Открыть сервис

Федеральный закон от 27.07.2006 № 152-ФЗ

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — это нормативный правовой акт Российской Федерации, регулирующий отношения, связанные с обработкой персональных данных физических лиц (субъектов персональных данных) операторами, включая сбор, систематизацию, накопление, хранение, уточнение, использование, распространение, обезличивание, блокирование и уничтожение данных. Закон направлен на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну. Принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года, подписан Президентом Российской Федерации 27 июля 2006 года и вступил в силу с 26 января 2007 года.

История принятия

Необходимость принятия закона была обусловлена развитием информационных технологий, ростом объёмов автоматизированной обработки данных и необходимостью гармонизации российского законодательства с европейскими стандартами защиты персональных данных, в частности с Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), к которой Россия присоединилась в 2005 году. До 2006 года в России отсутствовал единый федеральный закон, регулирующий данную сферу; нормы содержались в разрозненных отраслевых актах (например, в Трудовом кодексе, Законе «О банках и банковской деятельности»). Закон № 152-ФЗ стал первым комплексным актом в этой области. В последующие годы в него неоднократно вносились изменения, направленные на уточнение требований к операторам, усиление контроля за трансграничной передачей данных и ужесточение ответственности за нарушения.

Основные понятия

Закон вводит и определяет ключевые термины, используемые в сфере обработки персональных данных:

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). К ним относятся: фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, ИНН, СНИЛС, номер телефона, адрес электронной почты, биометрические данные (изображение лица, отпечатки пальцев), сведения об образовании, доходах, состоянии здоровья и другие.
  • Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав данных и действия с ними.
  • Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
  • Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или юридическому лицу.
  • Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
  • Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (изображение лица, отпечатки пальцев, радужная оболочка глаза, голос, ДНК).

Принципы обработки персональных данных

Закон устанавливает следующие принципы, которым должна соответствовать обработка персональных данных:

  1. Законность и справедливость — обработка должна осуществляться на законной основе и не нарушать права субъектов.
  2. Ограничение целями — обработка допускается только для достижения конкретных, заранее определённых и законных целей. Не допускается обработка, несовместимая с этими целями.
  3. Соответствие объёма и характера — содержание и объём обрабатываемых данных должны соответствовать заявленным целям обработки.
  4. Достоверность и достаточность — данные должны быть достоверными, актуальными и достаточными для целей обработки.
  5. Недопустимость избыточности — не допускается обработка данных, избыточных по отношению к заявленным целям.
  6. Срок хранения — данные должны храниться не дольше, чем этого требуют цели обработки, если иное не установлено федеральным законом или договором.
  7. Конфиденциальность — оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять без согласия субъекта, если иное не предусмотрено законом.

Условия обработки персональных данных

Обработка персональных данных допускается только при наличии хотя бы одного из следующих условий:

  • Согласие субъекта персональных данных на обработку его данных.
  • Обработка необходима для достижения целей, предусмотренных международным договором или законодательством РФ.
  • Обработка необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица.
  • Обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект.
  • Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.
  • Обработка осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания данных.
  • Обработка осуществляется в связи с реализацией полномочий государственных или муниципальных органов.
  • Обработка осуществляется в связи с профессиональной деятельностью журналиста или в научных, литературных или иных творческих целях.
  • Обработка осуществляется в отношении персональных данных, сделанных общедоступными субъектом.

Согласие на обработку персональных данных

Согласие субъекта является одним из основных правовых оснований для обработки. Закон предъявляет к нему строгие требования:

  • Согласие должно быть конкретным, информированным и сознательным.
  • Оно может быть дано в любой форме, позволяющей подтвердить факт его получения (письменной, электронной, в виде конклюдентных действий).
  • В случаях, установленных законом (например, обработка биометрических данных, передача данных третьим лицам), согласие должно быть дано в письменной форме.
  • Согласие должно содержать: фамилию, имя, отчество субъекта; адрес; данные документа, удостоверяющего личность; наименование и адрес оператора; цель обработки; перечень данных; перечень действий с данными; срок действия согласия и способ его отзыва; подпись субъекта.
  • Субъект вправе отозвать согласие в любое время. Оператор обязан прекратить обработку и уничтожить данные в течение 30 дней, если иное не предусмотрено законом.

Права субъекта персональных данных

Закон предоставляет субъекту следующие права:

  • Право на доступ к своим данным — получать от оператора информацию, касающуюся обработки его персональных данных (цели, способы, источники получения, сроки обработки, перечень третьих лиц, которым они передаются).
  • Право на уточнение, блокирование и уничтожение — требовать от оператора уточнения, блокирования или уничтожения данных, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  • Право на отзыв согласия — в любой момент отозвать согласие на обработку.
  • Право на обжалование — обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
  • Право на возмещение убытков и компенсацию морального вреда — в случае нарушения его прав.

Обязанности оператора

Оператор обязан:

  • Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных (политика конфиденциальности).
  • Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения.
  • Назначить ответственного за организацию обработки персональных данных.
  • Уведомить Роскомнадзор о намерении осуществлять обработку персональных данных (за исключением случаев, установленных законом).
  • Обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации (требование о локализации данных).
  • Прекратить обработку и уничтожить данные при отзыве согласия субъектом или при достижении целей обработки.

Требование о локализации персональных данных

Одним из ключевых положений, введённых в 2015 году (Федеральный закон от 21.07.2014 № 242-ФЗ), является требование о том, что при сборе персональных данных граждан Российской Федерации оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации. Это означает, что первичная обработка данных российских пользователей должна происходить в России. Трансграничная передача данных допускается, но только после их фиксации в российских базах данных и при соблюдении условий, установленных законом.

Государственный контроль и надзор

Контроль и надзор за соблюдением требований закона осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Роскомнадзор ведёт реестр операторов, проводит плановые и внеплановые проверки, рассматривает жалобы граждан, выдаёт предписания об устранении нарушений, составляет протоколы об административных правонарушениях. За нарушение законодательства о персональных данных предусмотрена административная (статья 13.11 КоАП РФ), уголовная (статья 137 УК РФ) и гражданско-правовая ответственность.

Значение и критика

Закон № 152-ФЗ стал основой для формирования системы защиты персональных данных в России. Он способствовал повышению ответственности организаций за обработку личных данных граждан, внедрению мер безопасности и усилению контроля со стороны государства. Вместе с тем, закон неоднократно подвергался критике. Основные претензии касаются:

  • Избыточности требований — сложности бюрократических процедур, особенно для малого бизнеса.
  • Неопределённости формулировок — размытость некоторых понятий, что приводит к различному толкованию норм.
  • Требования о локализации — критикуется как барьер для международной торговли и технологического развития, а также как инструмент усиления государственного контроля.
  • Практики применения — отмечается, что на практике многие операторы формально соблюдают требования, а реальная защита данных остаётся недостаточной из-за слабой системы контроля и низких штрафов.

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
  2. Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
  3. Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
  4. Уголовный кодекс Российской Федерации (статья 137).
  5. Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).
  6. Официальные разъяснения и методические рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →