Федеральный закон «О персональных данных»
Федеральный закон РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных» — федеральный закон, регулирующий деятельность по обработке (использованию) персональных данных.
О персональных данных | |
---|---|
Вид | Федеральный закон |
Номер | 152-ФЗ |
Принятие | Государственной думой 8 июля 2006 года |
Одобрение | Советом Федерации 14 июля 2006 года |
Подписание | Президентом России Владимиром Путиным 27 июля 2006 года |
Вступление в силу | 26 января 2007 года |
Первая публикация | 29 июля 2006 года в «РГ» - Федеральный выпуск № 4131 |
Действующая редакция | от 1 марта 2021 года |
Текст в Викитеке |
Изменения в законе
Согласно изменениям, внесённым законом № 363-ФЗ от 27 декабря 2009 года, операторы персональных данных должны привести свои системы обработки персональных данных, запущенные до 1 января 2010 года, в соответствие с законом до 1 января 2011 года. Федеральным законом от 23 декабря 2010 года № 359-ФЗ «О внесении изменения в статью 25 федерального закона „О персональных данных“» срок приведения информационных систем персональных данных, созданных до 1 января 2011 года, в соответствие с требованиями закона № 152-ФЗ — не позднее 1 июля 2011 года. Последние изменения были внесены федеральным законом № 261-ФЗ от 25.07.2011. Этим законом была уточнена сфера действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер по обеспечению безопасности персональных данных при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.[1]
Федеральным законом «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» от 07.02.2017 N 13-ФЗ с 1 июля 2017 года ужесточена ответственность за несоблюдение закона «О персональных данных». Штраф за невыполнения тех или иных действий, предусмотренных в законе, составит от 10 000 до 75 000 руб. за каждое обнаруженное нарушение.
Существенные стороны закона
В соответствии с законом, в России существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в том числе фамилию, имя, отчество). Такие компании, организации и физические лица относятся к операторам персональных данных.
Действие закона не распространяется на отношения, возникающие при:
- обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
- организации хранения, комплектования, учёта и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
- обработке персональных данных, отнесённых в установленном порядке к сведениям, составляющим государственную тайну;
- обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя (утратил силу — Федеральный закон от 25.07.2011 N 261-ФЗ);
- предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации» (введён Федеральным законом от 28.06.2010 N 123-ФЗ).
Согласно закону, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор), операторы ПД должны выполнить ряд требований по защите персональных данных физических лиц (своих сотрудников, клиентов, посетителей и т. д.) обрабатываемых в информационных системах Компании, и предпринять ряд действий:
- направить уведомление об обработке персональных данных в уполномоченный орган (Закон № 152-ФЗ Ст. 22 п. 3);
- получать письменное согласие субъекта персональных данных на обработку своих персональных данных (Закон № 152-ФЗ ст. 9 п. 4);
- уведомлять субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (Закон № 152-ФЗ ст. 21 п. 4).
Уведомление об обработке персональных данных не требуется, если оператор персональных данных и субъект персональных данных находятся в трудовых отношениях или иных договорных отношениях (Закон № 152-ФЗ ст. 22 п. 2).
Выполнение требований 152-ФЗ в банковской сфере
Поправка от 25 июля 2011 года (261-ФЗ) к 152-ФЗ «О персональных данных» наделила Банк России правами на разработку отраслевых нормативных документов по отдельным вопросам, касающимся обработки персональных данных, что узаконило СТО БР ИББС в качестве отраслевого стандарта обеспечения безопасности персональных данных. Кроме того, было также утверждено право Банка России на разработку отраслевой модели угроз безопасности ПДн (которой являются РС БР ИББС-2.4-2010).
Однако ряд положений СТО БР ИББС вступил в конфликт с новой версией закона «О персональных данных»:
- федеральный закон не даёт возможность операторам ПДн использовать не сертифицированные, но одобренные руководством организации, средства защиты информации (п.7.4.2 СТО БР ИББС-1.0-2010);
- под понятие информационной системы персональных данных, приведённое в законе, подпадают все автоматизированные банковские системы, обрабатывающие персональные данные, без исключения (п. 7.10.9 СТО БР ИББС-1.0-2010 исключает из понятия ИСПДн АБС, реализующие банковские платёжные технологические процессы).
Техническая сторона вопроса защиты персональных данных, согласно 19 статье 152-ФЗ, устанавливается Правительством РФ, а не нормами СТО БР ИББС, что также противоречит основной идее создания отраслевого стандарта.
В ближайшее время[когда?] статус СТО БР ИББС будет уточнён подзаконными нормативными актами Правительства, ФСТЭК, ФСБ, а также информационными письмами Банка России.
Эксперты о федеральном законе «О персональных данных»
Многие эксперты считают, что закон «О персональных данных» является слишком общим, требует доработки с упором на международную практику и чёткой сегментации[2].
Примечания
- Президент подписал Федеральный закон "О внесении изменений в Федеральный закон «О персональных данных»
- CNews: Эксперты: закон «О персональных данных» нужно доработать (недоступная ссылка). Дата обращения: 27 декабря 2019. Архивировано 14 июля 2014 года.
См. также
Ссылки
- Актуальная версия Федерального закона от 29.07.2017 № 152-ФЗ на Консультант-Плюс
- Федеральный закон от 27.07.2006 № 152-ФЗ на Викитеке
- Федеральный закон о персональных данных . Российская газета (29 июля 2006). Дата обращения: 28 февраля 2011.
- Федеральный закон 363 «О внесении изменений в статьи 19 и 25 Федерального закона „О персональных данных“» . Гарант. Дата обращения: 28 февраля 2011.