Правовые основы защиты персональных данных

Правовые основы защиты персональных данных — комплексная система нормативно-правовых актов, регулирующих отношения, связанные с обработкой, хранением и использованием персональных данных граждан Российской Федерации [1]. Защита персональных данных является одним из ключевых направлений государственной политики в области обеспечения прав и свобод человека, особенно актуальным в контексте цифровизации общества и развития информационных технологий [2]. По данным Росстата, в 2024 году более 85% молодых людей в возрасте от 14 до 35 лет активно используют цифровые сервисы, что делает вопросы защиты их персональных данных особенно значимыми [3].

Конституционные основы защиты персональных данных

Правовая основа защиты персональных данных закреплена в Конституции Российской Федерации [4]. Статья 23 Конституции РФ гарантирует каждому право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени [5]. Статья 24 Конституции РФ устанавливает фундаментальный принцип: сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются [6]. Эти конституционные нормы являются базисом для всей системы правового регулирования в сфере защиты персональных данных [7].

Конституционные положения обязывают органы государственной власти и органы местного самоуправления, их должностных лиц обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом [8]. Данные нормы создают правовую основу для реализации прав граждан на доступ к информации о себе и контроль за её использованием [9].

Федеральное законодательство о персональных данных

Основным нормативным актом, регулирующим отношения в сфере персональных данных, является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» [10]. Закон определяет понятия персональных данных, оператора персональных данных, субъекта персональных данных, устанавливает принципы и условия обработки персональных данных, права субъектов персональных данных [11]. В соответствии с законом, к персональным данным относятся любые сведения прямого или косвенного характера, позволяющие идентифицировать конкретного человека: паспортные данные, СНИЛС, место регулярного проживания и прописки, место и дата рождения, фото- и видеоматериалы, данные о семейном положении, величина ежемесячного дохода, навыки и образование [12].

С 2025 года в Федеральный закон № 152-ФЗ внесены существенные изменения, направленные на усиление защиты персональных данных граждан [13]. С 1 января 2025 года вступила в силу обновленная форма согласия на размещение и обработку персональных данных в Единой биометрической системе, утвержденная распоряжением Правительства № 856-р от 09.04.2024 [14]. С 30 мая 2025 года значительно ужесточена ответственность за нарушения в области персональных данных: для юридических лиц суммы штрафов могут достигать 300 тысяч рублей, а также введены новые составы правонарушений [15]. С 1 сентября 2025 года операторы обязаны по запросу регулятора передавать в обезличенном виде массивы персональных данных, что регулируется законом от 8 августа 2024 года № 233-ФЗ [16].

Для обработки персональных данных операторы обязаны подать уведомление о намерении осуществлять обработку персональных данных и быть включенными в реестр операторов персональных данных [17]. Операторы должны применить средства защиты информации для защиты собранных данных, чтобы злоумышленникам было сложнее нарушить их конфиденциальность [18]. С 1 июля 2025 года вступили в силу требования к локализации данных, запрещающие хранение, запись и изменение персональных данных за пределами Российской Федерации при их трансграничной передаче [19].

Административная и уголовная ответственность

Законодательство Российской Федерации устанавливает строгую ответственность за нарушения в сфере обработки персональных данных [20]. Административная ответственность предусмотрена статьей 13.11 Кодекса об административных правонарушениях Российской Федерации [21]. Для граждан штрафы составляют от 2 до 15 тысяч рублей, для должностных лиц — от 10 до 300 тысяч рублей, для юридических лиц — от 60 тысяч до 700 тысяч рублей [22].

Уголовная ответственность за разглашение персональных данных установлена статьей 137 Уголовного кодекса Российской Федерации «Нарушение неприкосновенности частной жизни» [23]. Часть 1 статьи 137 УК РФ предусматривает ответственность за незаконное собирание или распространение персональных данных без согласия субъекта с максимальным наказанием до 2 лет лишения свободы [24]. Часть 2 статьи предусматривает более строгое наказание — штраф от 100 до 300 тысяч рублей, лишение свободы до 4 лет с лишением права занимать должности до 5 лет — за деяния, совершенные с использованием служебного положения [25]. Продажа персональных данных организованной группой или причинение тяжких последствий наказывается до 10 лет лишения свободы со штрафом до 3 миллионов рублей [26].

С 30 мая 2025 года введены новые составы правонарушений: непредставление уведомления о намерении обрабатывать персональные данные, несоблюдение требований к локализации персональных данных, несвоевременное уведомление об утечке персональных данных [27]. Также введены повышенные штрафы за утечки данных: при утечке данных 1-10 тысяч субъектов штрафы составляют от 3 до 5 миллионов рублей [28]. Несанкционированное использование Единой биометрической системы наказывается штрафом от 500 тысяч до 1 миллиона рублей, а обработка данных без аккредитации — от 1 до 2 миллионов рублей [29].

Роль Роскомнадзора в защите персональных данных

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных [30]. К полномочиям Роскомнадзора относится осуществление федерального государственного контроля (надзора) за обработкой персональных данных, обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных и неопределенного круга лиц, привлечение к административной ответственности лиц, виновных в нарушении закона о персональных данных [31].

Роскомнадзор имеет право требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных, ограничивать доступ к информации, обрабатываемой с нарушением законодательства, принимать меры по приостановлению или прекращению обработки персональных данных [32]. Ведомство направляет в органы прокуратуры и правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, а также вносит в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных [33].

Роскомнадзор при участии Молодежной палаты Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных подготовил рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных [34]. Также были подготовлены материалы по соблюдению требований закона о локализации баз персональных данных на территории Российской Федерации, которые размещены на официальных интернет-ресурсах ведомства [35]. В 2024 году Роскомнадзор предложил ввести обязательные стандарты обработки персональных данных, разрешая собирать только необходимые сведения на основании закона, а не по согласию граждан [36].

Обработка персональных данных в молодежных организациях

Федеральное агентство по делам молодежи (Росмолодежь) осуществляет обработку персональных данных в соответствии с приказом от 01.06.2015 № 78 «Об обработке персональных данных в Федеральном агентстве по делам молодежи» [37]. Обработка персональных данных в Росмолодежи осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации, включая соблюдение прав и законных интересов субъектов персональных данных, обеспечение безопасности персональных данных при их обработке [38].

Министерство молодежной политики различных регионов России разрабатывает и утверждает политики в отношении обработки персональных данных, определяющие принципы и порядок обработки персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ [39]. Обработка персональных данных молодежи должна осуществляться на законной и справедливой основе, соответствовать целям, заранее определенным и заявленным при сборе персональных данных [40]. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных, а в случае смерти — наследники субъекта персональных данных [41].

Образовательные и просветительские программы

Роскомнадзор активно реализует программы правового просвещения молодежи в сфере защиты персональных данных [42]. В июне 2023 года территориальными управлениями Роскомнадзора было проведено 282 обучающих мероприятия для школьников о защите персональных данных, в которых приняли участие около 56 тысяч подростков [43]. В 2023 году Роскомнадзор провел более 5 тысяч обучающих мероприятий для детей и молодежи по защите персональных данных [44]. Ведомство разработало дистанционные уроки, призванные научить школьников защищать свои персональные данные [45].

В структуре Университета имени О.Е. Кутафина (МГЮА) 21 июня 2021 года создан Центр по обеспечению прав молодежи в цифровом пространстве [46]. Основными задачами Центра являются повышение уровня правовой и цифровой грамотности молодежи, создание условий для формирования в России благоприятной и безопасной цифровой среды для детей и молодежи [47]. Центр организует интерактивные просветительские мероприятия, направленные на повышение уровня правовой и цифровой грамотности детей и молодежи, воспитание у них нравственных и смысловых ориентиров в цифровом пространстве [48].

Свердловская областная библиотека для детей и молодежи реализует комплексные программы правового просвещения молодежи, формируя у юношества высокий уровень правовой культуры [49]. Основные задачи правового воспитания включают формирование нравственной позиции, правовой и политической культуры молодежи, профилактику правонарушений среди подростков и молодежи, оказание информационной поддержки юношам и девушкам, попавшим в зону юридического, социального или личностного конфликта [50]. Региональное молодежное общественное движение правового просвещения осуществляет содействие правовому воспитанию и правовому просвещению молодежи, формированию у молодежи эффективных навыков правовой культуры, развитию добровольческой деятельности [51].

Проект Ростовской области «Молодежь вправе» создает во всех учебных заведениях общего и среднего профессионального образования единую интерактивную систему правого воспитания молодежи, содействуя формированию правовой грамотности, профилактике правонарушений и профессиональной ориентации в выборе профессии юриста [52]. В России обсуждается возможность введения специального курса «Личная безопасность» для студентов и школьников с 8 класса и до 3 курса вузов на постоянной основе, направленного на формирование у молодежи навыков противостояния мошенническим схемам и защиты персональных данных [53].

Права субъектов персональных данных

Субъект персональных данных (физическое лицо, гражданин Российской Федерации) имеет право на обеспечение защиты его прав и свобод при обработке его персональных данных, защиты прав на неприкосновенность частной жизни, личную и семейную тайну [54]. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки [55]. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей подтверждение факта обработки персональных данных оператором, правовые основания и цели обработки персональных данных [56].

Оператор обязан предоставить безвозмездно субъекту персональных данных (его представителю) возможность ознакомления с обрабатываемыми персональными данными [57]. Сведения должны быть представлены субъекту персональных данных оператором в доступной форме, при этом оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, перечень действий с персональными данными, способы обработки персональных данных [58]. Субъект персональных данных может отозвать согласие на обработку персональных данных путем направления соответствующего письменного уведомления оператору [59].

Особенности обработки персональных данных в образовательных организациях

При обработке персональных данных образовательная организация обязана принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных [60]. Субъектами персональных данных в образовательных организациях являются учащиеся, законные представители учащихся, работники, родственники работников, контрагенты [61]. Целями обработки персональных данных в образовательных организациях являются реализация образовательных программ, обеспечение безопасности образовательного процесса, ведение кадрового делопроизводства [62].

В соответствии с требованиями статьи 7 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», образовательные организации, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом [63]. До начала обучения пользователю необходимо предоставить следующие данные и сканы документов: ФИО, паспортные данные и данные об образовании [64]. Без предоставления персональных данных невозможна регистрация в образовательных онлайн-платформах и участие в образовательных программах [65].

Современные вызовы в сфере защиты персональных данных

По данным Аналитического центра компании InfoWatch, в 2019 году количество утечек персональных данных в России выросло на 40% по сравнению с предыдущим годом, что актуализирует проблему защиты персональных данных молодежи [66]. В последние годы наблюдается активное использование мошенниками технологий вербовки подростков в преступную деятельность, при этом мошенники используют сложные схемы с использованием звонков из госструктур с подложными документами и дипфейками [67].

Необходимость осуществления особой правовой политики в отношении молодежи определяется спецификой ее социального статуса, в связи с чем рассматриваются механизмы использования современных технологий в сфере правового просвещения в России и за рубежом [68]. Государство призвано обеспечить соблюдение законности в молодежной среде, осуществление предусмотренных действующим законодательством гарантий прав и свобод молодого человека и гражданина, равенство всех молодых людей перед законом и судом, взаимную ответственность молодого гражданина и государства, судебную и иную защиту личности молодого человека [69].

Интересные факты

С 30 мая 2025 года вводятся дополнительные требования к обработке биометрических персональных данных: обработка биометрических данных без аккредитации запрещена, запрещено отказывать в обслуживании клиентам, которые не предоставили биометрические данные, а нарушение этих требований влечет штрафы до 15 миллионов рублей [70]. С 1 сентября 2025 года операторы персональных данных обязаны предоставлять по требованию Минцифры обезличенные сведения в соответствии со списком нужной информации и сроками ее передачи, установленными Правительством Российской Федерации [71].

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, может быть взыскан в размере от 10 до 100 тысяч рублей в типичных случаях, материальный ущерб взыскивается в полном размере, а судебные расходы возлагаются на нарушителя [72]. Российское законодательство определяет информацию как данные о лицах, фактах, явлениях независимо от формы, в которой она предоставляется, а персональные данные относятся к конфиденциальной информации, режим конфиденциальности которой снимается только в случаях обезличивания или по истечении установленных сроков [73].