Персональные данные 152-ФЗ для бизнеса полный гид

Персональные данные 152-ФЗ для бизнеса полный гид — практическое руководство по нормам РФ 2026 года: сроки, суммы, процедура, ссылки на Hub-страницы кластеров.

Персональные данные 152-ФЗ для бизнеса полный гид

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» определяет порядок работы с персональной информацией юридических лиц и индивидуальных предпринимателей на территории РФ. Соблюдение требований ст. 6, ст. 8–9, ст. 22 ФЗ-152 является обязательным для большинства бизнес-процессов: от найма сотрудников до передачи данных третьим лицам.

Определение персональных данных

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому/определяемому физическому лицу (субъекту). В п. 1 ст. 3 ФЗ-152 перечислены категории: фамилия, имя, отчество, адрес, номер телефона, СНИЛС, e-mail, биометрия, IP-адрес и иные сведения, позволяющие идентифицировать человека.

Юридическое лицо признаётся оператором персональных данных с момента, когда оно собирает или обрабатывает такую информацию для любой из целей (п. 3 ст. 3). Для обработки ПДн оператор обязан соблюдать требования к организационным и техническим мерам защиты: назначить ответственного за организацию обработки ПДн, утвердить документ о локальных актах, организовать физический контроль доступа в помещения.

Порядок получения согласия на обработку

Согласно ч. 1 ст. 6 ФЗ-152, согласие требуется для большинства операций с персональными данными (за исключением установленных законом случаев). Согласие должно быть:

  • оформлено в письменной форме;
  • конкретным (указана цель);
  • информированным и субъектом данных подписан.

Для обработки биометрии (п. 1 ч. 1 ст. 6) необходимо получить отдельное письменное согласие, если иное не предусмотрено ФЗ (например, для исполнения трудового договора). Срок действия согласия — до отзыва в письменной форме (ч. 2 ст. 9); отзыв оформляется уведомлением оператора за 7 дней.

Требования к трансграничной передаче

Если оператор намерен передать персональные данные на хранение или обработку иностранному лицу (за пределы ЕАЭС), он обязан обеспечить их адекватную защиту и получить предварительное согласие субъекта, если оно требуется по закону страны-адресата.

В соответствии с ч. 4 ст. 12 ФЗ-152, трансграничная передача возможна только в случае, если это не нарушает законодательство РФ. Для передачи данных в страны ЕАЭС достаточно соблюдения национального законодательства (ЕЭАС, технический регламент ТР ТС). В остальных случаях необходимо наличие решения Правительственной комиссии либо включение иностранного оператора в перечень разрешённых.

Ответственность за нарушения: размеры штрафов

Соблюдение ФЗ-152 контролируют Роскомнадзор и прокуратура. Нарушение требований по обработке или защите персональных данных влечет денежный штраф:

  • для должностных лиц: от 10 тыс. до 60 тыс. руб.;
  • для юридических лиц: от 30 тыс. до 70 тыс. руб., а при повторном нарушении — от 100 тыс. до 250 тыс. руб.;
  • за непредоставление информации по запросу Роскомнадзора или нарушение сроков — от 5 тыс. до 10 тыс. руб.

Нарушение требований к согласию (ст. 13.11 КоАП РФ) влечет штраф: для юрлиц в первый раз — от 250 до 450 тыс. руб., повторно — до 750 тыс. руб.

Локальные документы и реестр операторов

Сведения об операторе, видах обработки, целях, категориях ПДн должны быть зафиксированы во внутреннем документе «Политика в отношении обработки персональных данных» (ст. 18.1). На портале Роскомнадзора оператор обязан внести сведения о себе в Реестр операторов по обработке персональных данных; отсутствие в реестре при наличии признаков деятельности оператора — самостоятельное правонарушение.

Что важно запомнить

  • Персональные данные — это не только ФИО и паспорт, но и любые идентифицирующие признаки (телефон, e-mail, СНИЛС).
  • По умолчанию оператор обязан получить письменное согласие для любой обработки ПДн, кроме случаев, прямо установленных в законе или трудовом договоре.
  • Для трансграничной передачи — проверка на соответствие критериям ЕАЭС либо наличие решения Правительственной комиссии.
  • Минимальный штраф за нарушение ст. 13.11 КоАП РФ: 250 тыс. руб., при повторе — до 750 тыс. руб.; также возможна блокировка сайта Роскомнадзором.
  • Необходимо вести Политику по ПДн, назначить ответственного и внести данные в реестр операторов до начала обработки; отсутствие реестра — самостоятельное нарушение.

Для минимизации рисков рекомендуется провести аудит текущих операций с ПДн, актуализировать локальные акты и проверить наличие всех необходимых разрешений на передачу данных.

Похожие материалы

Информационный сервис, не юридическая консультация. Источник данных — pravo.gov.ru (ИПС «Законодательство России»). Для важных решений сверяйтесь с актуальной редакцией закона или обратитесь к юристу.