СтатьиУслугиИнструментыГлоссарийО портале
Получить аудит
Основы8 мин чтения6 841

Что такое ФЗ-152: основы закона о персональных данных для бизнеса

Кто обязан соблюдать ФЗ-152, какие данные считаются персональными, что должен делать оператор ПД и какие штрафы грозят за нарушение закона.

А
Александр Петров
Эксперт по ФЗ-152
10 февраля 2024 г.
Что такое ФЗ-152: основы закона о персональных данных для бизнеса
Главное за 30 секунд
  • ФЗ-152 распространяется на любой бизнес, который собирает данные физических лиц
  • Персональные данные — это любая информация, позволяющая прямо или косвенно определить человека
  • Компания становится оператором ПД автоматически при начале обработки данных
  • Закон требует согласия, защиты данных и соблюдения прав субъектов
  • За нарушение ФЗ-152 предусмотрены крупные штрафы и проверки Роскомнадзора

Что такое ФЗ-152 и зачем он нужен

Федеральный закон №152-ФЗ «О персональных данных» — основной закон, регулирующий сбор, хранение, использование и передачу персональных данных в России.

Он действует для:

  • компаний;
  • ИП;
  • интернет-магазинов;
  • SaaS-сервисов;
  • работодателей;
  • любых организаций, работающих с данными физических лиц.
Простое правило

Если ваш бизнес собирает телефоны, email, заявки, резюме или данные клиентов — вы уже работаете с персональными данными и подпадаете под требования ФЗ-152.

Главная цель закона — защитить права граждан и ограничить незаконное использование личной информации.

Кто такой оператор персональных данных

Оператор ПД — это лицо или организация, которые самостоятельно организуют обработку персональных данных.

Компания становится оператором автоматически, если:

  • собирает заявки через сайт;
  • ведёт CRM;
  • отправляет рассылки;
  • использует аналитику;
  • хранит данные сотрудников;
  • принимает онлайн-оплату.
Риск

Многие считают, что ФЗ-152 касается только крупных IT-компаний. На практике оператором персональных данных становится практически любой бизнес с клиентской базой.

Что относится к персональным данным

По закону персональные данные — это любая информация, относящаяся к человеку прямо или косвенно.

| Категория | Примеры | |---|---| | Базовые | ФИО, дата рождения, адрес | | Контактные | Телефон, email, мессенджеры | | Цифровые | IP-адрес, cookie, Device ID | | Финансовые | Банковские реквизиты, ИНН | | Биометрические | Фото, голос, отпечатки | | Специальные | Здоровье, религия, политические взгляды |

Персональные данные в цифровую эпоху

Основные обязанности оператора

1. Уведомление Роскомнадзора

Во многих случаях оператор обязан подать уведомление в РКН до начала обработки данных.

2. Получение согласия

Согласие должно быть:

  • добровольным;
  • конкретным;
  • информированным;
  • оформленным до начала обработки.

3. Публикация политики конфиденциальности

На сайте должна быть размещена актуальная политика обработки персональных данных.

4. Защита данных

Оператор обязан принимать меры против:

  • утечек;
  • несанкционированного доступа;
  • уничтожения данных;
  • незаконной передачи информации.

5. Локализация данных

Первичная запись персональных данных граждан РФ должна происходить на серверах, расположенных в России.

Важно про согласие

Формулировки вроде «продолжая пользоваться сайтом, вы соглашаетесь» обычно недостаточны. Требуется активное действие пользователя: чекбокс, кнопка подтверждения или подпись.

Права субъекта персональных данных

Любой гражданин имеет право:

  • узнать, какие данные о нём обрабатываются;
  • запросить исправление;
  • отозвать согласие;
  • потребовать удаление данных;
  • пожаловаться в Роскомнадзор или обратиться в суд.

Что чаще всего нарушают компании

На практике наиболее распространены:

  • отсутствие согласия;
  • неправильные формы на сайте;
  • устаревшая политика конфиденциальности;
  • отсутствие уведомления РКН;
  • хранение данных за пределами РФ;
  • отсутствие внутренних документов.
Риск

Во многих случаях поводом для проверки становится жалоба клиента, сотрудника или пользователя сайта.

Ответственность за нарушение ФЗ-152

За нарушение закона предусмотрены:

  • административные штрафы;
  • предписания РКН;
  • блокировка отдельных сервисов;
  • гражданские иски;
  • репутационные потери.

Размер штрафов зависит от нарушения и может достигать миллионов рублей.

Базовый чек-лист оператора ПД
  • Направлено уведомление в РКНобязательно
  • Политика конфиденциальности опубликованаобязательно
  • Настроены корректные формы согласияобязательно
  • Данные размещаются на серверах в РФ
  • Назначен ответственный за обработку ПД
  • Сотрудники ознакомлены с правилами обработки данных
  • Есть порядок ответа на обращения субъектов

С чего начать соблюдение ФЗ-152

Практичный минимальный план:

  1. Проверить, какие данные собирает бизнес
  2. Подготовить политику конфиденциальности
  3. Настроить согласия на сайте
  4. Подать уведомление в РКН
  5. Организовать хранение и защиту данных
  6. Назначить ответственного сотрудника

Частые вопросы

Да. Закон действует для всех компаний и ИП, которые собирают персональные данные клиентов, сотрудников или пользователей.
Любая информация, позволяющая определить человека: имя, телефон, email, IP-адрес, cookie, геолокация и другие идентификаторы.
В некоторых случаях — да, но большинство коммерческих организаций обязаны подать уведомление о начале обработки персональных данных.
Да. Если сайт собирает персональные данные через формы, регистрацию или аналитику, политика должна быть опубликована в открытом доступе.
Проверьте, соблюдает ли ваш бизнес ФЗ-152
Проверим сайт и документы — за 2 рабочих дня
Получить аудит бесплатно
А
Александр Петров
Юрист · Эксперт по ФЗ-152
Консультирует средний и крупный бизнес по вопросам соответствия требованиям закона о персональных данных. Более 8 лет практики.
Читайте такжеВсе статьи кластера
Штрафы14 мин
Штрафы по ФЗ-152: полный размер и как избежать
Читать
Проверки10 мин
Проверка Роскомнадзора: как подготовиться
Читать
Соответствие9 мин
Политика конфиденциальности: как составить
Читать