Personal Data Protection Law (152-FZ)

Краткое резюме

Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" является основополагающим нормативным актом Российской Федерации, регулирующим отношения в области обработки персональных данных. Закон был принят Государственной Думой 8 июля 2006 г., одобрен Советом Федерации 14 июля 2006 г. и неоднократно дополнялся и изменялся на протяжении почти двух десятилетий своего действия.

Целью закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, включая право на неприкосновенность частной жизни, личную и семейную тайну. Закон распространяется на все формы обработки персональных данных -- как с использованием средств автоматизации (в том числе в информационно-телекоммуникационных сетях), так и без таковых, и применяется к федеральным и региональным органам власти, органам местного самоуправления, юридическим и физическим лицам.

Документ является одним из наиболее динамично обновляемых законов в сфере ИТ-регулирования, отражая стремительное развитие цифровых технологий, расширение трансграничных потоков данных и нарастающие угрозы информационной безопасности. Последние существенные изменения, вступающие в силу в 2025 году, включают новые требования к обезличиванию данных для целей ИИ и формированию составов данных, а также ужесточение контроля трансграничной передачи.

Ключевые положения

• Понятие персональных данных. Любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. Закон также выделяет специальные категории ПД (расовая принадлежность, политические взгляды, здоровье, интимная жизнь), биометрические ПД и персональные данные, разрешённые субъектом для распространения.

• Принципы обработки. Законность и справедливость; ограничение целями обработки; запрет объединения несовместимых баз данных; точность и актуальность; ограничение сроков хранения; уничтожение или обезличивание по достижении целей.

• Согласие субъекта. Обработка ПД допускается с согласия субъекта, которое должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие оформляется отдельно от иных документов (нормы 2025 г.). Письменное согласие обязательно для специальных категорий ПД.

• Права субъекта. Право на получение информации об обработке своих данных, право на отзыв согласия, право требовать уничтожения неправомерно обработанных данных, право на прекращение распространения.

• Оператор. Государственный орган, юридическое или физическое лицо, организующее и осуществляющее обработку ПД. Несёт ответственность за действия лиц, обрабатывающих данные по его поручению, включая иностранных контрагентов.

• Трансграничная передача. Детально урегулирована с 2023 г.: обязательное уведомление Роскомнадзора, получение сведений от иностранных получателей, возможность запрета передачи по представлению ФСБ, Минобороны, МИД и иных ведомств.

• Обезличивание для целей ИИ. С 1 сентября 2025 г. вводится механизм формирования составов обезличенных данных для повышения эффективности государственного управления и развития технологий ИИ (ст. 13.1).

• Биометрические данные. Обработка только с письменного согласия, за исключением случаев, связанных с обороной, безопасностью, судопроизводством. Оператор не вправе отказывать в обслуживании при отказе субъекта предоставить биометрические данные.

Цели и сроки

Уполномоченный орган (Роскомнадзор) принимает решение о запрете/ограничении трансграничной передачи в течение 10 рабочих дней; оператор обязан опубликовать условия обработки в течение 3 рабочих дней.

Механизмы реализации

• Роскомнадзор -- уполномоченный орган по защите прав субъектов персональных данных: ведёт реестр операторов, утверждает требования к согласию на распространение, принимает решения о запрете трансграничной передачи, осуществляет контроль и надзор.
• Правительство РФ -- определяет порядок обезличивания, требования к формированию составов данных, исключения из правил трансграничной передачи, порядок проверки пользователей ГИС.
• ФСБ России -- согласовывает требования к обезличиванию, порядок формирования составов данных и доступа к ним; может инициировать запрет трансграничной передачи для защиты конституционного строя.
• Уполномоченный орган в сфере ИТ (Минцифры) -- формирует составы обезличенных данных в ГИС, направляет операторам требования о предоставлении обезличенных данных.
• Операторы -- обязаны уведомлять о обработке и трансграничной передаче, обеспечивать безопасность данных, обезличивать по требованию, удалять данные по достижении целей обработки.
• Самосанкция. Оператор несёт ответственность за действия любого лица, обрабатывающего ПД по его поручению, в т.ч. иностранного.

Влияние на отрасль

Закон 152-ФЗ является одним из ключевых регуляторных факторов для ИТ-отрасли России. Его влияние многоаспектно:

Стоимость compliance. Требования по локализации баз данных, уведомлению Роскомнадзора, получению согласий и обеспечению безопасности увеличивают операционные расходы компаний, особенно работающих с большими объёмами пользовательских данных (финтех, e-commerce, социальные сети).

Рынок информационной безопасности. Закон стимулирует спрос на решения по защите ПД: шифрование, DLP-системы, средства обезличивания, аудит и консалтинг. Это создаёт устойчивый рынок для российских ИБ-компаний.

Развитие ИИ. Новая статья 13.1 (с 2025 г.) создаёт механизм доступа к обезличенным данным для развития технологий ИИ, что является критически важным ресурсом для машинного обучения. Однако жёсткие требования к обезличиванию и ограничения на доступ частных компаний (только через год после предоставления данных в ГИС) могут замедлить инновации.

Трансграничные операции. Усложнение правил трансграничной передачи данных с 2023 г. затрудняет работу международных ИТ-компаний в России и создаёт дополнительные барьеры для интеграции российских компаний в глобальные цепочки обработки данных.

Штрафы и ответственность. Ужесточение санкций за нарушения (включая оборотные штрафы, введённые в 2024 г.) повышает значимость закона как фактора бизнес-планирования.

История изменений

Закон претерпел множество изменений с момента принятия. Основные вехи:

• 25 июля 2011 г. (N 261-ФЗ) -- масштабная переработка: новые определения, порядок обработки, права операторов.
• 21 июля 2014 г. (N 242-ФЗ) -- требование о локализации баз данных граждан РФ на территории России.
• 30 декабря 2020 г. (N 519-ФЗ) -- введение института персональных данных, разрешённых для распространения (статья 10.1).
• 14 июля 2022 г. (N 266-ФЗ) -- распространение на обработку иностранными лицами, новые правила трансграничной передачи, усиление ответственности.
• 8 августа 2024 г. (N 233-ФЗ) -- обезличивание для формирования составов данных (статья 13.1).
• 28 декабря 2024 г. (N 519-ФЗ), 24 июня 2025 г. (N 156-ФЗ), 7 июля 2025 г. (N 200-ФЗ) -- уточнение требований к согласию, биометрии и специальным категориям.

Связанные документы

• Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Конвенция 108).
• Федеральный закон "Об информации, информационных технологиях и о защите информации" (N 149-ФЗ от 27 июля 2006 г.)
• Федеральный закон "О безопасности критической информационной инфраструктуры" (N 187-ФЗ от 26 июля 2017 г.)
• Национальная стратегия развития искусственного интеллекта до 2030 г. (Указ Президента N 490 от 10 октября 2019 г.)
• Федеральный закон N 123-ФЗ от 24 апреля 2020 г. -- эксперимент по ИИ в Москве, особенности обработки ПД для составов данных.
• Федеральный закон N 258-ФЗ от 31 июля 2020 г. -- об экспериментальных правовых режимах в сфере цифровых инноваций.
• Доктрина информационной безопасности Российской Федерации (Указ Президента от 5 декабря 2016 г. N 646).