Назначение закона и место в системе права
152‑ФЗ — это рамочный закон, определяющий требования к любой обработке персональных данных в России: от сбора через веб‑формы до хранения в ИСПДн и передачи подрядчикам или за рубеж. Его задача — баланс между интересами бизнеса и правами граждан: законность, прозрачность, минимизация, целеполагание, безопасность и ответственность.
Ключевые принципы (ст. 5): законность, конкретность целей, недопустимость объединения несовместимых целей, соразмерность и актуальность данных, ограничение сроков хранения, обеспечение точности, безопасность и учет.
Кого касается 152‑ФЗ и на что он не распространяется
Распространяется на: компании, ИП, НКО, органы власти, администраторов сайтов и приложений, операторов видеонаблюдения, кол‑центры, сервисы аналитики и маркетинга.
Не распространяется на: обработку ПДн физлицом для личных/семейных нужд без дальнейшего распространения; обезличенные данные, если нельзя установить принадлежность конкретному субъекту.
Пограничные случаи (требуют анализа): публикации в СМИ, исследовательская деятельность, открытые данные, видеонаблюдение в жилых домах, образовательные проекты. Практика РКН и судов показывает узкую трактовку исключений.
История и статус: дата принятия, редакции, новеллы
Принят 27.07.2006, регулярно обновляется. С 2021–2025 годов значимо усилены: регулирование распространения (ст. 10.1), требования к уведомлению (ст. 22, 22.1), меры безопасности (ст. 18.1, 19), обязанности операторов и ответственность по КоАП. Следите за «Изменения 2025» для актуальных новелл (например, уточнения по согласиям и публичности с 01.09.2025).
Структура 152‑ФЗ: разделы и ключевые статьи
- Ст. 3 — основные понятия;
- Ст. 5 — принципы обработки;
- Ст. 6 — правовые основания обработки;
- Ст. 9 — согласие субъекта;
- Ст. 10 — специальные категории ПДн;
- Ст. 10.1 — распространение и общедоступные ПДн;
- Ст. 11 — биометрические ПДн;
- Ст. 12 — поручение обработки;
- Ст. 14 — права субъекта;
- Ст. 18, 18.1, 19 — обязанности и безопасность;
- Ст. 21 — трансграничная передача;
- Ст. 22, 22.1 — уведомление и реестр операторов.
Базовые термины и определения
- Персональные данные — любая информация о физлице;
- Обработка — любое действие с ПДн (сбор, запись, систематизация, хранение, уточнение, извлечение, передача, обезличивание, блокирование, удаление, уничтожение);
- Оператор — определяет цели и средства обработки;
- ИСПДн — информационная система персональных данных;
- Поручение — обработка подрядчиком по договору от имени оператора;
- Общедоступные/распространяемые ПДн — отдельный режим по ст. 10.1.
Органы контроля и взаимодействие с ними
Базовый регулятор — Роскомнадзор: уведомления (ст. 22), проверки, предписания, ведение реестра операторов, методические письма. ФСТЭК и ФСБ курируют техническую защиту и криптографию, сертифицируют средства защиты. Прокуратура и суды формируют практику применения.
Связь с 149‑ФЗ, 187‑ФЗ, 63‑ФЗ, 98‑ФЗ
- 149‑ФЗ (об информации): общий режим информации и ИТ;
- 187‑ФЗ (безопасность КИИ): если вы оператор КИИ — дополнительные требования;
- 63‑ФЗ (ЭП): электронная подпись и юридическая значимость согласий/документов;
- 98‑ФЗ (коммерческая тайна): конфиденциальность в части тайны бизнеса.
Практические выводы и следующий шаг
Определите себя как оператора, опишите процессы и основания (ст. 6), подготовьте документы (политика, согласия, договоры), подайте уведомление в РКН при необходимости, внедрите меры безопасности (ст. 19), настройте сайт (HTTPS, cookies, формы) и организуйте обучение/контроль. Начните с страницы «Чек‑лист соответствия 152‑ФЗ».
