Персональные данные / 152-ФЗ
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определяемому человеку; их обработку в России регулирует закон 152-ФЗ.
Что такое Персональные данные / 152-ФЗ
ПДн расшифровывается как «персональные данные» (пишут по-разному: ПДн, ПДН, ПД — это одно и то же). Определение даёт статья 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»: персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Ключевое слово — «определяемому». Персональные данные это не только паспорт: если по набору полей можно понять, о ком идёт речь, — это уже ПДн. Паспортные данные (серия, номер, кем и когда выдан, адрес регистрации) — просто самый очевидный частный случай.
Категории персональных данных
| Категория | Примеры | Особенности режима |
|---|---|---|
| Общие («иные») | ФИО, адрес, телефон, email, номер счёта | Базовые требования 152-ФЗ |
| Специальные | Здоровье, судимость, религия, политические взгляды, интимная жизнь | Обработка запрещена, кроме случаев из ст. 10 |
| Биометрические | Изображение лица, голос, отпечаток — когда служат для установления личности | Как правило требуется письменное согласие |
| Общедоступные | Данные, раскрытые самим субъектом | Нужно отдельное согласие на распространение (ст. 10.1) |
Спорные случаи решаются по контексту: IP-адрес или cookie-идентификатор сами по себе часто трактуются как ПДн, если оператор способен связать их с конкретным человеком.
Что такое обработка персональных данных
Обработка — это любое действие с ПДн, а не только «занесение в базу». Закон перечисляет: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Практический вывод: даже логи веб-сервера с IP и email — это обработка, а сервер с ними — часть ИСПДн.
Обязанности оператора
- Правовое основание. Согласие субъекта, договор, требование закона. Согласие должно быть конкретным, предметным, информированным и сознательным — «галочка по умолчанию» не годится.
- Уведомление Роскомнадзора о намерении обрабатывать ПДн (ст. 22).
- Локализация (ч. 5 ст. 18). Сбор ПДн граждан РФ, а также их запись, систематизация, накопление, хранение, уточнение и извлечение должны выполняться в базах данных на территории России. Отсюда прямое требование к хостингу и ЦОД: первичная база обязана находиться в российском дата-центре, зарубежная копия допустима только как вторичная.
- Меры защиты. Постановление Правительства РФ № 1119 задаёт четыре уровня защищённости (УЗ-4 … УЗ-1), приказ ФСТЭК № 21 — состав мер: аутентификация, разграничение доступа, СЗИ, при необходимости СКЗИ, регистрация событий безопасности.
- Реакция на утечку. Об инциденте нужно уведомить РКН в течение 24 часов, а о результатах внутреннего расследования — в течение 72 часов.
Ответственность
Административные составы собраны в ст. 13.11 КоАП РФ. С 2025 года за утечку ПДн для юрлиц действуют крупные фиксированные штрафы, размер которых растёт с числом пострадавших субъектов, а за повторную утечку предусмотрен оборотный штраф — процент от годовой выручки. За незаконное использование и передачу персональных данных появилась и уголовная ответственность (ст. 272.1 УК РФ). Отдельный состав — невыполнение требования о локализации баз данных.
152-ФЗ и облако
Ответственность перед субъектом всегда несёт оператор, но зоны делятся: провайдер отвечает за физическую безопасность ЦОД и аттестованный сегмент облака, оператор — за прикладной уровень, доступы и код. При размещении ИСПДн на VPS или облачном сервере запрашивают у провайдера аттестат соответствия на нужный уровень защищённости и подписывают поручение на обработку (ч. 3 ст. 6) — без этой бумаги передача данных провайдеру формально незаконна.
Связанные термины
- ИСПДн — система, в которой обрабатываются ПДн
- Конфиденциальность — принцип, на котором держится режим ПДн
- GDPR — европейский аналог 152-ФЗ
- СЗИ и СДЗ — чем технически защищают персональные данные
- Криптография и СКЗИ — сертифицированное шифрование для ПДн
- Инцидент ИБ — утечка и обязанность уведомить РКН
Готовы запустить GPU-задачу?
Запустить GPU-сервер