Security

Персональные данные / 152-ФЗ

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определяемому человеку; их обработку в России регулирует закон 152-ФЗ.

Что такое Персональные данные / 152-ФЗ

ПДн расшифровывается как «персональные данные» (пишут по-разному: ПДн, ПДН, ПД — это одно и то же). Определение даёт статья 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»: персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Ключевое слово — «определяемому». Персональные данные это не только паспорт: если по набору полей можно понять, о ком идёт речь, — это уже ПДн. Паспортные данные (серия, номер, кем и когда выдан, адрес регистрации) — просто самый очевидный частный случай.

Категории персональных данных

Категория Примеры Особенности режима
Общие («иные») ФИО, адрес, телефон, email, номер счёта Базовые требования 152-ФЗ
Специальные Здоровье, судимость, религия, политические взгляды, интимная жизнь Обработка запрещена, кроме случаев из ст. 10
Биометрические Изображение лица, голос, отпечаток — когда служат для установления личности Как правило требуется письменное согласие
Общедоступные Данные, раскрытые самим субъектом Нужно отдельное согласие на распространение (ст. 10.1)

Спорные случаи решаются по контексту: IP-адрес или cookie-идентификатор сами по себе часто трактуются как ПДн, если оператор способен связать их с конкретным человеком.

Что такое обработка персональных данных

Обработка — это любое действие с ПДн, а не только «занесение в базу». Закон перечисляет: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Практический вывод: даже логи веб-сервера с IP и email — это обработка, а сервер с ними — часть ИСПДн.

Обязанности оператора

  • Правовое основание. Согласие субъекта, договор, требование закона. Согласие должно быть конкретным, предметным, информированным и сознательным — «галочка по умолчанию» не годится.
  • Уведомление Роскомнадзора о намерении обрабатывать ПДн (ст. 22).
  • Локализация (ч. 5 ст. 18). Сбор ПДн граждан РФ, а также их запись, систематизация, накопление, хранение, уточнение и извлечение должны выполняться в базах данных на территории России. Отсюда прямое требование к хостингу и ЦОД: первичная база обязана находиться в российском дата-центре, зарубежная копия допустима только как вторичная.
  • Меры защиты. Постановление Правительства РФ № 1119 задаёт четыре уровня защищённости (УЗ-4 … УЗ-1), приказ ФСТЭК № 21 — состав мер: аутентификация, разграничение доступа, СЗИ, при необходимости СКЗИ, регистрация событий безопасности.
  • Реакция на утечку. Об инциденте нужно уведомить РКН в течение 24 часов, а о результатах внутреннего расследования — в течение 72 часов.

Ответственность

Административные составы собраны в ст. 13.11 КоАП РФ. С 2025 года за утечку ПДн для юрлиц действуют крупные фиксированные штрафы, размер которых растёт с числом пострадавших субъектов, а за повторную утечку предусмотрен оборотный штраф — процент от годовой выручки. За незаконное использование и передачу персональных данных появилась и уголовная ответственность (ст. 272.1 УК РФ). Отдельный состав — невыполнение требования о локализации баз данных.

152-ФЗ и облако

Ответственность перед субъектом всегда несёт оператор, но зоны делятся: провайдер отвечает за физическую безопасность ЦОД и аттестованный сегмент облака, оператор — за прикладной уровень, доступы и код. При размещении ИСПДн на VPS или облачном сервере запрашивают у провайдера аттестат соответствия на нужный уровень защищённости и подписывают поручение на обработку (ч. 3 ст. 6) — без этой бумаги передача данных провайдеру формально незаконна.

Связанные термины

Готовы запустить GPU-задачу?

Запустить GPU-сервер