152-ФЗ о персональных данных - полное руководство 2026

Введение

В цифровую эпоху информация стала одним из самых ценных активов. Каждый день миллионы людей оставляют в интернете свои имена, номера телефонов, адреса электронной почты, данные банковских карт и биометрические параметры. Защита этих сведений превратилась в задачу государственного масштаба. В Российской Федерации основным нормативным актом, регулирующим эту сферу, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - 152-ФЗ или Закон).

Закон устанавливает правила сбора, хранения, обработки и передачи персональных данных граждан Российской Федерации. Его соблюдение обязательно для всех операторов - от небольших интернет-магазинов до крупных корпораций и государственных учреждений. В статье мы подробно разберём все ключевые требования 152-ФЗ, права субъектов данных, обязанности операторов, а также практические шаги по приведению бизнеса в соответствие с законодательством.

История принятия и развития закона 152-ФЗ

Федеральный закон № 152-ФЗ был принят 27 июля 2006 года и вступил в силу 26 января 2007 года. Его разработка была обусловлена необходимостью приведения российского законодательства в соответствие с международными стандартами, в частности с Конвенцией Совета Европы № 108 «О защите физических лиц при автоматизированной обработке персональных данных», которую Россия ратифицировала в 2005 году.

За почти двадцатилетнюю историю Закон претерпел десятки существенных изменений. Наиболее значимые вехи:

• 2014 год - введение требования о локализации баз персональных данных граждан РФ на территории России (так называемый «закон о локализации»). С 1 сентября 2015 года операторы обязаны использовать базы данных, серверы которых физически находятся в РФ.
• 2017 год - ужесточение требований к согласию на обработку персональных данных: оно должно быть конкретным, информированным и сознательным.
• 2019-2021 годы - введение обязанности операторов уведомлять Роскомнадзор и субъектов данных об утечках.
• 2022 год - расширение оснований для трансграничной передачи и новые требования к уведомлениям регулятора.
• 2023-2025 годы - повышение штрафов за нарушения, введение обязанности назначать ответственного за обработку персональных данных в каждой организации.

К 2026 году закон продолжает развиваться, реагируя на появление новых технологий: искусственного интеллекта, биометрических систем, облачных сервисов и трансграничных платформ.

Основные понятия и термины

Для правильного понимания требований 152-ФЗ необходимо чётко различать ключевые термины, закреплённые в статье 3 Закона.

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Это может быть ФИО, дата рождения, паспортные данные, номер телефона, IP-адрес, cookie-идентификатор, фотография, голосовая запись и другие сведения.

Субъект персональных данных - физическое лицо, к которому относятся персональные данные. То есть это конкретный человек - клиент, сотрудник, посетитель сайта, пациент и т.д.

Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Это сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение персональных данных.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Принципы обработки персональных данных

Статья 5 Закона 152-ФЗ закрепляет фундаментальные принципы, которыми должны руководствоваться все операторы при обработке персональных данных. Соблюдение этих принципов является обязательным и проверяется Роскомнадзором в первую очередь.

Законность и справедливость. Обработка персональных данных должна осуществляться на законной и справедливой основе. Это означает, что оператор не может собирать и использовать данные способами, которые нарушают права и свободы субъекта.

Ограничение цели обработки. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Например, если клиент оставил email для получения чека, его нельзя использовать для рассылки рекламных материалов без отдельного согласия.

Соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки. Оператор не должен собирать избыточные данные. Если для оформления заказа достаточно имени и телефона, не следует запрашивать паспортные данные и дату рождения.

Достоверность персональных данных. Оператор должен принимать разумные меры по обеспечению актуальности и точности данных. При выявлении недостоверных сведений они должны быть уточнены или удалены.

Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки. После достижения цели обработки данные должны быть уничтожены, если иное не предусмотрено законом.

Конфиденциальность. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Категории персональных данных

Закон 152-ФЗ выделяет несколько категорий персональных данных, для каждой из которых установлены особые правила обработки.

Общие персональные данные - это базовые сведения о человеке: ФИО, дата и место рождения, адрес, номер телефона, адрес электронной почты, образование, профессия, доходы и т.д. Именно с этой категорией чаще всего работают коммерческие организации.

Специальные персональные данные - сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обработка специальных персональных данных допускается только с письменного согласия субъекта, за исключением строго определённых законом случаев (например, в медицинских целях, при осуществлении правосудия).

Биометрические персональные данные - сведения о физиологических и биологических особенностях человека, на основании которых можно установить его личность. К ним относятся отпечатки пальцев, радужная оболочка глаза, изображение лица (фотография, используемая для идентификации), голосовые образцы. Обработка биометрических данных также требует письменного согласия субъекта.

Общедоступные персональные данные - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта или которые в соответствии с федеральными законами не подлежат сокрытию. Например, сведения из ЕГРЮЛ о руководителях компаний. Однако даже общедоступные данные нельзя использовать в любых целях - субъект вправе потребовать исключения своих данных из общедоступных источников.

Иные категории - в отдельных нормативных актах выделяются также персональные данные несовершеннолетних, данные судимости, данные о членстве в общественных объединениях и т.д.

Права субъекта персональных данных

Закон 152-ФЗ предоставляет гражданам широкий спектр прав в отношении их персональных данных. Операторы обязаны обеспечить реализацию этих прав и не могут устанавливать ограничения, не предусмотренные законом.

Право на получение информации об обработке. Субъект вправе получить от оператора сведения о том, обрабатываются ли его персональные данные, а если да - то какие именно, с какой целью, на каком основании, кто имеет к ним доступ, какие действия совершаются и т.д. Оператор обязан предоставить эту информацию в течение 10 рабочих дней с момента получения запроса.

Право на уточнение, блокирование и уничтожение данных. Если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, субъект вправе требовать их уточнения, блокирования или уничтожения. Оператор обязан выполнить требование в течение 7 рабочих дней.

Право на отзыв согласия. Субъект может в любой момент отозвать согласие на обработку персональных данных. После отзыва оператор обязан прекратить обработку и уничтожить данные в срок не более 30 дней, если иное не предусмотрено договором или законом.

Право на обжалование действий оператора. Субъект вправе обжаловать действия или бездействие оператора в Роскомнадзор или в суд.

Право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

Право на отзыв согласия на распространение персональных данных. С 2021 года субъект может запретить неограниченному кругу лиц использовать свои персональные данные, ранее распространённые с его согласия.

Право на автоматизированное получение копии данных в структурированном, машиночитаемом формате - аналог европейского «права на переносимость данных».

Обязанности оператора персональных данных

Статья 18.1 Закона 152-ФЗ закрепляет обязанности оператора, которые должны быть выполнены до начала обработки персональных данных и поддерживаться на протяжении всего срока их обработки.

Оператор обязан:

• принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• назначать ответственного за организацию обработки персональных данных (для юридических лиц);
• издавать документы, определяющие политику оператора в отношении обработки персональных данных;
• публиковать или иным образом обеспечивать неограниченный доступ к политике обработки персональных данных;
• принимать правовые, организационные и технические меры для обеспечения выполнения требований Закона;
• прекращать передачу (распространение, предоставление, доступ) персональных данных, прекращать обработку и уничтожать персональные данные в порядке и случаях, предусмотренных Законом;
• предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
• уведомлять Роскомнадзор об обработке персональных данных до начала такой обработки (с определёнными исключениями);
• уведомлять Роскомнадзор и субъектов персональных данных об утечках персональных данных;
• разъяснять субъектам персональных данных юридические последствия отказа предоставить персональные данные или согласия на их распространение;
• осуществлять другие действия, предусмотренные Законом и принятыми в соответствии с ним нормативными правовыми актами.

Несоблюдение хотя бы одной из этих обязанностей может повлечь административную, гражданско-правовую или даже уголовную ответственность.

Основания обработки персональных данных

Согласно статье 6 Закона 152-ФЗ, обработка персональных данных допускается только при наличии хотя бы одного из следующих оснований:

1. Согласие субъекта персональных данных на обработку его персональных данных - наиболее распространённое основание в коммерческой деятельности.
2. Обработка необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом.
3. Обработка необходима для исполнения договора, стороной которого является субъект персональных данных (например, трудовой договор, договор купли-продажи).
4. Обработка необходима для исполнения полномочий государственных органов.
5. Обработка необходима для осуществления правосудия.
6. Обработка необходима для исполнения судебного акта.
7. Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия невозможно.
8. Обработка осуществляется в статистических или иных исследовательских целях при обязательном обезличивании данных.
9. Обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
10. Обработка осуществляется в профессиональной деятельности журналиста или творческой деятельности при условии соблюдения прав субъекта.

Важно понимать: оператор не может комбинировать основания произвольно. Если обработка осуществляется на основании договора, нельзя одновременно ссылаться на согласие - это создаёт правовую неопределённость.

Согласие на обработку персональных данных

Согласие субъекта - ключевое основание обработки в коммерческой деятельности. С 2022 года требования к согласию существенно ужесточились.

Согласие должно быть:

• конкретным - указывать точный перечень данных и целей обработки;
• информированным - субъект должен понимать, на что соглашается;
• сознательным - не допускается принуждение к даче согласия;
• предметным - относиться к определённым действиям с данными;
• определённым - иметь чёткие сроки и условия.

Согласие может быть дано в письменной форме (в том числе в форме электронного документа, подписанного квалифицированной электронной подписью), в форме электронного документа (через форму на сайте с проставлением галочки) или в иной форме, позволяющей подтвердить факт его получения.

В согласии должны быть указаны:

• ФИО и адрес субъекта, номер основного документа, сведения о дате выдачи документа и выдавшем его органе;
• наименование и адрес оператора;
• цель обработки персональных данных;
• перечень персональных данных;
• наименование и адрес третьего лица, которому поручается обработка (если применимо);
• перечень действий с персональными данными;
• срок обработки и способ её прекращения;
• подпись субъекта.

Отдельное согласие требуется на распространение персональных данных (то есть на их передачу неопределённому кругу лиц). Такое согласие оформляется по специальной форме и может быть отозвано субъектом в любой момент.

Политика обработки персональных данных

Согласно статье 18.1 Закона 152-ФЗ, оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.

Политика обработки персональных данных - это публичный документ, в котором оператор раскрывает:

• цели обработки персональных данных;
• перечень обрабатываемых персональных данных;
• категории субъектов персональных данных;
• порядок и условия обработки персональных данных;
• сведения о реализуемых требованиях к защите персональных данных;
• перечень лиц, которым могут быть переданы персональные данные;
• сроки обработки и хранения персональных данных;
• порядок реализации прав субъектов персональных данных;
• сведения о трансграничной передаче (если осуществляется);
• контактные данные ответственного за обработку персональных данных.

Политика должна быть размещена на сайте оператора в свободном доступе, как правило, в разделе «Политика конфиденциальности» или «Обработка персональных данных». Отсутствие политики или её несоответствие требованиям Закона является самостоятельным основанием для привлечения к ответственности.

Уведомление Роскомнадзора

До начала обработки персональных данных оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных - Роскомнадзор. Уведомление подаётся по установленной форме и содержит сведения об операторе, целях обработки, категориях данных и субъектов, мерах по обеспечению безопасности данных.

Исключения, когда уведомление подавать не нужно (ст. 22 Закона):

• обработка осуществляется в соответствии с трудовым законодательством;
• обработка осуществляется в соответствии с законодательством о бухгалтерском учёте;
• обработка осуществляется в связи с исполнением договора, стороной которого является субъект персональных данных;
• обработка общедоступных персональных данных;
• обработка включает в себя только фамилию, имя и отчество субъектов персональных данных;
• обработка осуществляется без использования средств автоматизации.

С 2022 года перечень исключений существенно сократился, и большинству операторов теперь требуется подавать уведомление. После получения уведомления Роскомнадзор вносит оператора в реестр операторов персональных данных, который находится в открытом доступе.

Локализация баз персональных данных

Одно из ключевых требований российского законодательства - локализация баз персональных данных граждан РФ на территории Российской Федерации. Это требование закреплено в части 5 статьи 18 Закона 152-ФЗ и вступило в силу 1 сентября 2015 года.

Суть требования: при сборе персональных данных граждан Российской Федерации оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Это означает, что первичная запись данных российского гражданина должна происходить в базу данных, физически расположенную в России. После этого данные могут быть переданы за рубеж (с соблюдением требований о трансграничной передаче), но первоначальное хранение должно быть в РФ.

Требование касается как российских, так и иностранных операторов, обрабатывающих данные граждан РФ. За нарушение требования о локализации предусмотрены крупные штрафы, а также возможность блокировки сайта оператора на территории России.

Трансграничная передача персональных данных

Трансграничная передача - это передача персональных данных на территорию иностранного государства. С 1 марта 2023 года вступили в силу существенно обновлённые правила трансграничной передачи (ст. 12 Закона 152-ФЗ).

Передача в страны, обеспечивающие адекватную защиту прав субъектов персональных данных, осуществляется свободно. Перечень таких стран утверждается Роскомнадзором. В него входят, в частности, страны - участницы Конвенции Совета Европы № 108.

Передача в иные страны допускается при наличии хотя бы одного из условий:

• субъект персональных данных дал письменное согласие на трансграничную передачу;
• передача осуществляется для исполнения договора, стороной которого является субъект персональных данных;
• передача необходима для достижения целей международных договоров Российской Федерации;
• передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта.

С 2023 года оператор обязан:

• убедиться, что иностранное лицо, которому передаются данные, принимает на себя обязательства соблюдать права субъектов персональных данных;
• уведомить Роскомнадзор о намерении осуществить трансграничную передачу (до её начала);
• получить ответ Роскомнадзора в течение 10 рабочих дней.

Роскомнадзор может запретить трансграничную передачу, если сочтёт, что она нарушает права субъектов персональных данных.

Меры защиты персональных данных

Оператор обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных. Конкретный состав мер зависит от уровня защищённости информационной системы персональных данных (ИСПДн), который определяется в соответствии с Постановлением Правительства РФ № 1119.

Выделяют четыре уровня защищённости:

• УЗ-1 (высокий уровень) - системы, обрабатывающие специальные и биометрические данные, а также системы, нарушение защиты которых может привести к тяжким последствиям.
• УЗ-2 (повышенный уровень) - системы, обрабатывающие более 100 000 субъектов персональных данных.
• УЗ-3 (средний уровень) - системы, обрабатывающие от 10 000 до 100 000 субъектов.
• УЗ-4 (базовый уровень) - системы, обрабатывающие менее 10 000 субъектов.

Типовой состав мер защиты включает:

• определение угроз безопасности персональных данных;
• применение организационных мер (назначение ответственных, разработка политик, обучение сотрудников);
• применение технических мер (межсетевые экраны, антивирусная защита, шифрование, средства контроля доступа);
• оценку эффективности принимаемых мер;
• обнаружение фактов несанкционированного доступа и реагирование на них;
• восстановление персональных данных после инцидентов;
• установление правил доступа к персональным данным;
• учёт машинных носителей персональных данных;
• применение криптографических средств защиты (при необходимости);
• обеспечение безопасности персональных данных в процессе их уничтожения.

СЗПДн и модели угроз

Система защиты персональных данных (СЗПДн) - это совокупность организационных и технических мер, а также средств защиты информации, обеспечивающих выполнение требований законодательства в области защиты персональных данных.

Разработка СЗПДн начинается с модели угроз - документа, в котором описываются актуальные угрозы безопасности персональных данных для конкретной информационной системы. Модель угроз разрабатывается в соответствии с методическими документами ФСТЭК России.

Основные этапы построения СЗПДн:

1. Определение состава обрабатываемых персональных данных и категории системы.
2. Разработка модели угроз.
3. Выбор и обоснование мер защиты.
4. Внедрение технических и организационных мер.
5. Оценка соответствия системы требованиям.
6. Ввод системы в эксплуатацию.
7. Мониторинг и актуализация системы защиты.

Для систем, обрабатывающих персональные данные государственных информационных систем или специальные/биометрические данные, может потребоваться аттестация ИСПДн - процедура подтверждения соответствия системы требованиям безопасности, проводимая аттестующей организацией.

Инциденты и утечки персональных данных

С 2021 года операторы обязаны уведомлять Роскомнадзор об инцидентах, в результате которых произошло нарушение защищённости персональных данных. С 2022 года добавлена обязанность уведомлять и самих субъектов персональных данных.

Инцидент безопасности персональных данных - это факт несанкционированного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иные неправомерные действия.

Порядок уведомления:

• Оператор обязан уведомить Роскомнадзор в течение 24 часов с момента обнаружения инцидента.
• В уведомлении указываются сведения об операторе, дата и время инцидента, категория и объём затронутых данных, предполагаемые последствия, принятые меры.
• В течение 72 часов оператор направляет в Роскомнадзор результаты внутреннего расследования.
• Субъекты персональных данных уведомляются, если инцидент может причинить им вред.

Сокрытие факта утечки или несвоевременное уведомление влечёт дополнительные штрафы и усиление контроля со стороны регулятора.

Ответственность и штрафы по 152-ФЗ

Нарушение требований Закона 152-ФЗ влечёт административную, гражданско-правовую, а в ряде случаев - уголовную ответственность.

Административная ответственность предусмотрена статьёй 13.11 КоАП РФ. По состоянию на 2026 год штрафы существенно возросли:

• Обработка персональных данных в случаях, не предусмотренных законом, или обработка, несовместимая с целями сбора: на граждан - от 10 000 до 20 000 рублей; на должностных лиц - от 20 000 до 50 000 рублей; на юридических лиц - от 100 000 до 300 000 рублей.
• Обработка персональных данных без согласия субъекта: на граждан - от 15 000 до 30 000 рублей; на должностных лиц - от 30 000 до 70 000 рублей; на юридических лиц - от 200 000 до 500 000 рублей.
• Невыполнение обязанности по опубликованию политики обработки персональных данных: на должностных лиц - от 20 000 до 50 000 рублей; на юридических лиц - от 100 000 до 300 000 рублей.
• Невыполнение требования о локализации баз данных: на должностных лиц - от 50 000 до 100 000 рублей; на юридических лиц - от 1 000 000 до 6 000 000 рублей (при повторном нарушении - до 18 000 000 рублей).
• Неуведомление Роскомнадзора об обработке персональных данных: на должностных лиц - от 30 000 до 70 000 рублей; на юридических лиц - от 200 000 до 500 000 рублей.
• Неуведомление об утечке персональных данных: на должностных лиц - от 50 000 до 100 000 рублей; на юридических лиц - от 500 000 до 1 500 000 рублей.

Гражданско-правовая ответственность выражается в возмещении убытков и компенсации морального вреда субъектам персональных данных. Размер компенсации определяется судом и может достигать сотен тысяч рублей.

Уголовная ответственность (ст. 137, 272, 273 УК РФ) наступает за незаконное собирание или распространение сведений о частной жизни лица, неправомерный доступ к компьютерной информации, создание и распространение вредоносных программ. Санкции включают штрафы до 500 000 рублей, обязательные работы, лишение свободы на срок до 4 лет.

Проверки Роскомнадзора

Роскомнадзор осуществляет контроль и надзор в сфере обработки персональных данных. Проверки могут быть плановыми и внеплановыми.

Плановые проверки проводятся в соответствии с утверждённым планом, как правило, не чаще одного раза в три года. Оператор уведомляется о плановой проверке не позднее чем за 3 рабочих дня до её начала.

Внеплановые проверки проводятся при наличии оснований: поступление жалоб субъектов персональных данных, информация об утечках, поручения Правительства РФ, истечение срока исполнения ранее выданного предписания.

В ходе проверки Роскомнадзор вправе:

• запрашивать и получать документы и сведения, связанные с обработкой персональных данных;
• проводить осмотр информационных систем;
• опрашивать сотрудников оператора;
• выдавать предписания об устранении выявленных нарушений.

По результатам проверки составляется акт. При выявлении нарушений выдаётся предписание с указанием сроков их устранения. Неисполнение предписания влечёт дополнительные штрафы по ст. 19.5 КоАП РФ.

Судебная практика

Судебная практика по делам о нарушении законодательства о персональных данных в России активно развивается. Рассмотрим несколько типичных категорий дел.

Дела об отсутствии согласия на обработку. Суды последовательно признают незаконной обработку персональных данных без надлежащего согласия субъекта. Например, в одном из дел работодатель был признан виновным в обработке данных сотрудников без их согласия на определённые цели, что повлекло штраф.

Дела о нарушении требования о локализации. Роскомнадзор активно привлекает к ответственности операторов, использующих зарубежные серверы для хранения данных граждан РФ. В ряде случаев суды поддерживали блокировку сайтов таких операторов.

Дела об утечках персональных данных. Компании, допустившие утечку данных клиентов, несут не только административную, но и гражданско-правовую ответственность. Суды взыскивают компенсации морального вреда в пользу пострадавших клиентов.

Дела о чрезмерном сборе данных. Суды признают незаконным сбор избыточных персональных данных, не необходимых для заявленной цели. Например, требование паспортных данных при оформлении дисконтной карты было признано незаконным.

Дела о праве на забвение. Граждане всё чаще обращаются в суд с требованием удалить неактуальную или недостоверную информацию о себе из поисковых систем и баз данных операторов.

Пошаговый чек-лист соответствия 152-ФЗ

Для того чтобы привести деятельность организации в соответствие с требованиями Закона 152-ФЗ, рекомендуется выполнить следующие шаги:

Шаг 1. Аудит текущей ситуации. Проведите инвентаризацию всех процессов обработки персональных данных в организации. Определите, какие данные собираются, с какой целью, на каком основании, где хранятся, кто имеет к ним доступ.

Шаг 2. Назначение ответственного. Назначьте ответственного за организацию обработки персональных данных. Это может быть сотрудник организации или привлечённый специалист.

Шаг 3. Разработка документов. Разработайте и утвердите политику обработки персональных данных, положение о защите персональных данных, формы согласий на обработку, регламенты работы с запросами субъектов.

Шаг 4. Получение согласий. Проверьте, все ли субъекты персональных данных дали согласие на обработку. При необходимости получите недостающие согласия в установленной форме.

Шаг 5. Уведомление Роскомнадзора. Подайте уведомление об обработке персональных данных (если оно требуется в вашем случае).

Шаг 6. Локализация баз данных. Убедитесь, что базы данных, содержащие персональные данные граждан РФ, физически расположены на территории России.

Шаг 7. Внедрение мер защиты. Разработайте модель угроз, внедрите технические и организационные меры защиты персональных данных в соответствии с уровнем защищённости ваших информационных систем.

Шаг 8. Обучение сотрудников. Проведите обучение сотрудников, работающих с персональными данными, требованиям законодательства и внутренним регламентам.

Шаг 9. Настройка процессов реагирования на инциденты. Разработайте и утвердите порядок действий при обнаружении утечки персональных данных, включая уведомление Роскомнадзора и субъектов данных.

Шаг 10. Регулярный мониторинг и актуализация. Проводите периодические проверки соответствия требованиям законодательства, актуализируйте документы при изменении процессов обработки или законодательства.

Типичные ошибки операторов

Практика показывает, что операторы чаще всего допускают следующие ошибки:

Сбор избыточных данных. Операторы запрашивают больше данных, чем необходимо для заявленной цели. Например, требование паспортных данных при регистрации на сайте без законных оснований.

Отсутствие или формальное согласие. Согласие на обработку получается в форме, не соответствующей требованиям Закона, или не получается вовсе. Часто используется «молчаливое согласие» (продолжение использования сайта), которое не признаётся действительным.

Неактуальная политика обработки. Политика обработки персональных данных не обновляется при изменении процессов обработки или законодательства.

Отсутствие уведомления Роскомнадзора. Операторы ошибочно полагают, что уведомление не требуется, и не подают его.

Нарушение требования о локализации. Использование зарубежных облачных сервисов без обеспечения локализации баз данных в России.

Недостаточные меры защиты. Отсутствие базовых мер информационной безопасности: паролей, шифрования, разграничения доступа.

Отсутствие порядка работы с запросами субъектов. Оператор не отвечает на запросы субъектов персональных данных или отвечает с нарушением установленных сроков.

Сокрытие инцидентов. Операторы не уведомляют Роскомнадзор об утечках персональных данных, что влечёт дополнительные санкции.

Перспективы развития законодательства

Законодательство о персональных данных продолжает активно развиваться. В ближайшие годы ожидаются следующие изменения:

Ужесточение ответственности. Тенденция к повышению штрафов за нарушения в сфере персональных данных сохраняется. Обсуждается введение оборотных штрафов по аналогии с европейским GDPR.

Регулирование искусственного интеллекта. Принятие закона об искусственном интеллекте повлечёт дополнительные требования к обработке персональных данных при обучении и использовании ИИ-моделей.

Расширение прав субъектов. Ожидается дальнейшее расширение прав граждан, включая право на автоматизированное удаление данных, право на объяснение автоматизированных решений.

Усиление контроля за трансграничной передачей. В условиях геополитической напряжённости требования к трансграничной передаче данных могут быть дополнительно ужесточены.

Развитие регуляторных песочниц. Роскомнадзор развивает практику регуляторных песочниц для тестирования новых технологий обработки персональных данных в контролируемых условиях.

Гармонизация с международными стандартами. Продолжится работа по сближению российского законодательства с международными стандартами защиты персональных данных.

Заключение

Закон 152-ФЗ «О персональных данных» устанавливает комплексные требования к операторам, обрабатывающим персональные данные граждан Российской Федерации. Соблюдение этих требований является не только юридической обязанностью, но и важным элементом деловой репутации организации.

В условиях цифровой трансформации и роста числа киберугроз ответственное обращение с персональными данными становится конкурентным преимуществом. Компании, которые выстраивают прозрачные и безопасные процессы обработки данных, получают доверие клиентов и партнёров, снижают риски штрафов и репутационных потерь.

Приведение деятельности в соответствие с требованиями 152-ФЗ - это не разовое мероприятие, а непрерывный процесс, требующий внимания к изменениям законодательства, технологий и бизнес-процессов. Инвестиции в соответствие сегодня - это защита бизнеса от серьёзных рисков завтра.