Закон о персональных данных: что важно знать операторам

Федеральный закон от 27.07.2006 № 152-ФЗ — базовый нормативный акт, который регулирует работу с персональными данными (ПДн) в России. Он обязателен для бизнеса, госорганов и любых лиц, которые обрабатывают данные физлиц. Этот закон определяет, какие сведения считаются персональными, кто является оператором, за что он отвечает, как работать с ПДн и какая ответственность предусмотрена за нарушения.

Основные термины и определения 

Федеральный закон о персональных данных использует строго определенные понятия, указанные в ст.3 ФЗ №152-ФЗ. Ознакомьтесь с ними: их нужно знать, чтобы правильно квалифицировать действия оператора и не допустить ошибок..

Персональные данные

Это любая информация, которая относится к прямо или косвенно определенному физическому лицу. ПДн считаются не только очевидные данные вроде ФИО или паспорта, но и любая информация, позволяющая установить личность при сопоставлении.

Например, ПДн считаются сочетание ФИО и номера телефона, IP-адрес или сведения, собранные с помощью cookies. 

Персональные данные, разрешенные для распространения

Это сведения, доступ к которым открыт неограниченному кругу лиц по воле самого субъекта. Их можно использовать только после получения согласия на обработку персональных данных с особыми условиями, установленными ст.10.1 ФЗ №152-ФЗ.

Оператор

Оператором признается государственный или муниципальный орган, самозанятый, организация или физлицо, которые самостоятельно или совместно с другими лицами:

• определяют цели обработки;
• устанавливают состав данных;
• решают, какие действия с ними совершаются.

Важно! Именно оператор несет основную ответственность за соблюдение требований актуальной редакции закона о персональных данных. Даже если он поручает обработку третьему лицу, перед субъектом отвечает именно он. 

Обработка персональных данных

Под обработкой подразумевается любое действие или совокупность действий с ПДн, включая, например, сбор, запись, удаление, уничтожение и т.д. Полный перечень действий перечислен в ст.3 ФЗ №152-ФЗ. 

Также стоит выделить способы обработки: автоматизированная, неавтоматизированная и смешанная. Бизнес чаще всего использует автоматизированную обработку — например, когда данные клиентов или сотрудников вносятся в CRM-систему. 

Распространение и предоставление

Крайне важно разграничивать эти два понятия. Распространение — это раскрытие ПДн неопределенному кругу лиц. Предоставление — передача конкретному лицу или заранее определенному кругу лиц.

Блокирование, уничтожение и обезличивание

Закон отдельно закрепляет:

• блокирование — временное прекращение обработки (кроме уточнения);
• уничтожение — действия, после которых восстановить данные невозможно;
• обезличивание — исключение возможности определить конкретного субъекта без дополнительной информации.

Информационная система персональных данных

Такая система (ИСПДн) — это рабочая среда, в которой персональные данные собираются, хранятся, изменяются и используются с помощью ПО и техники. В нее входят базы с ПДн, программные решения, которые обеспечивают обработку информации, а также технические средства, на которых все это функционирует.

На практике такой системой может быть, например, CRM с данными клиентов, кадровая программа с данными сотрудников, бухгалтерская система с реквизитами контрагентов, интернет-магазин с личными кабинетами пользователей или медицинская информационная система, где хранятся сведения о пациентах. Во всех этих случаях речь идет об ИСПДн, даже если данные распределены между разными программами и серверами.

Трансграничная передача

Это любая передача таких сведений за пределы Российской Федерации, когда получателем выступает иностранное государство, зарубежная компания или физическое лицо. Например, трансграничную передачу чаще всего осуществляют операторы, когда отправляют ПДн в другую страну для бронирования отеля. 

Учтите: с 01.07.2025 года запрещено обрабатывать ПДн граждан РФ с помощью программ, серверы которых находятся не в России (ч.5 ст.18 ФЗ №152-ФЗ). 

Какие бывают категории персональных данных

Персональные данные по ФЗ-152 делятся на несколько категорий:

1. Общие ПДн — сведения, позволяющие идентифицировать человека в повседневных гражданско-правовых отношениях: например, фамилия, имя, отчество, дата и место рождения, адрес, номер телефона, адрес электронной почты, паспортные данные, ИНН, СНИЛС, сведения об образовании и месте работы.
2. Спецкатегории ПДн — информация, затрагивающая частную сферу и требующая повышенной защиты: например, данные о расовой или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни и т.д. (ст.10 ФЗ №152-ФЗ).
3. Биометрические ПДн — сведения, которые характеризуют физиологические или биологические особенности человека и позволяют установить его личность: фотография для идентификации, изображение лица, отпечатки пальцев, данные радужной оболочки глаза, голос и т.д. (ст.11 ФЗ №152-ФЗ).
4. Иные ПДн — сведения, которые не относятся напрямую к предыдущим категориям, но используются в рамках конкретных целей обработки: IP-адрес, данные cookies, сведения о действиях пользователя на сайте, история заказов, данные об устройстве и браузере.

Принципы обработки данных

Основные принципы закреплены в ст. 5 ФЗ №152-ФЗ, и их оператор обязан соблюдать:

1. Законность и справедливость. Обработка ПДн должна осуществляться на правовой основе и не нарушать права субъектов.
2. Целевая обработка. Данные собираются и используются только для заранее определенных, законных целей. Вне целей обрабатывать ПДн нельзя. 
3. Совместимость баз данных. Запрещено объединять базы данных, если цели их обработки не совпадают между собой. Например, базы ПДн сотрудников и клиентов должны быть раздельными. 
4. Минимизация данных. Обрабатываются только те ПДн, которые соответствуют целям их использования; информация не должна быть избыточной.
5. Соответствие объема и содержания целям. Категории и количество обрабатываемых данных должны соответствовать заявленным целям, избегая лишней информации. Вы не можете запрашивать сведения о доходах клиента, который хочет просто купить у вас товар. 
6. Точность и актуальность. Оператор обязан обеспечивать точность, достаточность и актуальность данных, а при необходимости уточнять или удалять недостоверный сведения.
7. Сроки хранения. ПДн хранятся только до достижения целей обработки; по истечении срока данные подлежат уничтожению или обезличиванию, если иное не предусмотрено федеральным законом.

Обязанности оператора по закону о персональных данных

Обязанности при сборе

При сборе данных оператор обязан действовать открыто и информировать субъектов.

Он должен:

• по запросу предоставить информацию, предусмотренную статьей 14 закона;
• разъяснить правовые последствия отказа предоставить данные или дать согласие, если оно обязательно для обработки;
• уведомить субъекта, если данные получены не от него, а от третьего лица или с помощью других источников.

В последнем случае до начала обработки сообщаются:

• наименование и адрес оператора;
• цель и правовое основание обработки;
• перечень обрабатываемых ПДн;
• предполагаемые пользователи данных;
• права субъекта;
• источник получения информации.

Закон устанавливает исключения, когда такое уведомление не требуется. Например если ПДн получены на основании ФЗ, обрабатываются в рамках договора с субъектом или для журналистских, творческих либо научных целей. При этом права самого субъекта не должны нарушаться. 

Обязанности при обработке

Оператор обязан обеспечить защиту персональных данных от неправомерных действий. Это достигается через комплекс правовых, организационных и технических мер.

К таким мерам относятся:

• определение актуальных угроз безопасности при обработке данных;
• внедрение организационных и технических мер защиты в соответствии с установленным уровнем защищенности;
• использование средств защиты информации, прошедших оценку соответствия;
• применение сертифицированных средств для уничтожения ПДн;
• оценка эффективности мер безопасности до ввода информационной системы в эксплуатацию;
• учет машинных носителей персональных данных;
• выявление фактов несанкционированного доступа;
• предупреждение и устранение последствий компьютерных атак;
• восстановление данных, уничтоженных или измененных вследствие инцидентов;
• установление правил доступа к информации;
• регистрация и учет всех действий с ПДн;
• контроль за соблюдением установленных мер защиты.

Важно! Уровни защищенности ПДн и требования к защите установлены Постановлением Правительства РФ №1119. Их должен учитывать каждый оператор, у которого есть ИСПДн. 

Права субъекта по закону о персональных данных

Субъект вправе контролировать, как используется информация о нем. Закон закрепляет широкий перечень таких прав.

Субъект имеет право получить сведения:

• подтверждающие факт обработки его персданных;
• о правовых основаниях и целях обработки;
• о способах обработки;
• о наименовании и месте нахождения оператора;
• о лицах, которым данные передаются;
• о составе обрабатываемых данных и источнике их получения;
• о сроках обработки и хранения;
• о порядке реализации своих прав;
• о трансграничной передаче;
• о лице, обрабатывающем данные по поручению оператора;
• о способах исполнения оператором обязанностей по статье 18.1 Федерального закона-152 о персональных данных. 

Доступ к таким сведениям может быть ограничен законодательством. Например, в целях в целях обороны и безопасности государства, при расследовании преступлений или если раскрытие нарушает права третьих лиц. 

Ответственность оператора по закону о персональных данных

Нарушение требований закона влечет административную ответственность по статье 13.11 КоАП РФ. Санкции существенно ужесточены и дифференцированы в зависимости от характера и масштаба нарушения.

Вид правонарушения	Максимальный размер штрафа (рублей)	Часть ст.13.11 КоАП РФ
Обработка данных без законных оснований или не в соответствии с целями сбора	до 300 000	ч.1
Отсутствие Политики обработки ПДн в открытом доступе	до 60 000	ч.3
Непредоставление информации субъекту о его ПДн	до 80 000	ч.4
Неисполнение требования об уточнении или удалении данных	до 90 000	ч.5
Несоблюдение требования к локализации баз в РФ	до 6 млн	ч.8
Неуведомление Роскомнадзора о начале обработки	до 300 000	ч.10
Неуведомление РКН об утечке данных	до 3 млн	ч.11

Наиболее крупные штрафы предусмотрены за утечку ПДн — до 20-25 млн рублей. При повторном инциденте оператор уже рискует заплатить 1-3% годового оборота, но не менее 25 млн и не более 500 млн рублей.