Закон о хранении персональных данных
Закон о хранении персональных данных — это совокупность нормативных правовых актов, регулирующих порядок сбора, обработки, хранения, передачи и уничтожения персональных данных граждан, а также устанавливающих требования к операторам таких данных и меры ответственности за их нарушение. В Российской Федерации основным законом в этой сфере является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», а также ряд подзаконных актов, включая требования к локализации данных на территории России.
История развития законодательства
Первые международные акты
Правовое регулирование персональных данных начало формироваться во второй половине XX века. В 1980 году Организация экономического сотрудничества и развития (ОЭСР) приняла «Руководящие принципы защиты неприкосновенности частной жизни и трансграничных потоков персональных данных». В 1995 году Европейский союз утвердил Директиву 95/46/EC о защите физических лиц при обработке персональных данных, ставшую основой для национальных законов стран-членов ЕС. В 2018 году её заменил Общий регламент по защите данных (GDPR), который ввёл жёсткие требования к хранению и обработке данных, включая экстерриториальное действие.
Развитие в России
В России регулирование персональных данных началось с принятия в 1995 году Федерального закона «Об информации, информатизации и защите информации». Однако специализированный закон № 152-ФЗ «О персональных данных» был принят в 2006 году и вступил в силу в 2007 году. Он установил базовые принципы обработки, права субъектов данных и обязанности операторов. В 2015 году в закон были внесены поправки, известные как «закон о локализации персональных данных» (Федеральный закон № 242-ФЗ), которые обязали операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории России. В 2021 году вступили в силу поправки, ужесточающие требования к уведомлению Роскомнадзора о начале обработки данных и к трансграничной передаче.
Основные понятия и субъекты
Персональные данные
Согласно статье 3 закона № 152-ФЗ, персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). К ним относятся: фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, сведения об образовании, доходах, состоянии здоровья, биометрические данные, а также IP-адреса, файлы cookie и иные идентификаторы, если они позволяют установить личность.
Оператор и субъект
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и состав таких данных. Субъект — физическое лицо, к которому относятся обрабатываемые данные.
Обработка персональных данных
Под обработкой понимается любое действие (операция) или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Требования к хранению персональных данных
Локализация данных
Основное требование российского законодательства — хранение персональных данных граждан РФ на серверах, физически расположенных на территории Российской Федерации. Это касается всех операторов, за исключением случаев, прямо предусмотренных законом (например, для международных договоров). Нарушение этого требования влечёт административную и уголовную ответственность. Роскомнадзор ведёт реестр нарушителей и может блокировать доступ к сайтам, не выполняющим требование о локализации.
Сроки хранения
Сроки хранения персональных данных определяются целями их обработки и не могут превышать сроков, установленных законодательством или договором. По достижении целей обработки или утраты необходимости в них данные должны быть уничтожены или обезличены. Например, кадровые данные хранятся в течение 75 лет (для документов по личному составу) или 50 лет (для личных дел, не связанных с трудовыми отношениями), после чего подлежат уничтожению или передаче в архив.
Безопасность хранения
Оператор обязан принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий. К таким мерам относятся:
- назначение ответственного за организацию обработки;
- утверждение политики обработки;
- применение средств защиты информации (антивирусы, межсетевые экраны, системы обнаружения вторжений);
- шифрование данных;
- разграничение доступа;
- регулярное обучение сотрудников.
Уведомление Роскомнадзора
До начала обработки персональных данных оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку, за исключением случаев, предусмотренных законом (например, обработка данных работниками в рамках трудовых отношений, обработка данных, полученных в рамках одного договора, и др.). Уведомление должно содержать сведения об операторе, цели обработки, категории данных, правовое основание, меры по обеспечению безопасности и сроки уничтожения.
Виды персональных данных
Общие персональные данные
К ним относятся стандартные сведения, не отнесённые к специальным категориям: фамилия, имя, отчество, дата рождения, адрес, контактные данные, сведения об образовании, профессии, доходах и т.д. Обработка таких данных допускается с согласия субъекта или при наличии иного законного основания.
Специальные категории
К специальным категориям относятся данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обработка таких данных, как правило, запрещается, за исключением случаев, прямо указанных в законе: например, с согласия субъекта, для целей медицинской диагностики, в рамках трудовых отношений (если это предусмотрено законом), для обеспечения безопасности государства и др.
Биометрические персональные данные
Биометрические данные — это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность: отпечатки пальцев, радужная оболочка глаза, геномная информация, изображение лица (фотография), голос. Обработка биометрических данных допускается только с письменного согласия субъекта, за исключением случаев, предусмотренных законом (например, для идентификации в государственных информационных системах, в рамках уголовного судопроизводства).
Права субъекта персональных данных
Право на доступ
Субъект имеет право получать от оператора информацию, касающуюся обработки его персональных данных, включая:
- подтверждение факта обработки;
- правовые основания и цели обработки;
- способы обработки;
- наименование и место нахождения оператора;
- сведения о лицах, имеющих доступ к данным;
- перечень обрабатываемых данных и источник их получения;
- сроки обработки и хранения;
- сведения о трансграничной передаче.
Право на уточнение, блокирование и уничтожение
Если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, субъект вправе требовать их уточнения, блокирования или уничтожения. Оператор обязан выполнить требование в течение 7 рабочих дней (в отдельных случаях — 30 дней) с момента получения запроса.
Право на отзыв согласия
Субъект вправе отозвать согласие на обработку персональных данных в любой момент. В этом случае оператор обязан прекратить обработку и уничтожить данные в течение 30 дней, если иное не предусмотрено законом (например, если данные необходимы для исполнения договора или обязательств перед государством).
Право на обжалование
Субъект может обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд. Роскомнадзор рассматривает жалобы и может выносить предписания об устранении нарушений, привлекать к административной ответственности.
Ответственность за нарушения
Административная ответственность
Кодекс Российской Федерации об административных правонарушениях (КоАП РФ) предусматривает ответственность за нарушение законодательства о персональных данных. Статья 13.11 КоАП РФ устанавливает штрафы:
- для должностных лиц — от 5 000 до 10 000 рублей;
- для юридических лиц — от 30 000 до 50 000 рублей (за первое нарушение);
- за повторное нарушение — до 100 000 рублей для должностных лиц и до 500 000 рублей для юридических лиц.
За нарушение требований о локализации данных (статья 13.11.1 КоАП РФ) штрафы составляют: для должностных лиц — от 50 000 до 100 000 рублей, для юридических лиц — от 1 000 000 до 6 000 000 рублей.
Уголовная ответственность
Уголовный кодекс РФ (статья 137) предусматривает ответственность за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия. Наказание может включать штраф до 200 000 рублей, обязательные работы, исправительные работы, арест до 4 месяцев, лишение свободы до 2 лет. Квалифицированные составы (с использованием служебного положения, в отношении несовершеннолетних, с причинением вреда здоровью) влекут более строгое наказание — до 5 лет лишения свободы.
Иные меры
Роскомнадзор вправе блокировать доступ к информационным ресурсам, нарушающим требования о локализации данных, а также требовать прекращения обработки данных. В случае систематических нарушений возможно приостановление деятельности оператора.
Международные аспекты
Трансграничная передача
Трансграничная передача персональных данных — это передача данных на территорию иностранного государства. Российское законодательство требует, чтобы такая передача осуществлялась только в страны, обеспечивающие адекватную защиту прав субъектов. Перечень таких стран утверждается Роскомнадзором (включает государства ЕС, Великобританию, США, Канаду, Японию и др.). Передача в страны, не входящие в перечень, допускается при наличии согласия субъекта, исполнения договора, защиты жизни и здоровья, а также в иных случаях, предусмотренных законом.
Сравнение с GDPR
Общий регламент по защите данных (GDPR) Европейского союза, вступивший в силу в 2018 году, является одним из самых строгих в мире. Он устанавливает экстерриториальное действие (применяется к любым операторам, обрабатывающим данные резидентов ЕС), высокие штрафы (до 20 миллионов евро или 4% от годового оборота), обязательное назначение представителя в ЕС, требование оценки воздействия на защиту данных и уведомления о нарушениях в течение 72 часов. Российское законодательство в целом схоже с GDPR по принципам, но отличается деталями: например, сроки уведомления о нарушениях в России составляют 24 часа, а пороги штрафов значительно ниже.
Критика и проблемы
Сложность исполнения
Малые и средние предприятия часто сталкиваются с трудностями при выполнении требований закона: необходимость назначения ответственного, разработка политики, внедрение технических средств защиты, ведение уведомлений. Это создаёт дополнительную административную нагрузку.
Споры о локализации
Требование о локализации данных критикуется зарубежными компаниями и правозащитниками как ограничение трансграничного потока информации и создание барьеров для международного бизнеса. Некоторые эксперты указывают на риск фрагментации интернета и снижения конкурентоспособности российских компаний.
Неопределённость в определении
Отсутствие чёткого перечня «персональных данных» и критериев их отнесения к той или иной категории приводит к разночтениям в судебной практике и разъяснениям Роскомнадзора. Например, IP-адреса и файлы cookie в ряде случаев признаются персональными данными, но не всегда.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями).
- Кодекс Российской Федерации об административных правонарушениях (статья 13.11, 13.11.1).
- Уголовный кодекс Российской Федерации (статья 137).
- Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
- Регламент Европейского парламента и Совета Европейского союза 2016/679 (GDPR).
- Разъяснения Роскомнадзора по вопросам локализации персональных данных (2015–2024).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →