Ваша команда юристов: безопасность и уверенность

info@ks-pravo.ru

Споры по поставке

Споры по аренде

Споры по подряду

Взыскание задолженности

Споры по ГОЗ с МО РФ

Исключение из РНП

Aутсорсинг

Разработка договорных документов

Арбитражные споры

Реорганизация бизнеса

ФЗ-115

Персональные данные: как соблюдать 152-ФЗ

Дата публикации: 16.07.2025

Как соответствовать 152-ФЗ: защита персональных данных клиентов

Федеральный закон № 152-ФЗ «О персональных данных», принятый в 2006 году, регулирует обработку информации, относящейся к физическим лицам. Персональными данными считается любая информация, позволяющая прямо или косвенно идентифицировать человека: ФИО, дата рождения, паспортные данные, номер телефона, адрес электронной почты, фотографии, биометрические данные и даже IP-адрес в определенных случаях.
Закон выделяет несколько категорий данных: общедоступные (например, ФИО в справочниках), специальные (раса, здоровье, религиозные убеждения) и биометрические (отпечатки пальцев, голос). Каждая категория требует особого подхода к обработке и защите. Например, обработка биометрических данных возможна только с письменного согласия субъекта, а нарушение этого требования может привести к серьезным санкциям.
Понимание видов данных помогает бизнесу правильно классифицировать информацию и применять соответствующие меры защиты.

Цели закона по защите персональных данных

Основная цель закона — защитить права граждан на конфиденциальность их личной информации, предотвратить утечки и неправомерное использование данных. Закон был разработан в ответ на рост цифровых технологий и увеличение случаев кражи персональной информации. В условиях цифровизации, когда компании собирают огромные объемы данных, 152-ФЗ устанавливает строгие правила, чтобы минимизировать риски для граждан. Например, закон обязывает операторов данных внедрять меры безопасности и уведомлять Роскомнадзор об обработке данных.

Когда не нужно получать согласие на обработку персональных данных

Не требуется согласие на обработку персональных данных физического лица в случаях, приведенных в п. п. 2 - 11 ч. 1 ст. 6 Закона о персональных данных. В частности, согласие не нужно, если обработка необходима:

для заключения договора по инициативе гражданина или договора, по которому он будет выгодоприобретателем или поручителем. Например, если индивидуальный предприниматель арендует у вас помещение и вы указываете в договоре его паспортные данные;
исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является гражданин. Например, если вы запрашиваете адрес гражданина для доставки ему товара;
осуществления и выполнения функций, полномочий и обязанностей, которые возложены на вас законодательством. Например, если вы получаете у клиента адрес его электронной почты, чтобы направить ему кассовый чек в электронной форме (Разъяснения Минкомсвязи России);
осуществления прав и законных интересов (ваших или третьих лиц) либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы гражданина. Например, если вы в целях обеспечения безопасности записываете Ф.И.О. и паспортные данные посетителей.

В остальных случаях обработка персональных данных осуществляется с согласия гражданина (п. 1 ч. 1 ст. 6 Закона о персональных данных). Например, придется получить согласие, если вы собираете данные граждан для маркетингового исследования или уступаете требование к должнику - физическому лицу.

Кто обязан соблюдать 152-ФЗ

Кто является оператором данных

Оператором персональных данных считается любое юридическое или физическое лицо, которое собирает, хранит, использует или передает персональные данные. Это могут быть компании, обрабатывающие данные клиентов (интернет-магазины, банки), работодатели (данные сотрудников), а также владельцы сайтов с формами обратной связи. Даже небольшая компания, собирающая номера телефонов для рассылки, считается оператором. Закон не делает исключений для малого бизнеса, поэтому любая организация, работающая с данными, должна соответствовать требованиям 152-ФЗ.

Категории субъектов данных (клиенты, сотрудники)

Субъекты персональных данных — это физические лица, чьи данные обрабатываются: клиенты, сотрудники, посетители сайтов. Например, данные клиентов включают информацию, предоставленную при оформлении заказа (ФИО, адрес доставки), а данные сотрудников — трудовые договоры, паспортные данные, сведения о зарплате. Закон требует учитывать различия между категориями субъектов при обработке данных, так как данные сотрудников и клиентов могут подпадать под разные уровни защищенности.

Исключения из закона 152-ФЗ

Некоторые случаи обработки данных освобождены от требований 152-ФЗ. Например, обработка данных в личных целях (ведение личной записной книжки) или данные, необходимые для государственных функций (перепись населения), не подпадают под закон. Однако такие исключения редки, и большинство коммерческих организаций обязаны соблюдать все требования.

Основные требования 152-ФЗ

Уведомление Роскомнадзора об обработке данных

Перед началом обработки персональных данных оператор обязан уведомить Роскомнадзор, предоставив информацию о целях обработки, категориях данных и мерах защиты. Уведомление подается через портал Роскомнадзора или в письменной форме. Исключения предусмотрены для случаев, когда данные обрабатываются в рамках трудовых отношений или с согласия субъекта. Несвоевременное уведомление может привести к штрафу. Уведомление — это первый шаг к легальной обработке данных, и его отсутствие часто становится причиной проверок.

Получение согласия оператором на обработку

Оператор обязан получить письменное или электронное согласие субъекта на обработку данных. Согласие должно быть конкретным, информированным и добровольным, с указанием целей обработки. Например, форма на сайте должна содержать текст согласия и галочку, которую пользователь ставит самостоятельно. Отсутствие согласия или его неправильное оформление влечет штрафы. Важно, чтобы субъект мог отозвать согласие в любой момент, а оператор обязан это обеспечить.

Обеспечение конфиденциальности и безопасности при работе с данными

Закон требует от операторов внедрения технических и организационных мер для защиты данных от утечек, утраты или неправомерного доступа. Это включает шифрование, ограничение доступа к данным, регулярное обновление ПО и обучение сотрудников. Конфиденциальность подразумевает, что данные не могут быть переданы третьим лицам без согласия субъекта, за исключением случаев, предусмотренных законом.

Обязанности при обращении субъекта данных

Субъект данных имеет право запросить у оператора информацию о том, какие данные обрабатываются, с какой целью и кому они передаются. Оператор обязан ответить. Также субъект может потребовать уточнения, блокировки или уничтожения данных, если они устарели или используются неправомерно. Невыполнение этих требований влечет штрафы.

Меры защиты персональных данных. Технические меры (шифрование, контроль доступа)

Технические меры включают использование шифрования (например, SSL/TLS для сайтов), ограничение доступа к базам данных, установку межсетевых экранов и антивирусов. Важно регулярно обновлять программное обеспечение и проводить тестирование на уязвимости. Например, внедрение двухфакторной аутентификации для сотрудников снижает риск несанкционированного доступа.

Напишите нам — мы перезвоним, обсудим детали и сразу возьмемся за выполнение

Отправляя заявку вы соглашаетесь с политикой обратоки персональных данных

Юридические решения для любой задачи!

Анализируем перспективы вопроса

Проверяем, все ли бумаги на месте

Разъясняем процесс без лишней воды

Собираем и оформляем все документы

Организационные меры (политики, обучение) по обработке персональных данных

Организационные меры включают разработку внутренней политики обработки данных, обучение сотрудников и назначение ответственного за защиту данных. Политика должна быть доступна на сайте и содержать информацию о целях обработки, мерах защиты и правах субъектов. Обучение сотрудников помогает предотвратить случайные утечки, например, из-за отправки данных по незащищенным каналам.

Регистрация оператором в Роскомнадзоре

Для регистрации в Роскомнадзоре оператор подает уведомление через портал, указывая категории данных, цели обработки и меры защиты. Процесс занимает до 30 дней, после чего оператор включается в реестр. Регистрация подтверждает, что компания готова к проверкам и соблюдает закон.

Разработка и публикация политики обработки персональных данных

Политика в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 Закона о персональных данных). Политика - это главный документ, который устанавливает категории, цели, способы обработки персональных данных, порядок их хранения и использования. Желательно, чтобы данный документ учитывал Рекомендации Роскомнадзора по его составлению. При этом по разъяснениям ведомства вы вправе самостоятельно определять структуру и содержание политики в отношении обработки персональных данных (Письмо от 19.10.2021 N 08-71063).

Независимо от способа сбора персональных данных вы обязаны обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных. Если у вас есть сайт, через страницы которого вы получаете персональные данные, разместите в том числе на них политику (иной аналогичный акт) так, чтобы посетители сайта имели доступ к ней (ч. 2 ст. 18.1 Закона о персональных данных, Письмо Роскомнадзора от 19.10.2021 N 08-71063)

Локальные акты

Локальные акты (п. 2 ч. 1 ст. 18.1 Закона о персональных данных), которые должны быть в отношении:

по вопросам обработки персональных данных. Они должны, в частности, определять категории и перечень персональных данных для каждой цели их обработки, способы, сроки обработки и хранения;
об установлении процедур, направленных на предотвращение и выявление нарушений законодательства РФ и устранение их последствий.

Приказ об ответственном лице

Приказ о назначении лица, ответственного за организацию обработки персональных данных физлиц. Вы обязаны назначить такое лицо (ч. 1 ст. 22.1 Закона о персональных данных). Им может стать любой ваш работник.

Приказ о предоставлении доступа

Приказ об утверждении перечня работников, имеющих доступ к персональным данным физлиц. Такой приказ может служить доказательством того, что конкретное лицо имело доступ к персональным данным. Это важно, в случае если произошло разглашение данных и нужно установить виновных.

Соглашение о конфиденциальности

Соглашение о конфиденциальности с работниками, имеющими доступ к персональным данным. В этом соглашении работники, которые сталкиваются с персональными данными ваших клиентов или партнеров, обязуются не разглашать их.

Подготовка согласия на обработку данных

Согласие на обработку данных должно содержать четкое описание целей, объема данных и способов их обработки. На сайтах это реализуется через формы с чекбоксами, которые пользователь подтверждает добровольно. Важно, чтобы текст согласия был понятным и не содержал юридически сложных формулировок.

Подготовка к проверкам Роскомнадзора

Проверки могут быть плановыми или внеплановыми, инициированными жалобами субъектов. Оператор должен предоставить документы: уведомление, политику обработки, согласия субъектов и журналы аудита. Подготовка включает регулярное обновление мер защиты и обучение сотрудников.

Трансграничная передача данных. Требования к передаче за рубеж

Передача данных за границу допускается только в страны, обеспечивающие адекватный уровень защиты (список утвержден Роскомнадзором). Оператор обязан уведомить Роскомнадзор о трансграничной передаче и получить согласие субъекта.

Риски и меры предосторожности - утечка данных

Основной риск — утечка данных при передаче на зарубежные серверы. Для минимизации рисков рекомендуется использовать шифрование, заключать соглашения с иностранными партнерами и проводить аудит их систем защиты. Также важно проверять, включена ли страна в список Роскомнадзора.

Ответственность за нарушение законодательства о персональных данных (кратко)

Административная ответственность

Нарушения обработки ПД: Без согласия (штраф до 700 тыс. руб. для юрлиц, повторно — до 1,5 млн); в ненадлежащих целях (до 300 тыс., повторно — 500 тыс.); без баз в РФ (до 6 млн, повторно — 18 млн).
Взаимодействие с субъектом: Не предоставление информации (до 80 тыс.); не уточнение/уничтожение ПД (до 90 тыс., повторно — 500 тыс.).
Защита ПД: Не публикация политики (до 60 тыс.); утечка ПД (до 20 млн, оборотные штрафы 1–3% выручки за повторные, мин. 20–25 млн); не сохранность при неавтоматизированной обработке (до 100 тыс.).
Взаимодействие с Роскомнадзором: Не уведомление об обработке (до 300 тыс.); об утечке (до 3 млн); невыполнение предписаний (ст. 19.5, 19.7 КоАП).
Биометрия в ЕБС: Нарушение размещения/обработки (до 2 млн); отсутствие аккредитации (до 2 млн).

Гражданско-правовая ответственность

Возмещение убытков, морального вреда (независимо от вины), неустойки. Суд учитывает вину, страдания. Организация отвечает за вред от сотрудников.

Ответственность работника и работодателя

Работодатель: Материальная перед работниками (полное возмещение ущерба/морального вреда).
Работник: Дисциплинарная (взыскание, увольнение); материальная (возмещение ущерба работодателю). Требуется проверка и объяснения.

Уголовная ответственность

Незаконное использование/сбор/хранение ПД; отказ в предоставлении документов. Только для физлиц. Организация может быть привлечена административно.

Какую ответственность несет оператор за действия своих работников

За нарушения, допущенные работниками оператора, которым оператор передал персональные данные для исполнения ими служебных обязанностей, гражданско-правовую ответственность несет оператор (п. 1 ст. 1068 ГК РФ, п. 20 Постановления Пленума Верховного Суда РФ от 15.11.2022 N 33). Например, если работник передал третьему лицу документ с персональными данными другого работника в открытом виде, моральный вред могут взыскать с работодателя (Определение Четвертого кассационного суда общей юрисдикции от 25.08.2022 N 88-22268/2022).

При этом к административной ответственности в таком случае могут одновременно привлечь и оператора, и виновного работника, за исключением ряда случаев, когда к ответственности привлекается только работник (ч. 3, 4 ст. 2.1 КоАП РФ).

Если же бывший работник продолжил после увольнения обработку персональных данных, к которым получил доступ в период работы, то за данное нарушение к административной ответственности по ч. 1 ст. 13.11 КоАП РФ привлекают именно его (Постановление Четвертого кассационного суда общей юрисдикции от 29.11.2022 N П16-4000/2022).

Проверки Роскомнадзора: как подготовиться

Роскомнадзор проводит плановые проверки раз в 3 года и внеплановые по жалобам. Проверка включает анализ документов, мер защиты и процессов обработки данных. Уведомление о проверке направляется за 3 дня (для плановых) или немедленно (для внеплановых).

Документы для проверки от Роскомнадзора

Для проверки необходимо предоставить:

Уведомление об обработке данных.
Политику обработки данных.
Образцы согласий субъектов.
Журналы аудита и обучения сотрудников.
Документы о технических мерах защиты.

Отсутствие любого документа может стать основанием для штрафа.

Частые замечания инспекторов Роскомнадзора

Инспекторы часто отмечают:

Отсутствие политики обработки данных на сайте.
Неправильное оформление согласий.
Недостаточные меры защиты (например, отсутствие шифрования).
Несвоевременное уведомление Роскомнадзора.

Регулярный аудит помогает устранить эти проблемы до проверки.

Типичные ошибки бизнеса при работе с персональными данными

Частые ошибки включают:

Игнорирование регистрации в Роскомнадзоре.
Отсутствие согласия на обработку данных.
Не публикация политики обработки данных.
Недостаточные меры защиты (например, слабые пароли).
Передача данных третьим лицам без согласия.

Эти ошибки легко устранить при правильной организации процессов.