CloudPayments
Войти

152‑ФЗ о персональных данных: полное руководство по соответствию

Практическое руководство по 152‑ФЗ: действующая редакция, изменения 2025, согласия, политика, уведомление в Роскомнадзор, меры безопасности, требования к сайту и штрафы.

Получить CloudPayments бесплатно

Что регулирует 152‑ФЗ

152‑ФЗ «О персональных данных» — базовый закон РФ, устанавливающий правила обработки персональных данных (ПДн): от сбора и хранения до передачи и уничтожения. Закон действует для любых операторов ПДн — компаний, ИП, НКО, органов власти, администраторов сайтов и мобильных приложений.

Ключевые цели закона:

  • защитить права и свободы человека и гражданина при обработке ПДн;
  • обеспечить конфиденциальность и безопасность ПДн;
  • ввести прозрачные правила обработки: правовые основания, цели, сроки, меры.

Из чего состоит закон: общие положения, термины, принципы и условия обработки, специальные и биометрические категории, права субъектов, обязанности оператора, безопасность, трансграничная передача, уведомление РКН, ответственность.

Схема обработки ПДн — от сбора до удаления

Получить CloudPayments бесплатно

Кого касается закон: компании, ИП, сайты

Закон распространяется на все организации и ИП, если они:

  • принимают/обрабатывают ПДн клиентов, работников, партнеров;
  • ведут кадровый учет;
  • используют сайт с формами заявки, аналитикой или файлами cookie;
  • передают ПДн подрядчикам или за рубеж.

Есть исключения (например, обработка для личных нужд без распространения), но бизнесу они почти никогда не подходят. Сайты всегда подпадают под 152‑ФЗ при сборе форм, использовании аналитики, пикселей, чатов и виджетов.

Что нового в 2025 году

В 2025 году ключевой фокус — контроль распространения ПДн (ст. 10.1), усиление требований к уведомлению Роскомнадзора (ст. 22), повышение штрафов по КоАП и практики проверок. С 1 сентября 2025 года ожидаются уточнения по согласиям, публичности и взаимодействию с субъектами—следите за обновлениями в «Изменения 2025» и разделе «Штрафы».

Топ‑3 приоритета на 2025:

  1. легальные основания обработки (ст. 6), корректные согласия;
  2. безопасность (ст. 19): модель угроз, меры, журналы, обучение;
  3. сайт: политика, cookies/баннер, HTTPS, корректные формы и метрика.

Что считается персональными данными

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному физлицу: ФИО, телефон, почта, адрес, паспорт, ИНН/СНИЛС, фото/видео, IP‑адрес в комбинации с другими данными, cookie‑идентификаторы, профили поведения, геолокация, сведения о здоровье и т. п.

Категории ПДн:

  • обычные (ФИО, контакты, должность и др.);
  • специальные (ст. 10): здоровье, политические взгляды, религия и др.;
  • биометрические (ст. 11): данные, позволяющие однозначно идентифицировать по биометрии (лицо, голос, отпечаток и др.);
  • общедоступные/распространяемые (ст. 10.1) — требуют отдельного согласия.

Правовые основания обработки и когда согласие не требуется

Правовые основания (ст. 6): согласие субъекта, исполнение договора, закон, защита жизни/здоровья, осуществление прав и законных интересов при соблюдении прав субъекта и др. Согласие не нужно, если обработка необходима для договора с субъектом, для исполнения закона (например, кадровый учет), для судебной защиты прав, при обезличивании и других прямо предусмотренных случаев.

Отдельное согласие нужно для:

  • специальных категорий (ст. 10) — с исключениями;
  • биометрии (ст. 11);
  • распространения (ст. 10.1) — отдельное, явное и конкретное.

Права субъекта и обязанности оператора

Права субъекта (ст. 14): получать сведения об обработке, требовать уточнения/удаления, отзывать согласие, оспаривать действия оператора, ограничивать распространение. Оператор обязан обрабатывать ПДн законно, прозрачно и безопасно, вести учет, заключать договоры поручения (ст. 12), уведомлять Роскомнадзор (ст. 22) при необходимости, применять меры безопасности (ст. 19), назначать ответственного и обучать персонал.

Документы, политика и согласия

Базовый комплект:

  • Политика обработки ПДн (для сайта и офлайн);
  • Реестр процессов (цели, состав, сроки, правовые основания);
  • Согласия (общие, на биометрию, на распространение, для детей);
  • Договоры поручения (с подрядчиками: хостинг, кол‑центр, SMM, облако);
  • Положения и регламенты, роли и доступы;
  • Модель угроз и план мер безопасности, журналы;
  • Уведомление в РКН (при необходимости), приказы о назначениях, обучение.

Пример карты соответствия:

Этап Документ Ссылка
Политика Политика ПДн /politika-obrabotki-pdn
Согласия Общие/спец/распространение /soglasie-na-obrabotku-pdn
Подрядчики Договор поручения /poruchenie-obrabotki-pdn
Безопасность Меры и журналы /mery-bezopasnosti-pdn
Уведомление Форма РКН /uvedomlenie-roskomnadzor

Безопасность: меры, ИСПДн, ФСТЭК/ФСБ

Ст. 19 требует организационных и технических мер: контроль доступа, антивирус/EDR, шифрование, резервное копирование, обучение, реагирование на инциденты, договоры с подрядчиками и NDA. Для ИСПДн оцените уровень защищенности, составьте модель угроз. ФСТЭК/ФСБ — источники методик и сертифицированных средств защиты.

Сайт и куки: HTTPS, формы, баннеры

  • HTTPS/SSL обязателен при передаче ПДн через формы;
  • формы: чек‑бокс согласия, ссылки на политику, журналирование согласий;
  • cookies/пиксели: баннер, управляемые категории (аналитика/маркетинг), логика отказа;
  • аналитика (Яндекс.Метрика): IP‑маскирование (при возможности), договоры и настроек целей без лишних ПДн;
  • интеграции (CRM, чаты, виджеты) — как порученные обработки.

Уведомление в Роскомнадзор и реестр операторов

По ст. 22 оператор в ряде случаев обязан подать уведомление (до начала обработки). Исключения есть, но трактуются узко — проверяйте аккуратно. После подачи вы появляетесь в реестре операторов. При изменениях (цели, категории, трансграничная передача, ответственный) — обновляйте сведения.

Ответственность и штрафы

Штрафы по КоАП (ст. 13.11) зависят от состава нарушения и достигают миллионов рублей для юрлиц. Отдельные составы — за отсутствие политики, незаконный сбор, отсутствие согласия/основания, отсутствие мер безопасности, нарушение прав субъекта, несоблюдение требований к распространению (ст. 10.1). За повторные нарушения суммы растут.

Чек‑лист внедрения

  1. Инвентаризация процессов и данных; 2) Правовые основания (ст. 6); 3) Политики, согласия, договоры поручения; 4) Уведомление РКН (при необходимости); 5) Модель угроз и меры безопасности; 6) Настройка сайта: HTTPS, баннер cookies, формы; 7) Обучение и регламенты; 8) Журналы и контроль; 9) План реагирования на инциденты; 10) Периодический аудит.

Готовы начать? Пройдите «Чек‑лист соответствия» и настройте сайт по нашему руководству, а затем соберите пакет документов.

Готовы начать?

Получить CloudPayments бесплатно

FAQ

Кому обязательно соблюдать 152‑ФЗ?

Всем организациям и ИП, которые обрабатывают персональные данные физлиц: клиентов, сотрудников, пользователей сайта/приложения. Исключения (личные/семейные нужды без распространения) бизнесу обычно не подходят.

Когда можно обрабатывать персональные данные без согласия?

Когда есть иные основания по ст. 6: исполнение договора с субъектом, исполнение закона (кадровые документы), защита жизни и здоровья, реализация прав и законных интересов при соблюдении прав субъекта и т. д. Для распространения (ст. 10.1), биометрии (ст. 11) и спецкатегорий (ст. 10) часто требуется отдельное согласие.

Нужно ли уведомлять Роскомнадзор?

Да, в большинстве случаев до начала обработки (ст. 22). Есть исключения, но они трактуются узко. После подачи вы появляетесь в реестре операторов и обязаны актуализировать сведения при изменениях.

Что такое общедоступные/распространяемые персональные данные?

Это ПДн, на распространение которых субъект дал отдельное конкретное согласие (ст. 10.1). Без такого согласия публикация или передача третьим лицам может быть нарушением.

Считаются ли cookies персональными данными?

Если cookie позволяют идентифицировать пользователя сами по себе или в комбинации с другими данными (IP, профили), они попадают под 152‑ФЗ. Рекомендуется баннер согласия с управлением категориями и политика cookies.

Нужен ли HTTPS по 152‑ФЗ?

Да, при передаче ПДн через формы сайта необходим защищённый канал (HTTPS/SSL), а также другие меры безопасности (ст. 19).

Какие минимальные документы нужны компании?

Политика ПДн, реестр процессов, согласия (в т. ч. на распространение и биометрию при наличии), договоры поручения, назначение ответственного, модель угроз и меры безопасности, журналы, уведомление РКН (при необходимости).

Какой штраф за нарушение 152‑ФЗ?

По ст. 13.11 КоАП штрафы для юрлиц — от десятков тысяч до миллионов рублей в зависимости от состава (незаконный сбор, отсутствие согласия, отсутствие политики/мер безопасности, нарушения прав субъекта, распространение без согласия и т. д.). Повторные нарушения дороже.

Как настроить Яндекс.Метрику под 152‑ФЗ?

Заключите договор/условия обработки, включите предупреждение о cookies, при возможности включите маскирование IP, не отправляйте в параметры ПДн (ФИО, телефон), в целях и событиях используйте обезличенные идентификаторы.

Нужно ли согласие для обработки ПДн сотрудников?

Как правило, обработка кадровых данных основана на трудовом законодательстве (ст. 6) — отдельное согласие не требуется, но может понадобиться для отдельных случаев (публикация фото, маркетинг, передача третьим лицам вне закона и договора).

Как долго хранить персональные данные?

Сроки определяются целями и законодательством (например, по кадровым и бухгалтерским документам). По достижении цели ПДн подлежат удалению/уничтожению или обезличиванию, если нет иных правовых оснований хранить их дольше.

Что делать при утечке персональных данных?

Активируйте план реагирования: изоляция инцидента, оценка масштаба, фиксация событий, информирование заинтересованных сторон и органов (при необходимости), устранение уязвимостей, обновление мер безопасности и обучение персонала.

Готовы начать?

Получить CloudPayments бесплатно