CloudPayments
Войти

152‑ФЗ «О персональных данных»: полный гид по закону от 27.07.2006

Федеральный закон 152‑ФЗ «О персональных данных»: обзор, статьи, структура, ключевые требования, согласие, безопасность, трансграничная передача, штрафы, Роскомнадзор.

Получить CloudPayments бесплатно

Обзор закона 152‑ФЗ

Федеральный закон №152‑ФЗ «О персональных данных» (принят 27.07.2006) устанавливает правовые основы обработки персональных данных в России. Его цель — защитить права и свободы человека и гражданина при обработке ПДн, в том числе защиту права на неприкосновенность частной жизни и личную тайну. Закон определяет, какие данные считаются персональными, кто является оператором, когда требуется согласие субъекта и какие меры безопасности должны применяться.

Важно: 152‑ФЗ распространяется на любые организации и ИП, которые определяют цели и средства обработки ПДн, а также на госорганы. Даже разовые анкеты, формы обратной связи и резюме подпадают под действие закона.

Схема обработки персональных данных

Как устроен закон: главы и статьи

Структура 152‑ФЗ включает главы с ключевыми нормами: принципы и условия обработки, права субъектов, обязанности операторов, трансграничная передача, безопасность, надзор и ответственность. Полный разбор по главам и список статей — на странице «Статьи и структура 152‑ФЗ».

Получить CloudPayments бесплатно

Быстрый ориентир по темам

Тема Где смотреть Зачем важно
Понятия базовые статьи (в т.ч. об основных понятиях) Понимать, кто субъект/оператор, что такое обработка
Принципы и условия принципы и условия обработки Определяют законные основания и допустимость
Согласие нормы о согласии Устанавливают форму, содержание, отзыв
Биометрия и спецкатегории положения о спецкатегориях и биометрии Усиленные требования и запреты
Трансграничная передача нормы о передаче за рубеж Проверка адекватности защиты
Безопасность меры по обеспечению безопасности Организационные и технические меры
Надзор надзор и уведомления Проверки, реестры, ответственность

Кому нужно соблюдать 152‑ФЗ

Закон обязателен для:

  • коммерческих организаций и ИП, собирающих ПДн клиентов, сотрудников, партнеров;
  • некоммерческих организаций, образовательных и медицинских учреждений;
  • государственных и муниципальных органов;
  • любых операторов сайтов, приложений и CRM, используемых для обработки ПДн.
Категория Примеры Что сделать
e‑commerce интернет‑магазин, маркетплейс Политика ПДн, согласие, договоры, ИБ‑меры
b2b‑сервисы SaaS, CRM‑платформы DPIA/оценка рисков, регламенты, DPA с контрагентами
Офлайн‑бизнес салон, фитнес, клиника Локальные акты, журналы учета, обучение персонала
Образование школы, вузы Поручения обработчикам, согласия родителей

Основные термины и категории ПДн

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определенному физлицу (ФИО, контакты, идентификаторы, данные аккаунтов и др.).
  • Субъект ПДн — физическое лицо, к которому относятся данные.
  • Оператор — лицо, определяющее цели и средства обработки ПДн.
  • Обработка — любое действие с ПДн (сбор, запись, хранение, использование, передача, уничтожение и др.).
  • Специальные категории ПДн — данные о здоровье, национальности, религии и т. п. (усиленные ограничения).
  • Биометрические ПДн — данные, позволяющие однозначно идентифицировать личность (например, изображение лица, голос, отпечатки).

Подробнее см. «152‑ФЗ о персональных данных: понятия, субъекты, объем».

Права субъектов и обязанности оператора

Субъект вправе получать информацию об обработке, требовать уточнения, блокирования или уничтожения данных, отзывать согласие. Оператор обязан обрабатывать ПДн законно, минимально необходимым образом, обеспечивать актуальность и безопасность, уведомлять надзорный орган в предусмотренных случаях.

Согласие и законные основания обработки

Общее правило: либо согласие субъекта, либо иное законное основание (исполнение договора, выполнение закона, осуществление правосудия, защита жизни, согласие родителя для несовершеннолетних и т. п.). Согласие должно быть конкретным, информированным, сознательным и однозначно выраженным; субъект вправе его отозвать.

Подробно: «Согласие на обработку ПДн: виды и требования», «Принципы и условия обработки».

Трансграничная передача и безопасность

Передача ПДн за рубеж требует проверки уровня защиты в стране‑получателе и допмер (договорные гарантии, согласие, меры безопасности, оценка рисков). Организационные и технические меры безопасности подбираются с учетом актуальных угроз.

Ответственность и контроль Роскомнадзора

Нарушение требований 152‑ФЗ может влечь административную ответственность (в т. ч. по ст. 13.11 КоАП РФ), приостановление обработки, блокировку ресурса, предписания надзора. Надзор осуществляет Роскомнадзор: уведомления, реестры, проверки, предписания.

С чего начать соответствие 152‑ФЗ

  1. Инвентаризируйте процессы обработки ПДн (что, где, зачем, кто имеет доступ). 2) Определите правовые основания по каждому процессу, подготовьте согласия при необходимости. 3) Разработайте политику ПДн и локальные акты, назначьте ответственного. 4) Настройте ИТ‑и ИБ‑меры, сократите избыточную обработку. 5) Установите процедуры реагирования на запросы субъектов и инциденты. 6) Проведите обучение персонала и регулярно актуализируйте документы.

Обновления и редакции закона

Закон действует с 27.07.2006 и неоднократно обновлялся (в т. ч. требования локализации, уточнения по биометрии, усиление мер безопасности). Следите за актуальной редакцией и разъяснениями надзора.

Готовы начать?

Получить CloudPayments бесплатно

FAQ

Что такое Федеральный закон 152‑ФЗ и зачем он принят?

152‑ФЗ «О персональных данных» — базовый закон, регулирующий обработку ПДн в России. Он защищает права граждан при сборе, хранении и использовании их данных, устанавливает обязанности операторов и меры безопасности. Прочтите «Обзор 152‑ФЗ» для подробностей.

На кого распространяется 152‑ФЗ?

На всех операторов, которые определяют цели и средства обработки ПДн: компании, ИП, НКО, госорганы, владельцы сайтов и приложений. Даже единичные формы обратной связи подпадают под закон. Подробнее — «Обязанности оператора».

Всегда ли нужно получать согласие субъекта ПДн?

Не всегда. Помимо согласия существуют другие законные основания обработки (исполнение договора, обязанность по закону, защита жизни и др.). Однако для ряда случаев (маркетинг, публикация данных в открытом доступе и т. п.) согласие требуется. Смотрите «Согласие на обработку ПДн» и «Принципы и условия обработки».

Что считается персональными данными по 152‑ФЗ?

Любая информация о физлице, позволяющая определить его прямо или косвенно: ФИО, контакты, идентификаторы, данные аккаунта, фото, биометрия, сведения о здоровье и т. п. Категории: обычные, специальные, биометрические. Смотрите «152‑ФЗ о персональных данных».

Можно ли передавать персональные данные за границу?

Можно при соблюдении требований 152‑ФЗ: проверка уровня защиты в стране получателя, наличие правового основания/согласия, договорные гарантии, меры безопасности. Подробно — «Трансграничная передача ПДн».

Какие штрафы предусмотрены за нарушение 152‑ФЗ?

Административная ответственность, в том числе по ст. 13.11 КоАП РФ (размер зависит от состава нарушения), а также предписания и иные меры надзора. Детали — «Ответственность и штрафы».

Нужно ли уведомлять Роскомнадзор о начале обработки ПДн?

В ряде случаев — да, оператор направляет уведомление для включения в реестр. Есть исключения (например, обработка в рамках трудовых отношений при определенных условиях). Узнайте больше на странице «Роскомнадзор: проверки, реестры, уведомления».

С какого дня действует закон и какие ключевые изменения были?

Закон принят 27.07.2006 и многократно обновлялся. Среди значимых — требования локализации персональных данных, уточнения по биометрии и усиление мер безопасности. История — на странице «История и изменения 152‑ФЗ».

Готовы начать?

Получить CloudPayments бесплатно