Закон № 27-ФЗ
Закон № 27-ФЗ — это федеральный закон Российской Федерации «О персональных данных», принятый Государственной Думой 8 июля 2006 года и одобренный Советом Федерации 14 июля 2006 года. Закон вступил в силу 26 января 2007 года, за исключением отдельных положений, для которых установлены иные сроки. Он регулирует отношения, связанные с обработкой персональных данных граждан Российской Федерации, а также иностранных граждан и лиц без гражданства, если обработка осуществляется на территории РФ или с использованием технических средств, расположенных на её территории. Закон направлен на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
История принятия
Необходимость принятия закона была обусловлена развитием информационных технологий, ростом объёмов собираемых данных и участившимися случаями их утечек. До 2006 года в России отсутствовал единый законодательный акт, комплексно регулирующий оборот персональных данных. Основой для разработки законопроекта послужили положения Конституции РФ (статья 23 о праве на неприкосновенность частной жизни) и международные стандарты, в частности Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108), ратифицированная Россией в 2005 году.
Первая редакция закона была принята в 2006 году и вступила в силу в 2007 году. Впоследствии в него неоднократно вносились изменения, наиболее значительные из которых были приняты в 2010, 2014, 2015, 2021 и 2022 годах. Эти поправки уточняли требования к трансграничной передаче данных, вводили обязательное уведомление Роскомнадзора, устанавливали ответственность за нарушения и ужесточали контроль за обработкой биометрических и специальных категорий данных.
Основные понятия и сфера действия
Закон № 27-ФЗ определяет ключевые термины, используемые в сфере персональных данных:
- Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). К ним относятся: фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, номер телефона, адрес электронной почты, сведения об образовании, доходах, состоянии здоровья, биометрические данные и др.
- Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и состав таких данных.
- Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- Трансграничная передача — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или юридическому лицу.
- Обезличивание — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Закон распространяется на все виды обработки персональных данных, включая сбор, хранение, использование, передачу, блокирование и уничтожение. Исключение составляют случаи обработки данных исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов, а также обработка данных, отнесённых к государственной тайне.
Принципы обработки персональных данных
Статья 5 закона устанавливает следующие принципы обработки персональных данных:
- Законность и справедливость — обработка должна осуществляться на законной основе и не нарушать прав субъекта.
- Ограничение целями — обработка допускается только для достижения конкретных, заранее определённых и законных целей.
- Соответствие объёма — содержание и объём обрабатываемых данных должны соответствовать заявленным целям обработки. Не допускается избыточность данных.
- Достоверность и актуальность — оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
- Срок хранения — данные должны храниться не дольше, чем этого требуют цели обработки, если иное не установлено федеральным законом.
- Конфиденциальность — оператор обязан обеспечивать сохранность данных и не допускать их распространения без согласия субъекта или иного законного основания.
Условия обработки персональных данных
Обработка персональных данных допускается только при наличии хотя бы одного из следующих условий (статья 6):
- Согласие субъекта персональных данных на обработку его данных.
- Обработка необходима для достижения целей, предусмотренных международным договором РФ или законом.
- Обработка необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица.
- Обработка необходима для исполнения договора, стороной которого является субъект данных, или для заключения договора по инициативе субъекта.
- Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно.
- Обработка осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания данных.
- Обработка необходима для профессиональной деятельности журналиста или в научных, литературных или иных творческих целях, если при этом не нарушаются права субъекта.
Особые требования предъявляются к обработке специальных категорий персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) и биометрических данных (физиологических и биологических характеристик человека, используемых для его идентификации). Такая обработка, за редкими исключениями, допускается только с письменного согласия субъекта.
Права субъекта персональных данных
Закон предоставляет субъекту персональных данных следующие основные права:
- Право на доступ — требовать от оператора подтверждения факта обработки его данных, ознакомления с ними и получения информации об основаниях и целях обработки.
- Право на уточнение — требовать внесения изменений, если данные являются неполными, устаревшими, неточными или незаконно полученными.
- Право на блокирование и уничтожение — требовать блокирования или уничтожения данных, если они являются незаконно полученными, не являются необходимыми для заявленной цели обработки или если отозвано согласие на обработку.
- Право на отзыв согласия — в любой момент отозвать согласие на обработку персональных данных, если иное не установлено законом.
- Право на обжалование — обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
- Право на возмещение убытков — требовать возмещения морального вреда и убытков, причинённых нарушением закона.
Обязанности оператора
Операторы персональных данных обязаны:
- Уведомлять Роскомнадзор о намерении осуществлять обработку персональных данных (за исключением случаев, когда обработка осуществляется без уведомления, например, при трудовых отношениях или в рамках исполнения договора).
- Получать согласие субъекта на обработку его данных, за исключением случаев, установленных законом.
- Обеспечивать конфиденциальность и безопасность данных при их обработке.
- Назначать ответственного за организацию обработки персональных данных.
- Принимать меры по предотвращению несанкционированного доступа, уничтожения, модификации, блокирования, копирования, распространения данных.
- Уничтожать данные по достижении целей обработки или в случае отзыва согласия.
- Публиковать политику обработки персональных данных и сведения о реализуемых требованиях к защите данных.
Трансграничная передача данных
До 2015 года закон допускал свободную передачу персональных данных за рубеж, если страна-получатель обеспечивала адекватную защиту прав субъектов. С 1 сентября 2015 года вступили в силу поправки, обязывающие операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (так называемое требование о локализации данных). Передача данных за рубеж допускается только после их первичной обработки на территории России.
С 1 марта 2023 года вступили в силу дополнительные требования к трансграничной передаче: операторы обязаны уведомлять Роскомнадзор о намерении передавать данные за рубеж, а также получать его разрешение в случае, если страна-получатель не входит в перечень стран, обеспечивающих адекватную защиту прав субъектов.
Контроль и ответственность
Контроль за соблюдением закона осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Он проводит плановые и внеплановые проверки операторов, рассматривает жалобы граждан, ведёт реестр операторов.
Нарушение требований закона влечёт административную, уголовную и гражданско-правовую ответственность. Основные виды наказаний предусмотрены Кодексом об административных правонарушениях (КоАП РФ):
- Штрафы для должностных лиц — от 5 000 до 50 000 рублей.
- Штрафы для юридических лиц — от 30 000 до 300 000 рублей (за первичное нарушение) и до 500 000 рублей (за повторное).
- За утечку персональных данных (с 2023 года) — оборотные штрафы для юрлиц от 1% до 3% годовой выручки, но не менее 1 000 000 рублей и не более 15 000 000 рублей.
- За неисполнение требования о локализации данных — штраф до 6 000 000 рублей.
- Уголовная ответственность (статья 137 УК РФ) — за незаконное собирание или распространение сведений о частной жизни лица, в том числе с использованием служебного положения, вплоть до лишения свободы на срок до 5 лет.
Критика и проблемы применения
Закон № 27-ФЗ неоднократно подвергался критике со стороны экспертов, правозащитников и бизнес-сообщества. Основные претензии касаются:
- Избыточности требований — особенно в части локализации данных, что создаёт дополнительные издержки для компаний, работающих с глобальными IT-системами.
- Неопределённости формулировок — некоторые положения закона (например, понятие «обезличивание» или «трансграничная передача») трактуются неоднозначно, что порождает правовые риски.
- Сложности для малого бизнеса — требования к обработке данных часто оказываются непосильными для небольших организаций, не имеющих штатных специалистов по защите данных.
- Неэффективности контроля — по мнению ряда экспертов, Роскомнадзор не всегда оперативно реагирует на утечки данных, а штрафы до 2023 года были недостаточно высокими для крупных компаний.
- Конфликта с международными стандартами — требование о локализации данных противоречит принципам свободного трансграничного потока информации, заложенным в некоторых международных соглашениях.
Несмотря на критику, закон остаётся основным регулятором в сфере персональных данных в России и продолжает совершенствоваться с учётом развития технологий и правоприменительной практики.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в действующей редакции).
- Конституция Российской Федерации.
- Кодекс Российской Федерации об административных правонарушениях (КоАП РФ).
- Уголовный кодекс Российской Федерации.
- Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
- Материалы судебной практики по делам о нарушении законодательства о персональных данных.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →