152‑ФЗ о персональных данных: понятия, субъекты, объем

Ключевое, с чего начинается соответствие требованиям приватности, — понимать, что именно закон называет персональными данными, кто является участником отношений и какой объем сведений допустимо обрабатывать для каждой цели. Ниже — практическое руководство по основным понятиям, субъектам и объему ПДн по Федеральному закону № 152‑ФЗ.

Table of contents

• Что такое персональные данные по 152‑ФЗ
• Субъекты и роли при обработке ПДн
• Объем и состав персональных данных: принцип минимизации
• Категории ПДн: общие, специальные и биометрические
• Правовые основания и согласие субъекта
• Жизненный цикл ПДн и операции обработки
• Обезличивание и псевдонимизация
• Примеры состава ПДн по процессам
• Контроль и реестры Роскомнадзора
• Риски и ответственность
• Краткий чек‑лист оператору
• Заключение

Что такое персональные данные по 152‑ФЗ

Закон о персональных данных 152‑ФЗ определяет ПДн как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн). Это могут быть идентификаторы (ФИО, дата рождения, паспорт), контактные и адресные сведения, данные о семье, образовании, профессии, финансовые реквизиты, интернет‑идентификаторы и т. п.

Важно: «относящаяся» означает связь информации с конкретным человеком — сама по себе запись (например, «рост 180 см») не является ПДн, пока нельзя связать ее с субъектом.

Подробнее о структуре закона, терминах и ссылках на статьи читайте на странице Федеральный закон 152‑ФЗ и в обзоре Структура и статьи 152‑ФЗ. Исторические изменения — в материале История и изменения 152‑ФЗ (2006–27.07).

Субъекты и роли при обработке ПДн

В рамках 152‑ФЗ участвуют несколько сущностей:

• Субъект персональных данных — физическое лицо, к которому относится информация.
• Оператор — организация или ИП/физлицо, самостоятельно или совместно с другими определяющее цели и способы обработки ПДн (работодатель, интернет‑сервис, банк и т. п.).
• Уполномоченное лицо (обработчик) — лицо, которое по поручению оператора осуществляет обработку (например, облачный провайдер, колл‑центр). Поручение оформляется договором.
• Третьи лица — иные получатели данных, не являющиеся уполномоченным лицом по поручению (например, партнеры по бонусной программе).
• Уполномоченный орган по защите прав субъектов — Роскомнадзор.

Ключевые требования к оператору детально раскрыты в разделе Обязанности оператора, права граждан — на странице Права субъектов персональных данных.

Объем и состав персональных данных: принцип минимизации

Федеральный закон 152‑ФЗ о персональных данных закрепляет принцип соразмерности: состав и объем ПДн должны соответствовать заявленным целям обработки и быть не избыточными. Это означает:

• фиксируйте цель до начала сбора (например, «заключение и исполнение договора купли‑продажи»);
• определите перечень строго необходимых полей для этой цели;
• не собирайте «про запас» (паспорт для доставки внутри РФ, как правило, не нужен);
• храните данные не дольше нужного, предусмотрите сроки удаления/уничтожения.

Список принципов и условий обработки — в материале Принципы и условия обработки.

Типичные наборы ПДн по целям:

• Кадры/HR: анкетные данные, документы об образовании, ИНН/СНИЛС, сведения о близких (для льгот), медсправки, сведения о судимости (для отдельных должностей).
• Клиентские продажи: ФИО, контакты, адрес доставки, платежные реквизиты, история заказов, идентификаторы учетной записи.
• Маркетинг: контакты и предпочтения, история взаимодействия (письма, клики) — при соблюдении требований к согласию на рассылки.
• Видеонаблюдение/доступ: изображения и физический проход — могут образовывать биометрию при использовании для идентификации.

Категории ПДн: общие, специальные и биометрические

Категории данных влияют на требования к основанию обработки и мерам защиты.

Категория	Что включает	Примеры	Ограничения/основания
Общие персональные данные	Идентификация и деловые сведения	ФИО, дата рождения, адрес, телефон, e‑mail, должность, ИНН/СНИЛС, реквизиты договора	Обрабатываются на законных основаниях (договор, закон, согласие и др.)
Специальные категории ПДн	Расовая/национальная принадлежность, политические взгляды, религиозные/философские убеждения, здоровье, интимная жизнь	Медсправки, инвалидность, донорство, сведения о религии	По общему правилу — запрет; допускается при наличии письменного согласия либо в случаях, прямо установленных законом (медицина, трудовые отношения, социальные гарантии и пр.)
Биометрические персональные данные 152‑ФЗ	Биологические и физиологические признаки, используемые оператором для идентификации	Отпечатки, изображение лица/геометрия, радужка, голос, ДНК; фотография и видео — когда применяются именно для идентификации	Требуют отдельного четкого основания; часто — письменное согласие, усиленные меры защиты
Общедоступные ПДн	Сведения, сделанные субъектом доступными неограниченному кругу лиц	Профиль в соцсетях, публикации с согласия	Обработка должна соответствовать цели их размещения; недопустимо причинять вред субъекту

Если вы планируете собирать специальные категории ПДн или биометрию, подготовьте расширенную информированность и явное согласие. Шаблоны и требования — в разделе Согласие на обработку персональных данных. Меры технической и организационной защиты — в материале Безопасность и защита ПДн.

Правовые основания и согласие субъекта

Обрабатывать ПДн можно только при наличии законного основания. На практике применяются:

• исполнение договора или предварительных действий по запросу субъекта;
• исполнение обязанностей, установленных законом (налоги, бухучет, кадровые требования);
• согласие субъекта ПДн (в т. ч. письменное — для специальных и биометрических данных);
• осуществление прав и законных интересов оператора или третьих лиц при условии, что не нарушаются права и свободы субъекта;
• правосудие, правоохранительная деятельность и иные случаи, прямо предусмотренные законодательством.

Как выбрать основание и оформить уведомление субъекту — см. Принципы и условия обработки и Согласие на обработку.

Жизненный цикл ПДн и операции обработки

152‑ФЗ перечисляет операции, составляющие обработку: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

![Схема жизненного цикла персональных данных: сбор → хранение → использование → передача → обезличивание/уничтожение]

Рекомендуется задокументировать жизненный цикл для каждой категории ПДн, указать сроки хранения, условия блокирования при достижении цели и порядок уничтожения носителей.

Обезличивание и псевдонимизация

Обезличивание — действия, в результате которых без использования дополнительной информации невозможно определить принадлежность ПДн конкретному субъекту. Это инструмент снижения рисков и законный способ использовать данные для статистики и исследований. Однако:

• пока восстановление связи возможно (через ключ соответствия), набор остается персональными данными, на него распространяется 152‑ФЗ;
• передача обезличенных данных за рубеж требует оценки правил страны‑получателя — см. Трансграничная передача ПДн.

Примеры состава ПДн по процессам

Ниже — ориентир по минимальному составу и основаниям. Фактический перечень определяйте через оценку целей и рисков.

Процесс	Цель	Минимальный состав	Типовое основание
Онлайн‑продажа	Заключение и исполнение договора	ФИО, телефон/e‑mail, адрес доставки, детали заказа, платежные реквизиты (токен/маскированные)	Договор/закон (ОЗПП, бухучет)
Кадровый учет	Трудовые отношения	Паспортные данные, адрес, ИНН/СНИЛС, сведения об образовании, семейное положение; при необходимости — медсправки (спецкатегории)	Трудовой кодекс/закон; для медданных — письменное согласие либо прямое требование закона
Маркетинг	Персонализированные предложения	Контактные данные, согласие на коммуникации, история взаимодействий	Согласие субъекта

Если используете внешние сервисы (облако, рассылки), оформляйте поручение обработчику и контролируйте трансграничность. Подробнее — Трансграничная передача ПДн.

Контроль и реестры Роскомнадзора

Роскомнадзор осуществляет контроль, ведет реестр операторов ПДн и принимает уведомления. Уточняйте, обязаны ли вы направлять уведомление (есть исключения), и поддерживайте сведения в реестре актуальными. Про процедуры проверок, критерии риска и реестры — на странице Роскомнадзор: контроль и реестры.

Риски и ответственность

Нарушение 152‑ФЗ влечет предупреждения, административные штрафы, блокировку сайтов и предписания об устранении нарушений. Отдельные составы касаются работы без согласия, утечек, трансграничной передачи без оснований, игнорирования прав субъектов. Диапазоны санкций и типичные кейсы — в разделе Ответственность и штрафы.

Краткий чек‑лист оператору

• Определите цели, правовые основания и минимальные наборы ПДн по каждому процессу.
• Проведите инвентаризацию: какие категории (включая специальные категории ПДн и биометрические персональные данные 152‑ФЗ) вы обрабатываете, где и как долго хранятся.
• Подготовьте уведомление/политику и формы согласий, если они нужны. См. Согласие на обработку.
• Заключите договоры с уполномоченными лицами, пропишите требования безопасности. См. Безопасность и защита ПДн.
• Организуйте процедуры реализации прав субъектов. См. Права субъектов.
• Проверьте необходимость уведомления Роскомнадзора и актуальность сведений в реестре. См. Роскомнадзор: контроль и реестры.
• Настройте сроки хранения, блокирование и уничтожение данных; внедрите обезличивание, где это возможно.

Заключение

152‑ФЗ о персональных данных — базовый ориентир для любой организации, работающей с информацией о гражданах. Четкое определение категорий ПДн, ролей участников и допустимого объема под конкретные цели помогает снизить риски и выстроить устойчивую систему приватности.

Готовы углубиться? Изучите обзор закона — Федеральный закон 152‑ФЗ, разберите принципы и условия обработки и настройте корректные формы согласия. Если вы только формируете внутреннюю базу, начните с карты данных и минимизации — это быстро даст результат и укрепит соответствие.