В этом материале разберемся, какие ключевые термины содержит данный закон, на что следует обратить особое внимание при обработке персональных данных, а также какие важные изменения вступят в силу с 30 мая 2025 года.
Ключевые термины
В соответствии со статьей 3 закона № 152-ФЗ, при организации обработки персональных данных используются следующие определения:
Персональные данные — это любая информация, позволяющая прямо или косвенно установить личность физического лица, выступающего в роли субъекта персональных данных.
Оператором признается государственный или муниципальный орган, юридическое либо физическое лицо, которое самостоятельно или при помощи привлеченных организаций определяет цели, объем и методы обработки ПДн и отвечает за их реализацию.
Обработка персональных данных охватывает весь цикл действий с информацией: начиная от сбора, систематизации и записи, заканчивая хранением, передачей, актуализацией, обезличиванием или удалением. Эти действия могут осуществляться как вручную, так и с применением автоматизированных технологий.
Распространение персональных данных означает их передачу неограниченному кругу лиц, в том числе через открытые источники.
Предоставление персональных данных — это целенаправленная передача сведений определенному субъекту или организации.
Трансграничная передача предполагает передачу персональных данных за пределы Российской Федерации — иностранной компании или организации, действующей в другой юрисдикции.
Информационная система персональных данных — это совокупность баз данных и технических средств, обеспечивающих хранение, обработку и защиту персональных сведений.
Таким образом, положения закона № 152-ФЗ подробно устанавливают основные термины и принципы, касающиеся обработки персональной информации — начиная с ее трактовки и роли оператора, заканчивая особенностями международной передачи данных и функционирования соответствующих информационных систем.
Цель этих правил — обеспечить правовую защиту частной жизни граждан и гарантировать, что обработка их данных осуществляется в рамках закона. Соблюдение требований закона обязательно для всех, кто работает с ПДн, поскольку игнорирование установленных норм может повлечь серьезные правовые последствия, включая штрафы и другие меры ответственности.
Основные принципы обработки персональных данных
При разработке внутренней политики по работе с персональными данными организация обязана опираться на принципы, закрепленные в статье 5 закона № 152-ФЗ. Эти положения формируют правовую основу для корректной и безопасной обработки информации о физических лицах:
Правовая обоснованность и добросовестность. Любая операция с персональными данными должна осуществляться на законных основаниях — на основании добровольного согласия, в рамках заключенного договора или на основании прямого указания закона. При этом законодатель допускает обработку и без согласия, если речь идет о ситуациях, перечисленных в пунктах 2–9 части 1 статьи 6 закона № 152-ФЗ.
Целевое назначение. Информация может быть получена и использована только для конкретных задач, заранее обозначенных оператором. Сбор данных «на всякий случай» недопустим.
Минимизация. Объем обрабатываемой информации должен строго соответствовать поставленным задачам. Получение данных, не имеющих отношения к цели, считается нарушением.
Ограниченность сроков хранения. Личные данные не подлежат хранению дольше, чем это необходимо для достижения заявленных целей. По истечении срока сведения должны быть уничтожены или обезличены.
Соблюдение конфиденциальности. Оператор обязан защищать полученные сведения от разглашения и не вправе передавать их третьим лицам без согласия субъекта, за исключением случаев, предусмотренных действующим законодательством.
Гарантия безопасности. При обработке должны использоваться как технические, так и организационные меры, направленные на предотвращение несанкционированного доступа, утечек и иных инцидентов.
Информационная открытость. Субъект имеет право знать, кто и как использует его данные. Оператор обязан по запросу предоставить соответствующую информацию.
Получить бесплатную консультацию по регистрации в Росокомнадзоре или подготовке документов для работы с персональными данными
Что обязан делать оператор при работе с персональными данными
С момента начала сбора персональной информации оператор несет обязанность по информированию субъекта данных. По запросу владельца информации оператор должен предоставить исчерпывающие сведения, включая:
цель, с которой осуществляется сбор и последующая обработка данных;
предполагаемые сроки хранения персональных сведений;
наименование организации, выступающей оператором, а также ее юридический адрес;
информацию о возможной передаче данных за границу, если такая передача планируется.
Вся эта информация должна быть донесена до субъекта в понятной и доступной форме — как мера обеспечения его прав и свободы.
Иные обязанности оператора по закону № 152-ФЗ (в частности, ст. 18):
Разъяснить субъекту последствия отказа от предоставления согласия на обработку ПДн.
При получении ПДн не от самого субъекта — уведомить его об операторе, целях, правовом основании, источнике и составе полученной информации (кроме исключений).
Обеспечить сбор, систематизацию, накопление, хранение, обновление, изменение и уничтожение ПДн, включая данные, полученные через интернет.
Подать уведомление в Роскомнадзор до начала обработки данных (через сайт).
В случае утечки информации направить первичное уведомление в РКН в течение 24 часов и итоговое — в течение 72 часов после расследования.
При трансграничной передаче — заранее уведомить Роскомнадзор.
Скачать чек-лист по соблюдению законодательства о персональных данных
Заполните форму, вышлем материалы вам на e-mail:
Ответственность за нарушения в сфере персональных данных
Операторы, нарушившие требования закона № 152-ФЗ, несут административную ответственность по ст. 13.11 КоАП. Наиболее распространенные основания для штрафов:
Нарушение принципов обработки или несоответствие целей — до 100 000 ₽ для юрлиц, до 20 000 ₽ для ИП.
Обработка без согласия при его необходимости — до 700 000 ₽ для организаций, до 300 000 ₽ для ИП.
Отсутствие опубликованной политики обработки ПДн — до 60 000 ₽ для юрлиц, до 20 000 ₽ для ИП.
Сбор данных без систематизации и учета — штраф до 6 млн ₽ для компаний, до 200 000 ₽ для ИП.
Отказ от регистрации в реестре операторов РКН (ст. 19.7 КоАП) — до 5 000 ₽.
Причинение морального вреда субъекту ПДн дает право на компенсацию (ст. 24 закона № 152-ФЗ).
С конца мая 2025 года размер штрафов по ряду нарушений существенно увеличится.
Новые штрафы с 30 мая 2025 года: что меняется для операторов ПДн
С указанной даты в силу вступают более жесткие санкции за нарушения закона № 152-ФЗ:
неуведомление Роскомнадзора об утечке ПДн — штраф до 3 млн рублей как для юридических лиц, так и для ИП.
отсутствие уведомления о начале обработки ПДн — от 100 000 до 300 000 рублей.
принуждение к биометрической идентификации — до 500 000 рублей для организаций, до 100 000 рублей для ИП (квалифицируется как нарушение прав потребителей).
незаконная передача данных 1 000 – 10 000 лиц — штраф до 5 млн рублей.
утечка от 10 000 до 100 000 уникальных идентификаторов — также до 5 млн рублей.
неправомерное распространение специальных категорий ПДн (например, сведений о здоровье, религиозных взглядах и др.) — от 10 до 15 млн рублей.
Работа с персональными данными требует точного соблюдения закона и регулярного контроля за процессами обработки. Ошибка может обойтись дорого — вплоть до многомиллионных штрафов и репутационных потерь.
Чтобы не рисковать, доверьте все профессионалам. Наша команда поможет организовать работу с ПДн в полном соответствии с законодательством и избавит вас от бюрократических сложностей. Переходите на наш сайт и оставляйте заявку — мы все сделаем за вас.
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFGzZEUY
Начать дискуссию