ФЗ-152
Федеральный закон «О персональных данных» (ФЗ-152) — это нормативный правовой акт Российской Федерации, регулирующий отношения, связанные с обработкой персональных данных граждан. Принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля 2006 года, подписан Президентом РФ 27 июля 2006 года и вступил в силу 26 января 2007 года. Закон направлен на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.
История принятия
Необходимость принятия отдельного закона о персональных данных возникла в связи с ратификацией Россией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108) в 2005 году. До этого момента в российском законодательстве отсутствовал единый системный акт, регулирующий оборот персональных данных. Разрозненные нормы содержались в Трудовом кодексе, Законе «Об информации, информационных технологиях и о защите информации» и отраслевых актах.
Первая редакция ФЗ-152, принятая в 2006 году, устанавливала общие принципы обработки, права субъектов и обязанности операторов, а также требования к трансграничной передаче данных. Однако на практике закон вызвал значительные сложности, особенно в части обязательного уведомления Роскомнадзора о начале обработки и требований к хранению данных на территории РФ.
Основные понятия
Закон вводит и закрепляет следующие ключевые термины:
- Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). К ним относятся: фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, номер телефона, электронная почта, сведения о доходах, образовании, состоянии здоровья, биометрические данные и другие.
- Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и состав таких данных.
- Обработка персональных данных — любое действие (операция) или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Классификация персональных данных
Закон выделяет несколько категорий персональных данных, к которым предъявляются различные требования по обработке:
- Общедоступные персональные данные — данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта или на которые не распространяется требование конфиденциальности (например, сведения из справочников, телефонных книг, официальных реестров).
- Специальные категории персональных данных — данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обработка таких данных по общему правилу запрещена, за исключением случаев, прямо предусмотренных законом (например, в медицинских целях, при осуществлении правосудия, в целях трудовых отношений).
- Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (отпечатки пальцев, радужная оболочка глаза, изображение лица, голос, ДНК). Обработка биометрических данных допускается только с согласия субъекта, за исключением случаев, установленных федеральными законами (например, в уголовном судопроизводстве, при оформлении загранпаспорта).
- Иные категории — данные, не отнесённые к специальным или биометрическим, но подлежащие защите (например, контактные данные, сведения об образовании, трудовой деятельности).
Права субъекта персональных данных
Субъект (физическое лицо, чьи данные обрабатываются) обладает следующими правами:
- Право на получение информации об обработке его персональных данных (цели, способы, сроки, источники получения, лица, имеющие доступ).
- Право на уточнение, блокирование и уничтожение данных, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
- Право на отзыв согласия на обработку персональных данных.
- Право на обжалование действий или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
- Право на возмещение убытков и (или) компенсацию морального вреда.
Обязанности оператора
Оператор обязан:
- Обеспечивать конфиденциальность и безопасность персональных данных при их обработке.
- Получать согласие субъекта на обработку его персональных данных, за исключением случаев, установленных законом (например, для исполнения договора, для выполнения требований трудового законодательства, для защиты жизни и здоровья).
- Уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных (за исключением случаев, когда обработка осуществляется без уведомления, например, в рамках трудовых отношений, при обработке данных только сотрудниками оператора, при обработке данных, полученных в связи с заключением договора).
- Назначать ответственного за организацию обработки персональных данных.
- Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения.
- Прекращать обработку и уничтожать персональные данные при достижении целей обработки или при отзыве согласия субъектом.
Требования к локализации данных
Одним из ключевых и наиболее обсуждаемых положений ФЗ-152 является требование о локализации персональных данных граждан РФ. Согласно части 5 статьи 18, при сборе персональных данных, в том числе через интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации. Это требование вступило в силу 1 сентября 2015 года. Оно не запрещает дальнейшую передачу данных за рубеж, но обязывает хранить первичные записи на территории РФ.
Трансграничная передача
Передача персональных данных на территорию иностранных государств допускается при соблюдении определённых условий. Закон выделяет две группы стран:
- Страны, обеспечивающие адекватную защиту прав субъектов персональных данных (перечень утверждается Роскомнадзором). Передача в такие страны осуществляется без дополнительных ограничений.
- Страны, не обеспечивающие адекватной защиты. Передача в такие страны возможна только при наличии согласия субъекта в письменной форме, или в иных случаях, предусмотренных законом (например, для исполнения договора, для защиты жизни и здоровья).
Ответственность за нарушение
Нарушение требований ФЗ-152 влечёт за собой гражданско-правовую, административную, уголовную и дисциплинарную ответственность.
- Административная ответственность (КоАП РФ, статья 13.11): штрафы для должностных лиц от 10 000 до 100 000 рублей, для юридических лиц — от 60 000 до 18 000 000 рублей (в зависимости от состава правонарушения и повторности). Наиболее крупные штрафы предусмотрены за обработку специальных категорий данных без согласия, за невыполнение требования о локализации, за повторное нарушение.
- Уголовная ответственность (ст. 137, 138, 272 УК РФ): возможна за незаконный сбор или разглашение персональных данных, за неправомерный доступ к компьютерной информации, содержащей персональные данные.
- Гражданско-правовая ответственность: возмещение убытков и компенсация морального вреда.
Критика и проблемы
ФЗ-152 неоднократно подвергался критике со стороны бизнеса, правозащитников и экспертов в области информационной безопасности. Основные претензии:
- Чрезмерная бюрократизация: обязательное уведомление Роскомнадзора, необходимость разработки большого объёма внутренней документации, что создаёт дополнительную нагрузку на малый и средний бизнес.
- Неопределённость требований: некоторые нормы закона сформулированы расплывчато, что порождает разночтения и споры при правоприменении (например, что именно считать «базой данных, находящейся на территории РФ»).
- Требование о локализации: критикуется как ограничивающее свободу международной передачи данных и создающее дополнительные издержки для иностранных компаний, работающих в России. Также высказываются опасения, что это требование может быть использовано для усиления контроля государства за личной информацией граждан.
- Неэффективность защиты: несмотря на формальные требования, утечки персональных данных происходят регулярно, что свидетельствует о недостаточной эффективности существующей системы контроля и наказания.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
- Уголовный кодекс Российской Федерации (статьи 137, 138, 272).
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).
- Разъяснения и рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по вопросам применения ФЗ-152.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →