Что считается персональными данными?

Любая информация, относящаяся к прямо или косвенно определённому физическому лицу: ФИО, дата рождения, адрес, телефон, e-mail, паспортные данные, ИНН, фото, IP-адрес, аккаунты в соцсетях. Юридические лица не являются субъектами ПДн — данные о компании (ИНН, название) не считаются персональными, за исключением случаев, когда они одновременно идентифицируют физлицо.

Нужно ли получать согласие на обработку ПДн сотрудника?

Базовая обработка для целей трудового договора и налогового учёта — без согласия (она предусмотрена ТК РФ и НК РФ). Отдельное согласие требуется для всего, что выходит за эти рамки: размещение фото на сайте компании, передача данных в страховую, обработка через сторонние сервисы (HR-системы, CRM). Лучшая практика — собирать согласие на все случаи отдельным документом.

Какие штрафы за нарушение 152-ФЗ в 2026 году?

За базовые нарушения для юрлица — от 300 000 до 700 000 ₽. За утечку ПДн (первый эпизод) — от 3 до 18 миллионов ₽ в зависимости от объёма утечки. За повторную утечку — оборотный штраф 0,1-3% от выручки за прошлый год, минимум 25 миллионов, максимум 500 миллионов ₽. Для ИП и должностных лиц штрафы ниже, но всё равно существенные.

Обязан ли оператор уведомлять Роскомнадзор о начале обработки?

Да, для большинства случаев — с 2022 года. Исключения: обработка только в рамках трудовых отношений с собственными работниками и обработка только в рамках исполнения договора с субъектом (например, доставка заказа покупателю по его адресу). Если вы делаете рассылки клиентам, ведёте маркетинг или собираете данные с сайта — уведомление обязательно. Подаётся через сайт Роскомнадзора, бесплатно.

Можно ли хранить персональные данные граждан РФ за рубежом?

Основная база данных должна находиться на территории РФ — это требование ст. 18 ч. 5 закона 152-ФЗ. Зарубежные сервисы можно использовать как дополнительные (рассылки, аналитика), но только при наличии локальной базы данных и письменного согласия субъекта на трансграничную передачу, если страна не обеспечивает адекватной защиты ПДн.

Что делать, если случилась утечка персональных данных?

Алгоритм: 1) В течение 24 часов уведомить Роскомнадзор (через специальную форму на сайте РКН) с указанием причин, объёма и принятых мер. 2) Уведомить субъектов, чьи данные утекли. 3) Принять меры по устранению причин (закрыть уязвимость, изменить пароли, провести аудит). 4) Документально зафиксировать всё для возможной проверки. Сокрытие утечки усугубляет ответственность многократно.

Как гражданину запросить удаление своих данных у оператора?

Направьте оператору письменный запрос (заказным письмом или электронно с подписью): укажите ваши ФИО, паспортные данные (для идентификации), требование удалить ПДн, основание (отзыв согласия либо незаконность обработки). Оператор обязан рассмотреть запрос в течение 30 дней. Если он отказывает или игнорирует — жалоба в Роскомнадзор и/или иск в суд.

Является ли IP-адрес персональными данными?

По официальной позиции Роскомнадзора и Минцифры — да, в большинстве случаев IP-адрес считается ПДн, поскольку он позволяет косвенно идентифицировать физическое лицо (через провайдера). Это значит, что любой сайт, собирающий IP-адреса посетителей (а это все сайты — IP попадает в логи веб-сервера), должен соблюдать правила обработки ПДн: иметь политику, основание для обработки, обеспечивать безопасность.

Персональные данные — как защищать и обрабатывать по 152-ФЗ

Что такое персональные данные по 152-ФЗ, обязанности оператора, согласие субъекта, локализация на территории РФ, штрафы за нарушения и порядок защиты прав в 2026 году.

персональные данные152-ФЗоператор ПДнсогласиеРоскомнадзорзащита данных

Автор: Аркадий ГородецкийОпубликовано: 2026-04-05Обновлено: 2026-04-18

С 2025 года штрафы за нарушения в области персональных данных выросли в десятки раз — за крупные утечки бизнес платит до 18 миллионов рублей за первый эпизод и до 500 миллионов за повторный. При этом обработка ПДн стала обязательной частью практически любой деятельности: даже один сотрудник или один клиент с электронной почтой — это уже работа с персональными данными. Разбираем, что считается ПДн, какие обязанности у оператора и как защитить свои права как гражданину.

Что такое персональные данные

Закон 152-ФЗ «О персональных данных» определяет ПДн как любую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу — субъекту персональных данных.

Это широкое определение включает:

Базовые идентификаторы: ФИО, дата рождения, адрес, паспортные данные, ИНН, СНИЛС.
Контакты: телефон, e-mail, аккаунты в мессенджерах и соцсетях, IP-адрес (по позиции Роскомнадзора 2020 года в большинстве случаев — это ПДн).
Сведения о работе и доходах: место работы, должность, зарплата, банковские реквизиты.
Биометрия: фото, отпечатки пальцев, голос, образец почерка — особая категория, с отдельным режимом обработки.
Сведения о здоровье: диагнозы, история болезни, результаты анализов — специальная категория, обработка только с письменного согласия.
Сведения о судимости, политических взглядах, религиозных убеждениях, расовой принадлежности — специальные категории с самым жёстким режимом.

ПДн признаются такими независимо от носителя: бумажная анкета, запись в Excel-файле, профиль в CRM, видеозапись с камеры наблюдения с лицом сотрудника — всё это обработка персональных данных.

Кто такой оператор и кто субъект

Оператор ПДн — любое лицо (организация, ИП, госорган, физлицо), которое самостоятельно или совместно с другими организует обработку ПДн, определяет цели и состав обрабатываемых данных. Оператором становится не только тот, кто получил данные, но и тот, кто решил, что и зачем с ними делать.

Типичные операторы:

работодатели — обрабатывают данные сотрудников и кандидатов;
интернет-магазины и сайты с формой обратной связи — обрабатывают контакты клиентов;
врачи и медицинские организации — данные пациентов;
арендодатели — данные арендаторов из договора;
УК и ТСЖ — данные жильцов;
даже самозанятый, ведущий список клиентов в блокноте, — формально оператор.

Субъект ПДн — само физическое лицо, к которому относятся данные. Закон даёт ему расширенный набор прав: знать о составе своих ПДн у каждого оператора, требовать уточнения и удаления, отзывать согласие, обращаться в Роскомнадзор и суд.

Юридические лица не являются субъектами ПДн. Данные о компании (название, ИНН, ОГРН, юр. адрес) персональными не считаются — за исключением случаев, когда они одновременно идентифицируют физлицо: например, ФИО единственного участника ООО в выписке из ЕГРЮЛ это уже ПДн физлица.

На каких основаниях можно обрабатывать ПДн

Статья 6 закона 152-ФЗ перечисляет исчерпывающий список оснований для обработки. Самые частые:

Согласие субъекта. Самое распространённое основание. Должно быть конкретным, информированным и сознательным — оператор обязан назвать состав данных, цель, перечень действий, срок обработки и порядок отзыва согласия.
Договор с субъектом. Обработка ПДн, необходимая для исполнения договора (например, доставка товара по адресу клиента). Отдельное согласие не нужно, но цель ограничена исполнением договора.
Закон. Если обработка прямо предписана законом (например, обработка ПДн сотрудника в кадровом учёте — по ТК РФ, налогоплательщика — по НК РФ). Получать согласие не нужно.
Защита жизни, здоровья, прав субъекта. Например, передача данных пострадавшего в скорую помощь.
Общественный интерес или интерес оператора, не нарушающий прав субъекта — узкое основание, требует баланса.

В кадровом учёте сочетаются основания «закон» (большая часть данных) и «согласие» (для всего, что не предусмотрено ТК и НК, — например, фото для пропуска, обработка через сторонние сервисы).

Согласие субъекта: как правильно оформить

Согласие — самое уязвимое место операторов. Большинство штрафов Роскомнадзора связаны именно с дефектами согласия: оно либо отсутствует, либо составлено в общих формулировках, либо встроено в иной документ без права отказа.

Обязательные элементы согласия (ст. 9 закона 152-ФЗ):

ФИО и адрес субъекта;
наименование и адрес оператора (а если обработка поручена другому лицу — его данные тоже);
цель обработки;
перечень обрабатываемых данных;
перечень действий с данными (сбор, хранение, передача, удаление);
срок согласия;
порядок отзыва;
собственноручная подпись или иной способ идентификации субъекта.

Согласие может быть в простой письменной форме, электронной форме с электронной подписью или с использованием специальных видов подтверждения (галочка на сайте с фиксацией IP, времени, страницы). Для специальных категорий (здоровье, политические взгляды) и биометрии — только письменная форма, никаких галочек на сайте.

Запрещено заставлять подписывать согласие «оптом» — на все цели сразу без права выбрать. Если хотите обрабатывать данные клиента для целей договора и одновременно отправлять ему маркетинговые рассылки, требуется два раздельных согласия. Объединение в одно — нарушение, штраф по ст. 13.11 КоАП РФ.

Готовый шаблон — Согласие на обработку персональных данных. Также часто требуется Положение о персональных данных работников и Соглашение о неразглашении (NDA) для подрядчиков.

Обязанности оператора

Полный список обязанностей сложен, но базовый минимум знать должен каждый, кто получает хотя бы одну анкету в год.

Документы, которые обязан иметь оператор:

Политика обработки персональных данных — публикуется на сайте оператора. Содержит цели, категории субъектов, перечень обрабатываемых ПДн, права субъектов, контакты ответственного.
Положение об обработке ПДн (внутренний документ) — детализирует процедуры.
Согласия субъектов — хранятся весь срок обработки + 5 лет.
Журнал учёта обращений субъектов — фиксация запросов и ответов.
Положение о работе с конфиденциальной информацией для сотрудников, имеющих доступ к ПДн.

Технические и организационные меры:

ограничение доступа (только сотрудники с прямой необходимостью, идентификация и авторизация);
защита от несанкционированного доступа (шифрование, антивирус, межсетевые экраны);
резервное копирование и восстановление при инцидентах;
ведение журнала событий доступа.

Конкретные технические требования зависят от уровня защищённости информационной системы (УЗ-1 до УЗ-4). Большинство малого бизнеса с типичной CRM попадает в УЗ-3 или УЗ-4 — это базовый набор без сертифицированных средств.

Уведомление Роскомнадзора

С 2022 года почти любая обработка ПДн (кроме узкого перечня исключений — кадровый учёт, обработка только в рамках договора с субъектом) требует подачи уведомления в Роскомнадзор о намерении осуществлять обработку.

Уведомление подаётся до начала обработки. Форма — электронная, через сайт Роскомнадзора (для портала уведомлений требуется учётная запись).

Что указать в уведомлении:

наименование, ИНН, адрес оператора;
цель обработки;
категории и состав ПДн;
категории субъектов (работники, клиенты, посетители сайта);
основания обработки;
срок обработки;
наличие или отсутствие трансграничной передачи;
меры по обеспечению безопасности.

После подачи оператор попадает в Реестр операторов ПДн, и любое изменение в составе обработки требует уведомления.

Локализация ПДн на территории РФ

Один из самых обсуждаемых аспектов 152-ФЗ — требование локализации. Статья 18, ч. 5 требует: при сборе ПДн граждан РФ оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн в базах данных, находящихся на территории РФ.

Это значит:

основная база данных (CRM, кадровая система, БД сайта) физически размещена на серверах в России;
зарубежное облако (Google Drive, Dropbox, AWS) — нельзя как основное хранилище;
зарубежные сервисы рассылок (Mailchimp, SendGrid) — только если есть резервная локальная база.

Для сайтов это часто решается переносом на хостинг внутри РФ (Selectel, Yandex Cloud, MTS Cloud) либо использованием специальных «локализованных» версий зарубежных сервисов.

При трансграничной передаче ПДн в страны, не обеспечивающие адекватной защиты (определяет Роскомнадзор), требуется отдельное письменное согласие субъекта на трансграничную передачу.

Штрафы и ответственность

С 2025 года ответственность по ст. 13.11 КоАП РФ ужесточена многократно. Штрафы рассчитываются исходя из количества пострадавших субъектов.

Базовые нарушения (отсутствие согласия, нарушение целей):

для граждан — от 5 000 до 20 000 ₽;
для должностных лиц — от 50 000 до 200 000 ₽;
для ИП — от 100 000 до 300 000 ₽;
для юрлиц — от 300 000 до 700 000 ₽.

Утечка ПДн (за первый эпизод):

от 3 миллионов до 15 миллионов ₽ при количестве пострадавших до 100 000 субъектов;
от 10 до 50 миллионов ₽ при количестве 100 000 — 10 миллионов субъектов;
от 15 до 18 миллионов ₽ при количестве свыше 10 миллионов субъектов плюс специальная категория.

Повторная утечка:

оборотный штраф 0,1-3% от выручки за предшествующий год, но не менее 25 миллионов и не более 500 миллионов ₽.

Помимо административных штрафов, оператор может быть привлечён к гражданско-правовой ответственности — субъект ПДн вправе требовать возмещения убытков, морального вреда и удаления данных.

Уголовная ответственность ограничена случаями неправомерного доступа к компьютерной информации (ст. 272 УК РФ) и нарушения тайны переписки (ст. 138 УК РФ). Уголовная ответственность за «обычную» утечку ПДн пока обсуждается, но в КоАП — уже жёсткая.

Права субъекта ПДн

Если вы — гражданин и ваши данные обрабатывают, у вас есть набор прав, который оператор обязан реализовать.

Право на информацию. Запросить у оператора любую информацию о составе ваших ПДн, целях, основаниях, сроках, лицах, которым переданы данные. Оператор обязан ответить в течение 30 дней с момента запроса.

Право на уточнение, блокировку, уничтожение. Если данные неточны, устарели или их обработка не предусмотрена законом — оператор обязан исправить или удалить.

Право отозвать согласие. В любой момент, в той же форме, в которой согласие давалось. После отзыва оператор обязан прекратить обработку (за исключением обработок, не требующих согласия — кадровый учёт, исполнение договора и т.п.).

Право жаловаться. Через портал Роскомнадзора, в прокуратуру или в суд. Жалоба бесплатна. См. как пожаловаться в Роскомнадзор — аналогичный механизм применим и здесь.

Право на возмещение. Через суд можно потребовать компенсацию морального вреда и убытков, причинённых незаконной обработкой. Размер компенсации судебной практикой невелик (5-50 тысяч рублей за стандартный случай), но при крупных утечках — растёт.

Что делать бизнесу: чек-лист на 2026 год

Минимальный набор действий, который должен сделать каждый оператор:

Определить, что вы обрабатываете. Составить список всех ПДн (сотрудники, клиенты, посетители сайта, контрагенты).
Назначить ответственного за организацию обработки ПДн — приказом, с должностной инструкцией.
Разработать политику обработки ПДн и опубликовать её на сайте.
Разработать положение об обработке ПДн (внутренний документ).
Собрать согласия субъектов с правильными формулировками.
Уведомить Роскомнадзор о намерении обрабатывать ПДн.
Перенести базы данных в РФ (если ещё не сделано).
Внедрить технические меры — разграничение доступа, антивирус, бэкапы.
Обучить сотрудников работе с ПДн (под подпись).
Подготовить процедуру реагирования на инциденты — что делать при утечке (24 часа на уведомление Роскомнадзора).

Большинство задач решается через стандартный пакет документов: политика, положение, согласия, должностные инструкции. См. Положение о персональных данных работников и Образец соглашения о неразглашении информации — это базовый минимум для типичного малого бизнеса.