152-ФЗ-2006

Материал из вики.антиспам.рус
Перейти к навигации Перейти к поиску

Краткий конспект Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" вкратце простым языком для чайников.

Словарь:
ПД, ПДн – персональные данные. Здесь для краткости "ПД", но юристами чаще используется "ПДн".
ОПД – обработка ПД.
СПД – субъект ПД (только физлицо).
ФЗ – федеральный закон.
ГО – госорганы.
МО – муниципальные органы.
СА – средства автоматизации (ПК, серверы и тд).

Глава 1. Общие положения

Статья 1. Сфера действия этого ФЗ

Часть 1. Что регулируется?

Отношения, связанные с ОПД, осуществляемой:

  • федеральными органами,
  • органами госвласти субъектов РФ,
  • иными ГО,
  • органами местного самоуправления (МО),
  • иными МО,
  • юрлицами,
  • физлицами;

в случаях:

  • использования СА (в том числе в сетях),
  • без использования СА, если есть возможность находить ПД на материальных носителях по алгоритму (по алфавиту, дате и тд) – бумажные архивы, картотеки и тп.

Часть 1.1. Применяется к ОПД:

  • граждан РФ иностранными юрлицами/физлицами, если одна из сторон договора (юридического соглашения) – граждане РФ,
  • на основании согласия гражданина РФ на ОПД.

Часть 2. Не распространяется на отношения, возникающие при:

  • ОПД физлицами для личных и семейных нужд, если не нарушаются права СПД;
  • работе с Архивным фондом РФ и другими архивными документами по 125-ФЗ-2004 "Об архивном деле в РФ";
  • ОПД из гостайны.

Часть 3. ПД в деятельности судов РФ

Всё должно быть по 262-ФЗ-2008 "Об обеспечении доступа к информации о деятельности судов в РФ".

Статья 2. Цель закона

Защита прав и свобод человека и гражданина при ОПД, особенно на:

  • неприкосновенность частной жизни,
  • личную тайну,
  • семейную тайну.

Статья 3. Основные понятия

  • персональные данные (ПД) – это информация именно о физлице (оно же СПД – субъект персональных данных);
    • разрешенные для распространения ПД – те, к которым СПД по 152-ФЗ-2006 дал согласие на доступ неограниченному кругу лиц;
  • операторы:
    • госорганы,
    • муниципальные органы,
    • юрлица
    • физлица,

которые сами или вместе с другими лицами:

  • обрабатывают ПД,
  • определяют:
    • цели ОПД,
    • состав ПД, подлежащих ОПД,
    • операции, совершаемые с ПД;
  • обработка персональных данных (ОПД) – действия с ПД при помощи средств автоматизации (СА) или без их помощи, включая:
    • сбор,
    • запись,
    • систематизацию,
    • накопление,
    • хранение,
    • уточнение (обновление, изменение),
    • извлечение,
    • использование,
    • передачу (распространение, предоставление, доступ),
    • обезличивание,
    • блокирование,
    • удаление,
    • уничтожение;
  • автоматизированная ОПД – ОПД с помощью средств вычислительной техники (СА);
  • распространение ПД – раскрытие неопределенному кругу лиц;
  • предоставление ПД – раскрытие определенному лицу/кругу лиц;
  • блокирование ПД – временное прекращение обработки (кроме уточнения ПД);
  • уничтожение ПД – когда невозможно их восстановить;
  • обезличивание ПД – когда невозможно определить их принадлежность к кому-то конкретному без дополнительной информации;
  • информационная система – ПД в базах данных + техсредства, обеспечивающие их обработку;
  • трансграничная передача – передача ПД за территорию РФ:
    • органу власти иностранного государства,
    • иностранному физлицу,
    • иностранному юрлицу.

Статья 4. Законодательство РФ в области ПД

4.1 Основа

Законодательство РФ в области ПД

4.2 Зачем оно?

На основании этого законодательства и для их исполнения по вопросам, касающимся ОПД

  • ГО,
  • Банк России,
  • МО

в пределах своих полномочий могут принимать нормативно-правовые акты, которые:

  • подлежат официальному опубликованию;
  • не могут:
    • ограничивать права СПД,
    • ограничивать операторов не по ФЗ,
    • навязывать операторам обязанности не по ФЗ.

4.3 ОПД без СА

Особенности ОПД без СА могут быть определены иными ФЗ и нормативно-правовыми актами с учетом этого ФЗ.

4.3.1 Согласование с РКН

Нормативно-правовые акты, принимаемые по части 2 этой статьи, нужно согласовать с Роскомнадзором, если они регулируют:

  • трансграничную передачу ПД,
  • предоставление и распространение обезличенных ПД,
  • обработку:
    • спецкатегорий ПД,
    • биометрических ПД,
    • ПД несовершеннолетних.

Срок согласования не больше 30 дней.

4.4 Международные договоры

Международные договоры РФ главнее этого ФЗ.

4.5 Конституция главнее

Конституция РФ главнее международных договоров и решений межгосударственных органов. Противоречия нельзя выполнять на территории РФ, они устанавливаются по федеральному конституционному закону.

Статья 5. Принципы ОПД

5.1 Законность

ОПД (обработка персональных данных) должна быть законной и справедливой.

5.2 Ограничения

ОПД ограничена конкретными, заранее определенными и законными целями. ОПД, несовместимая с целями сбора ПД, запрещена.

5.3 Объединение БД

Не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой.

5.4 Обработка

Обработке подлежат только ПД, которые отвечают целям их обработки.

5.5 Содержание, объём и избыточность

Содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям.

5.6 Актуальность

Нужны точность, достаточность и актуальность ПД по отношению к целям ОПД. Оператор должен удалять или уточнять неполные или неточные ПД.

5.7 Хранение и уничтожение

Хранение ПД должно позволять определить СПД
@
Но не дольше, чем требуют цели ОПД
@
Это если срок хранения ПД не установлен ФЗ или договором с СПД.

Если иное не предусмотрено ФЗ, то ПД нужно уничтожить или обезличить при:

  • достижении целей обработки;
  • утрате необходимости в достижении целей.

Статья 6. Условия ОПД

6.1 ОПД допускается в случаях

1. ОПД (обработка персональных данных) должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

9.1) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31 июля 2020 года N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами;

10) утратил силу с 1 марта 2021 года. - Федеральный закон от 30.12.2020 N 519-ФЗ;

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.1. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года N 57-ФЗ "О государственной охране".

2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

6. В случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора.