Закон «О персональных данных»
Глава 2. Принципы и условия обработки персональных данных (ст.ст. 5 — 13)
Статья 5. Принципы обработки персональных данных
Статья 6. Условия обработки персональных данных
Статья 7. Конфиденциальность персональных данных
Статья 8. Общедоступные источники персональных данных
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
Статья 10. Специальные категории персональных данных
Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
Статья 11. Биометрические персональные данные
Статья 12. Трансграничная передача персональных данных
Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
Глава 3. Права субъекта персональных данных (ст.ст. 14 — 17)
Статья 14. Право субъекта персональных данных на доступ к его персональным данным
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
Статья 17. Право на обжалование действий или бездействия оператора
Глава 4. Обязанности оператора (ст.ст. 18 — 22.1)
Статья 18. Обязанности оператора при сборе персональных данных
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
Статья 22. Уведомление об обработке персональных данных
Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях
Глава 5. Федеральный государственный контроль (надзор) за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона (ст.ст. 23 — 24)
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
Статья 23.1. Федеральный государственный контроль (надзор) за обработкой персональных данных
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Глава 6. Заключительные положения (ст. 25)
Статья 25. Заключительные положения
Федеральный закон от 27 июля 2006 г. N 152-ФЗ
«О персональных данных»
С изменениями и дополнениями от:
25 ноября, 27 декабря 2009 г., 28 июня, 27 июля, 29 ноября, 23 декабря 2010 г., 4 июня, 25 июля 2011 г., 5 апреля, 23 июля, 21 декабря 2013 г., 4 июня, 21 июля 2014 г., 3 июля 2016 г., 22 февраля, 1, 29 июля, 31 декабря 2017 г., 27 декабря 2019 г., 24 апреля, 8, 30 декабря 2020 г., 11 июня, 2 июля 2021 г., 14 июля 2022 г., 6 февраля 2023 г.
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
ГАРАНТ:
См. комментарии к настоящему Федеральному закону
Президент Российской Федерации
Закон создает правовую основу обращения с персональными данными физических лиц в целях реализации конституционных прав человека, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
Персональными данными признаются любые сведения о физическом лице, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Определены принципы и условия обработки персональных данных. Устанавливая общий запрет на обработку персональных данных без согласия субъекта персональных данных, закон предусматривает случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; обработка производится в связи с осуществлением правосудия, а также иных обстоятельств.
Важнейшей гарантией прав субъекта персональных данных является обязанность операторов и третьих лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных), а также право субъекта персональных данных на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Контроль и надзор за обработкой персональных данных возложен на федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, который наделяется соответствующими правами и обязанностями. В частности, уполномоченный орган вправе осуществлять проверку информационной системы обработки персональных данных, предъявлять требования по блокированию, удалению недостоверных или полученных незаконным путем персональных данных, устанавливать постоянный или временный запрет на обработку персональных данных, проводить расследования в порядке административного производства о нарушениях закона.
Устанавливаются принципы трансграничной передачи данных, при которой должна обеспечиваться адекватная защита прав субъектов персональных данных.
Операторы, осуществляющие обработку персональных данных до вступления в силу закона, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление не позднее 1 января 2008 года.
Информационные системы персональных данных, созданные до дня вступления в силу закона, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года.
Закон вступает в силу по истечении ста восьмидесяти дней после официального опубликования.
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"
Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования
Текст Федерального закона опубликован в "Российской газете" от 29 июля 2006 г. N 165, в "Парламентской газете" от 3 августа 2006 г. N 126-127, в Собрании законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451
В настоящий документ внесены изменения следующими документами:
Федеральный закон от 6 февраля 2023 г. N 8-ФЗ
Изменения вступают в силу с 8 мая 2023 г.
Федеральный закон от 14 июля 2022 г. N 266-ФЗ
Изменения вступают в силу с 1 сентября 2022 г. и с 1 марта 2023 г.
Федеральный закон от 2 июля 2021 г. N 331-ФЗ
Изменения вступают в силу с 2 июля 2021 г.
Федеральный закон от 11 июня 2021 г. N 170-ФЗ
Изменения вступают в силу с 1 июля 2021 г.
Федеральный закон от 30 декабря 2020 г. N 519-ФЗ
Изменения вступают в силу с 1 марта 2021 г. и с 1 июля 2021 г.
Федеральный закон от 30 декабря 2020 г. N 515-ФЗ
Изменения вступают в силу с 10 января 2021 г.
Федеральный закон от 8 декабря 2020 г. N 429-ФЗ
Изменения вступают в силу с 8 декабря 2020 г.
Федеральный закон от 24 апреля 2020 г. N 123-ФЗ
Изменения вступают в силу с 1 июля 2020 г.
Федеральный закон от 27 декабря 2019 г. N 480-ФЗ
Изменения вступают в силу с 29 декабря 2020 г.
Федеральный закон от 31 декабря 2017 г. N 498-ФЗ
Изменения вступают в силу с 30 июня 2018 г.
Федеральный закон от 29 июля 2017 г. N 223-ФЗ
Изменения вступают в силу с 10 августа 2017 г.
Федеральный закон от 1 июля 2017 г. N 148-ФЗ
Изменения вступают в силу со дня официального опубликования названного Федерального закона
Федеральный закон от 22 февраля 2017 г. N 16-ФЗ
Изменения вступают в силу с 1 марта 2017 г.
Федеральный закон от 3 июля 2016 г. N 231-ФЗ
Изменения вступают в силу с 1 января 2017 г.
Федеральный закон от 21 июля 2014 г. N 242-ФЗ
Изменения вступают в силу с 1 сентября 2015 г.
Федеральный закон от 21 июля 2014 г. N 216-ФЗ
Изменения вступают в силу с 1 января 2015 г.
Федеральный закон от 4 июня 2014 г. N 142-ФЗ
Изменения вступают в силу по истечении шестидесяти дней после дня официального опубликования названного Федерального закона
Федеральный закон от 21 декабря 2013 г. N 363-ФЗ
Изменения вступают в силу с 1 июля 2014 г.
Федеральный закон от 23 июля 2013 г. N 205-ФЗ
Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона
Федеральный закон от 5 апреля 2013 г. N 43-ФЗ
Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона
Федеральный закон от 25 июля 2011 г. N 261-ФЗ
Изменения вступают в силу со дня официального опубликования названного Федерального закона и распространяются на правоотношения, возникшие с 1 июля 2011 г.
Федеральный закон от 4 июня 2011 г. N 123-ФЗ
Изменения вступают в силу по истечении десяти дней после дня официального опубликования названного Федерального закона
Федеральный закон от 23 декабря 2010 г. N 359-ФЗ
Изменения вступают в силу с 1 января 2011 г.
Федеральный закон от 29 ноября 2010 г. N 313-ФЗ
Изменения вступают в силу с 1 января 2011 г.
Федеральный закон от 27 июля 2010 г. N 227-ФЗ
Изменения вступают в силу с 1 января 2011 г.
Федеральный закон от 27 июля 2010 г. N 204-ФЗ
Изменения вступает в силу со дня официального опубликования названного Федерального закона
Федеральный закон от 28 июня 2010 г. N 123-ФЗ
Изменения вступают в силу с 1 июля 2010 г.
Федеральный закон от 27 декабря 2009 г. N 363-ФЗ
Изменения вступают в силу со дня официального опубликования названного Федерального закона
Федеральный закон от 25 ноября 2009 г. N 266-ФЗ
Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного Федерального закона
Федеральный закон от 27.07.2006 г. № 152-ФЗ
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, иными муниципальными органами (далее — муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ)
11. Положения настоящего Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской Федерации, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных. (Дополнение частью — Федеральный закон от 14.07.2022 № 266-ФЗ)
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) (Пункт утратил силу — Федеральный закон от 25.07.2011 № 261-ФЗ)
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
5) (Дополнение пунктом — Федеральный закон от 28.06.2010 № 123-ФЗ) (Утратил силу — Федеральный закон от 29.07.2017 № 223-ФЗ)
3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации». (Дополнение частью — Федеральный закон от 29.07.2017 № 223-ФЗ)
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
11) персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом; (Дополнение пунктом — Федеральный закон от 30.12.2020 № 519-ФЗ)
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
(Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
Статья 4. Законодательство Российской Федерации в области персональных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее — нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ)
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
31. Нормативные правовые акты, принимаемые в соответствии с частью 2 настоящей статьи, подлежат обязательному согласованию с уполномоченным органом по защите прав субъектов персональных данных в случаях, если указанные нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания. Срок указанного согласования не может превышать тридцать дней с даты поступления соответствующего нормативного правового акта в уполномоченный орган по защите прав субъектов персональных данных. (Дополнение частью — Федеральный закон от 14.07.2022 № 266-ФЗ)
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
5. Решения межгосударственных органов, принятые на основании положений международных договоров Российской Федерации в их истолковании, противоречащем Конституции Российской Федерации, не подлежат исполнению в Российской Федерации. Такое противоречие может быть установлено в порядке, определенном федеральным конституционным законом. (Дополнение частью — Федеральный закон от 08.12.2020 № 429-ФЗ)
Глава 2. Принципы и условия обработки персональных данных
Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
(Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; (В редакции Федерального закона от 29.07.2017 № 223-ФЗ)
31) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта); (Дополнение пунктом — Федеральный закон от 29.07.2017 № 223-ФЗ)
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; (В редакции Федерального закона от 05.04.2013 № 43-ФЗ)
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных; (В редакции федеральных законов от 21.12.2013 № 363-ФЗ, от 03.07.2016 № 231-ФЗ, от 14.07.2022 № 266-ФЗ)
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; (В редакции Федерального закона от 03.07.2016 № 231-ФЗ)
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
91) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» и Федеральным законом от 31 июля 2020 года № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», в порядке и на условиях, которые предусмотрены указанными федеральными законами; (Дополнение пунктом — Федеральный закон от 24.04.2020 № 123-ФЗ) (В редакции Федерального закона от 02.07.2021 № 331-ФЗ)
10) (Пункт утратил силу — Федеральный закон от 30.12.2020 № 519-ФЗ)
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
11. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года № 57-ФЗ «О государственной охране». (Дополнение частью — Федеральный закон от 01.07.2017 № 148-ФЗ)
2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 181 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со ста
Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать
В России действует закон о защите персональных данных. Его обязаны соблюдать все, кто хранит любые персональные данные, то есть те, у кого есть сотрудники или база клиентов. Расскажем, как соответствовать 152-ФЗ и какими штрафами грозит несоблюдение закона.
Обеспечить защиту данных
Если вы храните персональные данные, то по статье 3 152-ФЗ являетесь оператором персональных данных и отвечаете за их защиту. Основные требования общие для всех:
- Обеспечить аутентификацию, чтобы к данным имели доступ только те, у кого есть на это право.
- Поставить серверы с данными в защищенном месте, чтобы посторонний не мог войти в помещение и подключиться к серверу напрямую.
- Установить антивирусные программы, межсетевые экраны и другое ПО, которое должно защитить от угроз.
- Использовать для защиты информации ПО, сертифицированное ФСТЭК — оно считается безопасным. Например, такой сертификат есть у антивируса от «Лаборатории Касперского». Если используете ПО собственной разработки,
можно получить на него сертификат самостоятельно.
Если вы храните не просто ФИО, а важные данные, например фотографии, нужно обеспечить более серьезную защиту — к примеру, настроить систему обнаружения вторжений. Подробнее об этом можно почитать в нашей статье «Защита персональных данных в облаке: как сделать все по закону 152-ФЗ» — там мы рассказываем о типах угроз, уровнях защищенности и технических требованиях по безопасности.
Что будет, если не защитить данные
Ответственность за нарушение закона о персональных данных зависит от вида нарушения. Если оператор не защитит данные и кто-то случайно или намеренно получит к ним доступ, его оштрафуют:
- Физлицо — на 700–2000 рублей.
- Должностное лицо — на 4 000–10 000 рублей.
- ИП — на 10 000–20 000 рублей.
- Юрлицо — на 25 000–50 000 рублей.
Может случиться, что из-за неправомерного доступа к персональным данным человек пострадает. Например, кто-то узнает его адрес и проникнет в квартиру. В таком случае компания, которая допустила утечку данных, должна будет компенсировать ущерб по закону о защите персональных данных.
Разработать документы, описывающие порядок работы с персональными данными
Публичные документы: их показываем тем, у кого берем персональные данные
Согласие на обработку персональных данных. Базовый документ — его нужно давать на подпись тем, чьи персональные данные вы собираете лично, а не через интернет. В документе нужно прописать, какие именно данные и с какими целями вы собираете.
Образец согласия на обработку персональных данных. Источник
Если собираете данные только через интернет, этот документ не нужен. Понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму.
Положение об обработке и защите персональных данных. Этот документ нужно показывать тем, кто лично подписывает с вами согласие на обработку персональных данных. В положении о персональных данных прописывают цель и сроки обработки и хранения данных, порядок их уничтожения.
Политика конфиденциальности. Это документ для тех, кто собирает данные через интернет. Его нужно разместить на сайте, чтобы пользователи могли узнать, как и для чего вы собираете их персональные данные. Он похож на «Положение об обработке и защите персональных данных».
Ссылку на политику нужно добавить в пользовательское соглашение. А в формах, где пользователь оставляет свои данные, нужно добавить галочку с текстом: «Соглашаюсь на обработку персональных данных в соответствии с политикой конфиденциальности».
Политику можно подготовить по шаблону. Такие шаблоны часто есть у конструкторов сайтов, например у Tilda.
Внутренние документы компании: в них описываем корпоративный порядок работы с персональными данными
Модель угроз безопасности. Этот документ показывает, какие опасности угрожают вашей системе хранения и обработки персональных данных. Его нужно составлять обязательно — без него нельзя понять, как именно вы обязаны защитить свою систему. При составлении нужно ориентироваться на базовую модель от ФСТЭК.
Приказ о назначении ответственного за безопасность персональных данных. Если вы ИП, то сами отвечаете за безопасность, и приказ не нужен. Если у вас ООО, в нем должен быть ответственный — должностное лицо, которое следит за персональными данными. Его нужно назначить приказом.
Образец приказа о назначении ответственного за персональные данные. Источник
Приказ о допуске к обработке персональных данных. В этом документе прописаны все сотрудники, которые имеют доступ к персональным данным. Важно, чтобы это было обосновано — нельзя вписать туда людей, которым по работе не нужны персональные данные, например, уборщицу или программиста.
Инструкция пользователя системы персональных данных. В этой инструкции нужно прописать, как правильно общаться с персональными данными. С ней должны ознакомиться все, кто имеет доступ к данным.
Что будет, если не разработать документы
- За обработку данных без модели угроз и прописанных целей: 1 000—3 000 для физлиц, 5 000–10 000 для должностных лиц, 30 000–50 000 для юрлиц.
- За отсутствие положения об обработке персональных данных или политики конфиденциальности: 700–1 000 для физлиц, 3 000—6 000 для должностных лиц, 5 000–10 000 для ИП, 15 000–30 000 для юрлиц.
Если вы не назначите ответственного за обработку ПД или не составите список тех, кому разрешен доступ — это тоже нарушение. Получится, что вы просто так передали данные третьим лицам — а это незаконное распространение, за которое положена уголовная ответственность: штраф до 200 000 рублей, принудительные работы до двух лет, арест до четырех месяцев.
Уведомить Роскомнадзор
Если вы собираете персональные данные сотрудников, уведомлять никого не нужно. А вот если работает с персональными данными клиентов, придется отправить уведомление в Роскомнадзор — зарегистрироваться как оператор персональных данных.
Отправить уведомление можно онлайн, на сайте Роскомнадзора.
Что будет, если не отправить уведомление
Вы совершите административное правонарушение — не уведомите контролирующий орган, хотя обязаны были это сделать. За это положен штраф:
- 100–500 рублей для физлиц
- 300–500 рублей для должностных лиц.
- 3 000—5 000 рублей для юрлиц.
Получать согласие на хранение и обработку персональных данных
Когда вы обеспечили защиту данных, собрали пакет документов и уведомили Роскомнадзор, можно, наконец, начать работать с персональными данными. Чтобы все было по закону, нужно получать согласие от каждого человека, чьи персональные данные вы собираете. По закону о защите персональных данных 152-ФЗ каждый ваш клиент или сотрудник будет субъектом персональных данных и должен быть в курсе, что вы собираете и храните информацию о нем.
Персональные данные 2023: обработка, защита, согласие — порядок правильного ведения документов в соответствии с требованиями Роскомнадзора и 152-ФЗ
Иллюстрация: Andrew Moca/unsplash
Все изменилось 1 сентября 2022 года: после внесения правок в закон № 152-ФЗ от 27.07.2006 «О персональных данных», которые обязали большую часть организаций встать на учет в Роскомнадзор.
В статье мы рассмотрим итоги первого года действия новой редакции закона и основные сложности, с которыми столкнется бизнес в 2024 году.
То, о чем никто не знает
На момент написания статьи, по данным Роскомнадзора, в реестре операторов, осуществляющих обработку персональных данных, зарегистрировано немногим более 900 тыс. операторов, что на первый взгляд много, но…
Оператором персональных данных является любое лицо, осуществляющее любые действия с персональными данными граждан, а так как сотрудники есть в каждой компании — это 100 % юридических лиц.
До сентября 2022 года от обязанности уведомлять уполномоченный орган освобождались операторы при обработке персональных данных:
в соответствии с трудовым законодательством;
полученных в связи с заключением договоров с гражданами;
относящихся к членам общественных или религиозных организаций;
разрешенных субъектом перс.данных для распространения;
необходимых для разового оформления пропусков.
Сейчас указанные поблажки исключены из закона, и единственное условие, позволяющее организации не уведомлять Роскомнадзор, — это обработка персональных данных без использования средств автоматизации, то есть на бумажном носителе, без использования компьютерной техники.
Будем откровенны, после появления таких сервисов как 1С: Бухгалтерия, Битрикс24, интернет-банкинг и электронный документооборот, найти компанию, работающую по старинке и имеющую право не подавать уведомление, довольно сложно.
Еще немного статистики. Сейчас в ЕГРЮЛ зарегистрировано более 3,2 млн. действующих юридических лиц, для большинства из которых уведомление Роскомнадзора должно стать такой же рутиной, как сдача отчетности в ФНС, Росстат или ФСС.
Принимая во внимание, что реестр Роскомнадзора ведется с 2009 года и содержит информацию не только о юридических, но и о физических лицах и индивидуальных предпринимателях, можно предположить, что не менее 80% компаний не знают или не хотят знать о новых правилах.
Уведомления Роскомнадзора при обработке персональных данных
На практике направление уведомления в уполномоченный орган не является невыполнимой задачей, и если поставить перед собой такую цель, то проблем возникнуть не должно.
Уведомление может быть направлено как в бумажном виде, так и в виде электронного документа, подписанного усиленной ЭЦП или средствами аутентификации ЕСИА (Госуслуги).
Сервис, представленный Роскомнадзором, позволяет заполнить форму уведомления прямо на портале, после чего можно распечатать, подписать его и нарочно подать в уполномоченный орган.
Уведомление об обработке персональных данных является не единственным, обязанность по направлению которого возникает у юридического лица. Законом предусмотрены иные уведомления:
об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных;
о внесении в реестр операторов сведений о прекращении оператором обработки персональных данных;
об осуществлении трансграничной передачи персональных данных;
о факте неправомерной или случайной передачи персональных данных.
Как видим, уведомлять Роскомнадзор придется о всех значимых фактах обработки перс.данных, и если трансграничной передачи или неправомерного распространения еще можно избежать, то с изменением сведений придется заморочиться.
Каждый раз, когда вы будете обрабатывать новые данные, например, пол, телефон, образование, работать с новыми субъектами персональных данных, например, соискатели или посетители сайта, придется уведомлять об указанном факте уполномоченный орган.
Уведомление об изменении необходимо подать не позднее 15 числа месяца, следующего за месяцем возникновения изменений.
Может возникнуть соблазн изначально подать максимально полное уведомление, которое будет содержать намерение обрабатывать все возможные персональные данные, однако здесь хотим предостеречь вас.
Во-первых, это потребует разработки большого количества локальных нормативных актов, о которых вы будете вспоминать только при проведении проверок.
Во-вторых, это сами проверки, вероятность которых может вырасти. При составлении графика проведения проверок в приоритетном порядке будут проверять компании с более сложной структурой обработки перс.данных.
Новые обязанности документооборота для юридических лиц
Поскольку большая часть юридических лиц обязана отчитаться перед Роскомнадзором, то и обязанностей по организации работы несомненно прибавится.
Для начала компания должна назначить сотрудника, ответственного за обработку персональных данных.
Должность не является формальной, сотрудник должен обладать достаточными знаниями и навыками, а также иметь реальную возможность осуществлять должностные обязанности.
В компании должна быть разработана локальная документация, регламентирующая работу с персональными данными. В ней детально расписываются все инструменты, используемые при работе с перс.данными, лица, имеющие доступ к информации о гражданах.
При этом документы желательно составлять для каждой категории перс.данных отдельно. В документах должны быть прописаны правовые, технические и организационные меры по защите персональных данных, которые реализуются компанией. И здесь кроется главная сложность.
Онлайн-сервис для комплексного юридического сопровождения деятельности компаний от создания до ликвидации
Доступный консалтинг от команды экспертов в удобном онлайн-формате для компании с любой организационно-правовой формой и любым уровнем сложности задач
Для выбора средств обеспечения защиты персональных данных при работе с информационными системами нужно определить требуемый уровень защиты.
Если на 4 уровне требования будут ограничиваться обеспечением безопасности помещений, использованием средств защиты информации и определением перечня лиц, имеющих доступ к перс.данным, то на 1 уровне потребуется создание структурного подразделения, ответственного за обеспечение безопасности персональных данных.
Любая ошибка при организации защиты может стать основанием для привлечения к административной ответственности в виде значительных штрафов как самой компании, так и должностных лиц, отвечающих за обработку персональных данных.
Соблюдение требований к обработке персональных данных должно проходить регулярные проверки и не только со стороны Роскомнадзора.
Закон требует от компании проводить регулярные проверки или аудит соответствия обработки перс.данных требованиям закона, который может проводиться как своими силами, так и с привлечением сторонних организаций.
Проблематика трансграничной передачи персональных данных
На фоне массового выезда российских граждан за пределы страны после начала СВО и действий недружественных стран по введению санкций в отношении этих самых граждан, принято решение ужесточить порядок передачи персональных данных в иностранные государства.
Если раньше степень защиты информации о гражданине на территории другой страны оператор определял самостоятельно, то теперь эта обязанность передана Роскомнадзору.
До начала трансграничной передачи персональных данных оператор обязан получить от принимающей стороны пакет документов и направить его с соответствующим уведомлением в Роскомнадзор.
Уполномоченный орган рассматривает уведомление в течение 10 рабочих дней и может принять решение о запрете или ограничении передачи персональных данных.
Соблюдение приведенного правила обязательно не во всех случаях. Существует перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, в который вошли 90 стран, передача сведений на территорию которых не требует предварительного одобрения.
При работе с ними уведомление о трансграничной передаче направить все же придется, однако это не потребует представления дополнительных документов.
Однако если Роскомнадзор по итогу проверки придет к выводу о необходимости ограничить или запретить передачу персональных данных, придется обеспечить удаление информации её адресатом.
А теперь к практике.
Несмотря на четкие формулировки норм, как они должны реализовываться на практике — непонятно.
Например, передавая данные в страну, являющуюся стороной специальной Конвенции Совета Европы, при последующем запрете передачи данных Роскомнадзором законодатель требует обеспечить их удаление в том числе органами власти иностранного государства.
С учетом того, что к числу стран, ратифицировавших Конвенцию, относятся такие недружественные государства как Украина, Республика Польша, прибалтийские республики и др., каким образом наши компании должны исполнять требования закона остается неясным. Особенно странно такие поправки смотрятся на фоне приостановки Россией членства в Совете Европы.
Еще один немаловажный нюанс в том, что в перечень одобренных стран не вошло большое количество государств, с которыми связана значительная часть российского бизнеса.
В нем вы не найдете Соединенные Штаты Америки и большинство стран Ближнего Востока, которые последние годы активно осваиваются отечественными компаниями.
Прежде чем работать с ними в части передачи персональных данных, придется собрать значительный объем документов и дождаться ответа уполномоченного органа, что не всегда возможно. В итоге зачастую придется организовывать работу с учетом допустимого риска быть привлеченным к административной ответственности.
Несмотря на год, прошедший с момента внесения правок в закон № 152-ФЗ от 27.07.2006 «О персональных данных», ясности о том, как они должны исполняться, не прибавилось.
Очевидно, что для многих юридических лиц требования законодателя являются неподъемными, и усиление контроля со стороны уполномоченного органа приведет к массовому административному преследованию операторов персональных данных, а это, на минуточку, штрафы до 18 миллионов рублей.
Полагаем, что законопроект принимался в спешке, и стоит ожидать новых правок и разъяснений. Пока же стоит воспользоваться периодом, на который введен мораторий на проведение плановых проверок государственными органами, и насколько это возможно подготовить свою компанию к визиту Роскомнадзора.
Если у вас уже сейчас есть вопросы по работе с персональными данным и вы хотите заранее обезопасить свою компанию, то переходите на сайт компании «Консалтинг онлайн» и оставляйте заявку через кнопку «Бесплатная консультация».
Ваш запрос будет удовлетворен в кратчайшие сроки!
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KUX9G