AZEXO

Правовая подготовка по 152-ФЗ «О персональных данных»: пошаговое руководство для оператора

от автора

Андрей Солодухин
в

Обработка персональных данных (ПДн) в Российской Федерации регулируется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и множеством подзаконных актов. Несоблюдение требований влечет административную, гражданскую и даже уголовную ответственность.

Данная статья представляет собой практическое руководство для организаций и физических лиц (операторов), помогающее систематизировать работу по приведению деятельности в соответствие с законодательством. Материал основан на актуальных текстах нормативных правовых актов, включая изменения, вступившие в силу к 2026 году.

Шаг 1. Инвентаризация процессов обработки ПДн

Прежде чем внедрять меры защиты, необходимо понять, какие данные и как обрабатываются.

  1. Определите состав данных. Согласно ст. 3 152-ФЗ, персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу.
    • Общедоступные: ФИО, год рождения, профессия (если субъект дал согласие на распространение).
    • Специальные: раса, здоровье, убеждения (обработка запрещена, за исключением случаев ст. 10 152-ФЗ).
    • Биометрические: физиологические особенности для установления личности (только с письменного согласия, ст. 11 152-ФЗ).
    • Иные: любая другая информация (паспорт, телефон, email).
  2. Определите способы обработки.
    • Автоматизированная: с помощью средств вычислительной техники (ИСПДн).
    • Неавтоматизированная: бумажные картотеки, журналы, где действия совершаются при непосредственном участии человека (регулируется Постановлением Правительства РФ от 15.09.2008 № 687).
  3. Выявите цели обработки. Согласно ст. 5 152-ФЗ, обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Нельзя обрабатывать данные «про запас».

Шаг 2. Правовые основания для обработки

Согласно ст. 6 152-ФЗ, обработка допускается только при наличии законного основания. Согласие субъекта — лишь одно из них.

Основные основания:

  • Согласие субъекта ПДн (ст. 9). С 2025 года ужесточены требования к согласию на распространение ПДн (ст. 10.1).
  • Исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6).
  • Исполнение обязанностей, предусмотренных законом (например, кадровый учет, налогообложение) (п. 2 ч. 1 ст. 6).
  • Защита жизни и здоровья (п. 6 ч. 1 ст. 6).

Важно: Если обработка ведется исключительно на основании договора или закона, получение отдельного согласия на обработку может не требоваться, однако оператор обязан уведомить субъекта о своих действиях (ст. 18).

Шаг 3. Уведомление Роскомнадзора

Согласно ст. 22 152-ФЗ, оператор до начала обработки обязан уведомить уполномоченный орган (Роскомнадзор). Актуальный реестр операторов публикуется на официальном сайте.

Исключения (когда уведомлять не нужно):

  • Данные обрабатываются только для исполнения конкретного договора с субъектом (если данные не передаются третьим лицам без согласия).
  • Данные входят в государственные информационные системы.
  • Обработка осуществляется исключительно без использования средств автоматизации (бумажные журналы пропуска и т.д., при условии соблюдения требований ст. 22 № 152-ФЗ).
  • Данные сотрудников оператора (при условии соблюдения требований трудового законодательства и не передачи данных третьим лицам без согласия).

Рекомендация: В случае сомнений целесообразно подать уведомление, чтобы избежать рисков признания обработки нелегальной. Официальный сайт Роскомнадзора содержит актуальные формы и разъяснения.

Шаг 4. Организация защиты информации (для автоматизированных систем)

Если вы используете компьютеры, серверы или облачные сервисы для хранения ПДн, вы эксплуатируете Информационную Систему Персональных Данных (ИСПДн). Требования к защите регулируются Постановлением Правительства РФ от 01.11.2012 № 1119.

4.1. Определение уровня защищенности

Всего существует 4 уровня защищенности (от 1 — highest, до 4 — lowest). Уровень зависит от:

  1. Категории данных: специальные, биометрические, иные, общедоступные.
  2. Количества субъектов: более или менее 100 000 человек.
  3. Типа угроз:
    • 1 тип: угрозы актуальны для системного ПО (недекларированные возможности ОС).
    • 2 тип: угрозы актуальны для прикладного ПО.
    • 3 тип: угрозы не связаны с недекларированными возможностями ПО.

Пример: Если вы храните паспортные данные клиентов (иные ПДн) менее 100 000 человек и у вас актуальны угрозы 3-го типа (например, нет выхода в интернет, стандартное ПО), вам может соответствовать 4-й уровень защищенности.

4.2. Выбор мер защиты (Приказ ФСТЭК России от 18.02.2013 № 21)

Для каждого уровня защищенности существует базовый набор мер. Всего выделено 15 групп мер, включая:

  • Идентификация и аутентификация (ИАФ).
  • Управление доступом (УПД).
  • Антивирусная защита (АВЗ).
  • Регистрация событий безопасности (РСБ).
  • Обеспечение целостности (ОЦЛ) и доступности (ОДТ).

Действия оператора:

  1. Определить актуальные угрозы (используя «Методику определения актуальных угроз…» ФСТЭК и «Базовую модель угроз…»).
  2. Выбрать базовый набор мер согласно Приложению к Приказу № 21 для вашего уровня.
  3. Адаптировать набор под свою инфраструктуру (исключить неприменимые меры, например, защиту виртуализации, если виртуализация не используется).
  4. Внедрить технические средства (СЗИ), прошедшие процедуру оценки соответствия (сертифицированные ФСТЭК), если это необходимо для нейтрализации угроз.

4.3. Криптографическая защита (Приказ ФСБ России от 10.07.2014 № 378)

Если для защиты данных требуется шифрование (например, передача по открытым каналам связи или хранение на съемных носителях), необходимо использовать средства криптографической защиты информации (СКЗИ).

  • Для 4-го уровня защищенности при угрозах 3-го типа достаточно СКЗИ класса КС1.
  • Для более высоких уровней и типов угроз могут требоваться классы КС2, КС3, КВ, КА.

Шаг 5. Защита при неавтоматизированной обработке (бумажные носители)

Если вы ведете бумажные журналы, личные дела или анкеты, действует Постановление Правительства РФ от 15.09.2008 № 687.

Ключевые требования:

  • Обособление: ПДн должны храниться отдельно от другой информации (в отдельных папках, разделах).
  • Несовместимость целей: Нельзя на одном носителе хранить данные с несовместимыми целями обработки.
  • Доступ: Должен быть утвержден перечень лиц, имеющих доступ к материальным носителям.
  • Учет: Журналы учета доступа и движения носителей.
  • Хранение: В условиях, исключающих несанкционированный доступ (сейфы, закрываемые помещения).

Шаг 6. Работа с правами субъектов и инцидентами

6.1. Запросы субъектов

Согласно ст. 14, 20, 21 152-ФЗ, субъект имеет право знать, какие данные обрабатываются, требовать их уточнения, блокирования или уничтожения.

  • Срок ответа: 10 рабочих дней (может быть продлен еще на 5 дней с уведомлением).
  • Процедура: Необходимо иметь регламент обработки таких запросов и журнал их учета.

6.2. Инциденты безопасности

С 2022 года (ч. 3.1 ст. 21 152-ФЗ) ужесточены требования к реагированию на утечки.

  • Уведомление Роскомнадзора: В течение 24 часов с момента выявления инцидента (сообщение о факте, причинах, вреде).
  • Результаты расследования: В течение 72 часов (сведения о лицах, причинах).
  • Реестр инцидентов: Оператор должен вести учет инцидентов.

Шаг 7. Трансграничная передача данных

Статья 12 152-ФЗ регулирует передачу данных за рубеж.

  • Уведомление: Оператор обязан уведомить Роскомнадзор о намерении осуществлять трансграничную передачу (отдельно от уведомления об обработке).
  • Ограничения: Передача может быть запрещена в целях защиты основ конституционного строя, безопасности государства и т.д.
  • Локализация: Согласно ч. 5 ст. 18, запись, систематизация и хранение ПДн граждан РФ должны осуществляться с использованием баз данных, находящихся на территории России (за исключением случаев, предусмотренных международными договорами или законом).

Шаг 8. Документальное оформление (Локальные акты)

Оператор обязан иметь пакет внутренних документов (ст. 18.1 152-ФЗ):

  1. Политика обработки ПДн: Публикуется на сайте или предоставляется субъектам.
  2. Приказы: О назначении ответственного за организацию обработки ПДн, об утверждении перечня лиц, имеющих доступ.
  3. Инструкции: Для пользователей ИСПДн, администраторов безопасности.
  4. Журналы: Учета носителей, учета обращений субъектов, учета инцидентов.
  5. Модель угроз: Документ с анализом актуальных угроз безопасности.
  6. Технический паспорт ИСПДн: Описание системы защиты.

Чек-лист для самопроверки

  1. [ ] Проведена инвентаризация всех процессов обработки ПДн.
  2. [ ] Определены правовые основания для каждой цели обработки.
  3. [ ] Подано уведомление в Роскомнадзор (если нет исключений).
  4. [ ] Разработана и опубликована Политика обработки ПДн.
  5. [ ] Назначен ответственный за организацию обработки ПДн (для юрлиц).
  6. [ ] Определен уровень защищенности ИСПДн (Постановление № 1119).
  7. [ ] Внедрены меры защиты согласно Приказу ФСТЭК № 21 и ФСБ № 378.
  8. [ ] Организована защита бумажных носителей (Постановление № 687).
  9. [ ] Настроено логирование и антивирусная защита.
  10. [ ] Есть процедура реагирования на инциденты (24/72 часа).
  11. [ ] Соблюдается требование локализации баз данных на территории РФ.

Нормативная база (основные документы)

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
  2. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
  3. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
  4. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
  5. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
  6. Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации…»
  7. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК России 15.02.2008)
  8. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК России 14.02.2008)
  9. Реестр операторов, осуществляющих обработку персональных данных (Роскомнадзор)

Заключение

Соответствие 152-ФЗ — это не разовое мероприятие, а непрерывный процесс. Регуляторная практика меняется (внесение изменений в закон происходит регулярно), поэтому оператору необходимо мониторить актуальные требования. Главное правило: защита данных должна быть адекватна угрозам, а обработка — прозрачной для субъекта данных.

Данная статья носит информационный характер и не является юридической консультацией. Для разработки конкретной документации рекомендуется обращаться к профильным специалистам.