Вопросы и ответы по 152‑ФЗ: быстрые разъяснения

Вопросы и ответы по 152‑ФЗ: быстрые разъяснения

На одной странице собрали быстрые разъяснения 152‑ФЗ о персональных данных: практичные ответы на частые вопросы, ссылки на статьи закона и требования Роскомнадзора.

![Схема жизненного цикла ПДн: сбор → хранение → использование → передача → обезличивание/уничтожение]

Кому применять закон и кто такой оператор

152‑ФЗ распространяется практически на любую обработку персональных данных (ПДн) — в бизнесе, некоммерческих организациях и у ИП. Оператор — это лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки ПДн. Если вы собираете данные клиентов, сотрудников или посетителей сайта — вы оператор.

• Базовые понятия и сфера действия: см. о законе 152‑ФЗ и глоссарий 152‑ФЗ.
• Обязанности оператора: обязанности оператора, назначение ответственного — ответственный за обработку ПДн.
• Уведомление и реестр: реестр операторов ПДн, подача уведомления — уведомление в Роскомнадзор.

Что считать персональными данными и какие бывают категории

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому физлицу. Ключевые категории:

• Общие ПДн: ФИО, телефон, email, адрес.
• Специальные ПДн: здоровье, расовая/национальная принадлежность, политические взгляды (см. специальные категории ПДн).
• Биометрические: фото/видео, отпечатки, распознавание лица/голоса; отдельные правила на биометрические ПДн.
• Медицинские: тянут за собой медицинскую тайну — медицинские ПДн.
• Общедоступные: то, что субъект сам сделал публичным при соблюдении ст. 10.1 (см. общедоступные ПДн).
• Данные детей: повышенные гарантии — дети и несовершеннолетние ПДн.

Определения и состав ПДн — см. ст. 3 152‑ФЗ, а структуру закона — в материале структура и статьи 152‑ФЗ.

Нужно ли согласие: краткие разъяснения и типичные основания

Вопрос №1 у бизнеса: когда достаточно имущественных/договорных оснований, а когда требуется письменное или электронное согласие? Ниже быстрая шпаргалка. Развернуто — в обработка без согласия и в статьях ст. 6 и ст. 9.

Основание обработки	Нужен текст согласия?	Типичный пример	Нормы 152‑ФЗ
Согласие субъекта	Да	форма обратной связи, подписка, рассылки	ст. 6, ст. 9, согласие на обработку ПДн
Исполнение договора/оферты	Не обязательно	оформление заказа, доставка	ст. 6
Требования закона	Не требуется	кадровый учет, бухгалтерия	ст. 6
Распространение ПДн	Отдельное согласие	публикация отзыва с ФИО	ст. 10.1, согласие на распространение
Спец. и биометрические ПДн	Обычно требуется	медуслуги, фото для пропуска	ст. 10
Cookie и аналитика	Зависит от цели	аналитика/маркетинг	cookie и баннеры, Яндекс.Метрика

Важно: для сайта корректно оформить согласия в формах (формы на сайте и согласие), предусмотреть отзыв (заявления и отзыв согласия, отзыв согласия).

Как быстро привести сайт к требованиям 152‑ФЗ

Короткий чек-лист для веб‑ресурсов. Подробнее — требования к сайту и документы для сайта.

• Политика и уведомления: разместите политику обработки ПДн и баннер cookie (cookie и баннеры). Быстрый старт — генератор политики и согласий.
• Сбор согласий: чек‑боксы/модальные окна в формах, храните журнал согласий (в т.ч. IP, время).
• HTTPS/TLS: включите шифрование — SSL/HTTPS.
• Метрики и виджеты: проверьте цели и договоры с провайдерами (Яндекс.Метрика, Яндекс.Формы, мессенджеры).
• CMS: отдельные требования и плагины для WordPress, 1C‑Bitrix, Tilda.
• Аудит: пройдите онлайн‑проверку сайта или заказной аудит сайта.

Передача, поручение и трансграничная обработка

Различайте три разных процесса — от этого зависят ваши договоры и уведомления Роскомнадзора 152‑ФЗ о персональных данных.

Ситуация	Что оформить	На что обратить внимание
Поручение обработчику (outsourcing)	Договор поручения с инструкциями	предмет, цели, меры безопасности, запрет субподряда без согласия — поручение обработки
Передача третьим лицам	Основание/согласие + информирование	минимизация, правовой интерес и уведомление субъекта — передача третьим лицам
Трансграничная передача	Оценка страны и гарантий, согласие при необходимости	страны-участники, размещение серверов — трансграничная передача, серверы/ЦОД, облака

Для маркетинговых и облачных сервисов храните DPIA‑подобное обоснование (оценку рисков) и проверяйте, где географически обрабатываются ПДн.

Безопасность и ИСПДн: что требуют закон и Роскомнадзор

Закон и разъяснения Роскомнадзора по 152‑ФЗ требуют адекватных организационных и технических мер.

Минимальный набор:

• Классифицируйте свою ИСПДн и определите уровень защищенности — ИСПДн: определение и требования, уровни защищённости.
• Составьте модель угроз и план мер — модель угроз ИСПДн, меры безопасности.
• Применяйте криптографию, шифрование, контроль доступа — криптография и шифрование, требования ФСТЭК и ФСБ.
• Обязательные документы и процессы: политика, журналы, регламенты — пакет документов.
• Назначьте ответственного и наладьте внутренний контроль/обучение — внутренний контроль и обучение.
• Инциденты: порядок фиксации, расследования и уведомления — инциденты и утечки ПДн, уведомление Роскомнадзора.

Подробные технические требования сосредоточены в ст. 19 и подзаконных актах.

Сроки хранения, блокировка и уничтожение ПДн

Планируйте жизненный цикл данных заранее: от сбора до уничтожения.

• Определите сроки хранения для каждого массива данных — сроки хранения ПДн.
• При прекращении целей — блокируйте и уничтожайте с актами — уничтожение и блокировка ПДн, прекращение обработки.
• Не храните лишнее: принцип минимизации — см. принципы и цели обработки.

Для маркетинга и веб‑аналитики храните агрегированные/обезличенные данные — обезличивание ПДн.

Права субъектов и работа с запросами

Субъекты вправе запрашивать информацию, требовать уточнения, блокирования или уничтожения ПДн.

Как выстроить процесс:

• Описание канала приёма запросов в политике — права субъектов ПДн.
• Фиксация личности, журналирование, сроки ответа — см. шаблоны в шаблоны и формы.
• Механизм отзыва и обновления согласий — заявления и отзыв согласия.
• В случае инцидентов — уведомление субъекта и регулятора в установленные сроки — действия при нарушении.

Проверки и ответственность

Роскомнадзор проводит плановые и внеплановые проверки, в т.ч. по инцидентам и жалобам.

• Как готовиться: подготовка к проверке, чек‑лист — чек‑лист 152‑ФЗ, типовые вопросы — проверки Роскомнадзора.
• Ответственность: значимые штрафы по КоАП 13.11 и иным статьям, разбор — ответственность и штрафы, практика — судебная практика.

Типовые нарушения: отсутствие политики на сайте, несоответствие согласий целям, избыточный сбор, слабые пароли, отсутствие договоров поручения.

Отраслевые нюансы: короткие ответы

• Кадры и HR: расширенный набор правовых оснований, локальные акты — кадры и 152‑ФЗ.
• Медицина: специальные и медицинские ПДн, усиленные меры — здравоохранение и 152‑ФЗ.
• Гостиницы и туризм: проверка документов, видео, интеграции — гостиницы и 152‑ФЗ.
• Образование и фото детей: согласия родителей, публикации — образование и 152‑ФЗ, фото детского сада.
• Банки и финтех: идентификация, ПСКЗИ, крипто — банки и 152‑ФЗ.
• Видеонаблюдение: правовые основания, информирование — видеонаблюдение и 152‑ФЗ.
• Реклама и рассылки: отдельные согласия, отказ по требованию — реклама и ПДн.

С какими статьями 152‑ФЗ сверяться

Быстрые ориентиры по нормам закона (полный текст — 152‑ФЗ: последняя редакция):

• Цели и принципы обработки — ст. 5, принципы и цели
• Основания обработки и поручение — ст. 6, поручение обработки
• Согласие и форма — ст. 9
• Специальные и биометрические ПДн — ст. 10
• Общедоступные и распространение — ст. 10.1
• Трансграничная передача — ст. 12
• Обязанности, политика, ответственный — ст. 18.1
• Безопасность, меры и ИСПДн — ст. 19
• Права субъектов и обязанности оператора — ст. 20, ст. 21
• Уведомление/реестр — ст. 22, ст. 22.1

Если только начинаете знакомство — прочтите обзор о законе 152‑ФЗ.

Изменения 2025: что готовить уже сейчас

Следите за обновлениями по 152‑ФЗ: усиление требований к безопасности, уведомлению об инцидентах, распространению ПДн и cookie‑практикам. Мы собрали ключевые новшества и подготовительные шаги — изменения 2025.

Полезно сопоставить с требованиями GDPR и смежными законами РФ — GDPR и 152‑ФЗ, а также с ИБ‑законами (149‑ФЗ, 187‑ФЗ, 63‑ФЗ, 98‑ФЗ) — связанные законы. Для снижения рисков применяйте обезличивание ПДн.

Коротко: что сделать сегодня

• Проведите экспресс‑аудит и составьте реестр процессов — аудит соответствия.
• Обновите политику, согласия и договоры с обработчиками — пакет документов, консалтинг и документы под ключ.
• Приведите сайт к требованиям (cookie‑баннер, HTTPS, формы) — документы для сайта, генератор политики.
• Настройте меры безопасности и обучение сотрудников — меры безопасности, обучение и курсы.

Итог: вопросы 152‑ФЗ решаются быстрее, если опираться на понятную карту процессов, корректные правовые основания и базовые меры ИБ. Нужны персональные данные: закон ФЗ‑152 — разъяснения и готовые шаблоны — переходите в наш раздел с чек‑листами и образцами. Хотите, чтобы мы сделали всё «под ключ» и подготовили к проверке Роскомнадзора? Оставьте заявку — начнём с экспресс‑аудита и дорожной карты.