152-ФЗ: обзор основных положений, суть, комментарии, ответственность


21.08.2019

В 2006 году в силу вступил закон о персональных данных 152 ФЗ. Этот проект повлек за собой изменения в организации, использовании и хранении частной информации. Хотя с момента утверждения прошло уже 13 лет, остается множество вопросов касаемо наполнения этого законопроекта.

Что регулирует закон «О персональных данных»?

Сфера действия постановления — контроль над личной информацией, которой обладают следующие виды структур:

  • госорганы;
  • власти конкретных субъектов РФ;
  • учреждения местного самоуправления;
  • юридические лица;
  • физлица, совершающие обработку личной информации.

Нормы ФЗ №152 контролируют во всех государственных и коммерческих организациях конфиденциальность ПДн, принадлежащих конкретному физическому лицу. Однако под действие закона не попадают следующие категории:

  • использование информации гражданами для личных целей при отсутствии нарушения прав обладателя;
  • недействительные документы, находящиеся на хранении в Архивном фонде РФ;
  • ПДн, отнесенные под категорию «государственная тайна».

Таким образом, ФЗ №152 обязует хранителей персональной информации поддерживать неразглашение личных сведений физлица.

Суть закона

Суть нормативного акта состоит в том, что на каждого оператора личных данных гражданина распространяется ответственность за работу с персональной информацией.

Защита персональных данных

Требования постановления заключаются в следующих аспектах:

  1. Организация обрабатывает персональные данные только при заключении письменного соглашения с владельцем.
  2. Биометрические сведения не разглашаются третьим лицам.
  3. Хранить информацию можно только на территории России. Это условие соблюдается для всех видов носителей, в том числе и хостингов интернет-сайтов.
  4. Оператор использует частные данные исключительно при процессах, оговоренных в соглашении. С ними владелец информации ознакомлен.
  5. При завершении работы организация обязана уничтожить данные.

Контролируют соблюдение всех условий закона государственные организации:

  • Роскомнадзор;
  • Федеральная служба по техническому и экспортному контролю;
  • трудовая инспекция.

У законопроекта три действующие стороны: организация,  использующая ПДн, лицо, которому они принадлежат, и исполнительные органы, следящие за правоотношениями участников.

Какие бывают персональные данные?

В 3 части ФЗ говорится: «Любые сведения, которые относятся к конкретному физическому лицу, являются персональными».

В этом перечне данные:

  • касающиеся национальности, религиозных и политических пристрастий;
  • связанные с физиологическими особенностями организма;
  • о личности.

Причем вне зависимости от общественной доступности, важно лишь то, что информация касается определенного индивида.

Какие действия считаются обработкой ПД

Действия, которые попадают под определения обработки персональных данных — это работа с личной информацией клиента в автоматизированном либо ручном режиме. Сюда относятся:

  • сбор;
  • запись;
  • анализ и хранение;
  • актуализация;
  • применение и предоставление доступа;
  • блокировка, удаление.

Все эти действия выполняются оператором исключительно конфиденциально.

Кто по закону 152-ФЗ считается оператором персональных данных?

Согласно закону ФЗ 152 от 27.07 2006 года, а именно 7 и 8 параграфу, оператором считается государственная или частная организация, которая проводит хотя бы одну операцию, попадающую в перечень.

Если госорган или юридическое лицо признаны оператором, то они заключают соглашение на обработку с владельцем. В противном случае действия организации окажутся нарушением, что повлечет за собой наказание со стороны контролирующих органов.

Кто попадает под действие закона?

Под действие Федерального закона попадают организации, признанные операторами ПД. При этом личная информация делится на следующие типы:

  • сведения о сотрудниках;
  • клиентская база;
  • информация о пользователях интернет-источников.

Если общество имеет хотя бы одну из перечисленных категорий, то оно попадает под действие закона.

Согласие субъекта ПДн на обработку

Перед работой с личными сведениями оператор получает согласие субъекта на обработку. Это прописано в 14 параграфе законопроекта. Во избежание бюрократических неурядиц разрешение физического лица на передачу личной информации дается в письменном виде. При этом субъект проинформирован, для каких целей это необходимо.

Согласие на обработку персональных данных

Согласием является публичная оферта. При совершении покупки в интернет-магазине покупатель автоматически дает разрешение на использование личных сведений продавцу. После согласия вступает в силу 22 пункт закона.

Если владелец данных признан недееспособным, то согласие на обработку подписывает законный представитель гражданина.

В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?

2 параграф ФЗ 152 2006 г. о персональных данных проводит разъяснение о тех случаях, когда согласие на обработку данных не требуется. Организация может безнаказанно работать с личной информацией в следующих случаях:

  • Если обработка сведений предусмотрена законодательством Российской Федерации без разрешения владельца.
  • Если личная информация используется в судопроизводстве.
  • Если ПДн использует исполнительная ветвь власти РФ.
  • Обработка на портале Госуслуги.
  • При заключении договора о приобретении товара или услуги.
  • Использование частных сведений необходима в жизненно опасных ситуациях, когда владелец не способен дать разрешение.
  • В художественном произведении при условии ненарушения прав субъекта.
  • В журналистских расследованиях и научных работах.
  • Если личные сведения раскрыты в соответствии с Федеральным Законом.

Безнаказанное использование информации разрешено государственным структурам, поэтому органы контроля реже проверяют правительственных операторов, а внимательней следят за частными компаниями.

Принципы и условия обработки ПД

Статьи под номерами 5 и 6 в ФЗ-152 гласят о возможных принципах и условиях обработки частных сведений. Постановление предусматривает перечень ситуаций, при которых используют личную информацию, а также регулирует правила обработки.

Согласно законопроекту о персональных данных оператор в своей работе придерживается следующих принципов:

  • частные сведения используются только для заранее оговоренных двумя сторонами задач;
  • составление базы из личной информации невозможно;
  • на использование сведений должны быть основания;
  • обрабатывать исключительно те сведения, которые требует достижение поставленной цели;
  • обрабатываться должна только действующая информация;
  • объемы сведений не превышают разрешенного соглашением показателя;
  • хранение информации не превышает временной промежуток, необходимый для достижения цели;
  • устаревшие сведения подлежат немедленному уничтожению.

Частная информация используется в конкретных условиях:

  • обязательное согласие физического лица;
  • судопроизводство;
  • приведение приговора в исполнение;
  • ситуации, в которых под угрозой жизнь субъекта.

В случаях, если организация возлагает работу по обработке частных сведений на третье лицо, ответственность полностью переходит на компанию, занимающуюся использованием и хранением информации.

Обеспечение безопасности персональных данных при их обработке

В 18, 18.1, 19 параграфах ФЗ-152 сообщается, что вся ответственность за безопасность и сохранность частной информации полностью ложится на оператора. При использовании личных сведений физического лица организации должны быть уверены, что проводимая ими работа конфиденциальна, а утечки быть не может.

Помимо этого, операторы должны проводить профилактические действия для обнаружения возможных слабых мест в защитной системе и улучшения своей политики конфиденциальности.

Также органами государственной власти устанавливаются следующие параметры, влияющие на безопасность личных сведений:

  • Уровень защищенности — категория ограничения использования частной информации в тех случаях, когда данные могут оказаться под угрозой.
  • Требования к безопасности информационных сетей — организация должна быть уверена в защищенности базы с личной информацией в сети.
  • Технический уровень носителей информации — категория, которая заставляет операторов пользоваться только максимально безопасными средствами для хранения данных.

Безопасность при обработке ПД

Все требования для поддержания безопасности хранения и использования данных должны своевременно выполняться оператором. За этим процессом пристально следят контролирующие органы.

Изменения и комментарии к закону

За время своего существования с 2006 года этот Федеральный Закон претерпевал многочисленные изменения, правки и всевозможные комментарии.

Первое краткое дополнение к законопроекту было добавлено в 2009 году вместе с принятием ФЗ под номером 363. Это изменение повлияло на цифровую систему обработки. Все операторы с 2010 г. должны были перейти на единую программу хранения и использования частной информации.

Новое изменение вступило в силу в июле 2011 года. Эта поправка концентрировалась на поправке многих положений закона. Уточнялись условия попадания информации, пояснялись нормы, касающиеся передачи сведений, расширялся регламент принципов. Также большое внимание уделялось соблюдению правил безопасного применения и хранения данных, ужесточились наказания за несоблюдение норм, прописанных в постановлении.

Последнее на данный момент изменение в ФЗ-152 было утверждено в феврале 2017 года. Это дополнение перенесло нарушение условий законопроекта в разряд административных преступлений. С момента внесения поправки недобросовестные операторы начали караться рублем. Штраф за несоответствие ФЗ-152 начал составлять сумму от 40 000 до 75 000 рублей, в зависимости от категории нарушения.

Выполнение требований 152-ФЗ в банковской сфере

Именно изменение закона в 2011 году позволило Российскому Центробанку иметь дело с документами, которые тем или иным образом касаются обработки личных данных. Однако в связи с этим возникло несколько законодательных конфликтов. Дело в том, что условия ФЗ-152 начали конфликтовать с некоторыми положениями «Стандарта Банка России».

Основной конфликт двух государственных документов произошел в связи с методами безопасного хранения конфиденциальной информации. ФЗ-152 приемлет только те виды защиты данных, которые прописаны в его регламенте. В то время как Банк России пользуется совершенно иными средствами. К этому следует добавить также понятийное несоответствие. Так, под определение клиентских сведений попадают все платежные процессы, что делает их совершение более затруднительным.

Поэтому до сих пор выполнение требований закона «О персональных данных» структурами банка не до конца регламентировано и ждет более четких сводов прав и обязанностей.

Государственный контроль и надзор за обработкой персональных данных

Роскомнадзор — та самая структура, которая отвечает за контроль всех возможных операторов.

В ее функции входит:

  • запросы на предоставление личной информации для выполнения своих полномочий;
  • проверка полученной от источников информации;
  • выставление требований к операторам об уничтожении личных сведений;
  • принятие необходимых действий для прекращения обработки частных данных, если процесс не соответствует закону;
  • подача в суд на организации, нарушающие ФЗ-152.

Помимо функций, связанных с поддержанием федерального постановления, Роскомнадзор участвует в улучшении, а также уточнении ФЗ-152. Происходит это путем выдвижения на рассмотрение законодательных инициатив. Хотя, по сути, Роскомнадзор все еще остается исключительно исполнительным органом власти.

Закон о персональных данных 152 ФЗ: как не нарушить

Незнание законов не освобождает от ответственности. Поэтому, чтобы организации, признанной оператором, не нарушить законопроект, следует защитить себя всеми возможными способами:

  • Согласие субъекта на обработку должно быть письменное. Так компании легче будет доказать добровольность разрешения на использование частных сведений.
  • Не просить лишние данные. Информация должна соответствовать конкретной цели.
  • При любом вопросе пользователя сообщать, как и зачем используются его личные сведения.
  • Сразу же избавляться от ненужных ПДн.
  • Уделить внимание безопасности базы данных.
  • Быть зарегистрированным в реестре Роскомнадзора.
  • Несовершеннолетний гражданин не может быть самостоятельным субъектом.

Согласно ФЗ-152 все операторы должны состоять в особом списке. Поэтому организации, так или иначе взаимодействующие с личными сведениями клиентов, должны заполнить бланк в Роскомнадзоре о своем намерении использовать и хранить частную информацию.

Согласие на обработку персональных данных

Если организация обрабатывает ПДн своих подчиненных, подавать заявление необязательно.

Что грозит за нарушение закона

При несоблюдении аспектов закона, согласно его 21 статье, операторы данных будут наказаны следующими штрафами:

  • 40 000 рублей за несвоевременное удаление личных данных;
  • 50 000 рублей за хранение информации в открытом доступе;
  • 75 000 рублей за сбор персональных данных без уведомления об этом владельца.

Суммы штрафов суммируются при нарушении нескольких пунктов одновременно, притом физическое лицо, которому принадлежала информация, может подать на организацию в суд для возмещения морального ущерба. Помимо наказания рублем, Роскомнадзор вправе заблокировать сайт оператора персональных данных. Уголовное наказание отсутствует.

Судебная практика по 152-ФЗ

Принятие законопроекта и его глобальная поправка вызвали массу судебных отзывов.

Первая жалоба была отправлена в Конституционный Суд Российской Федерации. Истец заявлял, что ФЗ-152 противоречит основному принципу Конституции РФ, то есть праву на частную жизнь. Суть иска заключалась в том, что исполнительные органы будут иметь доступ к личным сведениям без разрешения их владельца. И по приказу им будет доставлены сведения. Однако на заявление истца суд ответил отказом, так как посчитал, что персональные данные не подходят под определение «Частная жизнь», ведь субъект сознательно делится ими с оператором.

Следующее судебное разбирательство было связано с размещением личных данных гражданина в региональной газете. Редакция позволила себе упомянуть на своих страницах частную информацию об истце без его согласия. В ответ на этот текст гражданин отправил иск в Верховный Суд Российской Федерации с требованием закрыть печатное СМИ. В результате слушания суд решил в принудительном порядке закрыть газету.

С помощью таких судебных разбирательств ФЗ-152 получал необходимые изменения, которые вошли в глобальную поправку законопроекта в 2011 году. Судебные разбирательства длятся по 2019 год.

Мифы о 152-ФЗ

Из-за того, что Федеральный закон «О Персональных данных» все еще размыт в своих определениях, возникли заблуждения, которые с постановлением не имеют ничего общего.

Первый миф. Если клиентская база данных находится в облачном хранилище, то согласно условиям ФЗ-152 ответственность перейдет на компанию, которая это хранилище обслуживает.

Нет, оператором по-прежнему остается организация, поместившая сведения в «облако». Дело в том, что интернет-хранилища — это накопители данных. У компании-владельца «облака» нет права использовать файлы своих клиентов. Поэтому хранилище отвечает за персональные данные. Это все равно, что надеяться на флеш-карту.

Второй миф. Если организация использует последнюю версию антивируса на своем ресурсе, это считается соблюдением ФЗ-152 2006 г.

Нет. Главное содержание законопроекта в том, чтобы защищать исключительно персональные данные физических лиц, а так как базы данных не хранятся на публичных сайтах, то и использование антивируса не считается защитой частных сведений. Хорошо, когда компании с ответственностью подходят к своей безопасности, но лучше доверить защиту личной информации профессионалам.

Юристы убеждены, что Федеральный закон «О Персональных данных» ждет еще не одна поправка. Но несмотря на это ФЗ-152 уже на протяжении 13 лет практикуется в нашей исполнительной системе. Каждый год по причине несоответствия закону закрываются новые сайты, а их владельцам выписывают штрафы.

Заказать бесплатную консультацию юриста

Пользовательское соглашение