Legal Talks
Логотип Сфера
Логотип Legal Academy
Авторский взгляд

Поправками по закону: краткая история персональных данных в России

С марта 2023 года в России изменились требования к обработке персональных данных (ПД). Поправки в закон коснулись их трансграничной передачи, утечки и уничтожения. Это не первые и, вероятно, не последние изменения ключевого нормативного акта, принятого еще в 2006 году. О том, как менялось законодательство в этой сфере, читайте в авторской колонке адвоката Татьяны Кархалевой.
Время прочтения: 7 минут

Суть

Персональные данные — любая информация, относящаяся (прямо или косвенно) к определенному или определяемому физическому лицу (субъекту персональных данных). Такое определение дает действующая редакция закона «О персональных данных» - лаконичная формулировка появилась в 2011 году. До этого тем же законом под персональными данными понималась любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

По сути, из определения исчезло только перечисление, но так как перечень был открытым, исключение конкретных данных лишь устранило неясности в толковании. Основной критерий остался прежним - относимость информации к конкретному лицу и возможность его идентификации.

Принятый в 2006 году закон № 152-ФЗ «О персональных данных» — ключевой нормативный правовой акт в сфере регулирования их оборота. Он основан на европейской концепции, но в Европе право на защиту данных неотделимо от защиты личности и ее частной жизни. В России персональные данные - самостоятельный объект права. Обязанности по его защите возложены на юридических лиц – операторов, а надзор остается за государством.

Во исполнение норм закона приняты многочисленные постановления правительства, приказы Роскомнадзора, детализирующие его, и дающие разъяснения по отдельным вопросам. Разобраться в таком объеме документов непросто даже квалифицированному юристу.

Вехи истории

Впервые термин «персональные данные» появился в Федеральном законе от 20.02.1995 N 24-ФЗ «Об информации, информатизации и защите информации». Там было написано, что информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность, и было указание на то, что ПД относятся к категории конфиденциальной информации.

При этом устанавливалось, что деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных, подлежит лицензированию. То есть то, что делают сейчас фактически каждая организация или индивидуальный предприниматель, уведомляя Роскомнадзор (РКН), принимая меры к легализации оборота информации, расценивалось как особая деятельность, на осуществление которой необходима лицензия.

Хочу подчеркнуть, что отсутствие до 1995 года специальной правовой базы не означает, что раньше персональные данные не подлежали защите. Но концепция исходила из защиты частной жизни гражданина.

Если углубится в историю, понятия «неприкосновенность частной жизни» и «тайна переписки», из которых и вытекает понятие персональных данных, появились в Почтовом и Телеграфных уставах, принятых при Александре II. А ответственность за их нарушение уже была в Уголовном уложении.

После Революции 1917 года термины были «забыты» ввиду конфликта с пришедшей идеологией. Лишь в Конституции 1936 года создали раздел, посвященный правам и свободам гражданина, в двух статьях которого содержались нормы о неприкосновенности личности, жилища и тайне переписки. Однако они «соседствовали» с официальной цензурой и стенографией телефонных переговоров.

Чуть лучше дела обстояли в 60-е годы, но неприкосновенность частной жизни как самостоятельная ценность, включающая в себя и право на защиту персональных данных, впервые появилась в нашем правовом поле только в 1991 году. В действующей сейчас Конституции 1993 года закреплено, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

В 1999 году на уровне Ассамблеи стран СНГ был принят модельный закон о защите персональных данных, давший странам-участницам основные термины и правила регулирования сферы.

На мой взгляд, можно говорить о том, что в России есть перекос в сторону избыточного регулирования. Предъявляемые требования иногда не являются экономически обоснованными, создавая дополнительные административные барьеры для работы компаний. При этом штрафы за неисполнение законодательства существенные, поэтому появилась целая индустрия специалистов в этой области, но, опять же, их услуги не всегда по карману малому бизнесу.

В 2022 году в закон «О персональных данных» были внесены очередные правки. Эти корректировки стали основанием для переработки форм согласий и политик у всех операторов, которые следят за изменениями.

Что изменилось с 1 сентября:

Согласие на обработку ПД стало более предметным, однозначным, соответствующим узким целям обработки данных, и оно должно быть получено путем совершения активных действий субъекта, даже если это просто проставление галочки в чекбоксе.

Политику необходимо размещать на первой странице сайта организации, и за несоблюдение этого требования полагается штраф. Сокращен срок реагирования на запросы субъектов о своих персональных данных – с 30 до 10 рабочих дней с возможностью продления до 15-ти.

Еще одно - компания не может отказывать в обслуживании, если клиент отказался предоставлять ей биометрические данные.

Последний существенный блок изменений в закон «О персональных данных» вступил в силу с 1 марта 2023 года. Они коснулись:

  • сроков подачи уведомлений в Роскомнадзор об изменении обрабатываемых персональных данных. Раньше нужно было сделать это в течение 10 дней с момента корректировки, а теперь - не позднее 15-го числа месяца.
  • порядка уничтожения персональных данных. Теперь операторам нужно подтверждать этот факт. На бумажных носителях актом, а на электронных, например, журналом событий.
  • новых полномочий РКН при передаче информации за границу (теперь нужно спрашивать разрешение у ведомства, а не просто уведомлять). Это важно, если компания сотрудничает с иностранными партнерами.

Также с 1 марта 2023 года вступил в силу приказ Роскомнадзора от 27.10.2022 № 178. Он обязывает операторов создавать акт, в котором прописываются возможные степени риска при работе с персональными данными. То есть компания должна оценить возможный вред субъекту персональных данных в случае нарушений. Эту процедуру проводит ответственный за организацию обработки персональных данных или специальная комиссия.

Кроме того, при утечке персональных данных оператор должен известить об этом Роскомнадзор, направив специальное уведомление. 

Резюмируя, хочу сказать, что законодательство в сфере защиты персональных данных постоянно усложняется, накладывая на бизнес все больше и больше обязательств. А активность Роскомнадзора по проведению проверок, в том числе по жалобам граждан, возрастает. При этом нельзя не отметить, что с развитием ИТ-технологий оборот информации увеличивается, и, значит, возрастает риск утечки.  

Рекомендуем

Статья

Ваш багаж и IP: правительство хочет собирать больше данных с авиапассажиров

Российские власти намерены расширить перечень данных о бронировании авиабилетов, которые передаются в автоматизированные государственные системы. Предлагается собирать и обрабатывать информацию о способе оплаты билета, багаже и даже IP-адресе, с которого был сделан заказ. Эксперты пока не спешат давать правовую оценку проекту, но не исключают, что инициатива будет реализована.

Статья

Доступ к личным данным без решения суда: юристы оценили новые поправки МВД

В МВД России разработали ряд поправок к закону "Об оперативно-розыскной деятельности". Предлагаемые изменения позволят приравнять любую информацию, передаваемую через Интернет, к необходимым для следственных действий данным. Таким образом, силовики получат право на удаленный доступ к любой информации из дата-центров, облачных хранилищ, от операторов связи и с устройств граждан без решения суда. Опрошенные "Сферой" эксперты рассказали о возможных последствиях принятия данных поправок.

Статья

Как работает и регулируется сбор биометрических данных в России

С 1 марта в России расширился список организаций, которые могут законно работать с биометрическими персональными данными населения. В то же время правительство ввело ряд ограничений на использование биометрии в информационных системах и ужесточило механизм ее принудительного сбора. Подробнее о том, как регулируется сфера в РФ – в нашем материале.

Нужно хоть что-то написать

Закрыть модальное окно

ООО «Лигал Академия» предоставляет авторам техническую возможность размещения информации на Информационном юридическом портале и не участвует в формировании ее содержания, в связи с этим не несет ответственность за законность их действий и информацию, размещаемую авторами на данном Информационном портале, не гарантирует качество, полноту и достоверность такой информации.

Авторы самостоятельно несут ответственность за содержание размещаемой ими информации и законность собственных действий в связи с размещением информации на Информационном портале, вне зависимости от того, какое количество пользователей Информационного портала либо третьих лиц получило или могло получить доступ к такой информации.

ООО «Лигал Академия», до тех пор, пока не будет установлено иное, предполагает, что все права (имущественного и неимущественного характера) на информацию принадлежат разместившему ее на Информационном портале автору или автором получены все необходимые права и/или разрешения на такое размещение; размещение такой информации на Информационном портале не нарушает законные права и интересы третьих лиц. Если размещение какой-либо информации нарушает законные права и интересы третьих лиц, такая информация будет удалена с Информационного портала по первому требованию правообладателя и/или лица, чьи законные права и интересы были нарушены.

Претензии, касающиеся информации, размещенной на Информационном портале, могут быть отправлены: