Закон о персональных данных
Закон о персональных данных — это совокупность нормативных правовых актов, регулирующих сбор, обработку, хранение, использование, передачу и защиту информации, относящейся к конкретному физическому лицу (субъекту персональных данных). В Российской Федерации основным законодательным актом в этой сфере является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ). Закон направлен на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, включая право на неприкосновенность частной жизни, личную и семейную тайну.
История развития законодательства
Предпосылки принятия
До середины 2000-х годов в России отсутствовал единый закон, регулирующий обращение с персональными данными. Отдельные нормы содержались в Гражданском кодексе РФ (ст. 150 о нематериальных благах), Трудовом кодексе РФ (глава 14), а также в Законе «Об информации, информационных технологиях и о защите информации» (2006 г.). Однако развитие информационных технологий, рост электронной коммерции и государственных услуг, а также необходимость выполнения международных обязательств (в частности, в рамках Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных 1981 года) потребовали создания специализированного закона.
Принятие и основные этапы
Закон № 152-ФЗ был принят Государственной Думой 8 июля 2006 года, одобрен Советом Федерации 14 июля и подписан Президентом РФ 27 июля 2006 года. Он вступил в силу с 1 января 2007 года, за исключением отдельных положений.
Ключевые изменения и дополнения вносились в 2011, 2014, 2015, 2019, 2021 и 2023 годах:
- 2011 год: Уточнены требования к уведомлению Роскомнадзора о начале обработки данных, введены понятия «трансграничная передача» и «автоматизированная обработка».
- 2014 год: Введена обязанность операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (так называемое «требование о локализации»).
- 2015 год: Ужесточены требования к согласию на обработку, введена форма согласия в электронном виде с использованием усиленной квалифицированной электронной подписи.
- 2019 год: Введены новые правила обработки биометрических персональных данных, уточнены требования к операторам, осуществляющим обработку данных несовершеннолетних.
- 2021 год: Усилена ответственность за утечки персональных данных, введены оборотные штрафы для юридических лиц.
- 2023 год: Введены дополнительные требования к согласию на обработку данных, в том числе для целей рекламы и маркетинга, а также уточнены правила обработки данных умерших лиц.
Основные понятия и термины
Закон № 152-ФЗ вводит и определяет следующие ключевые понятия:
- Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К ним относятся: фамилия, имя, отчество, дата и место рождения, адрес, паспортные данные, ИНН, СНИЛС, номер телефона, адрес электронной почты, фотографии, биометрические данные (отпечатки пальцев, изображение лица, голос), данные о состоянии здоровья, национальности, вероисповедании, политических взглядах, а также сведения о судимости.
- Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки.
- Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
- Согласие субъекта персональных данных — свободное, конкретное, информированное и однозначное волеизъявление субъекта персональных данных, в том числе в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, на обработку его персональных данных.
- Трансграничная передача — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (отпечатки пальцев, радужная оболочка глаза, изображение лица, голос, ДНК, группа крови, рост, вес и т.д.).
- Обезличивание — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
Принципы обработки персональных данных
Закон № 152-ФЗ устанавливает следующие принципы обработки персональных данных (ст. 5):
- Законность и справедливость: Обработка должна осуществляться на законной основе и в соответствии с целями, определенными законом или соглашением с субъектом.
- Целевой характер: Обработка должна быть ограничена достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора данных.
- Соразмерность: Содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки. Не допускается избыточность данных.
- Достоверность и актуальность: Оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
- Срок хранения: Обработка данных должна прекращаться по достижении целей обработки или в случае утраты необходимости в их достижении. Данные подлежат уничтожению или обезличиванию.
- Конфиденциальность: Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять без согласия субъекта.
Категории персональных данных
Закон выделяет несколько категорий персональных данных, к которым предъявляются разные требования:
- Общие персональные данные: ФИО, адрес, телефон, e-mail, паспортные данные, ИНН, СНИЛС и т.д. Обрабатываются с согласия субъекта или на иных законных основаниях.
- Специальные категории: Данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Обработка таких данных, как правило, запрещена, за исключением случаев, прямо предусмотренных законом (например, в целях трудовых отношений, медицинского обслуживания, судопроизводства).
- Биометрические персональные данные: Обрабатываются только с согласия субъекта в письменной форме, за исключением случаев, установленных законом (например, в целях государственной регистрации, в сфере безопасности).
- Данные о судимости: Обрабатываются только в случаях и порядке, установленных законом (например, при трудоустройстве в правоохранительные органы).
- Данные несовершеннолетних: Обработка допускается только с согласия законных представителей (родителей, опекунов) и в целях, связанных с образованием, воспитанием, медицинским обслуживанием.
Права субъекта персональных данных
Субъект персональных данных имеет право:
- На доступ к своим данным: Получать от оператора информацию, касающуюся обработки его персональных данных (цели, способы, сроки, перечень обрабатываемых данных, источники их получения, сведения о третьих лицах, которым они передаются).
- На уточнение, блокирование и уничтожение: Требовать от оператора уточнения, блокирования или уничтожения своих персональных данных, если они являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
- На отзыв согласия: В любой момент отозвать свое согласие на обработку персональных данных. Оператор обязан прекратить обработку и уничтожить данные в течение 30 дней, если иное не предусмотрено законом.
- На обжалование действий оператора: Обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в суд.
- На возмещение убытков и компенсацию морального вреда: В случае нарушения его прав.
- На защиту от автоматизированных решений: Требовать, чтобы решение, порождающее юридические последствия в отношении него, не принималось исключительно на основании автоматизированной обработки его персональных данных (например, при отказе в кредите).
Обязанности оператора
Оператор персональных данных обязан:
- Обеспечить законность обработки: Обрабатывать данные только на законных основаниях (согласие, договор, закон, судебный акт).
- Уведомить Роскомнадзор: До начала обработки данных уведомить уполномоченный орган о своем намерении, за исключением случаев, когда обработка осуществляется в соответствии с трудовым законодательством, для ведения бухгалтерского учета, в рамках договора с физическим лицом и т.д.
- Получить согласие: Получить согласие субъекта на обработку, если оно требуется по закону.
- Обеспечить конфиденциальность: Принимать меры для защиты данных от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения.
- Локализовать данные: Обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ (требование о локализации).
- Прекратить обработку: По достижении целей обработки, по требованию субъекта, при отзыве согласия или в иных случаях, предусмотренных законом, прекратить обработку и уничтожить данные.
- Назначить ответственного: Назначить лицо, ответственное за организацию обработки персональных данных (в организациях, осуществляющих обработку данных в рамках своей деятельности).
- Разработать политику: Разработать и опубликовать политику в отношении обработки персональных данных.
Государственный контроль и надзор
Контроль и надзор за соблюдением законодательства о персональных данных в Российской Федерации осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Роскомнадзор ведет реестр операторов, рассматривает жалобы граждан, проводит плановые и внеплановые проверки, выдает предписания об устранении нарушений, привлекает к административной ответственности.
Ответственность за нарушение
За нарушение законодательства о персональных данных предусмотрена административная, уголовная и гражданско-правовая ответственность.
- Административная ответственность (КоАП РФ, ст. 13.11): Штрафы для должностных лиц — от 5 000 до 20 000 руб.; для юридических лиц — от 30 000 до 100 000 руб. за обработку данных без согласия, до 300 000 руб. за невыполнение требования о локализации, до 500 000 руб. за повторное нарушение. С 2021 года введены оборотные штрафы за утечки данных: для юридических лиц — от 1% до 3% годовой выручки, но не менее 1 млн руб. и не более 15 млн руб.
- Уголовная ответственность (УК РФ, ст. 137): За незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия — штраф до 200 000 руб., обязательные работы до 360 часов, арест до 4 месяцев, лишение свободы до 2 лет. За те же деяния, совершенные с использованием служебного положения, — наказание до 5 лет лишения свободы.
- Гражданско-правовая ответственность: Возмещение убытков и компенсация морального вреда в судебном порядке.
Особенности регулирования в отдельных сферах
- Трудовые отношения: Обработка персональных данных работников регулируется главой 14 Трудового кодекса РФ. Работодатель вправе обрабатывать данные, необходимые для исполнения трудового договора, без получения отдельного согласия, но обязан уведомить работника и получить его согласие на передачу данных третьим лицам (например, в банк для зарплатного проекта).
- Медицина: Обработка данных о состоянии здоровья (специальная категория) допускается только с согласия пациента или в случаях, предусмотренных законом (например, в целях оказания медицинской помощи, проведения эпидемиологических исследований).
- Банковская сфера: Банки обрабатывают данные клиентов на основании договора и закона «О банках и банковской деятельности». Они обязаны обеспечивать их защиту и не разглашать банковскую тайну.
- Государственные информационные системы: Обработка данных в государственных информационных системах (например, Единый портал государственных услуг, ГИС ЖКХ) регулируется специальными законами и подзаконными актами, устанавливающими повышенные требования к защите информации.
Международный контекст
Российское законодательство о персональных данных в значительной степени основано на принципах, заложенных в Конвенции Совета Европы 1981 года и Общем регламенте по защите данных (GDPR) Европейского союза. Однако существуют и национальные особенности, такие как требование о локализации данных, которое вызвало дискуссии и споры с зарубежными компаниями. В 2021 году Роскомнадзором был составлен протокол об административном правонарушении в отношении компании Meta (организация признана экстремистской и запрещена в РФ) за отказ локализовать данные российских пользователей. Закон также предусматривает возможность трансграничной передачи данных в страны, обеспечивающие адекватный уровень защиты, и в особом порядке — в иные страны.
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Кодекс Российской Федерации об административных правонарушениях (ст. 13.11).
- Уголовный кодекс Российской Федерации (ст. 137).
- Трудовой кодекс Российской Федерации (глава 14).
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →