Статья 3 152‑ФЗ о персональных данных — это словарь ключевых терминов, без которых невозможно корректно применять закон на практике. Ниже разбираем, что именно означает каждая категория, чем понятия отличаются друг от друга и где смотреть подробности.
Статья 3 152‑ФЗ о персональных данных (часто ищут также как «ст 3 152 фз о персональных данных» или «статья 3 фз 152 о персональных данных») задаёт единое понимание терминов: кто такой оператор, что такое обработка, чем «предоставление» отличается от «распространения», что считать ИСПДн и др. От этих определений зависят:
Для контекста и актуальности рекомендуем сравнивать определения с последней редакцией закона и общей справкой о 152‑ФЗ «О персональных данных».
| Термин | По смыслу | Пример/заметка | Подробнее |
|---|---|---|---|
| Персональные данные | Любая информация, относящаяся к прямо или косвенно определяемому физлицу | ФИО, телефон, e‑mail, ID устройства | Глоссарий |
| Субъект ПДн | Сам человек, к которому относятся данные | Клиент, сотрудник, заявитель | Права субъекта |
| Оператор | Лицо/организация, которое определяет цели и способы обработки ПДн | Компания‑владалец CRM | Обязанности оператора |
| Обработка | Любое действие с ПДн: сбор, хранение, передача, удаление и др. | П. 3 ст. 3 152‑ФЗ | Принципы и цели |
| Автоматизированная обработка | С применением ИТ‑средств | CRM, DWH, ERP | ИСПДн: определения и требования |
| ИСПДн | Информационная система персональных данных | БД клиентов на сервере | Меры безопасности |
| Предоставление | Передача конкретному лицу/кругу лиц | Ответ по договору контрагенту | Передача третьим лицам |
| Распространение | Доступ неограниченного круга лиц | Публикация в интернете | Общедоступные ПДн |
| Трансграничная передача | Передача в другую страну | Облачный сервис за рубежом | Трансграничная передача |
| Блокирование | Временная приостановка доступа/операций | На время проверки | Уничтожение и блокировка |
| Уничтожение | Безвозвратное удаление | Стирание с носителя | Прекращение обработки |
| Обезличивание | Исключение связи с субъектом | Маскирование, хеширование | Обезличивание ПДн |
| Конфиденциальность | Запрет на разглашение без основания | NDA, режим доступа | Политика обработки |
| Специальные категории | О здоровье, взглядах, интимной жизни и др. | Медкарта, убеждения | Спецкатегории |
| Биометрические ПДн | Характеристики идентификации | Фото, голос, отпечатки | Биометрические ПДн |
Базовое определение персональных данных — это любая информация, по которой можно прямо или косвенно идентифицировать человека. Помимо обычных ПДн, закон выделяет:
От вида данных зависят правовые основания, согласия, режим хранения и защиты, а также допустимость распространения и трансграничной передачи.
Оператор — это ключевая фигура: именно он определяет цели, состав и действия с ПДн, а также несёт ответственность за соблюдение требований. Субъект ПДн — человек, чьи данные обрабатываются. Оператор может поручить часть операций третьим лицам (обработчикам) по договору — это называется «поручение обработки» и требует специальных условий, см. поручение обработки ПДн.
Что важно оператору:
Пункт 3 статьи 3 152‑ФЗ («п 3 ст 3 152 фз») раскрывает, что считается обработкой персональных данных. По закону это любое действие/операция с ПДн, включая:
Практический смысл: даже просмотр карточки клиента, загрузка данных в CRM, рассылка, выгрузка для контрагента или публикация в соцсетях — это обработка. Для таких действий нужны основания (например, договор, закон или согласие), а для открытой публикации — отдельное согласие на распространение, см. согласие на распространение ПДн.
Полезные материалы по теме обработки:
Информационная система персональных данных (ИСПДн) — совокупность баз данных и технологий, где хранятся и обрабатываются ПДн. Для ИСПДн оператор обязан обеспечить организационные и технические меры защиты: разграничение доступа, шифрование, журналирование, резервирование и т. п.
Если вы запускаете новый сервис или переносите данные в облако, смотрите также: серверы, хостинг, ЦОД и облака и Yandex Cloud.
Статья 3 152‑ФЗ различает формы передачи:
В отдельных случаях оператору нужно уведомлять регулятора и вести учет операций:
Эти действия часто путают, хотя различия принципиальны:
Планируйте эти процессы заранее: прописывайте сроки, процедуры и ответственных. Подробнее: сроки хранения ПДн, уничтожение и блокировка, прекращение обработки, инциденты и утечки.
Конфиденциальность персональных данных в понимании статьи 3 — это обязанность не раскрывать ПДн без законного основания. Исключения зависят от статуса данных и правовых норм (например, если данные уже общедоступны или подлежат раскрытию по закону). Но «общедоступность» не равна «безограничности»: для многих сценариев необходимы условия и режимы обработки, включая отдельное разрешение субъекта на распространение. См. общедоступные ПДн и согласие на распространение ПДн.
Чтобы видеть картину целиком, сопоставьте определения из ст. 3 с соседними нормами:
Полезно также заглянуть в:
Статья 3 ФЗ 152 о персональных данных — опорный «словарь» закона. Именно она задаёт смысл большинства требований: от прав субъектов до технической защиты ИСПДн. Проверьте свои документы и процессы на соответствие: корректность терминов, полноту определений, связку «операция — основание — мера безопасности». Если нужны короткие формулировки — используйте наш глоссарий, если полные формулировки — сверяйтесь с последней редакцией 152‑ФЗ.
Нужна помощь с внедрением? Закажите аудит и пакет документов «под ключ»: аудит соответствия 152‑ФЗ, консалтинг и документы или сгенерируйте базовые тексты онлайн — генератор политики и согласий.
Примечание: материал носит информационный характер и не является юридической консультацией.