Что такое «Закон о персональных данных 152‑ФЗ простым языком: что должен знать любой бизнес»?

«Закон о персональных данных 152‑ФЗ простым языком: что должен знать любой бизнес» — тема данной статьи. WCR Consulting готово оказать юридическое сопровождение.

Какие требования для этого процесса?

Требования зависят от юрисдикции. WCR Consulting подбирает оптимальный пакет документов.

Сколько времени занимает этот процесс?

Сроки зависят от сложности задачи. WCR Consulting обеспечивает оперативное сопровождение.

Нужна ли юридическая помощь?

Да, юридическое сопровождение снижает риски. WCR Consulting имеет практический опыт.

Как WCR Consulting помогает с этим?

WCR Consulting оказывает полный спектр услуг: консультация, анализ, документы и сопровождение до результата.

Россия • Персональные данные • Compliance 2025

Закон о персональных данных 152‑ФЗ: что должен знать любой бизнес

152-ФЗ касается практически каждой российской компании: от интернет-магазина до корпоративного HR-отдела. Разбираемся, кто является оператором, что считается персональными данными, какие обязанности возникают — и как выстроить compliance, не превращая его в бюрократию.

152-ФЗ
Операторы ПДн
Согласие на обработку
Роскомнадзор
Штрафы и ответственность
Политика конфиденциальности

Содержание статьи

1
Что такое 152-ФЗ и кто под него попадает
Сфера действия закона, понятие оператора, категории субъектов
2
Ключевые понятия: персональные данные, субъект, оператор
Что считается ПДн, специальные категории, обезличивание
3
Обязанности оператора персональных данных
Уведомление Роскомнадзора, локализация, документация, LKN
4
Согласие на обработку: как правильно оформить
Требования к согласию, политика конфиденциальности, отзыв
5
Ответственность за нарушения 152-ФЗ
Административные штрафы, уголовная ответственность, проверки РКН
6
Как выстроить compliance по 152-ФЗ
Пошаговый план, типичные ошибки и рекомендации WCR Consulting

1. Что такое 152-ФЗ и кто под него попадает

Федеральный закон № 152-ФЗ «О персональных данных» действует с 2006 года и регулирует любую обработку персональных данных физических лиц. Под его действие попадает практически каждая российская компания — независимо от размера и отрасли.

Ошибочно считать, что закон касается только крупных технологических компаний или тех, кто работает с «чувствительными» данными. Если у вас есть сотрудники, клиентская база, форма обратной связи на сайте или CRM — вы уже оператор персональных данных и обязаны соблюдать требования 152-ФЗ. Надзор осуществляет Роскомнадзор.

Любой работодатель — трудовой договор содержит ПДн, значит вы уже оператор
Интернет-магазины — формы заказа, личный кабинет, история покупок
Медицина и образование — спецкатегории с повышенными требованиями
Маркетинг и CRM — email-рассылки, базы лидов, аналитика
Иностранные компании — если обрабатывают данные граждан РФ

📋 Кто такой оператор

Оператором считается любое лицо — юридическое или физическое — которое самостоятельно определяет цели и способы обработки персональных данных. Регистрация в качестве оператора происходит не автоматически: требуется уведомить Роскомнадзор.

🌍 Экстерриториальность

Закон распространяется на иностранные компании, если они обрабатывают данные граждан России — например, принимают заявки с сайта или ведут рассылку по российской аудитории. Иностранный хостинг от требований не освобождает.

⚖️ Изменения с 2022–2024

За последние годы штрафы существенно выросли, введены оборотные санкции за утечки данных, расширены требования к локализации. Законодательство продолжает ужесточаться, и следить за обновлениями критично для любого оператора.

2. Ключевые понятия: персональные данные, субъект, оператор

Прежде чем говорить об обязанностях, важно разобраться с терминологией закона — она намеренно широкая и нередко трактуется шире, чем ожидает бизнес.

👤

Персональные данные

Любая информация, прямо или косвенно позволяющая идентифицировать физическое лицо. Понятие намеренно широкое — суды и РКН толкуют его расширительно.

Примеры: ФИО, телефон, email, адрес, СНИЛС, ИНН, паспортные данные, IP-адрес, cookies, геолокация, фотография, голос, биометрические шаблоны.

🔒

Специальные категории

Закон выделяет данные, требующие письменного согласия или прямого указания закона для обработки. Санкции за нарушения в этой категории принципиально выше.

⚠ К спецкатегориям относятся: состояние здоровья, расовое и национальное происхождение, политические взгляды, религиозные убеждения, биометрия, сведения о судимости, данные о сексуальной жизни.

🏢

Оператор и обработчик

Оператор — тот, кто определяет цели и способы обработки. Обработчик — тот, кто обрабатывает данные по поручению оператора. Оператор несёт ответственность перед субъектом даже за действия привлечённых обработчиков.

Оператор ПДн

Самостоятельно определяет: зачем, какие данные и как обрабатывать. Отвечает перед РКН и субъектами. Обязан уведомить РКН о начале обработки.

Обработчик (подрядчик)

Действует строго по поручению оператора на основании договора. Не может использовать данные в своих целях. Обязан соблюдать конфиденциальность.

👥

Субъект персональных данных

Физическое лицо, которому принадлежат данные. Субъект вправе в любой момент запросить информацию об обработке своих данных, потребовать исправления, ограничения или удаления — и оператор обязан ответить в течение 30 дней.

Принцип минимизации, закреплённый в законе: оператор вправе собирать только те данные, которые необходимы для конкретной заявленной цели. Избыточный сбор — нарушение, даже при наличии согласия.

3. Обязанности оператора персональных данных

Статус оператора персональных данных автоматически порождает набор обязанностей. Перечислим ключевые — в порядке от самых базовых к более детальным.

Важно: часть обязанностей нужно выполнить ДО начала обработки данных, а не после того, как сайт запущен и база сформирована.

Уведомить Роскомнадзор

До начала обработки ПДн оператор обязан подать уведомление через портал РКН и получить включение в реестр операторов. Уведомление описывает цели обработки, категории данных и субъектов, страну обработки и меры защиты.

Исключение: обработка данных исключительно своих работников в рамках трудовых отношений — без передачи третьим лицам. Все остальные случаи требуют уведомления.

📋 До начала обработки ⚡ Ст. 22 152-ФЗ Штраф за отсутствие

Локализовать базы данных в РФ

С 2015 года первичное хранение персональных данных российских граждан должно осуществляться на серверах, расположенных на территории России. Это требование распространяется в том числе на иностранные компании с российской аудиторией.

🖥 Серверы в РФ 🌍 Для иностранных компаний тоже Нарушение = блокировка РКН

Разработать внутреннюю документацию

Оператор обязан иметь: политику обработки персональных данных (опубликованную), приказ о назначении ответственного за организацию обработки, регламенты по каждой цели обработки и договоры поручения с подрядчиками, которым передаются данные.

📄 Политика ПДн 👤 Ответственное лицо 📑 Поручение на обработку

Обеспечить безопасность данных

Технические и организационные меры защиты ПДн определяются уровнем защищённости (УЗ), который зависит от категорий обрабатываемых данных и числа субъектов. Большинство коммерческих компаний попадают в УЗ-3 или УЗ-4 — это базовые требования без необходимости сертифицированного криптошифрования.

🔐 УЗ-1 … УЗ-4 🏢 Организационные меры 💻 Технические меры

Соблюдать права субъектов

На запрос субъекта о составе и целях обработки оператор обязан ответить в течение 10 рабочих дней. При запросе на удаление — уничтожить или обезличить данные в течение 30 дней. Немотивированный отказ недопустим.

⏱ 10 раб. дней — ответ 🗑 30 дней — удаление 📩 Письменная форма

4. Согласие на обработку: как правильно оформить

Согласие субъекта — одно из нескольких правовых оснований для обработки ПДн. Но именно его чаще всего оформляют неправильно: предзаполненная галочка или расплывчатая формулировка «на обработку данных» не имеют юридической силы.

Важно разграничить: согласие нужно не всегда. Закон допускает обработку без согласия для исполнения договора, по прямому требованию закона или в других случаях, прямо перечисленных в ст. 6 и 10 152-ФЗ. Неоправданное получение согласия «на всякий случай» создаёт лишние риски — если субъект его отзовёт, обработку придётся прекратить.

📋

Обязательные элементы согласия (ст. 9 152-ФЗ)

Согласие должно быть конкретным, предметным, информированным и однозначным. Согласно статье 9, в тексте согласия обязательно указываются:

Субъект и оператор

ФИО субъекта, наименование и адрес (место нахождения) оператора.

Цель обработки

Конкретная и однозначная цель — не «улучшение сервиса» или «в соответствии с законодательством».

Перечень ПДн

Конкретные категории данных, которые будут обрабатываться в рамках данного согласия.

Срок и отзыв

Срок действия согласия и порядок его отзыва субъектом — оба элемента обязательны.

Форма согласия: письменная (подпись), электронная (активное действие + подтверждение через email или SMS) или конклюдентная — только если закон прямо это допускает.

❌

Типичные ошибки, которые не дают юридической силы

⚠ Предзаполненная галочка «Я согласен» — без активного действия пользователя согласие недействительно

⚠ Расплывчатая цель: «согласен на обработку персональных данных» без указания конкретных целей

⚠ Одно общее согласие для нескольких несвязанных целей (рассылка + аналитика + передача партнёрам)

⚠ Согласие «навсегда» без указания срока действия или порядка отзыва

⚠ Отсутствие возможности отозвать согласие или намеренное усложнение этой процедуры

🌐

Политика конфиденциальности: обязательный документ

Политика конфиденциальности — публичный документ, который оператор обязан разместить на сайте до момента сбора данных. Он должен описывать все цели обработки, категории ПДн, правовые основания, сроки хранения, передачу третьим лицам и права пользователей.

Политика должна отражать реальные процессы компании, а не быть скопирована из шаблона. РКН при проверке сопоставляет содержание документа с фактической практикой.

5. Ответственность за нарушения 152-ФЗ

С 2022–2023 годов ответственность за нарушения 152-ФЗ существенно ужесточилась. Введены оборотные штрафы за утечки данных, максимальные суммы санкций выросли многократно.

Надзор осуществляет Роскомнадзор — как в рамках плановых проверок (реестровых операторов), так и по жалобам граждан. Внеплановая проверка может быть инициирована единственной жалобой субъекта, и для её проведения согласование прокуратуры не требуется.

⚠️

Административная ответственность

Основная форма ответственности — административные штрафы по ст. 13.11 КоАП РФ. Статья разделена на несколько частей; санкция зависит от конкретного состава нарушения. Фиксированные штрафы применяются при первичных нарушениях.

💸

Оборотные штрафы за утечки

Введены в 2023 году. За утечку значительного объёма ПДн — штраф до 3% от годовой выручки, но не менее 15 млн рублей. За повторные нарушения или утечку спецкатегорий данных санкции существенно выше.

⚡

Уголовная и гражданская

Статья 137 УК РФ (нарушение неприкосновенности частной жизни): штраф до 200 000 руб. или лишение свободы до 2 лет при умышленном разглашении ПДн. Субъект вправе также взыскать убытки и моральный вред в гражданском порядке.

Состав нарушения	Должностное лицо	Организация	Серьёзность
Обработка ПДн без надлежащего правового основания	до 20 000 ₽	до 100 000 ₽	Средняя
Обработка спецкатегорий без письменного согласия	до 40 000 ₽	до 300 000 ₽	Высокая
Обработка без достижения заявленных целей	до 20 000 ₽	до 100 000 ₽	Средняя
Нарушение требований к политике конфиденциальности	до 15 000 ₽	до 60 000 ₽	Базовая
Обработка без уведомления РКН (при обязанности)	до 20 000 ₽	до 100 000 ₽	Средняя
Непредоставление данных субъекту по запросу	до 20 000 ₽	до 80 000 ₽	Средняя
Утечка ПДн по вине оператора (оборотный штраф)	—	от 15 млн ₽ (до 3% выручки)	Критичная

6. Как выстроить compliance по 152-ФЗ

Большинство нарушений 152-ФЗ — не злой умысел, а системные пробелы: компания работает, данные собираются, а нужных документов, уведомлений и процессов нет. Разбираем типичные ситуации и что с ними делать.

📋

Политика конфиденциальности скопирована из шаблона

На сайте есть документ, но он описывает несуществующие процессы или содержит цели обработки, которые компания фактически не ведёт. РКН при проверке сопоставляет документ с реальной практикой.

⚠ При проверке — предписание об устранении и штраф. Шаблонная политика не защищает оператора, а только создаёт иллюзию compliance.

✓ Политика должна описывать именно ваши процессы: какие данные вы реально собираете, зачем, на каком основании, как долго храните и кому передаёте.

🌍

Данные пользователей хранятся только на зарубежных серверах

Компания использует иностранный хостинг, облачную CRM, зарубежный email-сервис или аналитику — и всё это является первичным хранилищем ПДн российских граждан без российской копии. Требование локализации при этом не выполнено.

⚠ Роскомнадзор вправе подать в суд с требованием блокировки сайта — именно так был заблокирован LinkedIn в России в 2016 году.

✓ Первичная база с данными граждан РФ должна физически находиться на серверах в России. Репликация в зарубежные ЦОДы допустима как вторичная копия.

📄

Компания не уведомила РКН, хотя обязана

Бизнес работает с клиентской базой, использует CRM и ведёт email-рассылку — но в реестр операторов так и не внесён. Исключение по ст. 22 применяется только к обработке данных собственных сотрудников без передачи третьим лицам. Всё остальное требует уведомления.

⚠ Штраф до 100 000 рублей. Незарегистрированный оператор «виден» РКН после первой жалобы от любого пользователя.

✓ Уведомление подаётся через портал РКН, занимает 1–2 рабочих дня. Государственная пошлина не взимается. После подачи компания вносится в реестр.

🤝

Данные передаются подрядчикам без договора поручения

Маркетинговое агентство, колл-центр, аналитический сервис или CRM-провайдер получают доступ к персональным данным клиентов без надлежащего договора. Оператор при этом продолжает нести полную ответственность за всё, что подрядчик делает с этими данными.

⚠ Субъект вправе пожаловаться в РКН на передачу данных без его ведома. Оператор не сможет переложить вину на подрядчика без надлежащего договора поручения.

✓ С каждым подрядчиком, получающим доступ к ПДн, необходимо заключить договор поручения на обработку (ст. 6 152-ФЗ) с перечнем допустимых операций и мер защиты.

Compliance по 152-ФЗ — не разовый проект, а постоянный процесс. Законодательство обновляется, бизнес подключает новые сервисы, меняются подрядчики. Раз в год стоит проводить внутренний аудит: проверять актуальность документации, состав реестра операторов и договоров поручения.

Выстроим compliance по 152-ФЗ под ключ

WCR Consulting сопровождает компании на всех этапах: от аудита текущих процессов до разработки документации, регистрации в РКН и поддержки при проверках. Работаем с российскими и иностранными операторами персональных данных.

✓ Аудит обработки персональных данных
✓ Политика конфиденциальности под ваши процессы
✓ Уведомление и регистрация в РКН
✓ Оформление согласий и форм на сайте
✓ Договоры поручения с подрядчиками
✓ Сопровождение при проверках Роскомнадзора

Получить консультацию Другие услуги по
юридической упаковке сайта

Закон о персональных данных 152‑ФЗ: что должен знать любой бизнес

WCR Consulting

Contacts

Social media

WCR Consulting

Contacts

Social media