Закон о защите персональных данных: краткий обзор

Любая компания, собирающая информацию о клиентах, сотрудниках или других физических лицах, обязана соблюдать Федеральный закон о защите персональных данных №152-ФЗ. Нарушения грозят штрафами и репутационными потерями, поскольку требования в 2025 году стали строже. Рассмотрим, кто является оператором, какие обязанности возлагаются на организацию и какие права есть у клиентов. Это позволит вам вести бизнес и работать с данными законно и безопасно.

Кто считается оператором

Оператор персональных данных (ПДн) — это юридическое или физическое лицо, которое самостоятельно или совместно с другими организациями обрабатывает ПДн, определяет цели обработки данных, а также методы и объем такой обработки (ст. 3 ФЗ от 27.07.2006 №152-ФЗ). Проще говоря, если ваша компания собирает, хранит или использует данные сотрудников, клиентов или контрагентов для своих бизнес-задач, она является оператором.

Обработка ПДн по закону о защите персональных данных №152-ФЗ включает любые действия с данными: сбор, запись, систематизация, накопление, хранение и т.д. Например, если вы ведете базу клиентов для рассылки акций, сортируете данные по возрасту или адресу, вы уже осуществляете обработку.

Субъект ПДн — это физическое лицо, которому принадлежат эти данные: имя, дата рождения, номер телефона, адрес электронной почты, ИНН, паспортные данные и даже биометрические сведения. То есть любая информация, позволяющая идентифицировать человека. Каждый субъект имеет право знать, какие его данные обрабатываются, для каких целей, и требовать исправления или удаления некорректной информации, или если она утратила достоверность

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Права и обязанности оператора

Важно понимать, что обязанность соблюдения требований закона о защите персональных данных ложится именно на оператора. Это значит, что вы должны обеспечивать законность обработки, защищать данные от утечки и предоставлять субъекту доступ к его информации по первому требованию.

Другие обязанности:

1. Получение согласия субъекта на обработку (ст. 6 ФЗ №152-ФЗ). Согласие должно быть информированным: важно, чтобы человек понимал, какие данные собираются, с какой целью, на какой срок и кому они могут быть переданы. Например, добавление клиента в рассылку без явного согласия нарушает закон. С 01 сентября 2025 года согласие оформляется отдельно, его нельзя включать в договоры и другие документы.
2. Уведомление Роскомнадзора о начале обработки ПДн (ст. 22 ФЗ №152-ФЗ). Подается оператором до начала сбора данных. Это позволяет государству контролировать соблюдение норм и предупреждать нарушения. При изменении целей или методов обработки необходимо подавать другое уведомление.
3. Согласование трансграничной передачи данных (ст. 12 ФЗ №152-ФЗ). Если данные субъектов передаются за пределы России, оператор должен убедиться, что иностранное государство обеспечивает адекватную защиту информации. Например, хранение базы клиентов на зарубежных серверах требует согласования с Роскомнадзором.
4. Обеспечение конфиденциальности и защиты ПДн (ст. 19 ФЗ №152-ФЗ). Оператор обязан принимать технические и организационные меры: шифрование, резервное копирование, ограничение доступа сотрудников и обучение персонала. Любой несанкционированный доступ или утечка данных несет ответственность на операторе.
5. Соблюдение требований по локализации данных на территории РФ (ст. 18 ФЗ №152-ФЗ). Все данные граждан РФ должны храниться и обрабатываться на серверах, расположенных в пределах страны. Исключения возможны только при согласовании с Роскомнадзором.

Ответственность оператора

За нарушение закона о защите персональных данных для оператора предусмотрена административная, а в некоторых случаях — уголовная ответственность. Так, если из баз вашей компании произойдет утечка ПДн, могут оштрафовать на сумму до 20 млн рублей (ст.13.11 КоАП РФ). При повторном нарушении — до 500 млн или оборотный штраф от 1 до 3% годовой выручки.

Если вы не уведомите Роскомнадзор о начале обработки ПДн, штраф — до 300 000 рублей. За работу с ПДн без согласия субъекта, когда оно требуется — до 700 000 рублей. За нарушение требований к локализации данных в РФ — до 6 млн рублей (ст.13.11 КоАП РФ).

Заключение

Соблюдение действующего закона о защите персональных данных — ключевой элемент безопасного ведения бизнеса. Как оператор, вы обязаны получать согласие субъектов, обеспечить защиту информации, уведомлять и согласовывать действия с Роскомнадзором, а также хранить данные в России. Выполнение этих требований снижает риски штрафов, утечек и репутационных потерь, делая работу компании прозрачной и надежной для клиентов и партнеров.