Эксперт по персональным данным 152-ФЗ
Экспертиза по защите персональных данных: 152-ФЗ, локализация, согласия, утечки, ответственность операторов ПДн, уведомление Роскомнадзора, риск-ориентированный надзор, обезличивание — актуально на февраль 2026
Персональные данные в России: 152-ФЗ
Актуально на февраль 2026 года. Учтены изменения: 420-ФЗ, 421-ФЗ (штрафы и УК), 23-ФЗ (локализация), 156-ФЗ (согласия), 233-ФЗ (обезличивание), ПП №1286 (риск-ориентированный надзор).
БЛОК 1: Базовые понятия
Определения (ст. 3 152-ФЗ)
- Персональные данные (ПДн) — любая информация, относящаяся к определённому/определяемому физлицу
- Оператор — лицо, организующее и осуществляющее обработку ПДн, определяющее её цели
- Обработка — любые действия с ПДн: сбор, запись, хранение, передача, уничтожение
Категории персональных данных
| Категория | Примеры | Режим |
|---|---|---|
| Обычные | ФИО, телефон, email, адрес | Стандартный |
| Специальные (ст. 10) | Здоровье, судимости, религия, политика | Письменное согласие |
| Биометрические (ст. 11) | Изображение лица, голос, отпечатки | Письменное согласие, ЕБС |
БЛОК 2: Регистрация в Роскомнадзоре
Обязанность уведомления
С 01.09.2022 большинство исключений утратили силу. Практически все операторы обязаны уведомить РКН до начала обработки.
Исключения (ч. 2 ст. 22):
- Государственные ИС для защиты безопасности (п. 7)
- Обработка только на бумаге без передачи третьим лицам (п. 8)
- Транспортная безопасность (п. 9)
Процедура
- Портал: pd.rkn.gov.ru (с УКЭП) или на бумаге
- Срок внесения в реестр: 30 дней
- Изменения: до 15-го числа следующего месяца
Штраф за отсутствие регистрации (с 30.05.2025)
100 000 – 300 000 ₽ для юрлиц и ИП (ч. 10 ст. 13.11 КоАП)
БЛОК 3: Требования к согласиям (с 01.09.2025)
Новые правила (156-ФЗ)
- Согласие — отдельный документ (не в договоре/оферте)
- Отдельное согласие на каждую цель обработки
- Ранее полученные согласия (до 01.09.2025) сохраняют силу
Обязательные реквизиты согласия
- ФИО и паспортные данные субъекта
- Наименование оператора
- Конкретная цель обработки
- Перечень ПДн и действий с ними
- Срок действия и способ отзыва
- Подпись субъекта
Письменная форма обязательна при:
- Обработке специальных категорий ПДн
- Обработке биометрических данных
- Трансграничной передаче в страны без адекватной защиты
Обработка без согласия (ст. 6)
Допускается при: исполнении договора, исполнении обязанностей по закону, защите жизни/здоровья, осуществлении правосудия, законных интересах оператора, журналистской/научной деятельности.
БЛОК 4: Административная ответственность
Скидка 50% на штрафы по ст. 13.11 КоАП НЕ применяется.
Штрафы за утечки (юрлица, с 30.05.2025)
| Масштаб утечки | Штраф |
|---|---|
| 1 000 – 10 000 субъектов | 3 – 5 млн ₽ |
| 10 000 – 100 000 субъектов | 5 – 10 млн ₽ |
| > 100 000 субъектов | 10 – 15 млн ₽ |
| Специальные категории ПДн | 10 – 15 млн ₽ |
| Биометрические данные | 15 – 20 млн ₽ |
| Повторная утечка | 1–3% выручки (min 20 млн, max 500 млн ₽) |
Иные штрафы (юрлица)
| Нарушение | Штраф |
|---|---|
| Неуведомление РКН о начале обработки | 100 000 – 300 000 ₽ |
| Неуведомление об утечке (24+72 ч) | 1 – 3 млн ₽ |
| Обработка без письменного согласия | 300 000 – 700 000 ₽ |
| Нарушение локализации (первое) | 1 – 6 млн ₽ |
| Нарушение локализации (повторное) | 6 – 18 млн ₽ |
| Непубликация политики на сайте | 15 000 – 30 000 ₽ |
| Обработка без письменного согласия (повторное) | 1 – 1,5 млн ₽ |
| Незаконная передача биометрии | 25 – 50 млн ₽ |
БЛОК 5: Уголовная ответственность (ст. 272.1 УК)
Действует с 11.12.2024 (421-ФЗ). Криминализирует незаконный сбор, использование, передачу, хранение ПДн, полученных неправомерным путём.
| Состав | Наказание |
|---|---|
| Базовый (ч. 1) | до 4 лет лишения свободы |
| Несовершеннолетние / спецкатегории / биометрия (ч. 2) | до 5 лет |
| Корысть / группа лиц / служебное положение (ч. 3) | до 6 лет + штраф до 1 млн ₽ |
| Трансграничная передача (ч. 4) | до 8 лет + штраф до 2 млн ₽ |
| Тяжкие последствия / ОПГ (ч. 5) | до 10 лет + штраф до 3 млн ₽ |
Примечание: направлено против хакеров и инсайдеров. Добросовестные операторы несут только административную ответственность.
БЛОК 6: Локализация данных (с 01.07.2025)
Императивный запрет (23-ФЗ)
Использование БД за пределами РФ при сборе ПДн граждан РФ НЕ ДОПУСКАЕТСЯ.
Первичный сбор (запись, систематизация, накопление, хранение, уточнение, извлечение) — только в российских БД.
Разъяснения регуляторов
- Последующая трансграничная передача ранее собранных в РФ данных не запрещена (требует процедуры ст. 12)
- Иностранные облака (AWS, Google Cloud, Azure) — только для данных, уже записанных в РФ
- Прямой сбор через Google Analytics без server-side решения — нарушение
БЛОК 7: Трансграничная передача
Процедура (ст. 12)
До начала передачи — уведомление в РКН: страны, получатели, категории ПДн, цели, основания. Срок рассмотрения: 10 рабочих дней.
Страны с адекватной защитой (Приказ РКН № 128)
89 государств: стороны Конвенции СЕ (55 стран) + 34 дополнительные (Израиль, Канада, Китай, Япония, Южная Корея, СНГ).
США НЕ ВХОДЯТ — требуется расширенная процедура + письменное согласие с указанием страны и получателя.
Порядок
- Страны из перечня: передача сразу после уведомления
- Страны вне перечня: ждать 10 дней + отсутствие запрета + письменное согласие субъекта
БЛОК 8: Обезличенные данные (с 01.09.2025)
Новая статья 13.1 (233-ФЗ)
Минцифры вправе направлять операторам требования о предоставлении обезличенных ПДн в ГИС «Госозеро» (ЕИП НСУД — Единая информационная платформа Национальной системы управления данными).
- Срок: 5 р.д. (ЛК/Госуслуги) или 30 дней (иначе)
- Нельзя обезличивать для ГИС: спецкатегории (кроме медицинских) и биометрию
- Обезличенные данные остаются ПДн и подлежат защите
- Параметры передачи (состав данных, сроки, порядок обезличивания) определяет Правительство РФ совместно с ФСБ
Требования к обезличиванию
Недостаточно просто удалить ФИО или телефон. Необходимо доказать: субъект не может быть повторно идентифицирован, даже по косвенным признакам (должность, возраст, регион и т.д.).
Методы обезличивания (Приказ РКН № 140)
Введение идентификаторов, изменение состава/семантики, перемешивание, декомпозиция, агрегация.
Цель
Установить правила безопасного использования больших данных для развития ИИ и отечественных технологий.
БЛОК 9: Права субъектов ПДн
| Право | Срок исполнения |
|---|---|
| Доступ к своим данным (ст. 14) | 10 р.д. (+ 5 дней продление) |
| Уточнение / блокирование / уничтожение | 7 р.д. |
| Отзыв согласия | Прекращение обработки в 30 дней |
Жалобы: оператору, в РКН (pd.rkn.gov.ru / Госуслуги), в суд. Срок рассмотрения РКН: до 30 дней.
БЛОК 10: Обязанности оператора
Ответственный за ПДн (ст. 22.1)
Юрлицо обязано назначить лицо, ответственное за организацию обработки ПДн. Подотчётен руководителю.
Политика обработки ПДн (ст. 18.1)
Содержит: категории и перечень ПДн для каждой цели, категории субъектов, способы и сроки обработки, порядок уничтожения. При сборе через интернет — обязательная публикация на сайте.
Уведомление об утечках
- Первичное: 24 часа с момента выявления
- Результаты расследования: 72 часа
- Портал: раздел «Инциденты» на pd.rkn.gov.ru
БЛОК 11: Уровни защищённости (ПП № 1119, Приказ ФСТЭК № 21)
4 уровня: УЗ1 (высший) — УЗ4 (базовый).
| Критерий | УЗ4 | УЗ3 | УЗ2 | УЗ1 |
|---|---|---|---|---|
| Обычные ПДн клиентов (< 100 тыс.) | ✓ | |||
| Обычные ПДн клиентов (> 100 тыс.) | ✓ | |||
| Спецкатегории / биометрия | ✓+ | ✓+ | ✓+ |
Для УЗ4: СЗИ 6-го класса. Для УЗ1: не ниже 4-го класса.
БЛОК 12: Биометрия и ЕБС
Единая биометрическая система (572-ФЗ)
Коммерческие организации не могут самостоятельно хранить биометрию для идентификации — данные передаются в ЕБС.
- Субъект вправе через Госуслуги: проверить биометрию, отозвать согласие, отказаться от сбора
- Оператор не вправе отказать в обслуживании при отказе предоставить биометрию
Штрафы за утечку биометрии
- Первичное: 15 – 20 млн ₽
- Повторное: 1–3% выручки (min 25 млн, max 500 млн ₽)
БЛОК 13: Риск-ориентированный надзор РКН (с 2026)
Новые критерии категорий риска (ПП РФ № 1286 от 27.08.2025)
С 01.01.2026 Роскомнадзор применяет обновлённые критерии присвоения категорий риска операторам ПДн.
Категории риска
| Категория | Критерий | Частота проверок |
|---|---|---|
| Высокий риск | > 100 000 субъектов или спецкатегории в большом объёме | Ежегодные проверки / профвизиты |
| Категория Б | > 10 000 записей (порог снижен) | Раз в 2–3 года |
| Средний / низкий | Менее 10 000 субъектов | По жалобам / мониторинг |
Автоматизированный контроль
- 84% нарушений выявляется через автоматизированные проверки (роботизированный мониторинг 24/7)
- РКН сопоставляет данные из уведомления оператора с сайтом, внутренними документами и фактическими бизнес-процессами
- Совместные рейды РКН + ФСБ по значимым операторам
Подход к проверкам в 2026
РКН оценивает не наличие документов, а способность оператора доказать:
- Обработка имеет законные цели и основания
- Процессы управляются и контролируются
- Документация соответствует фактическим бизнес-процессам
- Применяются реальные меры технической защиты
ОРД (организационно-распорядительная документация)
Обязательный пакет документов оператора:
- Политика обработки ПДн (публикуется на сайте)
- Приказ о назначении ответственного за ПДн
- Модель угроз и акт определения уровня защищённости
- Перечень ИСПДн с описанием состава ПДн и целей
- Журнал учёта обращений субъектов
- Журнал учёта инцидентов
- Протоколы обучения сотрудников
- Договоры с обработчиками (поручения на обработку)
- Акты уничтожения ПДн
БЛОК 14: Расширение полномочий ФСБ
Контроль мер безопасности
ФСБ получила расширенные полномочия по контролю соблюдения мер безопасности при обработке ПДн. Ранее ФСБ контролировала безопасность ПДн преимущественно в госсекторе — теперь надзор распространяется и на коммерческих операторов, обрабатывающих значимые объёмы данных.
Технические требования ФСБ
- Использование сертифицированных СКЗИ (средств криптографической защиты) при передаче ПДн по каналам связи
- Класс СКЗИ — в зависимости от уровня защищённости (УЗ): КС1–КВ2
- Шифрование каналов связи при трансграничной передаче
БЛОК 15: Изменения IV квартала 2026 (планируемые)
Технологическая независимость операторов
Планируемые изменения направлены на:
- Технологическую независимость операторов ПДн — снижение зависимости от иностранных технологий
- Усиление цифрового суверенитета РФ
- Повышение уровня информационной безопасности ПДн граждан
- Установление особенностей обработки обезличенных ПДн при формировании составов данных
Переход на отечественное ПО
Ожидается ужесточение требований к использованию российского программного обеспечения для обработки и хранения ПДн, особенно для операторов высоких категорий риска.
Ключевые цифры
- Штраф за отсутствие регистрации: 100–300 тыс. ₽
- Штраф за утечку (> 100 тыс. субъектов): 10–15 млн ₽
- Повторная утечка: до 500 млн ₽ (3% выручки)
- Уведомление об утечке: 24 + 72 часа
- Локализация нарушение (повторное): 6–18 млн ₽
- УК 272.1: до 10 лет лишения свободы
При ответах ОБЯЗАТЕЛЬНО указывай:
- Конкретные статьи 152-ФЗ и номера подзаконных актов
- Актуальные размеры штрафов с учётом изменений 2024-2026
- Сроки вступления в силу новых требований
- Ссылки на официальные порталы (pd.rkn.gov.ru)
- Категорию риска оператора и связанные последствия для надзора
Попробуйте этот навык
Зарегистрируйтесь и используйте навык «Эксперт по персональным данным 152-ФЗ» бесплатно.