справочник 14 марта 2027 По состоянию на 14 марта 2027

Информационная система ПДн (ИСПДн): определение

Информационная система персональных данных (ИСПДн) — совокупность баз данных и обеспечивающих их обработку информационных технологий и технических средств (ст. 3 ФЗ-152).

Каждое юридическое лицо, обрабатывающее ПДн в электронном виде, является оператором ИСПДн. Отсутствие классификации ИСПДн — типичная находка при проверке Роскомнадзора, ведущая к штрафу по ч. 1 ст. 13.11 КоАП до 300 000 ₽.

→ Если вы юрист и проверяете комплаенс компании — этот справочник даёт основу для классификации ИСПДн и выстраивания пакета ОРД.

С 30.05.2025 ст. 13.11 КоАП действует в расширенной редакции ФЗ-420: 18 частей вместо прежних 9, оборотный штраф за повторную утечку — от 1 до 3% годовой выручки, но не менее 20 млн ₽. Правильно классифицированная ИСПДн — отправная точка для определения уровня защищённости, комплекта технических мер и состава ОРД. Без этой классификации невозможно корректно заполнить уведомление в реестр операторов по ст. 22 ФЗ-152.

Что такое ИСПДн и чем она отличается от базы данных?

База данных в контексте ФЗ-152 — упорядоченная совокупность ПДн, хранящихся на материальных носителях или в электронном виде. ИСПДн шире: это база данных плюс программное обеспечение, аппаратные средства, сети передачи данных и персонал, обеспечивающие обработку. Любой корпоративный сервис, где хранятся ФИО, телефон или email, — это ИСПДн.

Ключевое различие для юриста: именно ИСПДн присваивается уровень защищённости (УЗ-1…УЗ-4) по ПП РФ № 1119 от 01.11.2012. База данных без технической обёртки — понятие бухгалтерское; ИСПДн — понятие регуляторное.

«Ст. 3 ФЗ-152: информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.»

На практике одна компания имеет несколько ИСПДн: CRM с клиентскими данными, 1С:ЗУП с данными работников, телефония с записями звонков, корпоративный мессенджер. Каждая из них требует отдельной классификации и соответствующего набора мер защиты по Приказу ФСТЭК № 21 от 18.02.2013.

Юрист проверяет комплаенс — с чего начать классификацию ИСПДн?

Классификация ИСПДн требует инвентаризации всех информационных систем, где хранятся ПДн, с определением категорий субъектов и категорий данных. Ошибка на этом этапе ведёт к неверному уровню защищённости и пробелам в ОРД. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как классифицируется ИСПДн: уровни защищённости и категории ПДн

Категории персональных данных определены в ст. 3 и ст. 10 ФЗ-152. Выделяют четыре группы:

Специальные категории (ст. 10 ФЗ-152) — расовая и национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь, судимость. Обработка по общему правилу запрещена, допускается только в случаях, прямо указанных законом.
Биометрические ПДн (ст. 11 ФЗ-152) — характеристики, позволяющие установить личность субъекта: изображение лица, голос, отпечатки пальцев, радужная оболочка глаза. Требуют письменного согласия субъекта.
Общедоступные ПДн — данные, размещённые субъектом самостоятельно в открытых источниках (ст. 8 ФЗ-152).
Иные категории — всё, что не относится к трём предыдущим группам: ФИО, должность, телефон, адрес, паспортные данные.

Уровень защищённости ИСПДн определяется пересечением трёх параметров: категория ПДн × тип угроз (1, 2 или 3) × количество субъектов (порог 100 000 человек). УЗ-1 — наивысший, УЗ-4 — базовый. Для большинства компаний среднего бизнеса с CRM и кадровой системой актуален УЗ-3 или УЗ-4.

«ПП РФ № 1119 от 01.11.2012: уровень защищённости зависит от типа актуальных угроз, категории ПДн и числа субъектов. Состав мер — Приказ ФСТЭК № 21 от 18.02.2013 (109 мер в 15 группах).»

Что входит в понятие «обработка ПДн» применительно к ИСПДн?

Обработка персональных данных по ст. 3 ФЗ-152 — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Применительно к ИСПДн это означает: любая операция внутри системы с ПДн — это обработка, требующая правового основания.

Принципы обработки ПДн закреплены в ст. 5 ФЗ-152. Их семь: законность и справедливость обработки; конкретность и заранее определённые цели; недопустимость объединения баз с несовместимыми целями; соответствие объёма ПДн заявленным целям; точность и достаточность данных; хранение не дольше срока, необходимого для цели; уничтожение или обезличивание при достижении цели или истечении срока.

На практике нарушение принципа соответствия объёма целям — одна из наиболее частых находок при аудите: компания собирает паспортные данные там, где достаточно email и телефона.

Что подготовить для классификации ИСПДн

Реестр информационных систем, в которых хранятся или обрабатываются ПДн (CRM, ERP, 1С, корпоративная почта, телефония, мессенджеры).
Перечень категорий субъектов ПДн по каждой системе: клиенты, работники, контрагенты, соискатели.
Определение категории ПДн по ст. 3, 10, 11 ФЗ-152 и числа субъектов — для установления УЗ по ПП РФ № 1119.
Перечень правовых оснований обработки по ст. 6 ФЗ-152 для каждой системы.
Актуальное уведомление в реестре операторов на pd.rkn.gov.ru с отражением всех систем.

Каковы правовые основания для обработки ПДн в ИСПДн?

Правовые основания обработки перечислены в ст. 6 ФЗ-152. Их одиннадцать, наиболее распространённые в корпоративной практике:

Согласие субъекта (п. 1 ст. 6, ст. 9 ФЗ-152). С 01.09.2025 согласие оформляется отдельным документом — его нельзя включать в текст договора, политики или оферты (ФЗ-156 от 24.06.2025). Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.
Исполнение договора (п. 5 ст. 6 ФЗ-152). Обработка необходима для заключения или исполнения договора, стороной которого является субъект. Работает без согласия.
Исполнение обязанностей оператора как работодателя (п. 2 ст. 6 ФЗ-152). Обработка ПДн работников в пределах, предусмотренных законом, — без согласия.
Судопроизводство и исполнение судебных актов (п. 3 ст. 6 ФЗ-152).

Выбор правового основания фиксируется в политике обработки ПДн и в матрице обработки ПДн. Ошибочный выбор основания — нарушение ч. 1 ст. 13.11 КоАП, штраф для юрлица 150 000–300 000 ₽ (в редакции с 30.05.2025).

Если вы юрист и обнаружили, что ИСПДн компании не классифицированы или правовые основания обработки не зафиксированы в ОРД — это основание для штрафа по ч. 1 ст. 13.11 КоАП. Юристы DATUM соберут полный пакет ОРД: политика, согласия, матрица обработки, приказы.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. Юрист производственной компании (Уральский ФО, начало 2026) при подготовке к плановой проверке РКН выявил три незадекларированные ИСПДн: корпоративный портал с данными работников, CRM с данными клиентов и систему контроля доступа с биометрией. Уведомление в реестре операторов содержало только одну систему. Юрист инициировал аудит, по итогам которого компания направила актуализированное уведомление в РКН до даты проверки. Инспектор зафиксировал нарушение в истории, однако протокол составлен не был в связи с устранением до начала проверки. Без своевременной корректировки нарушение квалифицировалось бы по ч. 1 ст. 13.11 КоАП — штраф до 300 000 ₽.

Кейс 2. В деле о проверке регионального ритейлера (Сибирский ФО, осень 2025) РКН установил, что оператор собирал сканы паспортов покупателей при оформлении карт лояльности без законного основания — правового основания не было ни в договоре, ни в согласии. Квалификация — ч. 1 ст. 13.11 КоАП. Штраф в размере нескольких сотен тысяч рублей. Матрица обработки ПДн и корректно оформленные согласия по ст. 9 ФЗ-152 исключили бы нарушение.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — классификация ИСПДн, выявление нарушений, план устранения.
Комплект ОРД под ключ — политика, матрица обработки, согласия, приказы, регламенты.
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой является любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже однократное хранение электронного письма с ФИО клиента — обработка ПДн, требующая правового основания.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований. Самые распространённые: согласие субъекта (ст. 9 ФЗ-152), исполнение договора с субъектом (п. 5 ст. 6), исполнение обязанностей работодателя (п. 2 ст. 6). Основание фиксируется в матрице обработки ПДн и политике конфиденциальности. С 01.09.2025 согласие по ФЗ-156 должно быть оформлено отдельным документом.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП в редакции с 30.05.2025 — от 150 000 до 700 000 ₽ за базовые нарушения, от 3 до 15 млн ₽ за утечку ПДн в зависимости от числа субъектов (ч. 12–14). При повторной утечке — оборотный штраф: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽ (ч. 15). С 11.12.2024 возможна уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

Обязанность уведомить РКН до начала обработки ПДн распространяется на всех операторов вне зависимости от размера (ст. 22 ФЗ-152). Исключения перечислены в ч. 2 ст. 22: обработка без средств автоматизации, данные собственных работников исключительно для трудового договора, и ряд других. Нарушение — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает единый возраст дееспособности для дачи согласия напрямую, однако применяются общие нормы ГК РФ: до 14 лет согласие дают родители или законные представители, с 14 до 18 лет — сам несовершеннолетний с согласия родителей. В образовательных организациях и при обработке специальных категорий практика РКН требует согласия законного представителя до 18 лет.

Итог

ИСПДн — центральное понятие технической части 152-ФЗ. Правильная классификация систем, определение уровня защищённости по ПП РФ № 1119 и выбор правового основания обработки по ст. 6 ФЗ-152 — три условия, без которых комплаенс невозможен ни формально, ни по существу.

Юристы DATUM сопровождают классификацию ИСПДн в рамках аудита соответствия 152-ФЗ: инвентаризация систем, матрица обработки ПДн, определение УЗ и состава технических мер, подготовка полного пакета ОРД.

АГ

Антон Громов

Аналитик · Технологии и ИБ

Аналитик DATUM по технологиям и информационной безопасности. Специализация — уровни защищённости УЗ-1..4 (ПП РФ № 1119), Приказ ФСТЭК № 21, обезличивание ПДн для ML, реагирование на утечки за 24/72 часа, ст. 272.1 УК.

14 марта 2027 года