Статья 7 152‑ФЗ: Конфиденциальность персональных данных

Статья 7 152‑ФЗ: Конфиденциальность персональных данных

---

О чем ст. 7 152‑ФЗ: кратко {#o-chem-st-7}

Статья 7 152‑ФЗ о персональных данных закрепляет ключевое правило: оператор и любые лица, получившие доступ к персональным данным, обязаны сохранять их конфиденциальность и не раскрывать их третьим лицам без согласия субъекта, если иное не предусмотрено федеральным законом. Иначе говоря, «тайна персональных данных» — базовый режим, из которого есть ограниченные исключения.

Полный контекст закона смотрите в разделе О законе 152‑ФЗ и в последней редакции текста. Обратите внимание на актуальные изменения 2025.

Понятие конфиденциальности ПДн: что это в 152‑ФЗ {#ponyatie-konfidencialnosti}

Если коротко, конфиденциальность персональных данных — это (в понимании 152‑ФЗ) запрет на их распространение без правовых оснований. Иными словами, «конфиденциальность персональных данных — это 152‑ФЗ» не про абсолютный запрет, а про строгие условия доступа, передачи и публикации.

Чтобы корректно применять ст. 7 закона № 152‑ФЗ, важно понимать базовые термины из ст. 3 и наш глоссарий:

• персональные данные (ПДн) — любая информация, относящаяся к определенному или определяемому физлицу;
• обработка ПДн — любое действие с данными;
• оператор — лицо, организующее и/или осуществляющее обработку ПДн;
• распространение — действия, направленные на раскрытие неопределенному кругу лиц.

Сегодня особое значение имеет разграничение:

• общедоступные ПДн и
• ПДн, «разрешенные субъектом для распространения» (см. ст. 10.1 и согласие на распространение).

Кто обязан соблюдать конфиденциальность {#kto-obyazan}

Обязанность по ст. 7 152‑ФЗ о персональных данных распространяется на:

• оператора (компания, ИП, орган власти);
• сотрудников и временно допущенных лиц (стажеры, подрядчики);
• исполнителей/обработчиков, которым ПДн поручены по договору.

Практически это означает необходимость регламентировать доступ и неразглашение во внутренних документах, договорах и обучении. См. разделы: обязанности оператора, ответственный за ПДн, внутренний контроль и обучение.

Ниже — краткая матрица ролей и обязанностей:

Роль	Что запрещено без основания	Что требуется оформить
Оператор	Раскрывать ПДн третьим лицам, публиковать, лишний доступ	Политика, модель доступа, договоры, журналы, обучение
Сотрудник	Выносить базы, делать копии, пересылать вне регламента	Подписка о неразглашении, допуск, инструктаж
Исполнитель (обработчик)	Использовать ПДн вне целей поручения	Договор поручения, меры безопасности, уведомления

Подробно о поручении обработки — в разделе поручение обработки ПДн.

Когда конфиденциальность не применяется (исключения) {#isklyucheniya}

Статья 7 предусматривает ограниченные исключения из режима конфиденциальности:

• обезличенные данные — см. обезличивание ПДн;
• ПДн, правомерно сделанные общедоступными самим субъектом либо разрешенные им для распространения (с учетом ст. 10.1);
• случаи, когда публикация или раскрытие прямо предписаны федеральным законом (например, открытые госреестры).

Примеры и пояснения:

Ситуация	Применяется режим конфиденциальности?	Комментарий
Пост персонала клиента в соцсети	Как правило, да	Само размещение в соцсетях не равно «разрешение на распространение»; требуется отдельное согласие по ст. 10.1
Запись в открытом госреестре	Нет	Если федеральный закон прямо обязывает публиковать (например, отдельные записи ЕГРЮЛ/ЕГРИП)
Аналитика по обезличенным данным	Нет	При корректном и необратимом обезличивании — см. обезличивание ПДн

Важно: даже при наличии исключений оператор обязан соблюсти другие принципы и меры защиты. О «передаче третьим лицам» — отдельный раздел: передача третьим лицам.

Связь со ст. 5, 6, 10.1, 18.1 и 19 152‑ФЗ {#svyaz-s-drugimi-normami}

Режим конфиденциальности из ст. 7 закона № 152‑ФЗ работает не сам по себе:

• Ст. 5 — Принципы обработки: минимизация, соразмерность, ограничение целью.
• Ст. 6 — Основания обработки: без правового основания (согласия, договора, закона) — нельзя.
• Ст. 10.1 — Распространение ПДн: отдельное согласие на публикацию и распространение.
• Ст. 18.1 и ст. 19 — меры безопасности: организационные и технические меры, предотвращающие несанкционированный доступ.

Взаимосвязь важна и для специальных типов данных: специальные категории, биометрические, медицинские ПДн, данные детей.

Практические требования к оператору {#praktika-operatora}

Чтобы соблюсти ст. 7 152‑ФЗ о персональных данных, внедрите комплекс мер:

Организационные меры

• Утвердите Политику обработки ПДн и пакет локальных актов (пакет документов).
• Определите роли и доступы, заведите журналы (учет носителей, ознакомления, инцидентов).
• Обучите персонал: внутренний контроль и обучение.
• Оформите неразглашение: NDA/подписки, а также условия в ТК/ГПД.

Правовые и договорные меры

• Проверяйте основания: обработка без согласия и когда нужно согласие.
• Для публикаций используйте отдельное согласие на распространение.
• Условия конфиденциальности включайте в договоры с подрядчиками (см. поручение).

Для сайтов и онлайн‑сервисов

• Соблюдайте требования к сайту: HTTPS (SSL), формы, политика, уведомления о cookie (cookie и баннеры).
• Учитывайте особенности форм на сайте, Яндекс.Метрики, Яндекс.Форм, мессенджеров и популярных CMS: Tilda, WordPress, 1C‑Bitrix.

Полезные ориентиры: чек‑лист и подготовка к проверке.

Передача третьим лицам и поручение обработки {#peredacha-i-poruchenie}

Раскрытие ПДн третьим лицам без основания запрещено. Если обработка требуется партнером/подрядчиком:

• заключите договор поручения с обязанностями по безопасности и конфиденциальности (см. поручение обработки ПДн);
• проверьте инфраструктуру подрядчика: серверы, хостинг, ЦОД, облака;
• учитывайте трансграничную передачу и ограничения на распространение.

Отдельно про «передачу в публичный доступ»: для размещения на сайте, в соцсетях и т.д. требуется согласие по ст. 10.1 с возможностью субъекту настроить ограничения.

Конфиденциальность в ИСПДн и технические меры {#ispdn-i-tehnika}

Техническая часть — фундамент соблюдения ст. 7:

• Классифицируйте свою ИСПДн и определите уровень защищенности.
• Постройте модель угроз, примените шифрование (криптография).
• Учитывайте требования ФСТЭК и ФСБ, обеспечьте контроль доступа и журналирование.
• Для веб‑части — TLS, HSTS, изоляция сред, DLP/EDR по необходимости, мониторинг инцидентов.

Иллюстрация процесса (в высоком уровне):

Риски, ответственность и проверки {#riski-i-otvetstvennost}

Нарушение режима конфиденциальности по ст. 7 152‑ФЗ может повлечь:

• административные штрафы по ст. 13.11 КоАП и иным нормам — см. ответственность и штрафы;
• предписания и блокировки со стороны Роскомнадзора;
• репутационные потери и гражданско‑правовые риски.

При утечках действуйте по регламенту: зафиксируйте инцидент, примите меры, оцените риски субъектам и уведомьте, где требуется — см. инциденты и утечки и уведомление Роскомнадзора. Практические кейсы — в разделе судебная практика.

Частые ошибки и короткий чек‑лист {#oshibki-i-cheklist}

Типичные ошибки операторов:

• Путают «общедоступные» и «разрешенные для распространения» ПДн: наличие профиля в соцсети не дает права публиковать данные без отдельного согласия.
• Не ограничивают доступ внутри компании: всем сотрудникам «видна» вся база.
• Недооценивают обезличивание: псевдонимизация без разрыва связей — это не полноценное обезличивание.
• Публикуют отчеты с персональными данными по ошибке (скриншоты, выгрузки) — нарушение ст. 7.
• Не включают условия конфиденциальности в договоры с подрядчиками.

Мини‑чек‑лист соответствия ст. 7:

• Есть утвержденная Политика и локальные акты (политика, документы для сайта).
• Настроены допуски и журналирование, проведено обучение.
• Для публикаций — отдельные согласия (см. соглашение на распространение).
• Заключены DPA/поручения с подрядчиками с мерами защиты.
• Реализованы технические меры (меры безопасности, SSL/HTTPS).
• Отработка инцидентов и уведомление РКН формализованы.

Дополнительно: чек‑лист 152‑ФЗ и подготовка к проверке.

Вывод и что делать дальше {#zaklyuchenie}

Статья 7 152‑ФЗ о персональных данных — фундаментальная норма о неразглашении: без согласия субъекта (или прямого указания закона) раскрывать ПДн нельзя. Соблюдение ст. 7 закона № 152‑ФЗ строится на трех китах: корректные правовые основания, строгая организационная дисциплина и адекватные технические меры защиты.

Готовы выстроить режим конфиденциальности «под ключ»? Воспользуйтесь нашими материалами и услугами:

• аудит и дорожная карта — аудит соответствия 152‑ФЗ;
• пакет документов и внедрение процессов — консалтинг и документы, пакет документов;
• быстрая подготовка сайта — документы для сайта, онлайн‑проверка сайта, генератор политики и согласий;
• для Москвы и региона — услуги в Москве.

Ознакомьтесь также со структурой и статьями 152‑ФЗ, в частности со ст. 6, ст. 8, ст. 19 — и держите полную картину требований.