Персональные данные по 152-ФЗ: что это, виды, оператор
Определение по букве закона
Согласно ст. 3 ч. 1 п. 1 ФЗ-152, персональные данные — это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)».
Ключевая фраза — «прямо или косвенно». То есть ПДн — это не только имя в паспорте. Это любой набор данных, по которому можно установить, о ком идёт речь. Связка «cookie + IP + история заказов» — тоже ПДн, если из них можно вывести конкретного человека.
Виды персональных данных
Закон выделяет четыре категории. Ответственность и требования к защите различаются.
| Категория | Примеры | Основание обработки |
|---|---|---|
| Общие | ФИО, телефон, email, адрес, ИНН, паспорт | Согласие или закон |
| Специальные | Раса, нация, политические взгляды, религия, состояние здоровья, судимость, интимная жизнь | Согласие письменное или особые основания (ст. 10) |
| Биометрические | Отпечатки, фото лица, голос, ДНК, иные физиологические признаки для идентификации | Согласие письменное (ст. 11) |
| Обезличенные | Данные, по которым невозможно установить субъекта без доп. сведений | Не требуется (но нужны меры обезличивания) |
Кто такой оператор персональных данных
По ст. 3 ч. 1 п. 2 ФЗ-152, оператор — это «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки, состав ПДн, действия (операции), совершаемые с ПДн».
На практике это означает: оператор — это вы, как только у вас появились данные хотя бы одного физического лица для какой-либо цели. Ведёте Excel с клиентами? Оператор. Принимаете резюме на job-сайте? Оператор. Собираете email в форме рассылки? Оператор.
Пройдите тест за 2 минуты — 8 вопросов дадут точный ответ.
Что значит «обработка ПДн»
По ст. 3 ч. 1 п. 3 ФЗ-152 — любое действие или совокупность действий с данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Список открытый.
Важно: хранение — это уже обработка. Резюме кандидата, который не получил работу два года назад, лежит у вас в CRM — вы продолжаете обрабатывать его ПДн без основания.
Обязанности оператора
- Уведомить Роскомнадзор о начале обработки (ст. 22 ФЗ-152) — исключения сужены ФЗ № 420-ФЗ
- Назначить ответственного за организацию обработки (ст. 22.1)
- Опубликовать политику обработки на сайте, если он есть (ст. 18.1)
- Получать согласия в установленной форме (ст. 9)
- Хранить данные граждан РФ на серверах в России (ст. 18 ч. 5)
- Реагировать на запросы субъектов в течение 30 дней (ст. 14)
- Уведомлять РКН об инцидентах в течение 24 часов (с 30.05.2025)
Чем рискует неоператор
Главный риск — штраф по ст. 13.11 КоАП РФ. С 30.05.2025 действуют новые ставки по ФЗ № 420-ФЗ:
- Обработка без правового основания: 150 000 – 300 000 ₽
- Неуведомление РКН: 100 000 – 300 000 ₽
- Утечка ≥ 100 000 субъектов: 10 000 000 – 15 000 000 ₽
- Повторная утечка — оборотный штраф: 1–3 % выручки, но не менее 20 млн ₽ и не более 500 млн ₽
Дела юридических лиц по ст. 13.11 рассматривает арбитражный суд, не мировой судья. Это требует юриста со специализацией.
Не хотите разбираться с нуля?
За 30 минут бесплатно определим: являетесь ли вы оператором, какие риски критичны, что делать в первую очередь. Без обязательств.
Записаться на бесплатный анализОтветим за 2 часа · +7 (983) 510-38-76