РОСКОМ СЕРВИС – ПОРТАЛ ПО РЕГИСТРАЦИИ ЮРИДИЧЕСКИХ ЛИЦ И ИП В РОСКОМНАДЗОРЕ И ПОДГОТОВКЕ ДОКУМЕНТОВ ПО 152 ФЗ.
Обеспечиваем выполнение 152 ФЗ “О персональных данных”
8 (800) 301-76-89
info@roskom-service.ru
Наши эксперты вас проконсультируют

Закон о персональных данных: краткий обзор

Алексей Автомеенко
Руководитель юридического отдела
Алексей Автомеенко

Особенности работы организаций и предпринимателей с персональными данными (ПДн) регламентируются ФЗ от 27.07.2006 №152-ФЗ. Каждый должен знать свои обязанности и ответственность за нарушения. Разберемся, какие понятия содержит закон об обработке персональных данных, что нужно учитывать при работе с ПДн и какие изменения коснутся многих с 30 мая 2025 года.

Основные понятия

Согласно ст. 3 ФЗ №152-ФЗ, при работе с персональными данными используются следующие понятия:

  • Персональные данные. Это любые сведения, по которым можно идентифицировать физическое лицо - субъект ПДн.
  • Оператор - муниципальный, государственный орган, юридическое или физическое лицо, которое самостоятельно или с привлечением третьих лиц обрабатывает ПДн, определяет цели работы с ними и состав.
  • Обработка данных - одно или несколько действий: сбор, систематизация, запись, накопление, уточнение, хранение, использование, передача, удаление, обезличивание. Может проводиться вручную или с использованием средств автоматизации.
  • Распространение ПДн - раскрытие таких данных неопределенному кругу лиц.
  • Предоставление данных - раскрытие личных сведений конкретной организации.
  • Трансграничная передача данных - предоставление сведений организации, которая находится на территории иностранного государства.
  • Информационная система ПДн - базы данных, содержащие персональные сведения, а также связанные с ними программно-аппаратные решения, предназначенные для их обработки.

Таким образом, ФЗ №152-ФЗ четко регламентирует ключевые понятия, связанные с обработкой персональных данных: от их определения и действий оператора до трансграничной передачи и работы информационных систем. Эти нормы направлены на защиту прав граждан, обеспечивая безопасное и законное использование личных сведений. Выполнение требований обязательно для всех операторов ПДн во избежание юридических рисков и штрафных санкций.

Принципы обработки ПДн

Разрабатывая политику работы с ПДн, компания должна учитывать и принципы обработки. Они не могут противоречить ст. 5 ФЗ №152-ФЗ о персональных данных:

  • Законность и справедливость. Обработка ПДн должна иметь правовое основание: согласие субъекта, договор, закон. В случаях, указанных в п.2-9 ч.1 ст. 6 ФЗ №152-ФЗ, допускается обработка без согласия субъекта.
  • Ограничение цели обработки. Данные собираются только для конкретных, заранее определенных целей.
  • Соответствие объема и содержания заявленным целям. Нельзя запрашивать избыточные данные, не связанные с целью обработки.
  • Сроки хранения. Персональные данные хранятся не дольше, чем требуется для целей обработки.
  • Конфиденциальность. Запрещено раскрывать ПДн третьим лицам без согласия субъекта, за исключением случаев, предусмотренных законодательством.
  • Безопасность. Обязательно применение технических и организационных мер защиты от несанкционированного доступа (утечки).
  • Прозрачность. Субъект имеет право получать информацию об обработке своих данных.

Нарушение указанных принципов влечет административную, в некоторых случаях - уголовную ответственность.

Обязанности оператора

Приступив к сбору ПДН, оператор обязан предоставить владельцу по его просьбе полные сведения: для чего нужны данные, сроки обработки и хранения, наименование и местонахождение оператора; проинформировать о возможной трансграничной передаче.

Что еще важно учитывать по закону о персональных данных (ст. 18 ФЗ №152-ФЗ):

  • Если требуется согласие на обработку ПДн, организация обязана разъяснить субъекту юридические последствия непредоставления такого согласия или сведений о самом субъекте.
  • При получении данных не от субъекта нужно сообщить ему наименование организации-оператора, цель и правовое обоснование обработки, список полученных сведений, а также источник, из которого они стали известны. Исключение - если владелец ПДн знает о работе с его данными, они были получены на основании договора или закона, или оператор работает с ними для сбора статистики, в рамках профдеятельности журналиста: в этом случае уведомлять субъекта не нужно.
  • Собирая ПДн, оператор обязан обеспечить систематизацию, хранение, накопление, уничтожение, обновление, изменение сведений. Это касается и сбора через интернет.

Есть и другие обязанности. До начала работы с ПДн оператор обязан подать уведомление в Роскомнадзор. Это можно сделать онлайн на сайте ведомства. Компанию зарегистрируют в реестре операторов в течение 30 дней. Если произошла утечка данных, оповестить РКН необходимо в течение 24 часов, а также провести расследование и направить туда же другое уведомление. В последнем случае дается 72 часа.

Планируя передачу сведений в иностранное государство, оператор должен направить в РКН соответствующее уведомление - о трансграничной передаче.

Ответственность за нарушения

Операторы чаще всего привлекаются к административной ответственности по ст. 13.11 КоАП РФ за нарушение закона об обработке персональных данных:

  • Несоблюдение принципов обработки данных или работа с ними, если это не совмещается с целями. Для юридических лиц предусмотрен штраф до 100 000, индивидуальных предпринимателей (ИП) - до 20 000 рублей.
  • Работа с ПДн без согласия, если по закону оно должно быть получено. Наказывается штрафом до 700 000 для организаций, до 300 000 рублей - для ИП.
  • Неопубликование документа, отражающего политику работы с ПДн. Штраф для юридических лиц - до 60 000, ИП - до 20 000 рублей.
  • Сбор ПДн без обеспечения записи, систематизации, накопления, уточнения. Карается штрафом до 6 млн для организаций, до 200 000 рублей - для ИП.

Также компанию могут оштрафовать за отсутствие регистрации в реестре РКН на сумму до 5 000 рублей (ст. 19.7 КоАП РФ). Если оператор нарушил ФЗ №152-ФЗ и тем самым причинил моральный вред субъекту ПДн, последний вправе требовать компенсацию на основании ст. 24 ФЗ №152-ФЗ. Но штрафы за некоторые нарушения вырастут в несколько раз в конце мая 2025 года.

Последние изменения

С 30.05.2025 года для операторов ужесточается ответственность за нарушения ФЗ №152-ФЗ. Так, если компания не сообщила РКН об утечке ПДН, ее могут оштрафовать на сумму до 3 млн рублей. То же самое касается и ИП.

При неуведомлении о работе с ПДн штраф составит от 100 000 до 300 000 рублей. Также нельзя отказать в заключении, изменении или исполнении договора с потребителем, если он не хочет проходить идентификацию по биометрии. Это считается уже нарушением прав потребителей, и ИП могут оштрафовать на сумму до 100 000, организацию - до 500 000 рублей.

За незаконную передачу личных сведений о 1 000-10 000 человек операторам грозит штраф до 5 млн рублей. Аналогичный штраф предусмотрен и за утечку 10 000-100 000 идентификаторов физических лиц.

При неправомерном распространении специальных категорий ПДн ИП и организациям будут грозить серьезные штрафы - от 10 до 15 млн рублей.

Заключение

Федеральный закон №152-ФЗ устанавливает строгие требования к обработке персональных данных, определяя права субъектов ПДн и обязанности операторов. С 30 мая 2025 года вступают в силу новые нормы, ужесточающие ответственность за нарушения, включая штрафы до 15 млн рублей. Организациям необходимо своевременно адаптировать процессы работы с данными, обеспечить их защиту и соблюдать принципы обработки, чтобы избежать финансовых и репутационных рисков. Выполнение этих требований не только минимизирует юридические последствия, но и укрепляет доверие клиентов и партнеров.

Задайте вопрос

В ближайшее время свяжется специалист для уточнения всех деталей

Обязательно отметьте поля ниже *