Защита персональных данных

Защита персональных данных - это комплекс правовых, организационных и технических мер, направленных на предотвращение несанкционированного сбора, хранения, передачи и использования сведений о физических лицах. Правовую основу составляет Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». По состоянию на май 2026 года требования к операторам существенно ужесточены: штрафы за нарушения достигают 15 млн рублей, а с 2024 года введена уголовная ответственность за незаконный оборот баз данных. Любая компания, обрабатывающая данные клиентов, сотрудников или контрагентов, является оператором персональных данных и несёт полную ответственность за их защиту.

Тема актуальна для бизнеса любого масштаба: интернет-магазины, HR-отделы, медицинские организации, банки и даже небольшие ИП, ведущие клиентские базы, обязаны соблюдать требования 152-ФЗ. Роскомнадзор усилил надзорную активность: число проверок в 2024 году выросло на 40% по сравнению с 2022 годом. Нарушения влекут административные штрафы, блокировку сервисов и гражданско-правовые иски от субъектов данных. Статья разбирает ключевые обязанности оператора, порядок получения согласия, трансграничную передачу данных, ответственность и стратегию защиты при проверке.

Кто является оператором персональных данных и какие обязанности он несёт?

Оператор персональных данных - это любое юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных, а также определяет цели и содержание такой обработки (статья 3 Федерального закона № 152-ФЗ). Обязанности оператора включают уведомление Роскомнадзора, получение согласия субъектов, обеспечение конфиденциальности и реагирование на запросы об удалении данных в течение 30 дней.

Статус оператора возникает автоматически - с момента, когда компания начинает собирать любые сведения о физических лицах: имена, телефоны, email-адреса, IP-адреса, cookie-файлы. Многие предприниматели ошибочно полагают, что небольшой объём данных освобождает от обязанностей. Это не так: закон не устанавливает минимального порога. Даже таблица Excel с контактами клиентов - это база персональных данных.

Ключевые обязанности оператора по 152-ФЗ:

• Уведомить Роскомнадзор о начале обработки персональных данных до начала обработки (статья 22 закона № 152-ФЗ) - исключения ограничены и касаются данных сотрудников в рамках трудовых отношений.
• Разработать и опубликовать политику обработки персональных данных - документ должен быть доступен на сайте и содержать цели, правовые основания и сроки хранения данных.
• Назначить ответственного за организацию обработки персональных данных - конкретное должностное лицо или подразделение.
• Обеспечить технические меры защиты в соответствии с уровнем защищённости, установленным Постановлением Правительства РФ № 1119 от 2012 года.
• Реагировать на запросы субъектов данных об ознакомлении, исправлении или удалении их данных в установленные сроки.

Частая ошибка - уведомить Роскомнадзор один раз и забыть об актуализации. При изменении целей обработки, категорий данных или способов их хранения оператор обязан подать уточнённое уведомление. Проверяющие запрашивают журнал изменений, и расхождение между уведомлением и фактической практикой становится самостоятельным основанием для штрафа.

Неочевидный риск: компании, использующие облачные сервисы иностранных провайдеров (Google Workspace, Microsoft 365, Salesforce), фактически осуществляют трансграничную передачу данных. Это требует отдельного правового обоснования и, в ряде случаев, предварительного уведомления Роскомнадзора по статье 12 закона № 152-ФЗ.

Пропуск обязанности по уведомлению Роскомнадзора или несвоевременное реагирование на запрос субъекта данных влечёт штраф до 300 000 рублей для юридических лиц по статье 13.11 КоАП РФ - и это только за одно нарушение. При повторном нарушении сумма удваивается.

Операторы, обрабатывающие биометрические данные, специальные категории (сведения о здоровье, политических взглядах, судимостях) или данные несовершеннолетних, несут повышенные требования. Для таких категорий необходимо явное письменное согласие субъекта, а технические меры защиты должны соответствовать первому или второму уровню защищённости.

Операторы обязаны хранить персональные данные граждан России на серверах, расположенных на территории Российской Федерации (статья 18.1 закона № 152-ФЗ). Требование о локализации действует с 2015 года, однако Роскомнадзор активизировал проверки именно в этой части начиная с 2022 года. Нарушение локализации - одно из наиболее частых оснований для блокировки сервисов.

На практике важно учитывать: требование локализации распространяется на первичный сбор и хранение данных, но не запрещает последующую трансграничную передачу при соблюдении условий статьи 12 закона № 152-ФЗ. Это разграничение позволяет международным компаниям работать с российскими пользователями, сохраняя глобальную инфраструктуру.

Если ваша компания обрабатывает данные клиентов, сотрудников или пользователей сайта, но документация не приведена в соответствие с 152-ФЗ, риск штрафа при плановой или внеплановой проверке Роскомнадзора составляет от 60 000 до 15 000 000 рублей в зависимости от вида нарушения.

Как правильно получить согласие на обработку персональных данных?

Согласие субъекта персональных данных - это свободное, конкретное, информированное и однозначное волеизъявление, оформленное в письменной или электронной форме (статья 9 Федерального закона № 152-ФЗ). Согласие должно содержать: наименование оператора, цель обработки, перечень данных, срок действия и порядок отзыва. Отсутствие хотя бы одного элемента делает согласие недействительным, а обработку данных - незаконной.

Закон допускает несколько правовых оснований для обработки данных без согласия: исполнение договора с субъектом, выполнение обязанностей работодателя, соблюдение требований закона. Однако маркетинговые рассылки, передача данных третьим лицам и обработка в целях, не связанных с основным договором, требуют отдельного согласия.

На практике важно учитывать: галочка «согласен с условиями» в форме регистрации не является надлежащим согласием на обработку персональных данных, если она предустановлена или объединяет несколько разных целей обработки. Роскомнадзор квалифицирует такую практику как нарушение принципа конкретности согласия.

Требования к форме согласия зависят от категории данных. Для обычных данных достаточно электронной формы с явным действием пользователя (нажатие кнопки, проставление отметки). Для специальных категорий данных (здоровье, биометрия) требуется письменное согласие с собственноручной или квалифицированной электронной подписью субъекта.

Отзыв согласия - отдельная зона риска. Субъект вправе отозвать согласие в любой момент, и оператор обязан прекратить обработку в течение 30 дней. Многие компании не имеют технической возможности оперативно удалить данные из всех систем - это создаёт разрыв между юридической обязанностью и фактическим исполнением. Роскомнадзор при проверке запрашивает журнал обращений субъектов и сроки реагирования.

Для подготовки корректной документации по согласиям подготовьте:

• Реестр всех точек сбора данных (сайт, мобильное приложение, бумажные анкеты, CRM) с указанием целей обработки в каждой точке.
• Матрицу правовых оснований: для каждой цели обработки - основание (согласие, договор, закон) и соответствующий документ.
• Шаблоны форм согласия для каждой категории данных с обязательными реквизитами по статье 9 закона № 152-ФЗ.
• Регламент обработки запросов субъектов с фиксацией сроков и ответственных лиц.

Какова ответственность за нарушение законодательства о персональных данных?

Ответственность за нарушения в сфере персональных данных в России предусмотрена тремя видами: административная по статье 13.11 КоАП РФ (штрафы от 60 000 до 15 000 000 рублей), гражданско-правовая в виде компенсации морального вреда субъектам данных, и уголовная по статье 272 УК РФ за неправомерный доступ к охраняемой компьютерной информации - до 4 лет лишения свободы.

Статья 13.11 КоАП РФ содержит 9 самостоятельных составов нарушений. Каждый состав - отдельный штраф. Это означает, что при одной проверке компания может получить несколько постановлений одновременно. Максимальный штраф в 15 млн рублей установлен за повторную утечку данных, затронувшую более 10 000 субъектов.

С 30 мая 2024 года введена уголовная ответственность за незаконный оборот баз персональных данных (статья 272.1 УК РФ). Санкция - до 10 лет лишения свободы при квалифицирующих признаках (организованная группа, данные несовершеннолетних, данные о состоянии здоровья). Норма направлена прежде всего против продавцов баз данных, однако может применяться и к должностным лицам компаний, допустившим утечку.

Гражданско-правовая ответственность реализуется через иски субъектов данных о компенсации морального вреда. Суды общей юрисдикции взыскивают от 5 000 до 500 000 рублей за одного субъекта в зависимости от характера нарушения и доказанных последствий. При массовой утечке число истцов может исчисляться тысячами.

Пропуск срока уведомления Роскомнадзора об утечке данных - отдельный состав нарушения. С 2022 года оператор обязан уведомить регулятора в течение 24 часов с момента обнаружения инцидента, а в течение 72 часов - направить расширенное уведомление с результатами внутреннего расследования. Нарушение этих сроков влечёт штраф до 3 000 000 рублей.

Самостоятельная подготовка возражений на предписание Роскомнадзора без анализа доказательственной базы и понимания процедуры административного производства приводит к тому, что нарушения фиксируются в полном объёме - средний размер штрафов по итогам проверок в 2024 году составил, по данным Роскомнадзора, около 2,5 млн рублей на одного оператора.

Если компания уже получила предписание или уведомление о проверке, но ещё не подготовила возражения, важно понимать: сроки на ответ ограничены, а неправильно оформленные возражения могут усугубить позицию.

Трансграничная передача персональных данных: как соблюсти требования закона?

Трансграничная передача персональных данных - это передача данных на территорию иностранного государства иностранному органу власти, иностранному физическому или юридическому лицу (статья 12 Федерального закона № 152-ФЗ). До начала такой передачи оператор обязан убедиться, что иностранное государство обеспечивает адекватную защиту данных, либо получить разрешение Роскомнадзора. Нарушение этого порядка влечёт штраф до 6 000 000 рублей.

Роскомнадзор ведёт перечень государств, обеспечивающих адекватную защиту персональных данных. В него входят все государства - члены Совета Европы, ратифицировавшие Конвенцию № 108, а также ряд других стран. Передача данных в государства из перечня не требует предварительного уведомления регулятора.

Передача данных в государства, не включённые в перечень (США, Китай, большинство стран Азии и Африки), требует предварительного уведомления Роскомнадзора. Уведомление подаётся через личный кабинет на портале регулятора не менее чем за 10 рабочих дней до начала передачи. Оператор должен указать цель передачи, категории данных, наименование получателя и правовое основание.

На практике важно учитывать: использование иностранных аналитических сервисов (счётчики посещаемости, рекламные пиксели, системы A/B-тестирования) автоматически означает трансграничную передачу данных посетителей сайта. Многие компании не осознают этого факта до момента проверки. Роскомнадзор квалифицирует такую передачу как нарушение статьи 12 закона № 152-ФЗ.

Три сценария для разных типов бизнеса:

• Интернет-магазин с иностранной платёжной системой: передача данных покупателей требует уведомления Роскомнадзора и включения соответствующего раздела в политику конфиденциальности.
• IT-компания с распределённой командой: передача данных сотрудников иностранным подрядчикам или в иностранные HR-системы требует отдельного правового обоснования и согласия работников.
• Медицинская организация с иностранным программным обеспечением: передача медицинских данных за рубеж относится к специальным категориям и требует явного письменного согласия каждого пациента.

Как подготовиться к проверке Роскомнадзора?

Плановая проверка Роскомнадзора проводится не чаще одного раза в три года и охватывает весь комплекс требований 152-ФЗ: наличие уведомления об обработке, документацию, технические меры защиты, порядок работы с запросами субъектов и соблюдение требований локализации. Внеплановая проверка инициируется по жалобе субъекта данных или по результатам мониторинга сайта - без предварительного уведомления оператора.

Роскомнадзор при проверке запрашивает стандартный пакет документов. Его отсутствие или несоответствие фактической практике - основание для штрафа даже при отсутствии реальных нарушений прав субъектов.

Минимальный комплект документации оператора персональных данных:

• Политика обработки персональных данных - опубликована на сайте, содержит все обязательные разделы по статье 18.1 закона № 152-ФЗ.
• Приказ о назначении ответственного за организацию обработки персональных данных с должностной инструкцией.
• Перечень информационных систем персональных данных с указанием уровня защищённости для каждой системы.
• Журнал обращений субъектов персональных данных с отметками о сроках и результатах рассмотрения.
• Договоры с третьими лицами, которым передаются данные (поручение на обработку по статье 6 закона № 152-ФЗ).

Неочевидный риск: договоры с подрядчиками (колл-центры, IT-аутсорсинг, облачные провайдеры), которым оператор передаёт данные, должны содержать условие о поручении на обработку персональных данных. Если такого условия нет, передача данных подрядчику является незаконной - оператор несёт ответственность за действия подрядчика как за свои собственные.

Технические меры защиты должны соответствовать уровню защищённости информационной системы. Уровень определяется по матрице, установленной Постановлением Правительства РФ № 1119: зависит от категории данных, числа субъектов и типа угроз. Для большинства коммерческих организаций достаточен третий или четвёртый уровень защищённости, однако требования к нему включают антивирусную защиту, разграничение доступа и ведение журналов событий безопасности.

Многие недооценивают значение технической документации: акты классификации информационных систем, модели угроз и технические задания на защиту данных - это не формальность, а доказательства выполнения требований при проверке. Их отсутствие автоматически означает нарушение по части 1 статьи 13.11 КоАП РФ.

Частые вопросы

1. Нужно ли уведомлять Роскомнадзор, если компания обрабатывает только данные своих сотрудников?

Обработка персональных данных исключительно в рамках трудовых отношений освобождает оператора от обязанности уведомлять Роскомнадзор согласно пункту 1 части 2 статьи 22 Федерального закона № 152-ФЗ. Однако исключение действует строго: если компания использует данные сотрудников в маркетинговых целях, передаёт их третьим лицам или хранит в облачных системах иностранных провайдеров - уведомление обязательно. На практике большинство компаний, имеющих сайт с формой обратной связи или клиентскую базу, обязаны уведомить регулятора.

2. Какой штраф грозит за отсутствие политики обработки персональных данных на сайте?

Отсутствие политики обработки персональных данных на сайте влечёт штраф от 30 000 до 60 000 рублей для юридических лиц по части 3 статьи 13.11 КоАП РФ. Штраф назначается за каждый факт нарушения. Если политика есть, но не содержит обязательных разделов (цели обработки, правовые основания, сроки хранения, порядок отзыва согласия), Роскомнадзор квалифицирует это как то же нарушение. Публикация политики в нечитаемом формате или только на иностранном языке также является нарушением.

3. Как правильно оформить передачу персональных данных подрядчику?

Передача персональных данных подрядчику оформляется договором поручения на обработку персональных данных в соответствии со статьёй 6 Федерального закона № 152-ФЗ. Договор должен содержать: перечень передаваемых данных, цели и способы обработки, обязанность подрядчика соблюдать конфиденциальность и требования закона, а также право оператора проверять исполнение. Без такого договора оператор несёт ответственность за действия подрядчика как за свои собственные, включая штрафы за нарушения, допущенные подрядчиком.

4. В течение какого срока оператор обязан удалить данные по запросу субъекта?

Оператор обязан прекратить обработку и уничтожить персональные данные в течение 30 дней с момента получения требования субъекта об отзыве согласия или удалении данных согласно статье 21 Федерального закона № 152-ФЗ. Если данные обрабатываются на основании договора или требования закона - оператор вправе отказать в удалении, но обязан письменно обосновать отказ. Нарушение срока удаления влечёт штраф до 500 000 рублей для юридических лиц.

5. Что считается утечкой персональных данных и как о ней уведомить Роскомнадзор?

Утечка персональных данных - это любой неправомерный доступ к данным, их распространение или уничтожение без согласия оператора, включая взломы, ошибочную отправку данных третьим лицам и кражу носителей информации. Оператор обязан уведомить Роскомнадзор через портал регулятора в течение 24 часов с момента обнаружения инцидента (первичное уведомление) и в течение 72 часов направить расширенное уведомление с результатами внутреннего расследования согласно статье 21.1 Федерального закона № 152-ФЗ. Нарушение сроков уведомления - самостоятельный состав нарушения со штрафом до 3 000 000 рублей.

Защита персональных данных - это не разовая задача по разработке политики конфиденциальности, а постоянный процесс: актуализация документации при изменении бизнес-процессов, мониторинг изменений законодательства, техническая защита систем и реагирование на инциденты. Компании, выстроившие системный подход к комплаенсу 152-ФЗ, существенно снижают риски штрафов и репутационных потерь при утечках данных.

Юридическая фирма «Ветров и партнёры» сопровождает операторов персональных данных с 2009 года: от первичного аудита и разработки документации до защиты интересов в административных производствах Роскомнадзора и судебных спорах с субъектами данных. Практика охватывает IT-компании, ритейл, медицинские организации, финансовый сектор и промышленные предприятия.