Статья 4 152‑ФЗ: Область применения

Статья 4 152‑ФЗ: Область применения

Материал обновляется по мере изменений в законодательстве. Основания и формулировки сверяйте с текстом закона в последней редакции и разъяснениями Роскомнадзора.

![Диаграмма: область применения 152‑ФЗ — операторы, способы обработки, территориальность]

Зачем нужна ст. 4 152‑ФЗ

Статья 4 152‑ФЗ определяет, на какие отношения и виды деятельности распространяется закон о персональных данных. Именно здесь задаются «границы» регулирования: кто считается оператором, при каких способах обработки данные подпадают под требования, а в каких случаях действие закона 152‑ФЗ не распространяется.

Ключевые вопросы, на которые отвечает ст. 4 152‑ФЗ:

• какие формы обработки (автоматизированная и неавтоматизированная) охватывает закон;
• как работает территориальный охват (РФ/иностранные лица);
• где установлены исключения и специальные режимы.

На кого распространяется закон

Действие ФЗ‑152 распространяется на:

• государственные органы, органы субъектов РФ и местного самоуправления;
• российские и иностранные юридические лица;
• индивидуальных предпринимателей и физических лиц, которые осуществляют обработку персональных данных — как с использованием средств автоматизации, так и без них (при соблюдении условий, см. ниже).

Иными словами, если вы определяете цели и способы обработки (вы — «оператор», см. глоссарий), то действие закона 152‑ФЗ распространяется на вашу деятельность, за исключением прямо предусмотренных законом случаев.

Примеры ситуаций, где закон действует:

• ведение кадрового учета и личных дел сотрудников;
• CRM/базы клиентов, заявки на сайте, рассылки;
• видеонаблюдение в офисах и торговых залах;
• записи звонков в колл‑центре;
• хранение анкет, договоров, актов с персональными данными на бумаге, если они систематизированы.

Подробнее о принципах и целях — в разделе Принципы и цели обработки.

Неавтоматизированная обработка: когда подпадает под закон

Ст. 4 прямо охватывает и «бумажную» обработку, если она ведется в систематизированном виде. Типовые признаки, что неавтоматизированная обработка подпадает под 152‑ФЗ:

• есть картотеки, личные дела, папки или журналы, где записи упорядочены по алфавиту, датам, номерам, и т. п.;
• можно оперативно найти сведения о конкретном лице по установленным критериям (фамилия, табельный номер, номер договора);
• установлен регламент доступа и работы с такими носителями.

Примеры:

• «бумажные» личные дела сотрудников — подпадают;
• разрозненные непроиндексированные черновики — обычно нет (но это плохая практика учета и безопасности).

Если у вас смешанная обработка (часть процессов в ИСПДн, часть на бумаге), ориентируйтесь на более строгие требования. См. также: ИСPDн: определение и требования.

Территориальность и иностранные операторы

Российский закон применяется, если обработка фактически организована в РФ или затрагивает персональные данные граждан РФ при сборе и последующем использовании в контексте деятельности, ориентированной на Россию. Кроме того, действует требование локализации: при сборе персональных данных граждан РФ оператор обязан обеспечить запись, систематизацию, накопление и хранение таких данных в базах на территории РФ (см. ст. 18.1 — Локализация).

Практическое следствие:

• иностранные онлайн‑сервисы, предлагающие товары/услуги в РФ и собирающие данные россиян, подпадают под закон и требования локализации;
• трансграничная передача при этом допускается в рамках правил и оценок уровня защиты (см. Трансграничная передача ПДн).

Исключения: когда ФЗ‑152 не распространяется

Действие закона 152‑ФЗ не распространяется в ряде четко обозначенных случаев. Ключевой из них, прямо закрепленный в законе:

• обработка персональных данных физическим лицом для личных, семейных нужд, не связанных с предпринимательской или профессиональной деятельностью, при условии, что не нарушаются права субъектов и данные не «распространяются» неограниченному кругу лиц.

Важно: публикация в открытом доступе (соцсети, форумы) может трактоваться как распространение, и тогда защита по «личной цели» работать не будет.

Также существуют сферы со специальным правовым режимом. Формально это не всегда означает, что ФЗ‑152 «не распространяется» полностью, но отдельные требования заменяются особыми нормами. На практике к таким относятся:

• защита государственной тайны и иные режимы секретности — регулируются специальными законами и актами;
• оперативно‑розыскная, контрразведывательная и разведывательная деятельность — применяются специальные нормы, 152‑ФЗ действует постольку, поскольку не противоречит им;
• архивное дело — особенности хранения и доступа к документам с ПДн устанавливаются профильными актами.

Если ваш кейс попадает в одну из «спецсфер», нужен отдельный правовой анализ. Смежные материалы: Другие законы и стыки с 152‑ФЗ, Связанные законы: 149‑ФЗ, 187‑ФЗ, 63‑ФЗ, 98‑ФЗ.

Пограничные случаи из практики

• Родительский чат в мессенджере. Если это обмен информацией в быту, без систематизации и публичного распространения — обычно за рамками закона. Но как только появляется список взносов, «ведомость» с персональными данными и доступ третьих лиц — риск применения закона растет.
• База «визиток». Папка или Excel со сканами/контактами, используемая для бизнеса, — это обработка ПДн оператором, значит действует 152‑ФЗ.
• Видео с домофона/камеры подъезда. Частное лицо для личной безопасности — чаще всего вне 152‑ФЗ. Управляющая компания или ТСЖ — оператор, закон применяется (см. Видеонаблюдение и 152‑ФЗ).
• «Закрытый» корпоративный чат с сотрудниками — обработка ПДн работниками и работодателем, закон действует, даже если мессенджер внешний (см. Мессенджеры и 152‑ФЗ).

Связь со статьями 1–3 и другими нормами

Чтобы корректно толковать сферу действия, полезно читать ст. 4 вместе со статьями:

• Статья 1: цели и задачи регулирования, в том числе оговорки о журналистике/творчестве;
• Статья 2: область регулирования и общие подходы;
• Статья 3: ключевые понятия («оператор», «обработка», «персональные данные»).

Дальнейшие нормы определяют, как именно исполнять требования: Обязанности оператора, Права субъектов, Обработка без согласия, Передача третьим лицам.

Таблица: применяется/не применяется

Ситуация	Применяется 152‑ФЗ?	Комментарий
Домашний фотоархив, личный список контактов	Нет (исключение)	Личные/семейные нужды, без публикации и коммерции
Папка с резюме кандидатов, ведется рекрутером	Да	Неавтоматизированная систематизация — подпадает
CRM с лидами, коллтрекинг	Да	Автоматизированная обработка
Видеонаблюдение в офисе	Да	Оператор — работодатель/собственник
Родительский чат «для поездки в музей»	Зависит	Если появляются списки/сборы/общий доступ — высок риск применения
База источников журналиста	Особый режим	Допустимы отступления при соблюдении прав и этики, см. ст. 1
Иностранный сайт, продающий в РФ	Да	Требование локализации и иные нормы 152‑ФЗ

Что сделать оператору на практике

Если по ст. 4 действие закона на вас распространяется, проверьте базовый контур соответствия:

• определить роли и потоки данных: что собираете, у кого, зачем, где храните (см. Чек‑лист по 152‑ФЗ);
• оценить правовые основания: согласие/законные цели/договор (см. Обработка без согласия);
• оформить документы: Политика обработки ПДн, Пакет документов, Документы для сайта и Cookie‑баннеры;
• назначить ответственного и организовать контроль/обучение (см. Ответственный за ПДн, Внутренний контроль и обучение);
• реализовать меры безопасности: модель угроз, уровни защищенности ИСПДн, шифрование (см. Меры безопасности, Криптография, Требования ФСТЭК и ФСБ);
• при необходимости уведомить Роскомнадзор и встать в реестр (см. Уведомление Роскомнадзора, Реестр операторов ПДн);
• учесть трансграничную передачу и локализацию (см. Ст. 18.1, Трансграничная передача);
• быть готовыми к проверкам и инцидентам (см. Проверки Роскомнадзора, Инциденты и утечки, КоАП 13.11 — штрафы).

FAQ по ст. 4 152‑ФЗ

Вопрос: Действие закона 152‑ФЗ распространяется на бумажные анкеты в магазине? Ответ: Да, если они систематизированы (например, папки по алфавиту/дате) и используются для управления отношениями с клиентами.

Вопрос: ФЗ‑152 не распространяется на личные переписки и фото? Ответ: Обычно да, при условии личных/семейных целей и отсутствия публичного распространения. Но если контент выкладывается публично и затрагивает права других лиц, защита «личной цели» может не работать.

Вопрос: Иностранная платформа без офиса в РФ, но с русскоязычным сайтом и доставкой по России — попадает? Ответ: Как правило, да. Сбор ПДн граждан РФ в рамках деятельности, ориентированной на РФ, влечет применение 152‑ФЗ и требований локализации (ст. 18.1).

Вопрос: Если мы только храним резюме в почте без структуры, закон не применяется? Ответ: Риск неверной оценки. На практике почтовые ящики и облачные хранилища быстро превращаются в «систематизацию» через поиск и папки. Рекомендуем считать, что закон применяется, и выстроить соответствие.

Вывод и следующий шаг

Ст 4 152‑ФЗ задает критерии, по которым определяется, подпадает ли деятельность под требования закона. В большинстве бизнес‑сценариев — да: действие закона 152‑ФЗ распространяется на операторов при любой форме систематизированной обработки данных. Исключения узкие (прежде всего личные/семейные нужды), а специальные режимы требуют отдельной оценки.

Нужна практическая помощь? Пройдите наш онлайн‑чек‑лист соответствия, соберите пакет документов под ключ или используйте генератор политики и согласий. Для общей картины посмотрите О законе 152‑ФЗ, Структура и статьи и актуальные изменения 2025.