Научно-практический постатейный комментарий к Федеральному закону «О персональных данных»

ÌÎÑÊÂÀ 2017

А.И. Савельев

Научно-практический постатейный комментарий
к Федеральному закону

«О ПЕРСОНАЛЬНЫХ ДАННЫХ»

УДК 342.7
ББК 67.400.32
С 12

Савельев Александр Иванович – 
кандидат юридических наук, старший научный сотрудник Международной  
лаборатории по праву в сфере интеллектуальной собственности  
и информационных технологий НИУ ВШЭ, доцент факультета права НИУ ВШЭ, 
юрисконсульт компании IBMРоссия/СНГ,  
член Консультативного совета при Роскомнадзоре

 
Савельев А.И.
С 12  
Научно-практический постатейный комментарий к Федеральному закону «О персональных данных». – М.: Статут, 2017. – 320 с.

 
ISBN 978-5-8354-1365-2 (в обл.)

Настоящий научно-практический комментарий к Федеральному закону 
«О персональных данных» подготовлен с учетом последних изменений, внесенных в него в том числе Федеральным законом от 21 июля 2014 г. № 242-ФЗ 
«О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». При подготовке комментария учтены 
положения соответствующих подзаконных актов, а также последние изменения в КоАП РФ в части административной ответственности за нарушение законодательства о персональных данных. Использована отечественная судебная 
практика, разъяснения Минкомсвязи России и Роскомнадзора по вопросам 
применения законодательства о персональных данных. Ряд положений Закона 
о персональных данных анализируется в сравнении с европейским законодательством, включая недавно принятый General Data Protection Regulation и правовые позиции Европейского Суда Справедливости.
Комментарий рассчитан на практикующих юристов, научных работников, 
студентов и аспирантов, а также всех интересующихся проблематикой защиты 
персональных данных.
Тексты нормативных правовых актов приведены по состоянию на 15 марта 
2017 г.
УДК 342.7
ББК 67.400.32

ISBN 978-5-8354-1365-2
© А.И. Савельев, 2017
© Издательство «Статут», редподготовка, оформление, 2017

Оглавление

Список сокращений ............................................................................................ 5
Введение ............................................................................................................. 6

Федеральный закон 

«О перСОНАльНых дАННых»

Глава 1. Общие положения ...........................................................................9
Статья 1. Сфера действия настоящего Федерального закона ..............9
Статья 2. Цель настоящего Федерального закона ..............................30
Статья 3. Основные понятия, используемые  в настоящем  
Федеральном законе ............................................................................39
Статья 4. Законодательство Российской Федерации в области 
персональных данных .........................................................................76

Глава 2. принципы и условия обработки персональных данных ................88
Статья 5. Принципы обработки персональных данных .....................88
Статья 6. Условия обработки персональных данных .........................97
Статья 7. Конфиденциальность персональных данных ...................115
Статья 8. Общедоступные источники персональных данных .........117
Статья 9. Согласие субъекта персональных данных на обработку  
его персональных данных..................................................................119
Статья 10. Специальные категории персональных данных .............132
Статья 11. Биометрические персональные данные ..........................153
Статья 12. Трансграничная передача персональных данных...........160
Статья 13. Особенности обработки персональных данных  
в государственных или муниципальных информационных  
системах персональных данных ........................................................172

Глава 3. права субъекта персональных данных .......................................178
Статья 14. Право субъекта персональных данных на доступ  
к его персональным данным .............................................................178
Статья 15. Права субъектов персональных данных при обработке  
их персональных данных в целях продвижения товаров, работ,  
услуг на рынке, а также в целях политической агитации ................193
Статья 16. Права субъектов персональных данных при принятии 
решений на основании исключительно автоматизированной  
обработки их персональных данных .................................................198

Оглавление

Статья 17. Право на обжалование действий или бездействия 
оператора ...........................................................................................203

Глава 4. Обязанности оператора...............................................................211
Статья 18. Обязанности оператора при сборе персональных  
данных ................................................................................................211
Статья 18.1. Меры, направленные на обеспечение выполнения 
оператором обязанностей, предусмотренных настоящим  
Федеральным законом ......................................................................220
Статья 19. Меры по обеспечению безопасности персональных  
данных при их обработке ..................................................................232
Статья 20. Обязанности оператора при обращении к нему  
субъекта персональных данных либо при получении запроса  
субъекта персональных данных или его представителя,  
а также уполномоченного органа по защите прав субъектов 
персональных данных .......................................................................252
Статья 21. Обязанности оператора по устранению нарушений 
законодательства, допущенных при обработке персональных  
данных, по уточнению, блокированию и уничтожению  
персональных данных .......................................................................255
Статья 22. Уведомление об обработке персональных данных .........263
Статья 22.1. Лица, ответственные за организацию обработки 
персональных данных в организациях .............................................277

Глава 5. Государственный контроль и надзор за обработкой персональных 
данных. Ответственность за нарушение требований настоящего  
Федерального закона ................................................................................280
Статья 23. Уполномоченный орган по защите прав  
субъектов персональных данных ......................................................280
Статья 24. Ответственность за нарушение требований  
настоящего Федерального закона .....................................................301

Глава 6. Заключительные положения .......................................................317
Статья 25. Заключительные положения ...........................................317

СпиСОк СОкращений

ЕСПЧ – Европейский суд по правам человека
Суд ЕС – Европейский суд справедливости
ГК РФ – Гражданский кодекс Российской Федерации (часть первая 
от 30 ноября1994 г. № 51-ФЗ; часть вторая от 26 января 1996 г. № 141ФЗ; часть третья от 26 ноября 2001 г. № 146-ФЗ; часть четвертая от 
18 декабря 2006 г. № 230-ФЗ)
Закон об информации ‒ Федеральный закон от 27 июля 2006 г. 
№ 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Закон о персональных данных ‒ Федеральный закон от 27 июля 2006 г. 
№ 152-ФЗ «О персональных данных»
Директива 1995 г. – Директива 95/46/ЕС от 24 октября 1995 г. о защите прав физических лиц применительно к обработке персональных 
данных и о свободном движении таких данных
КоАП РФ – Кодекс Российской Федерации об административных 
правонарушениях от 30 декабря 2001 г. № 195-ФЗ
Конвенция 1981 г. ‒ Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». 
Заключена в г. Страсбурге (Франция) 28 января 1981 г.
Минкомсвязи России ‒ Министерство связи и массовых коммуникаций Российской Федерации
ОЭСР – Организация по экономическому сотрудничеству и развитию
Регламент 2016 г. – Регламент ЕС 2016/679 от 27 апреля 2016 г. о защите прав физических лиц применительно к обработке персональных 
данных, о свободном движении таких данных и об отмене Директивы 95/46/ЕС (General Data Protection Regulation, GDPR)
Роскомнадзор ‒ Федеральная служба по надзору в сфере связи, 
информационных технологий и массовых коммуникаций
Руководящие принципы ОЭСР ‒ Руководящие принципы ОЭСР 
по защите частной жизни и трансграничного обмена персональными 
данными 1980 г. (OECD Guidelines on the Protection of Privacy and 
Transborder Flows of Personal Data)
ТК РФ – Трудовой кодекс Российской Федерации от 30 декабря 
2001 г. № 197-ФЗ
УК РФ – Уголовный кодекс Российской Федерации от 13 июня 
1996 г. № 63-ФЗ
УПК РФ ‒ Уголовно-процессуальный кодекс Российской Федерации от 18 декабря 2001 г. № 174-ФЗ

введение

Законодательство о персональных данных и практика его применения в Российской Федерации претерпели значительную эволюцию за 
последние годы. То, что ранее не вызывало особого интереса у большей части участников оборота и воспринималось ими как очередная 
бюрократическая формальность, сейчас превратилось в одно из наиболее обсуждаемых на самых различных площадках и самом высоком 
государственном уровне направлений развития законодательства. 
Во многом это связано с общим курсом государства на обеспечение 
цифрового суверенитета, в рамках которого регулирование оборота 
информации приобретает ключевое значение. Одним из проявлений 
данного курса стали нашумевшие поправки о локализации отдельных 
процессов обработки персональных данных российских граждан. Данные поправки спровоцировали не только шквал дискуссий и различных интерпретаций, но и необходимость переосмысления базового 
терминологического аппарата законодательства в контексте новых 
технологических реалий: понятия персональных данных, понятия 
оператора и лица, осуществляющего обработку персональных данных 
по его поручению, трансграничной передачи данных, обезличенных 
данных и т.п. Кроме того, особую актуальность приобрели вопросы 
обеспечения электронного взаимодействия оператора и субъекта персональных данных, в частности, при получении согласия на обработку 
таких данных, предоставлении необходимой информации о порядке 
ее обработки и т.п. 
В связи с вышеизложенным при подготовке данного комментария 
были учтены не только судебная практика по вопросам применения 
законодательства о персональных данных, но и общедоступные разъяснения Минкомсвязи России и Роскомнадзора. При этом особое 
внимание уделяется определению сферы применения законодательства о персональных данных, в том числе в сети «Интернет», а также 
существующим интерпретациям ключевых дефиниций законодательства о персональных данных, сфере применения предусмотренных 
законом оснований для обработки персональных данных различных 
категорий и обязанностям, возлагаемым на оператора. Кроме того, 
в комментарии учтены недавние изменения в КоАП РФ, касающиеся 
увеличения ответственности операторов за нарушение законодательства о персональных данных, а также положения соответствующих 

Введение

нормативных-правовых актов, регламентирующих порядок осуществления контрольно-надзорной деятельности в сфере законодательства 
о персональных данных. 
При этом следует отметить, что законодательство о персональных 
данных развивается не только в России, но и в Европе, где совсем 
недавно был принят новый Общеевропейский регламент по защите 
персональных данных (General Data Protection Regulation), который 
в 2018 г. сменит устаревшую, но все еще выступающую своего рода 
эталоном законодательного регулирования защиты персональных 
данных Директиву ЕС 1995 г.
 В ходе данной реформы было затронуто множество вопросов, 
связанных с вызовами, которые бросают новые технологии защите 
частной жизни граждан: распространение персональных данных в сети 
«Интернет» социальными сетями, использование инструментов аналитики «больших данных» и профайлинга, трансграничный характер 
обработки персональных данных при использовании «облачных» 
сервисов, информационная «перегруженность» потребителей и пр. 
Существует достаточно большой пласт решений Европейского Суда 
Справедливости по вопросам применения отдельных положений 
законодательства о персональных данных, где многие из указанных 
проблем были предметом глубокого анализа. В этой связи европейский опыт может быть особенно полезным для России, учитывая 
не только общность проблем, но и общность законодательства, обусловленную общими корнями – положениями Конвенции Совета 
Европы 1981 г. № 108 «О защите физических лиц при автоматизированной обработке персональных данных». Европейское законодательство представляет интерес для российского читателя еще и потому, 
что оно носит экстерриториальный характер и распространяется 
на только на европейских операторов, но и на иностранных лиц, 
что особенно актуально, принимая во внимание трансграничный 
характер электронной коммерции.
В связи с вышеизложенным в настоящем комментарии осуществлено сравнение ряда положений российского законодательства с европейскими нормами: как с ныне действующими, так и с вступающими 
в силу в 2018 г. При этом в комментарии также приводятся и правовые 
позиции Европейского Суда Справедливости, которые, по мнению 
автора, могут быть применимы и в российских реалиях в силу сходства 
соответствующих правовых норм. Это позволяет обеспечить комплексный и сбалансированный подход к рассмотрению проблем применения законодательства о персональных данных в цифровой среде.

Введение

Автор выражает признательность коллегам по Консультативному 
Совету при Роскомнадзоре, в особенности ‒ заместителю руководителя Роскомнадзора Антонине Аркадьевне Приезжевой и начальнику 
Управления по защите прав субъектов персональных данных Юрию 
Евгеньевичу Контемирову, без которых этот комментарий вряд ли 
был бы написан. Особо хотелось бы поблагодарить и другого коллегу 
по Консультативному Совету ‒ доцента кафедры теории и истории 
государства и права СПбГУ Владислава Владимировича Архипова за 
ценные дискуссии и высказанное мнение по ряду вопросов, отраженных в данном комментарии.
Настоящий комментарий подготовлен в ходе проведения исследования в рамках Программы фундаментальных исследований Национального исследовательского университета «Высшая школа экономики» (НИУ ВШЭ) с использованием средств субсидии в рамках государственной поддержки ведущих университетов Российской Федерации 
«5-100». Высказанные в работе суждения являются личным мнением 
автора и могут не совпадать с официальной позицией компании IBM, 
НИУ ВШЭ или какой-либо иной организации.

27 июля 2006 года 
№ 152-ФЗ

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ПЕРСОНАЛЬНЫХ ДАННЫХ

Принят
Государственной Думой
8 июля 2006 года

Одобрен
Советом Федерации
14 июля 2006 года

(В ред. федеральных законов от 25.11.2009 № 266-ФЗ,
от 27.12.2009 № 363-ФЗ, от 28.06.2010 № 123-ФЗ,
от 27.07.2010 № 204-ФЗ, от 27.07.2010 № 227-ФЗ,
от 29.11.2010 № 313-ФЗ, от 23.12.2010 № 359-ФЗ,
от 04.06.2011 № 123-ФЗ, от 25.07.2011 № 261-ФЗ,
от 05.04.2013 № 43-ФЗ, от 23.07.2013 № 205-ФЗ,
от 21.12.2013 № 363-ФЗ, от 04.06.2014 № 142-ФЗ,
от 21.07.2014 № 216-ФЗ, от 21.07.2014 № 242-ФЗ,
от 03.07.2016 № 231-ФЗ, от 22.02.2017 № 16-ФЗ)

Глава 1. ОБщие пОлОЖениЯ

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти 
субъектов российской Федерации, иными государственными органами 
(далее – государственные органы), органами местного самоуправления, 

Глава 1. Общие положения

иными муниципальными органами (далее – муниципальные органы), 
юридическими лицами и физическими лицами с использованием средств 
автоматизации, в том числе в информационно-телекоммуникационных 
сетях, или без использования таких средств, если обработка персональных 
данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием 
средств автоматизации, то есть позволяет осуществлять в соответствии 
с заданным алгоритмом поиск персональных данных, зафиксированных 
на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким 
персональным данным.
2. действие настоящего Федерального закона не распространяется 
на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права 
субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда российской 
Федерации и других архивных документов в соответствии с законодательством об архивном деле в российской Федерации;
3) утратил силу. – Федеральный закон от 25 июля 2011 № 261-ФЗ;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
5) предоставлении уполномоченными органами информации о деятельности судов в российской Федерации в соответствии с Федеральным 
законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа 
к информации о деятельности судов в российской Федерации».

1. Несмотря на название комментируемая статья определяет лишь 
предметную сферу действия комментируемого Закона, а именно отношения, на которые он распространяется, а также перечень изъятий 
из сферы его действия. Сфера действия данного Закона во времени 
определяется в его ст. 25. К сожалению, комментируемый Закон никак 
не конкретизирует сферу своего действия в пространстве, что особенно 
актуально для определения круга иностранных лиц, на которых распространяются его требования. Как следствие, территориальная сфера 
действия настоящего Закона определяется посредством системного 
толкования положений иных законов и конкретизирована в разъяснениях Минкомсвязи России, которое является федеральным органом 
исполнительной власти, осуществляющим функции по выработке 

Статья 1

и реализации государственной политики и нормативно-правовому 
регулированию в сфере обработки персональных данных и уполномоченным на дачу разъяснений по указанным вопросам
1. Данные разъяснения опубликованы на официальном сайте Минкомсвязи России
2 
и будут предметом подробного анализа далее.
1.1. Предметная сфера действия законодательства РФ о персональных данных определена в комментируемой статье посредством указания на два основных признака правоотношений:
1) наличие связи таких отношений с процессами обработки персональных данных;
2) использование средств автоматизации или иных средств, которые 
по своему характеру схожи с ними и позволяют осуществлять поиск 
персональных данных в соответствии с заданным алгоритмом. 
Первый признак имеет место всегда, когда положительно решен 
вопрос о квалификации выступающей объектом правоотношения 
информации в качестве персональных данных, поскольку существующая дефиниция обработки персональных данных охватывает любые 
действия, совершаемые с ними (о понятиях персональных данных и их 
обработки см. комментарий к ст. 3 Закона о персональных данных). 
Второй признак имеет место во всех случаях автоматизированной 
обработки, т.е. использования средств вычислительной техники для обработки персональных данных (компьютеров, планшетов, смартфонов, 
«умных часов», устройств, подключенных к сети «Интернет», и т.п.). Фактически об автоматизированной обработке персональных данных можно 
вести речь всегда, когда такие данные выражены в цифровой форме.
Кроме того, рассматриваемый признак имеет место при осуществлении «неавтоматизированной» обработки персональных данных, 
удовлетворяющей в совокупности следующим условиям (далее – квази-автоматизированная обработка):
а) поиск и (или) доступ к таким данным осуществляется в соответствии с определенным алгоритмом, что предполагает наличие систематизации соответствующих документов по конкретным критериям 
(например, по фамилиям в алфавитном порядке и (или) по годам);
б) использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных 

1 См. п. 1 и 6.6 Положения о Министерстве связи и массовых коммуникаций Российской Федерации, утв. постановлением Правительства РФ от 2 июня 2008 г. № 418 
«О Министерстве связи и массовых коммуникаций Российской Федерации» // СПС 
«КонсультантПлюс».
2 http://www.minsvyaz.ru/ru/personaldata/.

Глава 1. Общие положения

данных осуществляются при непосредственном участии человека независимо от того, хранятся такие сведения в информационной системе 
персональных данных или нет
1. 
1.2. В отсутствие систематизации документов по определенным критериям невозможно осуществление действий с ними по определенному 
алгоритму, а следовательно, такие действия не могут по своему характеру 
соответствовать действиям, осуществляемым при автоматизированной 
обработке, и не подпадают под действие Закона о персональных данных. При этом следует подчеркнуть, что буквальное толкование ч. 1 
комментируемой статьи позволяет сделать вывод о том, что требование 
о наличии алгоритма установлено в виде альтернативы применительно 
как к поиску, так и к доступу к соответствующим данным, а не только 
к поиску, как иногда указывается в литературе
2. Кроме того, настоящий Закон прямо указывает на то, что речь идет о доступе к «таким 
данным», отсылая тем самым к предыдущей фразе, в которой речь 
идет о «зафиксированных на материальном носителе и содержащихся 
в картотеках или иных систематизированных собраниях персональных данных». Иными словами, к хранению и иным видам обработки 
несистематизированных персональных данных без использования средств 
автоматизации Закон о персональных данных не применяется, даже если 
к таким сведениям возможен последующий доступ третьих лиц.
1.3. Примером квази-автоматизированной обработки, подпадающей 
под действие комментируемого Закона, являются действия оператора, 
связанные с ведением различного рода картотек личных дел сотрудников организации; договоров, заключенных с физическими лицами; 
медицинских карт пациентов в регистратурах поликлиник; журналов 
выдачи одноразовых пропусков на территорию и т.п. При этом если 
персональные данные, содержащиеся в «бумажных» документах и систематизированные в картотеках, параллельно используются, уточняются, 
распространяются или уничтожаются с помощью средств вычислительной техники (например, при использовании программных продуктов 
по расчету зарплат и управлению персоналом), то имеет место так называемая смешанная обработка ‒ обработка, осуществляемая операто
1 Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении 
Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
2 См.: Федеральный закон «О персональных данных»: Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. 
С. 8‒9.