В информационной безопасности есть документы, с которых начинается всё. Федеральный закон № 152-ФЗ «О персональных данных» — именно такой. Он — базис, основа, на которую опираются все остальные регламенты, приказы и методики.
Но что в нём содержится, и где заканчивается его зона ответственности? В этом материале разбираем тезисно:
🔹 что вы найдёте в тексте закона,
🔹 а что — нет (и где это искать).
Основные тезисы
1. Цель закона
ФЗ-152 определяет правовые основы защиты персональных данных и регламентирует отношения между субъектами, операторами и регуляторами. Главная цель — защита прав и свобод человека, в том числе обеспечение тайны частной жизни и безопасность ПДн.
2. Что считается персональными данными
Закон даёт определение: любая информация, прямо или косвенно относящаяся к физическому лицу. Делит ПДн на:
- Обычные данные — ФИО, номер телефона, email;
- Специальные — здоровье, религия, политические взгляды;
- Биометрические — фото, отпечатки, голос.
3. Кто подлежит регулированию
- Оператор — определяет цели и методы обработки.
- Обработчик — действует по поручению оператора, но сам решения не принимает.
4. Принципы и условия обработки
Обработка должна быть:
- законной и минимально необходимой,
- привязанной к конкретной цели,
- обеспеченной мерами безопасности,
- оформленной с согласия субъекта.
Особое внимание уделено раздельному согласию на распространение ПДн.
5. Права субъектов ПДн
Каждый гражданин имеет право:
- получить информацию об обработке своих данных;
- потребовать их исправления или удаления;
- отозвать согласие;
- обратиться с жалобой или в суд.
6. Обязанности оператора
Оператор обязан:
- уведомлять Роскомнадзор;
- внедрять организационные и технические меры защиты;
- вести документацию и регистры;
- соблюдать сроки хранения;
- использовать сертифицированные средства защиты при необходимости.
7. Ответственность и контроль
Нарушения закона влекут:
- административную и уголовную ответственность;
- штрафы и запреты на обработку;
- приостановку деятельности.
Надзор осуществляют: Роскомнадзор, ФСТЭК, ФСБ — в зависимости от контекста
Чего в ФЗ-152 нет
Закон не содержит технических требований и инструкций:
- Нет упоминания вендоров или классов сертификации.
- Нет описания процедур аудита, мониторинга, журналирования.
- Нет отраслевых специфик (например, для медицины или КИИ).
- Нет методических рекомендаций по построению систем защиты.
Итог
ФЗ-152 — это нормативный каркас. Он определяет:
- кто отвечает за безопасность ПДн,
- какие действия являются законными,
- и какие права есть у субъектов данных.
Но он не говорит, как именно строить защиту: какие средства, какие политики, какие процессы.
Эти вопросы регулируются другими документами:
- Приказ ФСТЭК № 21, № 9, № 44;
- ГОСТы и СТБ по защите информации;
- Профили защиты, технические регламенты и отраслевые требования.
