Открыть сервис

Закон № 27-ФЗ

Закон № 27-ФЗ — это федеральный закон Российской Федерации «О персональных данных», принятый Государственной Думой 8 июля 2006 года и одобренный Советом Федерации 14 июля 2006 года. Закон вступил в силу 26 января 2007 года, за исключением отдельных положений, для которых установлены иные сроки. Он регулирует отношения, связанные с обработкой персональных данных граждан Российской Федерации, а также иностранных граждан и лиц без гражданства, если обработка осуществляется на территории РФ или с использованием технических средств, расположенных на её территории. Закон направлен на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

История принятия

Необходимость принятия закона была обусловлена развитием информационных технологий, ростом объёмов собираемых данных и участившимися случаями их утечек. До 2006 года в России отсутствовал единый законодательный акт, комплексно регулирующий оборот персональных данных. Основой для разработки законопроекта послужили положения Конституции РФ (статья 23 о праве на неприкосновенность частной жизни) и международные стандарты, в частности Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), ратифицированная Россией в 2005 году.

Первая редакция закона была принята в 2006 году и вступила в силу в 2007 году. Впоследствии в него неоднократно вносились изменения, наиболее значительные из которых были приняты в 2010, 2014, 2015, 2021 и 2022 годах. Эти поправки уточняли требования к трансграничной передаче данных, вводили обязательное уведомление Роскомнадзора, устанавливали ответственность за нарушения и ужесточали контроль за обработкой биометрических и специальных категорий данных.

Основные понятия и сфера действия

Закон № 27-ФЗ определяет ключевые термины, используемые в сфере персональных данных:

Закон распространяется на все виды обработки персональных данных, включая сбор, хранение, использование, передачу, блокирование и уничтожение. Исключение составляют случаи обработки данных исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов, а также обработка данных, отнесённых к государственной тайне.

Принципы обработки персональных данных

Статья 5 закона устанавливает следующие принципы обработки персональных данных:

  1. Законность и справедливость — обработка должна осуществляться на законной основе и не нарушать прав субъекта.
  2. Ограничение целями — обработка допускается только для достижения конкретных, заранее определённых и законных целей.
  3. Соответствие объёма — содержание и объём обрабатываемых данных должны соответствовать заявленным целям обработки. Не допускается избыточность данных.
  4. Достоверность и актуальность — оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
  5. Срок хранения — данные должны храниться не дольше, чем этого требуют цели обработки, если иное не установлено федеральным законом.
  6. Конфиденциальность — оператор обязан обеспечивать сохранность данных и не допускать их распространения без согласия субъекта или иного законного основания.

Условия обработки персональных данных

Обработка персональных данных допускается только при наличии хотя бы одного из следующих условий (статья 6):

Особые требования предъявляются к обработке специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) и биометрических данных (физиологических и биологических характеристик человека, используемых для его идентификации). Такая обработка, за редкими исключениями, допускается только с письменного согласия субъекта.

Права субъекта персональных данных

Закон предоставляет субъекту персональных данных следующие основные права:

Обязанности оператора

Операторы персональных данных обязаны:

Трансграничная передача данных

До 2015 года закон допускал свободную передачу персональных данных за рубеж, если страна-получатель обеспечивала адекватную защиту прав субъектов. С 1 сентября 2015 года вступили в силу поправки, обязывающие операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (так называемое требование о локализации данных). Передача данных за рубеж допускается только после их первичной обработки на территории России.

С 1 марта 2023 года вступили в силу дополнительные требования к трансграничной передаче: операторы обязаны уведомлять Роскомнадзор о намерении передавать данные за рубеж, а также получать его разрешение в случае, если страна-получатель не входит в перечень стран, обеспечивающих адекватную защиту прав субъектов.

Контроль и ответственность

Контроль за соблюдением закона осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Он проводит плановые и внеплановые проверки операторов, рассматривает жалобы граждан, ведёт реестр операторов.

Нарушение требований закона влечёт административную, уголовную и гражданско-правовую ответственность. Основные виды наказаний предусмотрены Кодексом об административных правонарушениях (КоАП РФ):

Критика и проблемы применения

Закон № 27-ФЗ неоднократно подвергался критике со стороны экспертов, правозащитников и бизнес-сообщества. Основные претензии касаются:

Несмотря на критику, закон остаётся основным регулятором в сфере персональных данных в России и продолжает совершенствоваться с учётом развития технологий и правоприменительной практики.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →