Закон О Персональных Данных N 152-ФЗ
27 июля 2006 года N 152-ФЗ
РОССИЙСКАЯ ФЕДЕРАЦИЯ
ФЕДЕРАЛЬНЫЙ ЗАКОН
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Принят
Государственной Думой
8 июля 2006 года
Одобрен
Советом Федерации
14 июля 2006 года
Статья 1. Сфера действия настоящего Федерального закона
Статья 2. Цель настоящего Федерального закона
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
Статья 4. Законодательство Российской Федерации в области персональных данных
Статья 5. Принципы обработки персональных данных
Статья 6. Условия обработки персональных данных
Статья 7. Конфиденциальность персональных данных
Статья 8. Общедоступные источники персональных данных
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
Статья 10. Специальные категории персональных данных
Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
Статья 11.
Статья 12. Трансграничная передача персональных данных
Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
Статья 14. Право субъекта персональных данных на доступ к его персональным данным
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
Статья 17. Право на обжалование действий или бездействия оператора
Статья 18. Обязанности оператора при сборе персональных данных
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
Статья 20.
Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
Статья 22. Уведомление об обработке персональных данных
Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
Статья 23.1. Федеральный государственный контроль (надзор) за обработкой персональных данных
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Статья 25. Заключительные положения
Федеральный закон РФ «О персональных данных» N 152-ФЗ (с изм. и доп., вступ. в силу с 01.03.2023) (действующая редакция 2023)
что нового с марта 2023 года — СКБ Контур
7 марта 2023 2 404 Мнение
С марта вопрос об удалении персональных данных (ПДн) при достижении целей их обработки или при наступлении иных законных оснований стал особенно актуальным.
Это связано со вступлением в силу Федерального закона от 14.07.2022 № 266-ФЗ, который внес соответствующие изменения в ряд статей Закона о персональных данных.
Юлия Холодионова Юрист, ведущий специалист по разрешению трудовых споров и конфликтов
Ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 14.07.2022) определяет ПДн как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физлицу (субъекту ПДн). Таким образом, на уровне федерального закона закреплена обязанность операторов обработки ПДн — государственных органов, муниципальных органов, юридических или физических лиц, самостоятельно или совместно с другими лицами организующих и (или) осуществляющих обработку ПДн, а также определяющих цели их обработки, состав ПДн, подлежащих обработке, действий (операций), которые совершаются с ПДн.
При этом закон подразумевает под обработкой данных любые действия, совершаемые с использованием средств автоматизации или без них, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Достаточно широкий круг, не так ли?
Меры защиты персональных данных
С 1 марта 2023 года стал актуальным вопрос об удалении ПДн при достижении целей их обработки или при наступлении иных законных оснований. Федеральным законом от 14.07.2022 № 266-ФЗ внесены соответствующие изменения в ряд статей 152-ФЗ. Так, ст. 18.1 указывает на необходимость оператора принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Причем оператор самостоятельно определяет состав и перечень этих мер. К мерам, которые актуализированы с 1 марта 2023 года, относятся следующие:
-
Издание оператором, являющимся юрлицом, документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам ПДн, определяющих для каждой цели обработки категории и перечень обрабатываемых данных, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов ПДн, а также возлагающие на операторов не предусмотренные законодательством полномочия и обязанности.
-
Оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинен субъектам ПДн в случае нарушения закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ. Перечень степеней оценки вреда определен Приказом Роскомнадзора от 27.10.2022 № 178 (период действия — с 1 марта 2023 года до 1 марта 2029 года).
Оценка вреда в результате нарушения 152-ФЗ
В случае оценки вреда речь идет о разграничении степеней вреда на высокую, среднюю и низкую. При этом нормативный акт подробно описывает, что к ним относится.
Высокая степень вреда
Так, к высокой степени вреда относится:
- обработка сведений, характеризующих физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) и которые используются оператором для установления личности субъекта ПДн;
- обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости;
- обработка ПДн несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством РФ;
- обезличивание ПДн, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг и в других случаях.
Средняя степень вреда
Характеризуется следующими сценариями:
- обработкой и распространением ПДн на официальном сайте оператора, предоставление ПДн неограниченному кругу лиц;
- продвижением товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз ПДн, владельцем которых является иной оператор;
- получением согласия на обработку ПДн посредством функционала, не предполагающего дальнейшую идентификацию и (или) аутентификацию субъекта ПДн;
- осуществлением деятельности по обработке ПДн, предполагающей получение согласия на обработку, содержащего положения о предоставлении права осуществлять обработку ПДн определенному и (или) неопределенному кругу лиц в целях, несовместимых между собой.
Низкая степень вреда
Может охватывать ведение общедоступных источников ПДн, сформированных в соответствии со ст. 8 Закона о персональных данных или назначение в качестве ответственного за обработку ПДн лица, не являющегося штатным сотрудником оператора.
При наступлении последствий в виде разглашения указанных сведений результаты оценки вреда должны быть зафиксированы в акте. Допускается электронный формат такого документа, но в этом случае он должен быть подписан ЭП. Таким образом он будет равнозначен документу на бумажном носителе, подписанном собственноручно.
Требования к оператору персональных данных по устранению нарушений
Ст. 21 Закона о персональных данных устанавливает требования к оператору по устранению нарушений, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн. Так, в частности, согласно п. 3.1, в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн оператор обязан уведомить об этом Роскомнадзор. А именно:
- в течение 24 часов поставить в известность об инциденте и причинах, повлекших нарушение прав субъектов ПДн, предполагаемом вреде и принятых мерах по устранению последствий произошедшего, а также предоставить сведения о лице, которое взаимодействует с Роскомнадзором по вопросам, связанным с выявленным инцидентом;
- в течение 72 часов сообщить о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Прекращение обработки персональных данных
Если цель обработки ПДн была достигнута, то оператор обязан либо прекратить их обработку, либо обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и уничтожить ПДн или обеспечить их уничтожение в течение 30 дней с даты достижения цели обработки ПДн.
Субъект ПДн вправе отозвать согласие на обработку его данных, а оператор в таком случае — обязан прекратить их обработку, и в случае, если сохранение данных более не требуется для целей обработки, уничтожить их в срок, не превышающий 30 дней с даты поступления отзыва.
Согласно п. 5.1 ст. 21 Закона о персональных данных, в случае если к оператору обращаются с требованием прекратить обработку данных, он обязан это сделать в течение 10 рабочих дней. Однако срок может быть продлен не более чем на 5 рабочих дней, если оператор направит субъекту ПДн мотивированное уведомление, в котором будут указаны причины продления срока.