены требования к обработке биометрических персональных данных (изображения, голос) и введена административная ответственность за невыполнение требований по локализации.
  • 2021 год: Введены повышенные штрафы за утечки персональных данных, а также обязанность операторов уведомлять Роскомнадзор о фактах неправомерной передачи данных.
  • 2023–2024 годы: Ужесточение ответственности за повторные нарушения, введение оборотных штрафов (до 3% годовой выручки) за утечки, а также расширение перечня случаев, когда согласие на обработку не требуется (например, для исполнения договора, в целях безопасности).

Основные понятия и определения

Закон вводит и закрепляет ключевую терминологию:

  • Персональные данные (ПДн): Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Это может быть фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, ИНН, СНИЛС, номер телефона, адрес электронной почты, сведения об образовании, профессии, доходах, состоянии здоровья, биометрические данные (фотография, отпечатки пальцев, голос) и т.д.
  • Оператор: Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и состав обрабатываемых данных, действия (операции), совершаемые с ними.
  • Обработка персональных данных: Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными. Включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
  • Субъект персональных данных: Физическое лицо, к которому относятся обрабатываемые данные.
  • Трансграничная передача: Передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
  • Биометрические персональные данные: Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (изображение лица, отпечатки пальцев, радужная оболочка глаза, голос, ДНК и т.д.) и которые используются оператором для установления личности субъекта.

Классификация персональных данных

Закон выделяет несколько категорий персональных данных, к которым предъявляются разные требования по обработке:

  • Общедоступные персональные данные: Данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности (например, данные в справочниках, телефонных книгах, адресных базах, опубликованные самим субъектом).
  • Специальные категории персональных данных: Данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка по общему правилу запрещается, за исключением случаев, прямо предусмотренных законом (например, в медицинских целях, для обеспечения безопасности, в рамках судопроизводства).
  • Биометрические персональные данные: Данные, характеризующие физиологические особенности человека. Их обработка допускается только с письменного согласия субъекта, за исключением случаев, установленных законом (например, в связи с осуществлением правосудия, при идентификации в государственных информационных системах).
  • Иные персональные данные: Все остальные данные, не отнесенные к специальным или биометрическим (например, ФИО, контакты, сведения об образовании, месте работы).

Принципы обработки персональных данных

Статья 5 закона устанавливает следующие принципы:

  1. Законность и справедливость: Обработка должна осуществляться на законной основе и справедливо по отношению к субъекту.
  2. Целевой характер: Обработка ограничивается достижением конкретных, заранее определенных и законных целей.
  3. Соответствие целям: Содержание и объем обрабатываемых данных должны соответствовать заявленным целям. Не допускается избыточность данных.
  4. Достоверность и актуальность: Оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
  5. Ограничение срока хранения: Хранение данных осуществляется не дольше, чем этого требуют цели обработки, если иное не установлено законом.
  6. Конфиденциальность: Оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено законом.

Права субъекта персональных данных

Субъект персональных данных имеет право:

  • На доступ к своим данным: Требовать от оператора подтверждения факта обработки, ознакомления с ними, получения информации о целях, способах, сроках обработки.
  • На уточнение, блокирование и уничтожение: Требовать исправления неточных данных, блокирования или уничтожения незаконно обрабатываемых данных.
  • На отзыв согласия: В любой момент отозвать согласие на обработку персональных данных, что влечет за собой прекращение обработки (если она не может быть продолжена на ином законном основании).
  • На обжалование действий оператора: Обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
  • На возмещение убытков и компенсацию морального вреда: В случае нарушения его прав.

Обязанности оператора

Оператор обязан:

  • Обеспечивать конфиденциальность обрабатываемых данных.
  • Получать согласие субъекта на обработку (за исключением установленных законом случаев).
  • Уведомлять Роскомнадзор о начале обработки (за исключением случаев, когда уведомление не требуется).
  • Принимать правовые, организационные и технические меры для защиты данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения.
  • Назначать лицо, ответственное за организацию обработки персональных данных.
  • Обеспечивать реализацию прав субъектов.
  • В случае утечки данных уведомлять Роскомнадзор и пострадавших субъектов (в установленных законом случаях).
  • Обеспечивать локализацию баз данных с персональными данными граждан РФ на территории РФ (с 2015 года).

Органы, контролирующие исполнение закона

Основным уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Он осуществляет контроль и надзор за соответствием обработки персональных данных требованиям закона, ведет реестр операторов, рассматривает жалобы граждан, выдает предписания и привлекает к административной ответственности. Также в контроле участвуют Федеральная служба безопасности (ФСБ) и Федеральная служба по техническому и экспортному контролю (ФСТЭК), которые устанавливают требования к технической защите данных.

Ответственность за нарушение закона

Нарушение требований 152-ФЗ влечет за собой:

  • Административную ответственность (КоАП РФ, статьи 13.11, 13.12, 13.14, 19.7 и др.): Штрафы для должностных лиц и юридических лиц. С 2023 года размеры штрафов за утечки данных существенно увеличены (до 3% годовой выручки, но не менее 500 тыс. рублей и не более 15 млн рублей для юридических лиц). За повторные нарушения — до 3% выручки, но не менее 1 млн рублей.
  • Уголовную ответственность (УК РФ, статья 137 — нарушение неприкосновенности частной жизни, статья 183 — незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну): Вплоть до лишения свободы.
  • Гражданско-правовую ответственность: Возмещение убытков и компенсация морального вреда по иску пострадавшего субъекта.
  • Дисциплинарную ответственность: Для работников, нарушивших правила обработки данных.

Критика и проблемы

Закон подвергается критике по нескольким направлениям:

  • Избыточность требований: Некоторые эксперты считают, что требования к уведомлению Роскомнадзора и получению согласий излишне бюрократизированы и создают нагрузку на бизнес, особенно малый.
  • Неоднозначность формулировок: Трактовка таких понятий, как «трансграничная передача», «обезличивание» и «биометрические данные», вызывает споры и требует судебных разъяснений.
  • Эффективность контроля: Критикуется недостаточная оперативность реагирования Роскомнадзора на массовые утечки данных и сравнительно низкие (до 2023 года) штрафы, которые не являлись сдерживающим фактором для крупных компаний.
  • Конфликт с международными стандартами: Требование о локализации баз данных (2015 год) вызвало критику со стороны международного сообщества и некоторых транснациональных компаний, которые были вынуждены переносить серверы в Россию или ограничивать свою деятельность. В то же время, закон соответствует тенденциям «цифрового суверенитета», принятым в ряде стран (Китай, Индия, Бразилия).

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Кодекс Российской Федерации об административных правонарушениях (КоАП РФ).
  3. Уголовный кодекс Российской Федерации (УК РФ).
  4. Конституция Российской Федерации.
  5. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).
  6. Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
  7. Разъяснения и методические рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →