Каждая ошибка при работе с персональными данными (ПДн) — это не просто риск. Это штраф, проверка Роскомнадзора и потеря доверия клиентов. Мы собрали самые частые вопросы и дали на них чёткие, законные ответы — чтобы вы не попали в ловушку формальностей, а выстроили безопасную систему обработки ПДн уже сегодня.
Какие данные считаются персональными?
Персональные данные — это любая информация, позволяющая установить личность конкретного физического лица (ст. 3 ФЗ-152). Это не только ФИО — это любая связка, которая ведёт к человеку.
Категории ПДн:
Тип | Примеры | Особенности
Обычные ПДн | ФИО, дата рождения, адрес, телефон, email, ИНН, СНИЛС | Достаточно одной комбинации — например, имя + телефон — чтобы данные стали персональными
Специальные категории | Расовая принадлежность, политические взгляды, религия, здоровье, интимная жизнь | Обработка разрешена только при наличии согласия или в строго ограниченных случаях (ст. 10)
Биометрические ПДн | Отпечатки пальцев, лицо, голос, радужка глаза | Требуют особой защиты и отдельного согласия (ст. 11)
Иные ПДн | IP-адрес, логин, история действий на сайте, cookie | Если их можно связать с человеком — это ПДн. Даже если вы не знаете его имя — система знает
Пример:
«Иван» — не ПДн.
«Иван + 8 (999) 123-45-67» — уже ПДн.
«Пользователь с IP 192.168.1.1 купил товар в 14:30» — если это можно сопоставить с реальным человеком — тоже ПДн.
Какие данные — не персональные?
Не вся информация о человеке — это ПДн. Закон защищает только то, что позволяет идентифицировать личность.
- Отдельно взятое имя или фамилия без дополнительных данных — не ПДн.
- Обезличенные статистические данные: «За день 1200 посещений», «70% пользователей — мужчины 25–35 лет» — не ПДн.
- Агрегированные итоги опросов, где нельзя выделить конкретного человека — не ПДн.
Важно: Если вы можете «восстановить» личность — даже косвенно — данные считаются персональными.
Подготовка документов для работы с персональными данными 2026 для организаций
Кто считается оператором ПДн?
Оператор — это любое лицо, которое определяет цели и способы обработки ПДн. Форма бизнеса, размер, автоматизация — не имеют значения.
Оператор — вы, если:
- Собираете email или телефон при регистрации;
- Ведёте базу клиентов в Excel;
- Принимаете заказы через сайт;
- Храните данные сотрудников;
- Используете CRM, чат-боты, рассылки;
- Даже если вы — ИП или самозанятый.
Самозанятый — оператор. ИП — оператор. Фрилансер — оператор.
Если вы работаете с людьми — вы под законом.
Кто считается субъектом персональных данных?
Субъект — это человек, чьи данные обрабатываются. Неважно, сколько ему лет, где он живёт, работает ли он. Главное — его личность может быть установлена.
Примеры субъектов:
- Клиент, оставивший телефон при заказе;
- Сотрудник, чьи данные в кадровой системе;
- Пользователь, зарегистрировавшийся на сайте;
- Пациент, записавшийся на приём.
Субъект имеет права:
→ Запрашивать информацию о своих данных;
→ Требовать исправления или удаления;
→ Отзывать согласие;
→ Запрещать обработку, если она основана на согласии.
Что такое обработка персональных данных?
Обработка — это любое действие с данными: сбор, запись, хранение, изменение, передача, удаление — даже если вы просто копируете ФИО из формы в Excel.
Примеры обработки:
- Заполнение формы на сайте → сбор + запись;
- Отправка данных в CRM → хранение + использование;
- Передача данных в банк → передача;
- Удаление старого аккаунта → уничтожение.
Если вы работаете с ПДн — вы их обрабатываете. Даже если не используете IT-системы.
Подготовка документов для работы с персональными данными 2026 для организаций
Когда нужно согласие?
Согласие — не всегда обязательно. ФЗ-152 разрешает обработку без него в 7 случаях (ст. 6):
1. Исполнение договора с субъектом (например, доставка заказа);
2. Исполнение закона (например, передача данных в ФНС);
3. Защита жизни или здоровья;
4. Деятельность СМИ, науки, искусства;
5. Статистика при обезличивании;
6. Обязательное раскрытие по закону;
7. Обработка данных работников — в рамках трудового законодательства.
Но!
Если вы собираете данные для маркетинга, рассылки, аналитики — согласие обязательно.
Можно ли использовать одно универсальное согласие на все цели обработки?
Нет. Это нарушение.
Закон требует конкретности.
Одно согласие — одна цель.
Нельзя | Можно
«Я согласен на обработку всех моих данных» | «Согласен на получение рассылки о скидках»
«Согласие на обработку и передачу третьим лицам» | «Согласен на передачу данных в службу доставки»
«Согласие на всё» | «Согласен на обработку для оформления заказа»
Передача данных — отдельное согласие.
Даже если вы получили согласие на обработку — для передачи в подрядчика нужно новое.
Как оформить отзыв согласия?
Отзыв — это право субъекта. Он может отозвать его тем же способом, которым дал:
- Через сайт → отзыв через форму;
- По email → ответное письмо;
- На бумаге → письменное заявление.
Оператор обязан прекратить обработку в течение 30 дней.
После этого — удалить или обезличить данные.
Кто должен подавать уведомление в Роскомнадзор?
Оператор — обязан подать уведомление, если:
- Использует автоматизированные средства (сайт, CRM, Excel, облачные сервисы);
- Обрабатывает ПДн физлиц.
Не нужно подавать, если:
- Обработка только на бумаге, без компьютеров;
- Данные в государственных системах (например, ФМС);
- Обработка связана с транспортной безопасностью.
Проверить регистрацию можно на сайте Роскомнадзора — раздел «Реестр операторов ПДн».
Введите ИНН — и вы увидите, есть ли ваша организация в реестре.
Подготовка документов для работы с персональными данными 2026 для организаций
Что такое трансграничная передача и локализация?
Трансграничная передача — это отправка ПДн за границу.
Локализация — требование, что первичная запись и хранение ПДн граждан РФ должны происходить на территории России (ст. 18.5).
Что делать:
- Если вы используете зарубежный сервер (например, AWS, Google Cloud) — нарушение.
- Даже если клиент из России — данные должны сначала попасть в российскую базу.
- После локализации — можно передавать за границу, но только после подачи уведомления в Роскомнадзор и при соблюдении условий.
Список стран с «адекватной защитой» (можно передавать без дополнительных мер):
Грузия, Австрия, Ирландия, Китай и др.
США — не в списке. Передача туда — без уведомления — нарушение.
Какие документы обязательны?
Базовый набор для любого оператора:
1. Политика обработки ПДн — публикуется на сайте;
2. Положение о защите ПДн — внутренний документ, с которым ознакамливают сотрудников;
3. Приказ о назначении ответственного — обязательно;
4. Формы согласий — на обработку, передачу, распространение;
5. Регламенты доступа — кто, что и когда может видеть;
6. Инструкции по безопасности — для автоматизированной и бумажной обработки;
7. Журналы и акты — учет доступа, удаления, инцидентов.
Документы должны отражать реальность.
Если вы внедрили новую CRM — обновите документы.
Если изменились цели обработки — обновите согласия.
Подготовка документов для работы с персональными данными 2026 для организаций
Обязательно ли назначать ответственного?
Да. Обязательно.
Это требование закона. Даже если у вас 10 клиентов в год — ответственный должен быть.
Его задачи:
- Контролировать соответствие ФЗ-152;
- Взаимодействовать с Роскомнадзором;
- Обучать сотрудников;
- Проводить аудиты;
- Подготавливать отчёты.
Назначить можно сотрудника или подрядчика.
Но ответственность остаётся на операторе.
Что делать при утечке ПДн?
24 часа — ваш лимит.
1. В течение 24 часов — отправить уведомление в Роскомнадзор.
2. В течение 72 часов — отчитаться о результатах расследования.
3. Оповестить пострадавших — клиентов, сотрудников — чтобы сохранить доверие.
4. Если утечка — результат атаки — передать данные в ГосСОПКА.
Задержка — штраф до 3 млн ₽.
Не ждите «пока разберёмся» — действуйте сразу.
Какие штрафы предусмотрены за нарушения в сфере персональных данных?
Мы подготовили таблицу со штрафами за самые распространенные нарушения ФЗ №152-ФЗ операторами:
Кто несёт ответственность, если данные переданы подрядчику?
Вы. Всегда вы.
Передавая ПДн подрядчику (банку, колл-центру, IT-компании), вы не снимаете ответственность. Вы остаётесь оператором.
Что делать:
- Заключить договор с подрядчиком, где прописаны обязанности по защите ПДн;
- Проверить, что у него есть меры безопасности;
- Контролировать, чтобы данные использовались только для целей, указанных в договоре;
- Получить согласие субъекта на передачу, если требуется.
Подрядчик — не «защитный щит». Он — ваша ответственность.
Коротко: 5 правил безопасности в 2026 году
1. Собирайте только то, что нужно — принцип минимизации.
2. Согласие — конкретное, не универсальное.
3. Документы — живые, не «для галочки».
4. Храните ПДн в России — локализация — не опция.
5. Проводите аудит раз в квартал — лучше исправить самому, чем ждать проверки.
Подготовка документов для работы с персональными данными 2026 для организаций