Статья 3 152‑ФЗ: Основные понятия

Статья 3 152‑ФЗ: Основные понятия

Статья 3 152‑ФЗ о персональных данных — это словарь ключевых терминов, без которых невозможно корректно применять закон на практике. Ниже разбираем, что именно означает каждая категория, чем понятия отличаются друг от друга и где смотреть подробности.

Зачем нужна ст. 3 Федерального закона 152‑ФЗ

Статья 3 152‑ФЗ о персональных данных (часто ищут также как «ст 3 152 фз о персональных данных» или «статья 3 фз 152 о персональных данных») задаёт единое понимание терминов: кто такой оператор, что такое обработка, чем «предоставление» отличается от «распространения», что считать ИСПДн и др. От этих определений зависят:

• законность выбранных оснований и целей обработки;
• корректность подготовки документов (политики, согласия, договоры);
• выбор мер безопасности ИСПДн;
• порядок передачи данных третьим лицам и за рубеж;
• ответственность и риски при проверках.

Для контекста и актуальности рекомендуем сравнивать определения с последней редакцией закона и общей справкой о 152‑ФЗ «О персональных данных».

Ключевые термины из ст. 3 — кратко в таблице

Термин	По смыслу	Пример/заметка	Подробнее
Персональные данные	Любая информация, относящаяся к прямо или косвенно определяемому физлицу	ФИО, телефон, e‑mail, ID устройства	Глоссарий
Субъект ПДн	Сам человек, к которому относятся данные	Клиент, сотрудник, заявитель	Права субъекта
Оператор	Лицо/организация, которое определяет цели и способы обработки ПДн	Компания‑владалец CRM	Обязанности оператора
Обработка	Любое действие с ПДн: сбор, хранение, передача, удаление и др.	П. 3 ст. 3 152‑ФЗ	Принципы и цели
Автоматизированная обработка	С применением ИТ‑средств	CRM, DWH, ERP	ИСПДн: определения и требования
ИСПДн	Информационная система персональных данных	БД клиентов на сервере	Меры безопасности
Предоставление	Передача конкретному лицу/кругу лиц	Ответ по договору контрагенту	Передача третьим лицам
Распространение	Доступ неограниченного круга лиц	Публикация в интернете	Общедоступные ПДн
Трансграничная передача	Передача в другую страну	Облачный сервис за рубежом	Трансграничная передача
Блокирование	Временная приостановка доступа/операций	На время проверки	Уничтожение и блокировка
Уничтожение	Безвозвратное удаление	Стирание с носителя	Прекращение обработки
Обезличивание	Исключение связи с субъектом	Маскирование, хеширование	Обезличивание ПДн
Конфиденциальность	Запрет на разглашение без основания	NDA, режим доступа	Политика обработки
Специальные категории	О здоровье, взглядах, интимной жизни и др.	Медкарта, убеждения	Спецкатегории
Биометрические ПДн	Характеристики идентификации	Фото, голос, отпечатки	Биометрические ПДн

Персональные данные и их виды

Базовое определение персональных данных — это любая информация, по которой можно прямо или косвенно идентифицировать человека. Помимо обычных ПДн, закон выделяет:

• специальные категории (данные о здоровье, расовой принадлежности, политических взглядах и т. п.) — повышенные требования, ограничения и основания обработки, см. специальные категории ПДн;
• биометрические ПДн — характеристики, позволяющие установить личность (голос, фото, видео‑портрет, геометрия лица, отпечатки), см. биометрические ПДн;
• общедоступные ПДн — данные, доступ к которым предоставлен субъектом неограниченному кругу лиц либо которые подлежат публикации по закону, см. общедоступные ПДн.

От вида данных зависят правовые основания, согласия, режим хранения и защиты, а также допустимость распространения и трансграничной передачи.

Оператор, субъект и поручение обработки

Оператор — это ключевая фигура: именно он определяет цели, состав и действия с ПДн, а также несёт ответственность за соблюдение требований. Субъект ПДн — человек, чьи данные обрабатываются. Оператор может поручить часть операций третьим лицам (обработчикам) по договору — это называется «поручение обработки» и требует специальных условий, см. поручение обработки ПДн.

Что важно оператору:

• определить правовые основания и цели, см. принципы и цели обработки;
• назначить ответственного за обработку ПДн, см. ответственный за обработку ПДн;
• утвердить политику обработки ПДн и обеспечить меры безопасности.

Обработка: что включает п. 3 ст. 3 152‑ФЗ

Пункт 3 статьи 3 152‑ФЗ («п 3 ст 3 152 фз») раскрывает, что считается обработкой персональных данных. По закону это любое действие/операция с ПДн, включая:

• сбор, запись, систематизацию, накопление;
• хранение, уточнение (обновление, изменение), извлечение;
• использование;
• передачу, в том числе предоставление и распространение, а также предоставление доступа;
• обезличивание, блокирование;
• удаление и уничтожение.

Практический смысл: даже просмотр карточки клиента, загрузка данных в CRM, рассылка, выгрузка для контрагента или публикация в соцсетях — это обработка. Для таких действий нужны основания (например, договор, закон или согласие), а для открытой публикации — отдельное согласие на распространение, см. согласие на распространение ПДн.

Полезные материалы по теме обработки:

• когда допускается обработка без согласия;
• передача ПДн третьим лицам — как оформить;
• действия при проверках — проверки Роскомнадзора.

ИСПДн и безопасность данных

Информационная система персональных данных (ИСПДн) — совокупность баз данных и технологий, где хранятся и обрабатываются ПДн. Для ИСПДн оператор обязан обеспечить организационные и технические меры защиты: разграничение доступа, шифрование, журналирование, резервирование и т. п.

• базовые требования к системам: ИСПДн: определение и требования;
• меры защиты и уровни: меры безопасности ПДн, модель угроз ИСПДн, криптография и шифрование;
• учет внешних регуляторов: требования ФСТЭК и ФСБ.

Если вы запускаете новый сервис или переносите данные в облако, смотрите также: серверы, хостинг, ЦОД и облака и Yandex Cloud.

Предоставление, распространение и трансграничная передача

Статья 3 152‑ФЗ различает формы передачи:

• Предоставление — передача данных конкретному лицу или ограниченному кругу лиц (например, подрядчику по договору). Требуется правовое основание и условия договора, см. передача третьим лицам.
• Распространение — действия, делающие данные доступными неопределенному кругу лиц (интернет‑публикации, доски объявлений, открытые реестры). В большинстве случаев нужна отдельная воля субъекта на открытое размещение, см. общедоступные ПДн и согласие на распространение.
• Трансграничная передача — отправка ПДн на территорию иностранного государства или в инфраструктуру, находящуюся под его юрисдикцией. Проверьте правовой статус страны‑получателя и дополнительные гарантии, см. трансграничная передача ПДн.

В отдельных случаях оператору нужно уведомлять регулятора и вести учет операций:

• уведомление Роскомнадзора и реестр операторов ПДн.

Блокирование, уничтожение и обезличивание

Эти действия часто путают, хотя различия принципиальны:

• Блокирование — временно прекращаете операции с ПДн (например, на время проверки по жалобе);
• Уничтожение — безвозвратно стираете данные с носителей/архивов по истечении сроков или по требованию субъекта (если применимо);
• Обезличивание — удаляете связь с конкретным человеком, сохраняя ценность массива для аналитики.

Планируйте эти процессы заранее: прописывайте сроки, процедуры и ответственных. Подробнее: сроки хранения ПДн, уничтожение и блокировка, прекращение обработки, инциденты и утечки.

Конфиденциальность и общедоступные ПДн

Конфиденциальность персональных данных в понимании статьи 3 — это обязанность не раскрывать ПДн без законного основания. Исключения зависят от статуса данных и правовых норм (например, если данные уже общедоступны или подлежат раскрытию по закону). Но «общедоступность» не равна «безограничности»: для многих сценариев необходимы условия и режимы обработки, включая отдельное разрешение субъекта на распространение. См. общедоступные ПДн и согласие на распространение ПДн.

Как применять определения на практике: мини‑чек‑лист

• Классифицируйте данные: обычные, специальные, биометрические — и задокументируйте это в политике обработки.
• Опишите все операции, которые вы делаете с ПДн (ориентируясь на перечень из п. 3 ст. 3 152‑ФЗ), и соотнесите их с законными основаниями: договор, закон или согласие.
• Если публикация открытая — получите отдельное согласие на распространение.
• При аутсорсинге подпишите договор с обработчиком: поручение, меры, аудит — см. поручение обработки ПДн.
• Определите контуры ИСПДн и примените меры безопасности. При необходимости используйте шифрование.
• Проверьте, нужно ли уведомление Роскомнадзора и включение в реестр операторов.
• Подготовьте пакет документов: политика, согласия, регламенты, формы, см. пакет документов по 152‑ФЗ и шаблоны и формы.
• Сведите риски с помощью внутренних контролей и обучения: внутренний контроль и обучение.

Связанные статьи и материалы

Чтобы видеть картину целиком, сопоставьте определения из ст. 3 с соседними нормами:

• Статья 1 — сфера действия закона;
• Статья 2 — цели и задачи регулирования;
• Статья 4 — законодательство и соотношение норм;
• Статья 5 — условия обработки и принципы;
• Статья 6 — основания обработки без согласия;
• Статья 10 — специальные категории ПДн;
• Статья 10.1 — распространение общедоступных ПДн;
• Статья 19 — безопасность ПДн.

Полезно также заглянуть в:

• Структура и статьи 152‑ФЗ;
• Глоссарий 152‑ФЗ;
• Изменения 152‑ФЗ в 2025;
• GDPR и 152‑ФЗ: сравнение;
• Ответственность и штрафы: 152‑ФЗ: ответственность и КоАП 13.11.

Вывод и что сделать дальше

Статья 3 ФЗ 152 о персональных данных — опорный «словарь» закона. Именно она задаёт смысл большинства требований: от прав субъектов до технической защиты ИСПДн. Проверьте свои документы и процессы на соответствие: корректность терминов, полноту определений, связку «операция — основание — мера безопасности». Если нужны короткие формулировки — используйте наш глоссарий, если полные формулировки — сверяйтесь с последней редакцией 152‑ФЗ.

Нужна помощь с внедрением? Закажите аудит и пакет документов «под ключ»: аудит соответствия 152‑ФЗ, консалтинг и документы или сгенерируйте базовые тексты онлайн — генератор политики и согласий.

Примечание: материал носит информационный характер и не является юридической консультацией.