Команда госдело.рф personal-data 592 слов

ФЗ-152 о персональных данных обязанности оператора

ФЗ-152 о персональных данных обязанности оператора — практическое руководство по нормам РФ 2026 года: сроки, суммы, процедура, ссылки на Персональные данные.

ФЗ-152ФЗ-149

ФЗ-152 о персональных данных обязанности оператора

Федеральный закон от 27.07.2006 № 152-ФЗ устанавливает единые требования к работе с персональными данными на территории Российской Федерации. В статье раскрываются обязанности лица, организующего обработку ПДн, включая порядок их формирования, учёта, защиты и передачи третьим лицам.

Принцип законности целей и способов обработки

Оператор обязан определить цели сбора персональных данных до начала взаимодействия с субъектом (ч. 1 ст. 5 ФЗ-152). Цели должны быть конкретными, документально зафиксированными и не противоречить федеральному законодательству. Например, целью обработки ФИО и СНИЛС при приёме на работу является исполнение трудового договора.

Срок хранения документов с персональными данными — не менее пяти лет после прекращения трудовых отношений (ч. 3 ст. 6 закона). В отношении сведений, подлежащих обязательному хранению в архиве (налоговые декларации, трудовые книжки), сроки устанавливаются нормативными актами, но для большинства кадровых данных действуют именно пять лет.

Формирование и ведение баз персональных данных

Все операции с персональными данными должны регистрироваться в журнале учёта обработки ПДн. Журнал подлежит хранению не менее пяти лет после окончания года, за который произведены записи (ч. 7 ст. 18 ФЗ-152). В журнале фиксируются: дата и время получения/изменения данных, фамилия, должность ответственного сотрудника, основание для операции.

Копия журнала хранится у оператора и в обособленном подразделении (при наличии), а также предоставляется по запросу Роскомнадзора или суда не позднее 30 календарных дней со дня получения требования. Нарушение порядка ведения учёта влечет предупреждение или штраф от 10 до 60 тысяч рублей (ст. 13.11 КоАП РФ).

Требования к защите персональных данных

Оператор обязан организовать систему защиты, включающую организационные и технические меры (ч. 1 ст. 19 ФЗ-152). В перечень мер входят: • ограничение доступа в помещения для обработки ПДн; • защита информационных систем от неправомерного доступа с использованием сертифицированных средств (например, межсетевых экранов не ниже второго класса защиты); • назначение ответственного за организацию обработки ПДн; • проведение оценки вреда, который может быть причинён субъектам.

Срок действия мер защиты — до их актуализации или отмены. За неисполнение требований по защите оператору грозит административный штраф: для должностных лиц 10–30 тысяч рублей; для юридических лиц — от 60 до 100 тысяч рублей (ст. 13.11 КоАП РФ).

Передача персональных данных третьим лицам

Передача ПДн допускается только при наличии согласия в письменной форме или исполнении договора, если это необходимо для исполнения договора с согласия субъекта (ч. 1 ст. 6 ФЗ-152). При трансграничной передаче оператор обязан обеспечить адекватную защиту прав субъектов.

Согласие должно содержать наименование и адрес оператора, сведения о цели обработки, перечень обрабатываемых данных, срок действия согласия и порядок его отзыва. Отзыв согласия влечёт прекращение обработки ПДн за исключением случаев, предусмотренных законом. Нарушение порядка передачи — штраф до 300 тысяч рублей (ст. 13.11 КоАП РФ).

Передача персональных данных в государственные органы

По требованию Роскомнадзора или суда оператор обязан предоставить сведения о ведении реестра операторов и результаты проверок не позднее 30 дней с момента требования (ч. 5 ст. 22 ФЗ-152). В запросе указываются: дата, адрес органа, перечень запрашиваемых сведений.

Сведения из реестров размещаются на сайте Роскомнадзора в открытом доступе без персональных данных субъектов. Невыполнение требований о раскрытии информации — штраф для юрлиц от 300 до 700 тысяч рублей (ст. 19.7 КоАП РФ).

Что важно запомнить

  • Оператор обязан иметь законные цели и основания обработки ПДн, зафиксированные в локальных актах.
  • Вести журнал учёта операций с персональными данными: срок хранения — 5 лет после года завершения отношений.
  • Обеспечить защиту информации на уровне организационных и технических мер (согласно ст. 19 ФЗ-152).
  • Передавать ПДн третьим лицам только по согласию или в рамках договора, при трансграничной передаче — соблюдать критерии адекватности защиты.
  • Предоставлять информацию Роскомнадзору и судам в срок не позднее 30 дней с даты требования под угрозой штрафа до 700 тыс. руб.

Похожие материалы

Информационный сервис, не юридическая консультация. Источник данных — КонсультантПлюс и publication.pravo.gov.ru. Для важных решений сверяйтесь с актуальной редакцией закона или обратитесь к юристу.