Федеральный закон №152-ФЗ «О персональных данных» — ключевой документ, регулирующий обработку персональных данных в Российской Федерации. Что бы не читать весь закон целиком, сделаем "выжимку".
Глава 1. Общие положения
Статья 1. Сфера действия настоящего Федерального закона
Закон регулирует отношения, связанные с обработкой персональных данных федеральными органами, муниципальными органами, юридическими и физическими лицами, включая иностранных субъектов при определённых условиях.
Основные аспекты:
- Применяется к обработке данных гражданами РФ иностранными юридическими и физическими лицами (на основании договора, согласия субъекта или других соглашений).
- Не распространяется на: обработку данных физическими лицами для личных нужд; архивное делопроизводство; данные, составляющие государственную тайну.
- Информация о деятельности судов регулируется отдельным законом (ФЗ №262 от 22.12.2008).
Статья 2. Цель настоящего Федерального закона
Цель закона - обеспечение защиты прав и свобод человека при обработке его персональных данных, включая неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
Определяет ключевые термины:
Персональные данные - любая информация, относящаяся к физическому лицу.
Оператор - орган власти, юридическое или физическое лицо, организующее обработку данных.
Обработка персональных данных - действия с данными (сбор, хранение, передача, уничтожение и т.д.).
Автоматизированная обработка - обработка с использованием вычислительной техники.
Распространение - раскрытие данных неопределённому кругу лиц.
Предоставление - раскрытие данных определённому лицу/кругу лиц.
Блокирование - временное прекращение обработки данных.
Уничтожение - необратимое удаление данных.
Обезличивание - действия, делающие невозможным определение принадлежности данных без дополнительной информации.
Информационная система персональных данных - совокупность баз данных и технологий для их обработки.
Трансграничная передача - передача данных на территорию иностранного государства.
Статья 4. Законодательство Российской Федерации в области персональных данных
Устанавливает правовые основы регулирования обработки персональных данных:
Основа законодательства: Конституция РФ; международные договоры РФ; федеральные законы.
Нормативные правовые акты: Могут приниматься государственными органами, Банком России и органами местного самоуправления.
Не могут ограничивать права субъектов или устанавливать не предусмотренные федеральными законами ограничения для операторов.
Согласование нормативных актов: Акты, регулирующие трансграничную передачу данных, обработку специальных категорий данных и другие аспекты, подлежат обязательному согласованию с уполномоченным органом (срок — не более 30 дней).
Приоритет международных договоров: Если международным договором РФ установлены иные правила, чем предусмотренные законом, применяются правила международного договора.
Решения межгосударственных органов: Противоречащие Конституции РФ решения не подлежат исполнению в РФ.
Глава 2. Принципы и условия обработки персональных данных
Статья 5 Принципы обработки персональных данных
Устанавливает принципы обработки персональных данных:
Законность и справедливость - обработка данных осуществляется на основе правовых норм.
Целевая обработка - действия с данными ограничены заранее определёнными целями.
Запрет на объединение баз - нельзя объединять базы с несовместимыми целями.
Соответствие целям - обрабатываются только необходимые данные.
Точность и актуальность - данные должны быть достоверными и обновляться при необходимости.
Сроки хранения - данные хранятся не дольше, чем требуется для целей обработки, и уничтожаются или обезличиваются по достижении целей.
Статья 6 Условия обработки персональных данных
Определяет условия, при которых допускается обработка персональных данных.
Основные положения:
Согласие субъекта - обработка возможна только с явного согласия субъекта, если иное не предусмотрено законом.
Исполнение законов и международных договоров - данные обрабатываются для выполнения требований законодательства РФ или международных обязательств.
Судопроизводство - разрешена обработка в рамках конституционного, гражданского, административного, уголовного или арбитражного судопроизводства.
Исполнение судебных актов - включает действия по исполнительному производству на основании судебных решений.
Государственные и муниципальные услуги - обработка необходима для предоставления госуслуг, включая регистрацию на портале «Госуслуги».
Исполнение договоров - допускается для заключения или исполнения договоров, где субъект является стороной, выгодоприобретателем или поручителем.
Защита жизни и здоровья - применяется в экстренных ситуациях, когда получение согласия невозможно.
Права оператора или третьих лиц - разрешается для защиты законных интересов оператора или третьих лиц, включая деятельность по возврату задолженностей.
Профессиональная и творческая деятельность - включает журналистскую, научную, литературную и иную творческую деятельность при условии соблюдения прав субъекта.
Статистические и исследовательские цели - требуется обязательное обезличивание данных, за исключением случаев, указанных в статье 15 закона.
Экспериментальные правовые режимы - обработка обезличенных данных разрешена в рамках экспериментов по развитию ИИ в Москве (ФЗ №123 от 24.04.2020) и других цифровых инноваций.
Опубликование или обязательное раскрытие данных - обработка допускается, если данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Особенности обработки для отдельных категорий:
Объекты государственной охраны и их семьи - регулируются ФЗ №57 от 27.05.1996.
Сотрудники спецслужб, правоохранителей, судей и участников уголовного процесса - обрабатываются с учётом требований:
- ФЗ №40 от 03.04.1995 (ФСБ);
- ФЗ №45 от 20.04.1995 (госзащита судей);
- ФЗ №5 от 10.01.1996 (внешняя разведка);
- ФЗ №57 от 27.05.1996 (госбезопасность);
- ФЗ №119 от 20.08.2004 (госзащита участников судопроизводства);
- ФЗ №3 от 07.02.2011 (полиция).
Поручение обработки третьим лицам:
Оператор вправе поручить обработку данных другому лицу с согласия субъекта (если иное не предусмотрено законом).
Договор должен содержать:
- Перечень данных и операций;
- Цели обработки;
- Требования к конфиденциальности и безопасности;
- Обязанность предоставлять отчёты оператору.
Ответственность перед субъектом несёт оператор, даже если обработка ведётся иностранным лицом (ч. 6 ст. 6).
Статья 7. Конфиденциальность персональных данных
Устанавливает требование конфиденциальности персональных данных.
Основные положения:
- Обязанность сохранения конфиденциальности: Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать и не распространять эти данные третьим лицам без согласия субъекта персональных данных.
- Исключения: Раскрытие данных допускается только в случаях, предусмотренных федеральным законом.
Статья 8. Общедоступные источники персональных данных
Регулирует вопросы общедоступных источников персональных данных.
Основные положения:
- Создание общедоступных источников: В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (справочники, адресные книги).
- Условия включения данных: Для включения персональных данных в общедоступные источники требуется письменное согласие субъекта. Разрешённые к публикации данные: Фамилия, имя, отчество; Год и место рождения; Адрес; Абонентский номер; Сведения о профессии; Иные данные, предоставленные субъектом.
- Исключение данных из источников: Субъект вправе потребовать удаления своих данных из общедоступных источников в любое время. Исключение также возможно по решению суда или уполномоченных государственных органов.
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
Регулирует вопросы согласия субъекта на обработку его персональных данных.
Основные положения:
- Свобода принятия решения: Субъект принимает решение о предоставлении данных и даёт согласие самостоятельно, в своём интересе. Согласие должно быть: Конкретным; Предметным; Информированным; Сознательным; Однозначным.
- Форма согласия: Допускается любая форма, позволяющая подтвердить факт получения согласия (если иное не установлено законом). Для электронных документов требуется электронная подпись.
- Отзыв согласия: Субъект вправе отозвать согласие в любое время. Обработка данных после отзыва возможна только на основаниях, указанных в: п. 2–11 ч. 1 ст. 6; ч. 2 ст. 10; ч. 2 ст. 11 ФЗ №152.
- Обязанности оператора: Должен проверять полномочия представителя субъекта; Должен предоставлять доказательства получения согласия или наличия законных оснований для обработки.
- Требования к письменному согласию: ФИО, адрес, паспортные данные субъекта; Цель обработки; Перечень обрабатываемых данных; Срок действия согласия и способ его отзыва; Подпись субъекта.
- Особые случаи: Для недееспособных лиц согласие даёт законный представитель; После смерти субъекта согласие могут дать наследники (если оно не было дано при жизни); Данные могут быть получены от третьих лиц при наличии законных оснований (п. 2–11 ч. 1 ст. 6).
Электронные согласия для госуслуг: Порядок получения регулируется Правительством РФ.
С 1 сентября 2025 года статья 9 Федерального закона №152-ФЗ «О персональных данных» будет дополнена новым положением (ФЗ от 24.06.2025 №156-ФЗ). Это изменение касается уточнения требований к содержанию согласия на обработку данных, разрешённых субъектом для распространения.
Содержание согласия будет конкретизировано, включая:
- Четкое указание на способы распространения (например, через СМИ, интернет-ресурсы);
- Перечень категорий данных, доступных для распространения;
- Условия прекращения действия согласия.
Статья 10. Специальные категории персональных данных
Регулирует обработку специальных категорий персональных данных.
Основные положения:
- Запрет на обработку: Расовой/национальной принадлежности; Политических взглядов; Религиозных или философских убеждений; Состояния здоровья; Интимной жизни.
- Разрешена обработка при наличии: Письменного согласия субъекта; Соблюдения условий статьи 10.1 (для данных, разрешённых к распространению); В рамках международных договоров РФ о реадмиссии (Реадмиссия - процесс возвращения лиц, незаконно находящихся на территории иностранного государства, в государство их гражданства или государство, через которое они транзитом прибыли); В рамках всероссийской переписи населения (ФЗ №8 от 25.01.2002); В рамках социального, трудового или пенсионного законодательства; В рамках защиты жизни/здоровья при невозможности получения согласия; В рамках медицинской деятельности с сохранением врачебной тайны; В рамках деятельности общественных/религиозных организаций (без распространения без согласия); В рамках установления прав субъекта или третьих лиц, в т.ч. в судопроизводстве; В рамках законодательства об обороне, безопасности, противодействии терроризму и т.д. (п. 7); В рамках прокурорского надзора (п. 7.1); В рамках обязательного страхования.
- Особые случаи: Обработка данных о судимости - только госорганами в пределах полномочий или иными лицами по ФЗ; Прекращение обработки - при устранении причин, вызвавших необходимость обработки (если не предусмотрено законом).
С 1 сентября 2025 года и 1 марта 2027 года в статью 10 Федерального закона №152-ФЗ «О персональных данных» будут внесены изменения, направленные на уточнение условий обработки специальных категорий данных и расширение возможностей их использования в государственных и экспериментальных проектах.
Изменения с 1 сентября 2025 года (ФЗ от 08.08.2024 №233-ФЗ)
Пункт 7 части 2:
- Уточняются условия обработки данных в рамках законодательства об обороне, безопасности, противодействии терроризму и других сферах.
- Вводится требование о проверке соответствия пользователей требованиям безопасности при работе с обезличенными данными.
Часть 2.1:
- Расширяется использование обезличенных данных о здоровье в экспериментальных правовых режимах (например, для развития ИИ в Москве).
- Запрещается передача результатов обработки данных иностранным юридическим лицам, кроме случаев, предусмотренных международными договорами.
Изменения с 1 марта 2027 года (ФЗ от 07.07.2025 №200-ФЗ)
Пункт 7 части 2:
- Корректируется перечень оснований для обработки специальных категорий данных, включая уточнение требований к согласию субъекта и условиям распространения информации.
- Вводится запрет на использование результатов обработки данных, если это может нанести вред жизни, здоровью или безопасности государства.
Статья 10.1. Особенности обработки персональных данных, разрешенных субъектом персональных данных для распространения
Регулирует особенности обработки персональных данных, разрешённых субъектом для распространения. Основные положения:
- Согласие на обработку: Оформляется отдельно от других согласий; Оператор должен предоставить возможность определить перечень данных по категориям; Согласие может быть предоставлено непосредственно оператору или через информационную систему уполномоченного органа; Молчание или бездействие не считается согласием.
- Права субъекта персональных данных: Может установить запреты на передачу данных неограниченному кругу лиц (кроме предоставления доступа); Может установить запреты или условия обработки данных неограниченным кругом лиц (кроме получения доступа); Отказ оператора в установлении таких запретов и условий не допускается.
- Обязанности оператора: Опубликовать информацию об условиях обработки и наличии запретов в течение трёх рабочих дней после получения согласия субъекта; Обрабатывать данные без права распространения, если согласие не указывает на разрешение распространения; Прекратить передачу данных по требованию субъекта.
- Ответственность за распространение: Лежит на лицах, осуществивших распространение, если данные раскрыты без согласия оператора; В случае раскрытия данных вследствие правонарушения, преступления или обстоятельств непреодолимой силы, ответственность также лежит на распространителях.
- Прекращение передачи данных: Передача данных может быть прекращена в любое время по требованию субъекта; Требование должно включать фамилию, имя, отчество (при наличии), контактную информацию и перечень данных, обработка которых подлежит прекращению; Данные могут обрабатываться только оператором, которому направлено требование.
- Действие согласия: Согласие прекращается с момента поступления оператору требования о прекращении обработки.
- Обращение к другим лицам: Субъект вправе обратиться с требованием прекратить передачу данных к любому лицу, обрабатывающему его данные, или в суд. Лицо обязано прекратить передачу данных в течение трёх рабочих дней с момента получения требования или в срок, указанный в решении суда.
- Исключения: Запреты не распространяются на случаи обработки данных в государственных, общественных и иных публичных интересах, определённых законодательством РФ; Требования статьи не применяются при обработке данных в целях выполнения функций государственных органов, муниципальных органов и подведомственных им организаций.
Статья 11. Биометрические персональные данные
Регулирует особенности обработки биометрических данных. Основные положения:
- Обработка биометрических данных: Требуется письменное согласие субъекта, за исключением случаев, предусмотренных частью 2 статьи.
- Случаи обработки без согласия: Реализация международных договоров РФ о реадмиссии; Осуществление правосудия и исполнение судебных актов; Проведение обязательной государственной дактилоскопической и геномной регистрации; Случаи, предусмотренные законодательством об обороне, безопасности, противодействии терроризму и т.д.
- Обязательность предоставления: Предоставление биометрических данных не может быть обязательным, за исключением случаев, предусмотренных частью 2 статьи; Оператор не вправе отказывать в обслуживании при отказе субъекта предоставить биометрические данные, если согласие не является обязательным по федеральному закону.
С 1 сентября 2025 года в статью 11 Федерального закона «О персональных данных» вносятся существенные изменения, расширяющие перечень случаев, когда обработка биометрических данных допускается без согласия субъекта. Эти изменения закреплены в Федеральных законах № 519-ФЗ от 28.12.2024 и № 121-ФЗ от 23.05.2025.
- Дополнение перечня случаев обработки без согласия. В часть 2 статьи 11 добавлена ссылка на уголовно-процессуальное законодательство. Это означает, что обработка биометрии теперь возможна в рамках уголовного процесса, включая следственные действия и исполнение приговоров.
- Эксперимент по учёту иностранных граждан. Закон № 121-ФЗ вводит эксперимент в Москве и Московской области, который требует: Регистрации иностранных граждан в специализированном мобильном приложении; Предоставления согласия на обработку биометрических данных (включая геолокацию); Обновления данных о месте нахождения через приложение.
- Уточнение целей обработки. Биометрические данные теперь могут использоваться для: Подтверждения личности при регистрации по месту пребывания; Контроля перемещений иностранных граждан; Включения в реестр контролируемых лиц при нарушении правил учёта.
Обязательность предоставления данных остаётся исключительной мерой, применяемой только в рамках указанных в законе случаев.
Статья 12. Трансграничная передача персональных данных
Регулирует особенности трансграничной передачи персональных данных. Основные положения:
- Общие принципы: Трансграничная передача данных осуществляется в соответствии с Федеральным законом и международными договорами РФ.
- Перечень иностранных государств: Уполномоченный орган утверждает перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных (Роскомнадзор). В перечень включаются государства — стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и другие государства, соответствующие положениям Конвенции.
- Обязанности оператора: До начала трансграничной передачи данных оператор обязан уведомить уполномоченный орган (Роскомнадзор) о своём намерении. Уведомление направляется отдельно от уведомления о намерении осуществлять обработку данных и должно содержать: Наименование, адрес оператора и дату ранее направленного уведомления; Данные ответственного лица (ФИО, контакты); Правовое основание и цель передачи данных; Категории и перечень передаваемых данных; Категории субъектов данных; Перечень иностранных государств для передачи данных; Дату оценки соблюдения конфиденциальности и безопасности данных.
- Сведения для получения от иностранных лиц: Меры по защите передаваемых данных и условия прекращения их обработки; Информация о правовом регулировании в области персональных данных иностранного государства; Сведения об органах власти, физических и юридических лицах, которым планируется передача данных.
- Оценка достоверности сведений: Оператор обязан предоставить запрашиваемые сведения уполномоченному органу в течение 10 рабочих дней, с возможностью продления срока до 5 рабочих дней при наличии мотивированного уведомления.
- Ограничения на передачу данных: Трансграничная передача может быть запрещена или ограничена в целях защиты конституционного строя, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны и безопасности государства и т. д.
- Принятие решений: Решение о запрете или ограничении передачи данных принимается уполномоченным органом в течение 10 рабочих дней с даты поступления уведомления. Рассмотрение уведомления приостанавливается до предоставления оператором запрошенной информации.
- Условия передачи данных: После направления уведомления оператор вправе осуществлять трансграничную передачу данных на территории государств, являющихся сторонами Конвенции или включённых в перечень, до принятия решения. Для государств, не являющихся сторонами Конвенции, передача данных возможна только после истечения сроков, указанных в статье, за исключением случаев, когда это необходимо для защиты жизни, здоровья или других жизненно важных интересов.
- Срок принятия решений: Уполномоченный орган (Роскомнадзор) принимает решение в течение 5 рабочих дней с даты поступления соответствующего представления. Порядок принятия решения и информирования операторов устанавливается Правительством РФ.
- Уничтожение данных: Оператор обязан обеспечить уничтожение ранее переданных данных органом власти иностранного государства, иностранным физическим или юридическим лицом в случае принятия решения о запрете/ограничении передачи.
- Исключения для госорганов: Правительство РФ определяет случаи, когда требования статьи не применяются к операторам, осуществляющим трансграничную передачу данных в целях выполнения функций, возложенных международным договором или законодательством РФ.
Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
Регулирует особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных. Основные положения:
- Создание систем: Государственные и муниципальные органы создают информационные системы персональных данных в рамках своих полномочий.
- Особенности учёта: Федеральные законы могут устанавливать особенности учёта персональных данных; Разрешается использовать разные способы обозначения принадлежности данных конкретному субъекту.
- Права и свободы: Ограничение прав по мотивам обработки данных не допускается; Запрещено использовать способы обозначения данных, унижающие достоинство.
- Государственный регистр: Может быть создан для обеспечения прав субъектов персональных данных; Правовой статус и порядок работы определяются федеральным законом.
Глава 3. Права субъектов персональных данных
Статья 14. Право субъекта персональных данных на доступ к его персональным данным
Основные права субъекта:
- Право на получение информации о обработке его персональных данных.
- Право требовать уточнения, блокирования или уничтожения данных в случае их неполноты, устаревания, неточности или незаконной получения.
Условия предоставления сведений:
- Сведения предоставляются в доступной форме и не должны содержать персональные данные других субъектов, за исключением случаев с законными основаниями.
- Срок предоставления сведений 10 рабочих дней, с возможностью продления до 5 рабочих дней при наличии мотивированного уведомления.
Порядок запроса:
- Запрос должен содержать номер документа, удостоверяющего личность, сведения о дате выдачи и выдавшем органе, а также сведения, подтверждающие участие субъекта в отношениях с оператором.
- Запрос может быть направлен в форме электронного документа и подписан электронной подписью.
Повторное обращение:
- Повторное обращение возможно не ранее чем через 30 дней после первоначального обращения, если более короткий срок не установлен законом или договором.
- В случае неполного предоставления сведений по первоначальному запросу, повторное обращение возможно до истечения срока, указанного в части 4 статьи.
Информация, предоставляемая субъекту должна содержать:
- Подтверждение факта обработки персональных данных.
- Правовые основания и цели обработки.
- Цели и способы обработки данных.
- Наименование и место нахождения оператора, сведения о лицах, имеющих доступ к данным.
- Обрабатываемые персональные данные, источник их получения.
- Сроки обработки данных, включая сроки хранения.
- Порядок осуществления прав субъекта.
- Информация о трансграничной передаче данных.
- Сведения о лицах, осуществляющих обработку по поручению оператора.
- Иные сведения, предусмотренные законом.
Ограничения доступа: Доступ может быть ограничен в соответствии с федеральными законами, включая случаи обработки данных в целях обороны, безопасности государства, охраны правопорядка и других особых целей.
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
Условия обработки данных:
- Обработка персональных данных в целях продвижения товаров, работ, услуг или политической агитации допускается только при условии предварительного согласия субъекта персональных данных.
- Если оператор не докажет получение согласия, обработка считается осуществлённой без согласия.
Обязанности оператора: Оператор обязан немедленно прекратить обработку персональных данных по требованию субъекта.
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
Запрет на принятие решений: Запрещается принятие решений, порождающих юридические последствия или затрагивающих права и интересы субъекта, на основании исключительно автоматизированной обработки персональных данных, за исключением случаев, предусмотренных частью 2.
Исключения: Решение может быть принято при наличии письменного согласия субъекта или в случаях, предусмотренных федеральными законами, которые также устанавливают меры по обеспечению соблюдения прав субъекта.
Обязанности оператора:
- Разъяснить субъекту порядок принятия решения и возможные юридические последствия.
- Предоставить возможность заявить возражение против такого решения.
- Разъяснить порядок защиты прав и интересов субъекта.
- Рассмотреть возражение в течение 30 дней и уведомить субъекта о результатах.
Статья 17. Право на обжалование действий или бездействия оператора
Право на обжалование:
- Субъект персональных данных может обжаловать действия или бездействие оператора, если считает, что его права нарушены.
- Обжалование возможно в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
Защита прав и интересов: Субъект имеет право на защиту своих прав и законных интересов, включая возмещение убытков и компенсацию морального вреда в судебном порядке.
Глава 4. Обязанности оператора
Статья 18. Обязанности оператора при сборе персональных данных
Основные обязанности оператора:
- Предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.
- Если предоставление персональных данных и (или) получение согласия на обработку персональных данных обязательны по федеральному закону, оператор обязан разъяснить субъекту юридические последствия отказа предоставить данные или дать согласие на их обработку.
Информация при получении данных не от субъекта: Если персональные данные получены не от субъекта, оператор обязан предоставить ему следующую информацию до начала обработки данных:
- Наименование или ФИО и адрес оператора или его представителя.
- Цель обработки данных и её правовое основание.
- Перечень персональных данных.
- Предполагаемые пользователи данных.
- Установленные законом права субъекта.
- Источник получения данных.
Исключения: Оператор освобождается от обязанности предоставить информацию, если:
- Субъект уведомлен об обработке его данных.
- Данные получены на основании федерального закона или договора.
- Обработка данных разрешена субъектом для распространения с соблюдением запретов статьи 10.1.
- Данные обрабатываются для статистических, исследовательских, журналистских или творческих целей без нарушения прав субъекта.
- Предоставление информации нарушает права третьих лиц.
Ограничения на обработку данных за пределами РФ: Запись, систематизация, накопление, хранение, уточнение, извлечение персональных данных граждан РФ с использованием баз данных за пределами РФ не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
Назначение ответственного лица: оператор (юридическое лицо) назначает ответственного за организацию обработки персональных данных.
Разработка политики и локальных актов: издание документов, определяющих политику обработки данных, включая:
- Категории и перечень обрабатываемых данных;
- Цели обработки;
- Сроки хранения и порядок уничтожения данных;
- Процедуры предотвращения нарушений законодательства.
Применение мер безопасности: правовые, организационные и технические меры для защиты данных в соответствии со статьёй 19 ФЗ.
Внутренний контроль и аудит: проведение проверок соответствия обработки данных требованиям закона и локальным актам.
Оценка вреда: анализ потенциального ущерба субъектам данных при нарушении закона и соотношение вреда с принимаемыми мерами.
Обучение сотрудников: ознакомление работников с законодательством о персональных данных и внутренними документами.
Публикация политики обработки данных:
- Оператор обязан обеспечить неограниченный доступ к документу, определяющему его политику обработки данных.
- Для операторов, собирающих данные через интернет, требуется публикация политики на сайте и обеспечение доступа через средства сети.
Особые требования для государственных и муниципальных органов: Правительство РФ устанавливает перечень мер для таких операторов.
Подтверждение выполнения мер: По запросу уполномоченного органа оператор обязан предоставить документы и локальные акты, подтверждающие принятие мер.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
Определения:
Угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного (в том числе случайного) доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение данных или иные неправомерные действия при их обработке в информационной системе.
Уровень защищённости персональных данных — комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определённых угроз безопасности данных при их обработке.
Меры:
Правовые, организационные и технические меры: оператор обязан принимать меры для защиты данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и других неправомерных действий.
Определение угроз безопасности: выявление потенциальных угроз при обработке данных в информационных системах.
Применение средств защиты информации: использование средств, прошедших процедуру оценки соответствия, включая средства для уничтожения данных.
Оценка эффективности мер: проведение оценки до ввода в эксплуатацию информационных систем.
Учёт машинных носителей: ведение учёта носителей персональных данных.
Обнаружение и реагирование на инциденты: меры по обнаружению несанкционированного доступа и реагированию на компьютерные атаки.
Восстановление данных: меры по восстановлению модифицированных или уничтоженных данных.
Правила доступа и учёт действий: установление правил доступа и регистрация действий с данными в информационных системах.
Контроль за мерами безопасности: регулярный контроль за эффективностью принимаемых мер.
Правительства РФ устанавливает:
- Уровни защищённости данных в зависимости от угроз.
- Требования к защите данных и технологиям хранения биометрических данных вне информационных систем.
Полномочия федеральных органов:
- Определение состава и содержания требований к защите данных для каждого уровня защищённости.
- Разработка нормативных актов, определяющих угрозы безопасности данных для конкретных видов деятельности.
Роль ассоциаций и союзов: Право определять дополнительные угрозы безопасности данных, актуальные для определённых видов деятельности членов объединений.
Согласование проектов нормативных актов: Проекты нормативных правовых актов, указанных в части 5, подлежат согласованию с:
- Федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
- Федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.
Отказ в согласовании проектов решений должен быть мотивированным.
Контроль и надзор: Федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (в пределах его полномочий); Федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (без права ознакомления с персональными данными).
Распространяются на: Государственные информационные системы персональных данных; Иные информационные системы персональных данных, эксплуатируемые в государственных органах РФ.
Расширение полномочий федеральных органов:
- По решению Правительства РФ, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, может получить полномочия по контролю за выполнением мер безопасности в информационных системах, не являющихся государственными.
- Аналогичные полномочия могут быть предоставлены федеральному органу исполнительной власти, уполномоченному в области противодействия техническим разведкам и технической защиты информации, без права ознакомления с персональными данными.
Особые условия для биометрических данных: Использование и хранение биометрических персональных данных вне информационных систем допускается только при соблюдении требований к:
- Материальным носителям информации.
- Технологиям хранения, обеспечивающим защиту данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, предоставления и распространения.
Взаимодействие с государственной системой защиты:
- Оператор обязан обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
- Информировать систему о компьютерных инцидентах, повлёкших неправомерную передачу персональных данных.
Передача данных между органами: Информация (кроме гостайны) передаётся федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).
Порядок передачи: Устанавливается совместно федеральным органом исполнительной власти в области безопасности и уполномоченным органом по защите прав субъектов данных.
Обработка данных особых категорий лиц осуществляется в соответствии с:
- федеральным законом №40-ФЗ «О ФСБ» (сотрудники ФСБ и лица, оказывающие им содействие);
- федеральным законом №45-ФЗ «О государственной защите судей» (судьи, должностные лица правоохранительных органов);
- федеральным законом №5-ФЗ «О внешней разведке» (сотрудники внешней разведки);
- федеральным законом №57-ФЗ «О государственной охране» (объекты госохраны и члены их семей);
- федеральным законом №119-ФЗ «О защите участников уголовного процесса» (потерпевшие, свидетели);
- федеральным законом №3-ФЗ «О полиции» (сотрудники МВД и лица, оказывающие им содействие).
Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
Общие обязанности оператора:
- Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных и предоставить возможность ознакомления с ними.
- Информация должна быть предоставлена в течение 10 рабочих дней с даты получения запроса. Срок может быть продлён не более чем на 5 рабочих дней при направлении мотивированного уведомления с указанием причин продления.
Отказ в предоставлении информации:
- В случае отказа оператор обязан дать мотивированный письменный ответ в срок не более 10 рабочих дней.
- Ответ должен содержать ссылку на положение закона, являющееся основанием для отказа.
- Срок также может быть продлён на 5 рабочих дней при направлении мотивированного уведомления.
Исправление и уничтожение данных:
- Оператор обязан предоставить возможность бесплатного ознакомления с персональными данными.
- В течение 7 рабочих дней со дня предоставления сведений, подтверждающих неполноту, неточность или неактуальность данных, оператор обязан внести необходимые изменения.
- В течение 7 рабочих дней со дня представления сведений, подтверждающих незаконность получения данных или их ненужность для заявленной цели обработки, оператор обязан уничтожить такие данные.
- Оператор обязан уведомить субъекта о внесённых изменениях и предпринятых мерах, а также принять разумные меры для уведомления третьих лиц, которым данные были переданы.
Взаимодействие с уполномоченным органом:
- По запросу уполномоченного органа оператор обязан предоставить необходимую информацию в течение 10 рабочих дней.
- Срок может быть продлён не более чем на 5 рабочих дней при направлении мотивированного уведомления с указанием причин продления.
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
Блокирование данных:
- При выявлении неправомерной обработки или неточных данных оператор обязан заблокировать данные с момента обращения или получения запроса на период проверки.
- Если обработка осуществляется другим лицом, оператор обеспечивает блокирование данных этим лицом.
Уточнение данных: В случае подтверждения неточности данных оператор обязан уточнить их в течение 7 рабочих дней со дня представления сведений и снять блокирование.
Прекращение неправомерной обработки:
- Оператор обязан прекратить неправомерную обработку в срок не более 3 рабочих дней с даты выявления.
- Если обеспечить правомерность обработки невозможно, оператор обязан уничтожить данные в срок не более 10 рабочих дней.
- Об устранении нарушений или уничтожении данных оператор уведомляет субъекта или уполномоченный орган (Роскомнадзор).
Уведомление уполномоченного органа:
В течение 24 часов оператор обязан уведомить о:
- Происшедшем инциденте.
- Предполагаемых причинах и вреде, нанесённом правам субъектов.
- Принятых мерах по устранению последствий.
- Сведениях о лице, уполномоченном на взаимодействие с органом.
В течение 72 часов предоставляются результаты внутреннего расследования и сведения о лицах, ставших причиной инцидента (при наличии).
Уничтожение данных после достижения цели обработки: Оператор обязан прекратить обработку и уничтожить данные в срок не более 30 дней с даты достижения цели, если иное не предусмотрено договором или соглашением с субъектом.
Отзыв согласия на обработку: При отзыве согласия субъектом оператор обязан прекратить обработку и, если сохранение данных не требуется, уничтожить их в срок не более 30 дней с даты поступления отзыва, если иное не предусмотрено законом.
Требования о прекращении обработки: По требованию субъекта оператор обязан прекратить обработку в срок не более 10 рабочих дней, за исключением случаев, предусмотренных законом. Срок может быть продлён не более чем на 5 рабочих дней при направлении мотивированного уведомления.
Блокирование при невозможности уничтожения: В случае отсутствия возможности уничтожения данных в установленные сроки оператор блокирует данные и обеспечивает их уничтожение в срок не более 6 месяцев, если иной срок не установлен законом.
Подтверждение уничтожения: Подтверждение уничтожения данных осуществляется в соответствии с требованиями уполномоченного органа по защите прав субъектов персональных данных.
Статья 22. Уведомление об обработке персональных данных
Общие требования: Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своём намерении осуществлять обработку персональных данных до начала обработки, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Исключения: Обработка персональных данных может осуществляться без уведомления уполномоченного органа в следующих случаях:
- Данные включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка.
- Деятельность по обработке данных осуществляется исключительно без использования средств автоматизации.
- Данные обрабатываются в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса.
Содержание уведомления: Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Оно должно содержать следующие сведения:
- Наименование (фамилия, имя, отчество), адрес оператора.
- Цель обработки персональных данных.
- Описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, включая сведения о наличии шифровальных (криптографических) средств и их наименования.
- Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.
- Дата начала обработки персональных данных.
- Срок или условие прекращения обработки персональных данных.
- Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
- Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
- Фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах.
- Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
Детализация целей обработки: Для каждой цели обработки оператор указывает:
- Категории персональных данных и субъектов.
- Правовое основание обработки.
- Перечень действий с данными.
- Способы обработки.
Внесение сведений в реестр:
- Уполномоченный орган (Роскомнадзор) вносит данные в реестр в течение 30 дней с даты получения уведомления.
- Исключение сведений из реестра происходит в течение 30 дней после получения уведомления о прекращении обработки.
- Сведения реестра (кроме данных о средствах защиты) являются общедоступными.
Обязанности оператора:
При изменении сведений — уведомление в течение 15 дней следующего месяца.
При прекращении обработки — сообщение в течение 10 рабочих дней.
Формы уведомлений утверждаются уполномоченным органом.
Ответственность:
- Расходы на рассмотрение уведомления не возлагаются на оператора.
- При неполноте или недостоверности сведений орган вправе потребовать уточнения до внесения в реестр.
Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях
Назначение ответственного лица: Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
Подотчётность: Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации и подотчётно ему.
Обязанности оператора: Оператор обязан предоставлять ответственному лицу сведения, указанные в части 3 статьи 22 настоящего Федерального закона.
Обязанности ответственного лица:
- Внутренний контроль: осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о персональных данных, включая требования к защите персональных данных.
- Информирование сотрудников: доводить до сведения работников оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных и требований к защите персональных данных.
- Работа с обращениями: организовывать приём и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приёмом и обработкой таких обращений и запросов.
Глава 5. Федеральный государственный контроль (надзор) за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор)
Определение органа:
Уполномоченным органом является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ.
Основные полномочия:
- Принимает решения по обращениям субъектов о соответствии обработки данных целям.
- Вправе запрашивать и получать безвозмездно информацию от физических/юридических лиц.
- Проводит проверки сведений в уведомлениях об обработке данных или привлекает для этого другие госорганы.
- Может требовать от оператора уточнения, блокирования или уничтожения недостоверных/незаконно полученных данных.
- Вправе ограничивать доступ к информации, обрабатываемой с нарушениями.
- Принимает меры по приостановлению/прекращению незаконной обработки данных.
- Обращается в суд с исками в защиту прав субъектов, включая неопределённый круг лиц.
- Направляет сведения в органы безопасности, лицензирования, прокуратуру и другие структуры.
- Разрабатывает инициативы по совершенствованию законодательства в сфере защиты данных.
- Привлекает к ответственности за нарушения закона.
Обязанности органа:
- Организация защиты прав субъектов в соответствии с законом.
- Рассмотрение жалоб и обращений граждан/юрлиц.
- Ведение реестра операторов.
- Совершенствование мер защиты прав субъектов.
- Реализация мер по приостановлению/прекращению обработки данных по представлению уполномоченных органов.
- Сообщает госорганам и субъектам данных по запросам о состоянии защиты прав.
- Выполнение иных обязанностей, предусмотренных законодательством.
Международное сотрудничество:
- Осуществляет обмен информацией с зарубежными органами защиты данных.
- Утверждает перечень иностранных государств с адекватной защитой персональных данных.
Отчётность и финансирование:
- Ежегодно направляет отчёт Президенту, Правительству и Федеральному Собранию.
- Финансируется за счёт федерального бюджета.
Консультативный совет:
- Создаётся на общественных началах при органе.
- Порядок формирования и деятельности определяется уполномоченным органом.
Реестр инцидентов:
- Ведёт учёт инцидентов, предусмотренных частью 3.1 статьи 21.
- Определяет порядок взаимодействия с операторами.
Взаимодействие с органами безопасности: Передаёт информацию о компьютерных инцидентах в орган, уполномоченный в области безопасности.
Особенности полномочий: Права и обязанности органа осуществляются непосредственно и не могут быть переданы другим госорганам.
Обжалование решений:
Решения органа могут быть обжалованы в судебном порядке.
Статья 23.1. Федеральный государственный контроль (надзор) за обработкой персональных данных
Осуществление контроля: Контроль осуществляется федеральным органом исполнительной власти, отвечающим за надзор за соответствием обработки персональных данных (Роскомнадзор) требованиям законодательства РФ.
Предмет контроля: Соблюдение операторами обязательных требований в области персональных данных, установленных ФЗ и подзаконными актами.
Порядок осуществления: Регулируется Федеральным законом от 31.07.2020 №248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» (за исключением мероприятий без взаимодействия с контролируемым лицом).
Основания для контрольных мероприятий: Сведения о причинении вреда или угрозе такого причинения, выявленные в ходе мероприятий без взаимодействия, становятся основанием для проведения проверки (ст. 60 ФЗ №248-ФЗ).
Нормативное регулирование: Положение о контроле, включая порядок мероприятий без взаимодействия, утверждается Правительством РФ
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Ответственность за нарушения: Лица, виновные в нарушении требований ФЗ, несут ответственность, предусмотренную законодательством РФ (административную, уголовную, гражданско-правовую).
Возмещение морального вреда: Моральный вред, причинённый субъекту персональных данных из-за нарушений правил обработки данных и требований к их защите подлежит возмещению в соответствии с законодательством.
Возмещение осуществляется независимо от понесённых убытков.
Особенности:
- Ответственность может включать штрафы, дисквалификацию должностных лиц или уголовную ответственность (ст. 137, 140 УК РФ).
- Компенсация морального вреда определяется судом с учётом степени вины нарушителя и страданий субъекта (ст. 151 ГК РФ).
Глава 6. Заключительные положения
Статья 25. Заключительные положения
Вступление закона в силу:
Закон вступает в силу через 180 дней после официального опубликования.
Обработка данных после вступления закона в силу:
Обработка персональных данных, начатая до вступления закона в силу, продолжается в соответствии с его требованиями.
Для операторов, работавших до 1 июля 2011 года: обязаны представить в уполномоченный орган сведения (пункты 5, 7.1, 10 и 11 ч. 3 ст. 22 ФЗ) не позднее 1 января 2013 года (ч. 2.1).
Для операторов, продолжающих обработку после вступления закона: должны направить уведомление в уполномоченный орган (ч. 3 ст. 22) не позднее 1 января 2008 года, за исключением случаев, предусмотренных ч. 2 ст. 22.
Особенности регулирования для Москвы:
Отношения по обработке данных при предоставлении госуслуг и исполнении функций в Москве регулируются настоящим ФЗ, если иное не установлено законом о присоединении территорий к Москве.
Интересные факты:
Роли Роскомнадзора и ФСТЭК
Роскомнадзор, как уполномоченный орган, контролирует соблюдение законодательства о персональных данных, включая ведение реестра операторов и проведение проверок. Технические аспекты защиты данных, такие как сертификация средств шифрования, курирует Федеральная служба по техническому и экспортному контролю (ФСТЭК).
Санкционный статус и международное сотрудничество
С 2022 года Роскомнадзор находится под санкциями ЕС и ряда других стран как «дезинформационная организация». Несмотря на это, ведомство активно сотрудничает с зарубежными регуляторами, обмениваясь информацией о трансграничной передаче данных и участвуя в международных стандартах защиты информации.
Новые штрафы за утечки данных
С 30 мая 2025 года вступили в силу ужесточённые санкции:
Для компаний: до 18 млн рублей за утечки от 1 тыс. до 100 тыс. записей.
Для должностных лиц: до 400 тыс. рублей за необеспечение безопасности данных.
Максимальные штрафы для юридических лиц достигли 3% годового оборота.
Автоматизация контроля
Роскомнадзор использует алгоритмы искусственного интеллекта для анализа сайтов на соответствие требованиям законодательства. Например, система «Ревизор» автоматически проверяет наличие политик конфиденциальности и согласие на обработку cookie.
Масштабные проверки мобильных операторов
В 2023 году Роскомнадзор выявил 43 млн мобильных номеров с нарушениями идентификации. Операторам связи было предписано прекратить услуги по 600 тыс. номеров с неустановленными владельцами.
Сравнение с GDPR
Российское законодательство о персональных данных во многом повторяет принципы GDPR, но с ключевыми отличиями:
В РФ нет обязательного назначения Data Protection Officer (DPO).
Штрафы за нарушения в России в 5–10 раз ниже европейских аналогов.