Федеральный закон от 27 июля 2006 года № 152‑ФЗ «О персональных данных» (152‑ФЗ) — это основной закон, который регулирует работу с персональными данными (ПДн) в России.
Персональные данные — это любая информация, которая прямо или косвенно относится к определённому или определяемому физическому лицу. Примеры:
- ФИО;
- дата и место рождения;
- адрес;
- номер телефона;
- электронная почта;
- сведения об образовании и профессии;
- размер доходов;
- состояние здоровья и т. д.
Зачем нужен 152‑ФЗ?
- защитить частную жизнь и личную информацию граждан;
- установить правила сбора, хранения, обработки и передачи персональных данных;
- определить ответственность за нарушения при работе с ПДн.
Что регулирует 152‑ФЗ?
- какие данные считаются персональными;
- кто может обрабатывать ПДн (операторы персональных данных — например, работодатели, интернет‑магазины, госучреждения);
- какие способы обработки ПДн допустимы (автоматизированные и неавтоматизированные);
- как получать согласие на обработку ПДн;
- какие меры безопасности нужно применять при работе с данными;
- как уведомлять Роскомнадзор о работе с ПДн;
- права субъектов ПДн (например, право на доступ, исправление, удаление своих данных);
- порядок передачи ПДн третьим лицам и за границу.
Какие штрафы предусмотрены
С 30 мая 2025 года штрафы за нарушения в сфере ПДн значительно увеличились. Вот несколько примеров:
Обработка ПДн без законных оснований (ч. 1 ст. 13.11 КоАП РФ):
- граждане: 10 000–15 000 руб. (за повторное нарушение — 15 000–30 000 руб.);
- должностные лица и ИП: 50 000–100 000 руб. (за повторное — 100 000–200 000 руб.);
- организации: 150 000–300 000 руб. (за повторное — 300 000–500 000 руб.).
Неуведомление Роскомнадзора о намерении обрабатывать ПДн (ч. 10 ст. 13.11 КоАП РФ):
- граждане: 5 000–10 000 руб.;
- должностные лица госорганов или НКО: 30 000–50 000 руб.;
- организации и ИП: 100 000–300 000 руб.
Утечка ПДн и неуведомление об этом Роскомнадзора (ч. 11 ст. 13.11 КоАП РФ):
- граждане: 50 000–100 000 руб.;
- должностные лица: 400 000–800 000 руб.;
- организации и ИП: 1 млн — 3 млн руб.
Что нужно сделать, чтобы не нарушить 152‑ФЗ
- Определить, являетесь ли вы оператором ПДн. Если вы собираете, храните или обрабатываете данные людей — скорее всего, да.
- Подать уведомление в Роскомнадзор, если это требуется (кроме исключений, например, неавтоматизированной обработки).
- Получить согласие на обработку ПДн в письменной или электронной форме. С 1 сентября 2025 года согласие должно быть оформлено отдельно от других документов (Закон № 156‑ФЗ).
- Разработать локальные акты, например:
- политику обработки ПДн;
- приказ о назначении ответственного за обработку ПДн;
- правила работы с ПДн в компании.
- Обеспечить безопасность ПДн:
- ограничить доступ к данным;
- использовать средства защиты информации;
- регулярно обучать сотрудников.
- Своевременно реагировать на запросы субъектов ПДн (например, предоставить информацию о том, какие данные о них хранятся).
- Уведомлять Роскомнадзор об утечке ПДн, если она произошла.
- Прекращать обработку ПДн, когда цели обработки достигнуты или по требованию субъекта ПДн.