152‑ФЗ о персональных данных: понятия, субъекты, объем
Ключевое, с чего начинается соответствие требованиям приватности, — понимать, что именно закон называет персональными данными, кто является участником отношений и какой объем сведений допустимо обрабатывать для каждой цели. Ниже — практическое руководство по основным понятиям, субъектам и объему ПДн по Федеральному закону № 152‑ФЗ.
Что такое персональные данные по 152‑ФЗ
Закон о персональных данных 152‑ФЗ определяет ПДн как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн). Это могут быть идентификаторы (ФИО, дата рождения, паспорт), контактные и адресные сведения, данные о семье, образовании, профессии, финансовые реквизиты, интернет‑идентификаторы и т. п.
Важно: «относящаяся» означает связь информации с конкретным человеком — сама по себе запись (например, «рост 180 см») не является ПДн, пока нельзя связать ее с субъектом.
Подробнее о структуре закона, терминах и ссылках на статьи читайте на странице Федеральный закон 152‑ФЗ и в обзоре Структура и статьи 152‑ФЗ. Исторические изменения — в материале История и изменения 152‑ФЗ (2006–27.07).
Субъекты и роли при обработке ПДн
В рамках 152‑ФЗ участвуют несколько сущностей:
- Субъект персональных данных — физическое лицо, к которому относится информация.
- Оператор — организация или ИП/физлицо, самостоятельно или совместно с другими определяющее цели и способы обработки ПДн (работодатель, интернет‑сервис, банк и т. п.).
- Уполномоченное лицо (обработчик) — лицо, которое по поручению оператора осуществляет обработку (например, облачный провайдер, колл‑центр). Поручение оформляется договором.
- Третьи лица — иные получатели данных, не являющиеся уполномоченным лицом по поручению (например, партнеры по бонусной программе).
- Уполномоченный орган по защите прав субъектов — Роскомнадзор.
Ключевые требования к оператору детально раскрыты в разделе Обязанности оператора, права граждан — на странице Права субъектов персональных данных.
Объем и состав персональных данных: принцип минимизации
Федеральный закон 152‑ФЗ о персональных данных закрепляет принцип соразмерности: состав и объем ПДн должны соответствовать заявленным целям обработки и быть не избыточными. Это означает:
- фиксируйте цель до начала сбора (например, «заключение и исполнение договора купли‑продажи»);
- определите перечень строго необходимых полей для этой цели;
- не собирайте «про запас» (паспорт для доставки внутри РФ, как правило, не нужен);
- храните данные не дольше нужного, предусмотрите сроки удаления/уничтожения.
Список принципов и условий обработки — в материале Принципы и условия обработки.
Типичные наборы ПДн по целям:
- Кадры/HR: анкетные данные, документы об образовании, ИНН/СНИЛС, сведения о близких (для льгот), медсправки, сведения о судимости (для отдельных должностей).
- Клиентские продажи: ФИО, контакты, адрес доставки, платежные реквизиты, история заказов, идентификаторы учетной записи.
- Маркетинг: контакты и предпочтения, история взаимодействия (письма, клики) — при соблюдении требований к согласию на рассылки.
- Видеонаблюдение/доступ: изображения и физический проход — могут образовывать биометрию при использовании для идентификации.
Категории ПДн: общие, специальные и биометрические
Категории данных влияют на требования к основанию обработки и мерам защиты.
| Категория |
Что включает |
Примеры |
Ограничения/основания |
| Общие персональные данные |
Идентификация и деловые сведения |
ФИО, дата рождения, адрес, телефон, e‑mail, должность, ИНН/СНИЛС, реквизиты договора |
Обрабатываются на законных основаниях (договор, закон, согласие и др.) |
| Специальные категории ПДн |
Расовая/национальная принадлежность, политические взгляды, религиозные/философские убеждения, здоровье, интимная жизнь |
Медсправки, инвалидность, донорство, сведения о религии |
По общему правилу — запрет; допускается при наличии письменного согласия либо в случаях, прямо установленных законом (медицина, трудовые отношения, социальные гарантии и пр.) |
| Биометрические персональные данные 152‑ФЗ |
Биологические и физиологические признаки, используемые оператором для идентификации |
Отпечатки, изображение лица/геометрия, радужка, голос, ДНК; фотография и видео — когда применяются именно для идентификации |
Требуют отдельного четкого основания; часто — письменное согласие, усиленные меры защиты |
| Общедоступные ПДн |
Сведения, сделанные субъектом доступными неограниченному кругу лиц |
Профиль в соцсетях, публикации с согласия |
Обработка должна соответствовать цели их размещения; недопустимо причинять вред субъекту |
Если вы планируете собирать специальные категории ПДн или биометрию, подготовьте расширенную информированность и явное согласие. Шаблоны и требования — в разделе Согласие на обработку персональных данных. Меры технической и организационной защиты — в материале Безопасность и защита ПДн.
Правовые основания и согласие субъекта
Обрабатывать ПДн можно только при наличии законного основания. На практике применяются:
- исполнение договора или предварительных действий по запросу субъекта;
- исполнение обязанностей, установленных законом (налоги, бухучет, кадровые требования);
- согласие субъекта ПДн (в т. ч. письменное — для специальных и биометрических данных);
- осуществление прав и законных интересов оператора или третьих лиц при условии, что не нарушаются права и свободы субъекта;
- правосудие, правоохранительная деятельность и иные случаи, прямо предусмотренные законодательством.
Как выбрать основание и оформить уведомление субъекту — см. Принципы и условия обработки и Согласие на обработку.
Жизненный цикл ПДн и операции обработки
152‑ФЗ перечисляет операции, составляющие обработку: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
![Схема жизненного цикла персональных данных: сбор → хранение → использование → передача → обезличивание/уничтожение]
Рекомендуется задокументировать жизненный цикл для каждой категории ПДн, указать сроки хранения, условия блокирования при достижении цели и порядок уничтожения носителей.
Обезличивание и псевдонимизация
Обезличивание — действия, в результате которых без использования дополнительной информации невозможно определить принадлежность ПДн конкретному субъекту. Это инструмент снижения рисков и законный способ использовать данные для статистики и исследований. Однако:
- пока восстановление связи возможно (через ключ соответствия), набор остается персональными данными, на него распространяется 152‑ФЗ;
- передача обезличенных данных за рубеж требует оценки правил страны‑получателя — см. Трансграничная передача ПДн.
Примеры состава ПДн по процессам
Ниже — ориентир по минимальному составу и основаниям. Фактический перечень определяйте через оценку целей и рисков.
| Процесс |
Цель |
Минимальный состав |
Типовое основание |
| Онлайн‑продажа |
Заключение и исполнение договора |
ФИО, телефон/e‑mail, адрес доставки, детали заказа, платежные реквизиты (токен/маскированные) |
Договор/закон (ОЗПП, бухучет) |
| Кадровый учет |
Трудовые отношения |
Паспортные данные, адрес, ИНН/СНИЛС, сведения об образовании, семейное положение; при необходимости — медсправки (спецкатегории) |
Трудовой кодекс/закон; для медданных — письменное согласие либо прямое требование закона |
| Маркетинг |
Персонализированные предложения |
Контактные данные, согласие на коммуникации, история взаимодействий |
Согласие субъекта |
Если используете внешние сервисы (облако, рассылки), оформляйте поручение обработчику и контролируйте трансграничность. Подробнее — Трансграничная передача ПДн.
Контроль и реестры Роскомнадзора
Роскомнадзор осуществляет контроль, ведет реестр операторов ПДн и принимает уведомления. Уточняйте, обязаны ли вы направлять уведомление (есть исключения), и поддерживайте сведения в реестре актуальными. Про процедуры проверок, критерии риска и реестры — на странице Роскомнадзор: контроль и реестры.
Риски и ответственность
Нарушение 152‑ФЗ влечет предупреждения, административные штрафы, блокировку сайтов и предписания об устранении нарушений. Отдельные составы касаются работы без согласия, утечек, трансграничной передачи без оснований, игнорирования прав субъектов. Диапазоны санкций и типичные кейсы — в разделе Ответственность и штрафы.
Краткий чек‑лист оператору
- Определите цели, правовые основания и минимальные наборы ПДн по каждому процессу.
- Проведите инвентаризацию: какие категории (включая специальные категории ПДн и биометрические персональные данные 152‑ФЗ) вы обрабатываете, где и как долго хранятся.
- Подготовьте уведомление/политику и формы согласий, если они нужны. См. Согласие на обработку.
- Заключите договоры с уполномоченными лицами, пропишите требования безопасности. См. Безопасность и защита ПДн.
- Организуйте процедуры реализации прав субъектов. См. Права субъектов.
- Проверьте необходимость уведомления Роскомнадзора и актуальность сведений в реестре. См. Роскомнадзор: контроль и реестры.
- Настройте сроки хранения, блокирование и уничтожение данных; внедрите обезличивание, где это возможно.
Заключение
152‑ФЗ о персональных данных — базовый ориентир для любой организации, работающей с информацией о гражданах. Четкое определение категорий ПДн, ролей участников и допустимого объема под конкретные цели помогает снизить риски и выстроить устойчивую систему приватности.
Готовы углубиться? Изучите обзор закона — Федеральный закон 152‑ФЗ, разберите принципы и условия обработки и настройте корректные формы согласия. Если вы только формируете внутреннюю базу, начните с карты данных и минимизации — это быстро даст результат и укрепит соответствие.
