Как правильно хранить и обрабатывать персональные данные клиентов и требования 152‑ФЗ

Персональные данные — это любая информация, которую можно использовать для прямого или косвенного определения конкретного человека или для связи данных с его личностью.

Какие данные считаются персональными

К ним относятся, например:

• базовые сведения: ФИО, дата рождения, телефон, адрес электронной почты, паспортные данные;

• специальные: информация о здоровье, религии, политических взглядах, национальности, судимостях;

• биометрические: фото, изображение лица, голос, отпечатки пальцев;

• цифровые: идентификаторы устройства (IP-адреса), cookies, если по ним можно установить личность пользователя.

152-ФЗ — это федеральный закон «О персональных данных», который действует в России с 27 июля 2006 года. Он определяет, как компании и организации должны работать с ПДн.

На кого распространяется федеральный закон о персональных данных

Федеральный закон № 152-ФЗ распространяется на всех, кто собирает, хранит или использует ПДн других людей. Это организации, ИП или физические лица — компании и специалисты, которые работают с клиентами, сотрудниками или пользователями онлайн-сервисов.

Если у компании есть сайт или сервис, где пользователи оставляют ФИО, номер телефона или другие данные для регистрации или оформления заказа, юрлицо уже считается оператором персональных данных.

При этом закон не регулирует личное использование такой информации. Например, если человек хранит в телефоне контакты друзей или ведет личную записную книжку, это не считается обработкой персональных данных в рамках 152-ФЗ.

Федеральный закон №152-ФЗ охватывает весь жизненный цикл персональных данных — от момента их получения до удаления. Оператор организует и регулирует все основные операции с такими данными:

• собирает персональные данные;

• фиксирует и записывает их;

• систематизирует и упорядочивает информацию;

• хранит;

• уточняет и обновляет их при необходимости;

• использует в рабочих процессах;

• передает и уничтожает.

Также закон закрепляет права граждан как субъектов персональных данных: они могут узнавать, какие сведения о них обрабатываются, требовать их уточнения или удаления в установленных случаях.

Для организаций и ИП закон устанавливает обязанности по законной обработке данных и их защите, включая организационные и технические меры безопасности.

Что такое обработка персональных данных

Обработка персональных данных — это любые действия, которые компания выполняет с информацией о клиентах. Оператор собирает данные, записывает их в системы по управлению взаимоотношениями с клиентами (CRM), хранит, использует для работы с клиентом, передает курьерским службам, обновляет или удаляет при необходимости. При этом компания продолжает обрабатывать ПДн даже тогда, когда просто хранит их, поэтому она обязана правильно защищать ПДн и соблюдать требования закона.

Кто такой оператор персональных данных

Оператор персональных данных — это организация или физическое лицо, которое само определяет цели и способы обработки персональных данных. На практике оператором становится любая компания, которая работает с клиентами, сотрудниками или пользователями и собирает, хранит или использует их данные.

До начала обработки персональных данных оператор, за исключением отдельных случаев, обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. Например, уведомление не требуется, если обработка ведется исключительно без использования средств автоматизации (п. 8 ч. 2 ст. 22 Закона № 152-ФЗ), а также в иных случаях, предусмотренных частью 2 статьи 22 152-ФЗ. 

Какие обязанности есть у оператора персональных данных

Оператор определяет цели обработки данных и собирает их только на законных основаниях, например, на основе согласия или договора. Оператор использует данные строго в заявленных целях и не допускает их избыточного или нецелевого применения.

Он также организует защиту персональных данных: ограничивает доступ к ним, внедряет технические и организационные меры безопасности и следит за тем, чтобы информация не попадала к посторонним. При обращении человека оператор предоставляет информацию о том, какие данные он хранит, и при необходимости корректирует или удаляет их.

Если происходит инцидент с утечкой данных, оператор должен сообщить о нем в Роскомнадзор в течение 24 часов, а затем провести внутреннее расследование и оценить последствия в течение 72 часов (п. 3.1, ст. 21 № 152-ФЗ).

Обработка персональных данных допускается в случаях, прямо указанных в статье 6 152-ФЗ. К таким основаниям относятся:

• клиент дал согласие на обработку;

• обработка необходима для исполнения договора;

• оператор выполняет обязанности, установленные законом;

• данные используют для защиты жизни или здоровья человека;

• обработка предусмотрена иными нормами законодательства.

Иными словами, оператор не может работать с ПДн без основания — каждое действие должно опираться на норму закона или согласие человека.

Когда обработка персональных данных законна

Обработка ПДн законна, если оператор использует одно из оснований, предусмотренных ст. 6 № 152-ФЗ. Однако согласие требуется не всегда.

Например, если компания обрабатывает данные сотрудника для начисления и выплаты зарплаты, она действует в рамках трудового законодательства. В таких ситуациях отдельное согласие на каждое действие не требуется — обработка уже считается законной, так как основана на условиях договора или требованиях закона. Однако для действий, не предусмотренных трудовым законодательством или трудовым договором (например, использование фотографии сотрудника в рекламных или корпоративных материалах), требуется отдельное согласие работника. 

В каких случаях обработка запрещена или ограничена

Например:

• у оператора нет законного основания для обработки данных — нет согласия, договора или иного основания, предусмотренного законом 152-ФЗ;

• данные используют не по заявленной цели, например, применяют контакты из заказа для рекламной рассылки без отдельного согласия;

• оператор собирает избыточные данные, которые не нужны для конкретной цели обработки;

• компания обрабатывает специальные категории данных или биометрические сведения с нарушением требований закона;

• персональные данные передают третьим лицам без законного основания или согласия субъекта.

Согласие на обработку персональных данных — это конкретное, информированное и сознательное волеизъявление субъекта персональных данных, данное в письменной или электронной форме, на обработку его персональных данных (ст. 9 152-ФЗ). Оно должно содержать обязательные реквизиты: фамилию, имя, отчество и адрес субъекта, перечень персональных данных, на обработку которых дается согласие, перечень действий с данными, срок действия согласия и порядок его отзыва. 

На практике согласие получают двумя способами:

• Письменное согласие оформляют в ситуациях с повышенными требованиями к защите данных. Оно требуется, например, при обработке ПДн работников, при передаче данных в страны, которые не обеспечивают достаточный уровень защиты по оценке Роскомнадзора, а также при работе с биометрическими данными или сведениями о здоровье.

• Электронное согласие используют при сборе данных через интернет. В этом случае пользователь выражает согласие через сайт — например, ставит галочку (отметку в чекбоксе) при регистрации, оформлении заказа или отправке формы. При этом на сайте размещают Политику конфиденциальности, чтобы человек понимал, какие данные собирают и как их используют.

Когда согласие на обработку персональных данных обязательно

Согласие нужно оформлять, когда у оператора нет другого законного основания, указанного в ст. 6 № 152-ФЗ. Это правило следует из логики закона и разъяснений Роскомнадзора: согласие применяется как общее основание, но не всегда является обязательным.

На практике согласие требуется, если компания использует данные для маркетинговых рассылок, продвижения товаров и услуг, передачи данных третьим лицам, а также при обработке специальных категорий данных или биометрии, когда нет иных оснований, предусмотренных законом.

Когда согласие не требуется

Согласие не требуется, если компания обрабатывает персональные данные на других законных основаниях, предусмотренных ст. 6 № 152-ФЗ.

Компания может не запрашивать согласие, если она:

• выполняет требования законодательства, например, ведет кадровый учет, начисляет зарплату сотруднику или передает сведения о сотруднике в СФР;

• исполняет договор с человеком, например, оформляет и доставляет заказ в интернет-магазине.

Как правильно оформить согласие на обработку персональных данных

С 1 сентября 2025 года согласие на обработку ПДн оформляется как отдельный документ. Его нельзя включать в пользовательские соглашения, политики конфиденциальности, оферты или иные договоры.

Согласие оформляют так, чтобы человек четко понимал, на что он соглашается. Оно должно быть конкретным, понятным и однозначным.

В документе фиксируют:

• наименование оператора;

• цель, ради которой собирают и используют данные;

• перечень персональных данных;

• конкретные действия с данными;

• срок, в течение которого действует согласие.

Если оператор планирует передавать данные третьим лицам или публиковать их в открытом доступе, потребуется отдельное согласие на распространение по статье 10.1 152-ФЗ.

Можно ли отозвать согласие

Субъект может отозвать согласие в любое время. После получения отзыва оператор обязан прекратить обработку данных и уничтожить их в течение 30 дней, если нет иного правового основания для хранения (п. 4 ст. 21 № 152-ФЗ).

Защита персональных данных — это не только техническая задача, но и обязанность, установленная законом. Компании должны организовать работу с данными так, чтобы исключить несанкционированный доступ, утечки и другие нарушения.

Кто отвечает за защиту персональных данных в организации

Ответственность несет оператор — то есть организация как юридическое лицо. Внутри компании назначается конкретное должностное лицо, которое организует обработку ПДн.

Какие документы нужны для соблюдения требований 152-ФЗ

Чтобы работать с персональными данными в рамках 152-ФЗ, компания оформляет базовый набор внутренних и публичных документов.

В него входит:

• политика обработки персональных данных — ее размещают на сайте и делают доступной для пользователей;

• положение о защите персональных данных внутри компании;

• приказ о назначении ответственного за обработку ПДн;

• список сотрудников, у которых есть доступ к ПДн;

• формы согласий на обработку персональных данных.

Эти документы помогают компании выстроить процессы работы с данными и подтвердить, что она соблюдает требования закона. Отсутствие документов может стать основанием для претензий со стороны Роскомнадзора при проверке.

Требования к хранению персональных данных касаются места, способа, сроков, порядка уничтожения, а также обеспечения конфиденциальности, разграничения доступа, резервного копирования, контроля целостности и регистрации событий доступа к информационным системам персональных данных (в соответствии с Постановлением Правительства РФ № 1119 от 1 ноября 2012 года). 

Как хранить ПДн в электронном виде

Данные граждан РФ должны храниться на серверах, расположенных на территории России. С 1 июля 2025 года вступила в силу обновленная редакция части 5 статьи 18 Федерального закона № 152-ФЗ «О персональных данных». В ней установлен прямой запрет на сбор персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории России. При сборе персональных данных, в том числе через сеть «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных с использованием баз данных, расположенных на территории РФ. Электронные данные защищают шифрованием, разграничением прав доступа и резервным копированием.

Компании хранят и обрабатывают ПДн в информационных системах персональных данных (ИСПДн). К таким системам относятся CRM, кадровые и бухгалтерские программы, клиентские базы данных, интернет-магазины и другие сервисы, в которых содержатся сведения о людях. Для защиты данных в ИСПДн бизнес должен применять организационные и технические меры безопасности в соответствии с требованиями законодательства.

Требования по локализации данных заставляют бизнес выбирать инфраструктуру, которая соответствует 152-ФЗ. Особенно это важно для компаний, которые раньше использовали зарубежные облачные решения и теперь переносят туда клиентские базы и внутренние системы.

В таких задачах подойдет облачное ПО от Cloud.ru, UserGate Next-Generation Firewall (NGFW). Это облачное решение помогает защищать корпоративные ПДн на уровне сети: оно анализирует трафик, контролирует доступ к системам и блокирует подозрительные действия, включая скрытые угрозы и утечки данных. Платформа работает в облаке, сертифицированном ФСТЭК России (сертификат № 3905) и позволяет выстраивать защиту данных в соответствии с требованиями законодательства, не усложняя инфраструктуру и не требуя установки оборудования.

Как хранить персональные данные на бумажных носителях

Бумажные документы с персональными данными хранятся в запираемых шкафах или помещениях с ограниченным доступом. Уничтожение бумажных носителей оформляется актом об уничтожении с указанием перечня уничтоженных документов, основания для уничтожения, даты и подписей членов комиссии (ст. 21 152-ФЗ). Для электронных носителей также требуется документальное подтверждение факта уничтожения. 

Как определить срок хранения персональных данных

Компания хранит персональные данные только в течение срока, который необходим для достижения цели их обработки. Конкретные сроки зависят от вида данных, требований законодательства и внутренних документов организации. Например, для кадровых документов сроки хранения устанавливают перечни Росархива.

На практике сроки могут различаться:

• Согласия на обработку персональных данных хранят три года после окончания срока их действия или отзыва, если иной срок не установлен договором или федеральным законом (п. 441 Перечня типовых управленческих архивных документов, утвержденного приказом Росархива от 20 декабря 2019 года № 236) 

• Биометрические ПДн хранят только до тех пор, пока они нужны для заявленной цели. Например, фотографию для системы контроля доступа могут использовать до окончания срока действия пропуска, а данные работника — до прекращения трудовых отношений.

Когда ПДн нужно удалить или уничтожить

Данные уничтожаются в течение 30 дней с момента достижения цели обработки, отзыва согласия субъектом или поступления требования об удалении. Уничтожение документируется актом или протоколом.

Чтобы соблюдать требования 152-ФЗ, компании недостаточно просто получить согласие. Надо организовать хранение информации таким образом, чтобы исключить несанкционированный доступ и снизить риск утечек.

Типичные ошибки при хранении персональных данных

На практике нарушения требований 152-ФЗ чаще возникают из-за ошибок в организации работы с персональными данными. По данным регулятора, среди наиболее частых нарушений требований 152-ФЗ — сбор и использование персональных данных через интернет без законных оснований, а также отсутствие у компаний необходимых документов, регламентирующих политику обработки персональных данных. 

Что делать при утечке персональных данных

Нужно как можно быстрее ограничить последствия инцидента и выявить его причины.

Порядок действий:

1. Ограничить доступ к скомпрометированным системам и устранить источник утечки.

2. Зафиксировать обстоятельства происшествия и определить, какие данные затронуты.

3. Провести внутреннее расследование и оценить возможные последствия.

4. Уведомить Роскомнадзор в сроки, предусмотренные законодательством.

5. Принять меры для предотвращения повторных инцидентов: изменить настройки доступа, усилить защиту систем, обновить внутренние процедуры и дополнительно обучить сотрудников.

Некоторые российские облачные провайдеры предлагают защищенные сегменты ИТ-инфраструктуры, рассчитанные на размещение ИСПДн с повышенными требованиями к безопасности. Для дополнительной защиты таких систем от распределенных атак типа «отказ в обслуживании» (Distributed Denial of Service, DDoS) используют специальные сервисы фильтрации трафика.

Например, инструмент Curator Anti-DDoS от Cloud.ru помогает выявлять и блокировать вредоносный трафик до того, как это повлияет на работу инфраструктуры.

Нарушение требований 152-ФЗ может привести к финансовым и правовым последствиям для компании. Размер штрафов зависит от характера нарушения.

Штрафы за нарушение 152-ФЗ

С 30 мая 2025 года вступили в силу новые поправки в ст. 13.11 КоАП РФ.

Компании рискуют следующими санкциями:

• до 300 000 рублей — если компания не уведомила Роскомнадзор о начале обработки персональных данных;

• до 700 000 рублей — если компания обрабатывает персональные данные без законного основания;

• от 10 до 15 млн рублей — за утечку персональных данных более 100 тыс. субъектов или более 1 млн идентификаторов; от 15 до 20 млн рублей — за утечку биометрических персональных данных;

• не менее 20 млн и не более 500 млн рублей — при повторных массовых утечках ПДн, либо от 1 до 3% годовой выручки для юридических лиц — при повторных утечках.

Соблюдение требований 152-ФЗ проще всего выстроить через практические чек-листы для разных направлений работы. Такой подход помогает не упустить главные процессы и довести каждый из них до полного соответствия закону.

Чек-лист для сайта

Чтобы проверить, соблюдает ли сайт требования закона, сделайте следующее:

• Проверьте, есть ли в нижней части страницы сайта (футере) политика конфиденциальности и ссылка на нее на каждой странице с формой сбора данных.

• Разместите согласие на обработку ПДн отдельно от пользовательского соглашения. Пользователь должен подтвердить согласие на обработку данных и ознакомиться с документом.

• Не используйте заранее отмеченные чекбоксы в формах. Пользователь должен сам поставить галочку рядом с текстом согласия

• Проверьте, что ПДн, собираемые через формы, хранятся на серверах в России.

Чек-лист для работодателя

Для того, чтобы гарантировать соблюдение 152-ФЗ в роли работодателя, сделайте следующее:

• Издайте приказ о назначении сотрудника, который отвечает за организацию обработки персональных данных в компании. В приказе зафиксируйте его обязанности и зону ответственности.

• Подготовьте внутреннее положение, опишите, какие сведения вы собираете у сотрудников, как их храните, кто имеет к ним доступ и какие меры защиты используете. Документ утверждает руководитель организации.

• Соберите у сотрудников согласия на те виды обработки данных, которые не входят в обязательства работодателя по трудовому законодательству, например, на использование фото, передачу данных третьим лицам или дополнительные сервисы.

• Настройте разграничение доступа к кадровым документам, содержащим ПДн сотрудников: доступ к личным делам сотрудников должен быть только у кадровой службы и уполномоченных руководителей, а не у всех сотрудников компании.

• Пропишите и закрепите порядок хранения и удаления данных уволенных сотрудников: через какой срок они удаляются или архивируются, кто отвечает за этот процесс.

Чек-лист для интернет-магазина и онлайн-сервисов

Если нужно убедиться, что требованиям закона удовлетворяет интернет-магазин или сервис:

• Убедитесь, что CRM-система размещена на серверах в России или что персональные данные из нее реплицируются и хранятся на территории РФ.

• Добавьте в договоры с подрядчиками (службы доставки, платежные системы, кол-центры) пункт о поручении на обработку ПДн. В нем нужно указать, какие данные вы передаете подрядчику, кто их обрабатывает, например, служба доставки или платежный провайдер, и для каких целей они используются — к примеру, для доставки заказа, обработки платежа или обращений клиентов.

• Настройте процесс обработки запросов пользователей на удаление или изменение персональных данных. Назначьте сотрудников, которые будут принимать и обрабатывать такие обращения, и контролируйте сроки ответа, чтобы его отправляли не позднее 30 дней с момента, как получите запрос.

Соблюдение 152-ФЗ — это непрерывный процесс. Компании, выстроившие подход к защите данных, адаптируются к изменениям проще — и с меньшими затратами. Подход снижает риски нарушений и делает работу с ПДн управляемой и предсказуемой.