Открыть сервис

Закон о защите личной информации и электронных документов

Закон о защите личной информации и электронных документов — это обобщённое название для совокупности нормативных правовых актов, регулирующих сбор, обработку, хранение, передачу и защиту персональных данных, а также устанавливающих юридическую силу электронных документов и электронной подписи. В Российской Федерации основу этого регулирования составляют Федеральный закон «О персональных данных» (№ 152-ФЗ) и Федеральный закон «Об электронной подписи» (№ 63-ФЗ), а также подзаконные акты, определяющие порядок их применения.

История развития законодательства

Первые шаги (1990-е — начало 2000-х)

До середины 2000-х годов в России отсутствовало специализированное законодательство о персональных данных. Отношения, связанные с информацией о гражданах, регулировались общими нормами Гражданского кодекса РФ, законами «Об информации, информатизации и защите информации» (1995 г.) и «О связи» (2003 г.). Электронный документооборот существовал на основе договорённостей сторон, а юридическая значимость электронных документов обеспечивалась через судебную практику.

Принятие ключевых законов

В 2006 году был принят Федеральный закон № 152-ФЗ «О персональных данных», который вступил в силу в 2007 году. Он был разработан в рамках подготовки к ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108). Закон установил основные принципы обработки персональных данных: законность, справедливость, согласие субъекта, ограничение целей обработки, точность и актуальность данных, а также необходимость их защиты от несанкционированного доступа.

В 2011 году был принят Федеральный закон № 63-ФЗ «Об электронной подписи», который заменил устаревший закон «Об электронной цифровой подписи» (2002 г.). Новый закон ввёл три вида электронных подписей: простую, усиленную неквалифицированную и усиленную квалифицированную, а также определил порядок их использования и признания юридической силы.

Ужесточение требований (2010-е — 2020-е годы)

С 2015 года в России началось последовательное ужесточение требований к обработке персональных данных. В 2015 году вступил в силу закон, обязывающий операторов персональных данных хранить и обрабатывать данные граждан РФ исключительно на серверах, расположенных на территории России (так называемый «закон о локализации данных»). В 2019 году были введены требования к уведомлению Роскомнадзора о намерении обрабатывать персональные данные, а также к согласию на обработку — оно должно быть конкретным, информированным и сознательным.

В 2021 году был принят закон о «суверенном интернете», который, помимо прочего, усилил контроль за трансграничной передачей данных. В 2022–2023 годах, в связи с санкционным давлением, были приняты поправки, упрощающие порядок обработки персональных данных для государственных нужд и для целей обеспечения безопасности, а также введены новые требования к защите данных в государственных информационных системах.

Основные понятия и определения

Персональные данные

Согласно статье 3 Федерального закона № 152-ФЗ, персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). К ним относятся: фамилия, имя, отчество, дата и место рождения, адрес, данные паспорта, ИНН, СНИЛС, биометрические данные (фотография, отпечатки пальцев, голос), сведения о здоровье, образовании, семейном положении, доходах и т.д.

Обработка персональных данных

Под обработкой понимается любое действие (операция) или совокупность действий с персональными данными, совершаемые с использованием средств автоматизации или без них. Включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор и субъект

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание такой обработки. Субъект — физическое лицо, к которому относятся обрабатываемые персональные данные.

Электронный документ и электронная подпись

Электронный документ — документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах. Электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемому документу) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Классификация видов электронной подписи

Федеральный закон № 63-ФЗ выделяет три вида электронных подписей:

Вид подписиХарактеристикаЮридическая сила
Простая электронная подписьКод, пароль, иные средства, позволяющие подтвердить, что электронная подпись создана определённым лицом. Например, одноразовый код из SMS или логин/пароль на портале «Госуслуги».Приравнивается к собственноручной подписи на бумажном документе, если это предусмотрено законом или соглашением сторон.
Усиленная неквалифицированная электронная подпись (НЭП)Получена в результате криптографического преобразования информации с использованием ключа электронной подписи. Позволяет определить лицо, подписавшее документ, и обнаружить факт внесения изменений после подписания.Приравнивается к собственноручной подписи и печати (для юридических лиц) в случаях, установленных законом или соглашением сторон.
Усиленная квалифицированная электронная подпись (КЭП)Соответствует всем признакам НЭП, но дополнительно выдаётся удостоверяющим центром, аккредитованным Минцифры России. Ключ проверки подписи указывается в квалифицированном сертификате.Приравнивается к собственноручной подписи и печати во всех случаях, за исключением случаев, когда закон прямо требует бумажного документа.

Основные принципы и требования закона

Принципы обработки персональных данных

  1. Законность и справедливость — обработка должна осуществляться на основании закона или с согласия субъекта.
  2. Целевая ограниченность — данные могут обрабатываться только для заранее определённых и законных целей.
  3. Минимизация — объём обрабатываемых данных должен быть достаточным для достижения целей, но не избыточным.
  4. Точность и актуальность — оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
  5. Срок хранения — данные не должны храниться дольше, чем это необходимо для целей обработки.
  6. Конфиденциальность — оператор обязан обеспечить защиту данных от несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения.

Требования к согласию на обработку

Согласие субъекта персональных данных должно быть:

  • Конкретным — указывать, на какие именно действия и с какими данными даётся согласие.
  • Информированным — субъект должен знать, кто и зачем будет обрабатывать его данные.
  • Сознательным — даётся добровольно, без принуждения.
  • В форме, позволяющей подтвердить его получение — обычно в письменной форме или в виде электронного документа, подписанного электронной подписью.

Локализация данных

С 1 сентября 2015 года все операторы, осуществляющие сбор персональных данных граждан РФ, обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации. Исключение составляют случаи, предусмотренные федеральными законами.

Трансграничная передача

Передача персональных данных за пределы РФ допускается только в страны, обеспечивающие адекватный уровень защиты прав субъектов персональных данных (перечень утверждается Роскомнадзором). В иные страны передача возможна при наличии согласия субъекта или в иных случаях, предусмотренных законом.

Ответственность за нарушение

Административная ответственность

Кодекс РФ об административных правонарушениях (КоАП) предусматривает штрафы за нарушение законодательства о персональных данных:

  • Для должностных лиц — от 10 000 до 50 000 рублей.
  • Для юридических лиц — от 100 000 до 500 000 рублей (за повторное нарушение — до 1 000 000 рублей).
  • За утечку персональных данных (с 2023 года) — оборотные штрафы до 3% годовой выручки, но не менее 1 000 000 рублей.

Уголовная ответственность

Уголовный кодекс РФ (ст. 137, 138, 272, 273) предусматривает наказание за незаконный сбор, распространение или использование персональных данных, а также за неправомерный доступ к компьютерной информации, содержащей персональные данные. Наказание может включать штрафы до 500 000 рублей, исправительные работы, ограничение или лишение свободы на срок до 7 лет.

Гражданско-правовая ответственность

Субъект персональных данных вправе требовать от оператора возмещения убытков и (или) компенсации морального вреда, причинённых нарушением его прав. Оператор освобождается от ответственности, если докажет, что нарушение произошло не по его вине.

Применение в различных сферах

Государственные и муниципальные услуги

Электронные документы и электронная подпись широко используются в портале «Госуслуги», при подаче налоговых деклараций, регистрации юридических лиц, получении справок и выписок. Закон о персональных данных обязывает государственные органы обеспечивать защиту обрабатываемых данных.

Банковская сфера

Банки обязаны соблюдать требования закона при открытии счетов, выдаче кредитов, проведении операций. Использование электронной подписи позволяет клиентам подписывать договоры дистанционно. Банки также обязаны уведомлять клиентов о случаях утечки их данных.

Медицина

Медицинские учреждения обрабатывают большое количество чувствительных персональных данных (состояние здоровья, диагнозы). Закон требует получения информированного согласия пациента на обработку таких данных, а также их хранение в зашифрованном виде. Электронные медицинские карты и рецепты заверяются усиленной квалифицированной электронной подписью врача.

Трудовые отношения

Работодатели обязаны получать согласие работников на обработку их персональных данных (за исключением случаев, прямо предусмотренных Трудовым кодексом). Электронные трудовые книжки, договоры и приказы могут подписываться электронной подписью.

Интернет-коммерция

Сайты и мобильные приложения, собирающие данные пользователей (регистрация, оформление заказа, подписка), обязаны получить согласие на обработку персональных данных, разместить политику обработки персональных данных и обеспечить возможность отзыва согласия. Нарушение этих требований влечёт блокировку сайта по решению Роскомнадзора.

Критика и проблемы

Избыточность требований

Критики отмечают, что российское законодательство о персональных данных является одним из самых жёстких в мире по объёму требований к операторам. Малые и средние предприятия часто не в состоянии выполнить все формальности (например, получить отдельное согласие на каждое действие), что приводит к массовым нарушениям.

Локализация данных

Требование о хранении данных на серверах в России создаёт дополнительные расходы для иностранных компаний и может затруднять трансграничный обмен информацией. В то же время, оно не гарантирует полной защиты от утечек, так как технические средства защиты могут быть неэффективны.

Неэффективность контроля

Роскомнадзор, как основной регулятор, не всегда успевает реагировать на массовые утечки данных. Штрафы, особенно для крупных компаний, часто несоразмерны ущербу, причинённому гражданам. Уголовные дела по фактам утечек возбуждаются редко.

Электронная подпись

Несмотря на развитие, использование электронной подписи в России сопряжено с рядом проблем: сложность получения квалифицированного сертификата для физических лиц, необходимость использования специализированного программного обеспечения, риск компрометации ключей. В 2023 году были зафиксированы случаи мошенничества с использованием поддельных электронных подписей.

Перспективы развития

В 2024–2025 годах ожидается дальнейшее развитие законодательства в области защиты персональных данных. Планируется:

  • Введение обязательного уведомления граждан о фактах утечки их данных в течение 24 часов.
  • Ужесточение ответственности за повторные нарушения (вплоть до приостановления деятельности оператора).
  • Развитие системы «цифрового профиля» — единого реестра персональных данных, доступного государственным органам и организациям с согласия гражданина.
  • Внедрение механизмов «согласия на обработку данных в один клик» через портал «Госуслуги».
  • Совершенствование порядка использования биометрических данных (Единая биометрическая система).

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
  3. Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), глава 13.
  4. Уголовный кодекс Российской Федерации, статьи 137, 138, 272, 273.
  5. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  6. Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
  7. Методические рекомендации Роскомнадзора по обработке персональных данных (2023 г.).
  8. Материалы официального сайта Роскомнадзора (rkn.gov.ru).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →