Профессиональное сообщество
лидеров цифровой трансформации
Редакция

Закон о персональных данных №152-ФЗ на практике: что критично знать, как защищаться от штрафов и реальные кейсы применения

Введение

Штрафы за утечку персональных данных выросли до 500 млн рублей, появилась уголовная ответственность до 4 лет, а Роскомнадзор научился отслеживать утечки в даркнете. При этом персональными данными может оказаться практически любая информация о физлице – от ФИО до IP-адресов.

Сергей Сайганов, партнер и руководитель практики Tech компании Comply, в рамках практикума для IT-руководителей и CISO провел занятие «Закон о персональных данных №152-ФЗ на практике: что критично знать, как защищаться от штрафов и реальные кейсы применения».

Этот материал – структурированный конспект ключевых положений закона №152-ФЗ и обязательных требований для компаний. Здесь вы найдете:

  • Определения: что является персональными данными (включая неочевидные случаи)
  • Штрафы и ответственность: актуальные санкции 2024-2025
  • Обязательные документы: что должно быть в компании
  • Законность обработки: основания обработки, сроки хранения и т.д.
  • Защита данных: технические и организационные меры

Для углубленного изучения:

  • Пошаговый алгоритм действий при утечке ПД
  • Реальные кейсы из судебной практики
  • Работа с AI-ассистентами (ChatGPT, Яндекс GPT)
  • Детали уголовной ответственности (ст. 272.1 УК РФ)
  • Практические рекомендации по выстраиванию процедур

Смотрите в видеозаписи практикума

Презентация

Закон о персональных данных: практический подход

«Согласно федеральному закону №152-ФЗ, ПД – это любая информация, которая прямо или косвенно относится к физическому лицу.152-ФЗ родился из конвенции Совета Европы 1981 года и был адаптирован в 2004-2005 годах для России. Это определение присутствует в законах разных стран, – рассказывает Сергей. – Часто считают, что если данные не позволяют идентифицировать конкретное физлицо, то они не являются персональными, однако такой подход ошибочен. Это сильно зависит от контекста. Поэтому есть четкие идентификаторы, позволяющие на практике отнести данные к персональным, например, фамилия/имя, серия и номер паспорта или адрес».

Это охватывает широкий спектр данных, от традиционных элементов идентификации до таких характеристик, как предпочтения, поведение в онлайне и биометрические показатели. Обычно речь идет о совокупности данных, достаточной для идентификации гражданина.


Таким образом, отнесение информации к ПД определяется не только ее содержанием, но и контекстом. Даже, например, название должности сотрудника может стать персональными данными, если оно используется совместно с иными сведениями.


Можно выделить специальные категории персональных данных – конфиденциальная информация, связанная с состоянием здоровья, политическими взглядами, религиозными и философскими предпочтениями, сексуальной ориентацией, генетическими особенностями и др., биометрические персональные данные – уникальные физические или физиологические характеристики (отпечатки пальцев, изображение лица, голосовые образцы), персональные данные, разрешенные для распространения – информация, доступная широкой аудитории и размещенная самим субъектом и иные персональные данные – например, ФИО, дата рождения, пол и другие данные.

Субъекты и операторы ПД

Субъекты ПД – это сами граждане, чьи данные подлежат обработке. Участниками оборота ПД являются также операторы персональных данных – юридические лица, госучреждения или физлица, занимающиеся обработкой данных. Они несут основную ответственность за соблюдение закона.

Оператором ПД может быть любое юридическое лицо или индивидуальный предприниматель. Статус оператора не зависит от включения в Реестр операторов ПД, однако на оператора возложена обязанность по включению в этот Реестр. Существует процедура уведомления РКН и включения операторов ПД в соответствующий реестр. Это происходит после того, как юрлицо прошло необходимые юридические процедуры и начало обработку ПД.


Обезличивание данных

Обезличивание данных – строго регламентированный процесс, он не сводится к удалению отдельных элементов. Требования к методам обезличивания закреплены в подзаконных актах. Хешированные данные не теряют статус персональных: РКН, ФСБ и Минцифры не признают хеширование методом обезличивания.

«Существует заблуждение, что если работать с некими обезличенными данными, то к ним законы о ПД уже неприменимы. Обезличивание – очень скользкая тема. Сейчас в подзаконных актах появились определенные требования к обезличиванию. Они относятся и к хешированию данных. Оно может рассматриваться как способ защиты, но статус ПД не исключает – говорит Сергей. – С обезличиванием пока еще далеко еще не все понятно. Нормальная практика, оценка и методики пока не сформировались».

Обработка персональных данных

Обработка ПД регулируется целым рядом подзаконных актов. Ключевыми нормативными актами в этой области являются, помимо Конституции РФ, Федеральный закон №152-ФЗ «О персональных данных», а также Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации». Кроме того, регулирование осуществляется посредством отраслевых законодательных актов, касающихся деятельности банков, страховых компаний и других организаций.


«Хранение также является одним из способов обработки ПД – подчеркивает Сергей. – Любое действие, начиная со сбора и заканчивая уничтожением, включая пассивное хранение и периоды между этими этапами, представляет собой обработку ПД. К таким действиям относятся, в частности, систематизация, использование, передача, блокирование и уничтожение данных».

ПД могут находиться в различных ИС, включая компоненты баз данных, серверы, внешние или бумажные носители. Примеры – журналы пропусков, анкеты соискателей, трудовые договоры, визитные карточки и другие документы, содержащие контактные данные.

Особые виды ПД

Специализированные категории ПД требуют особого внимания при обработке. В законе перечислены категории ПД, которые относятся к особо чувствительным. Это данные, касающиеся непубличных аспектов жизни человека: сведения о состоянии здоровья, национальности, политических взглядах, религиозных и философских убеждениях, наличии судимостей, – поясняет Сергей. – Обращение с такими данными сопряжено с повышенными рисками. Их обработка допускается только при письменном согласии субъекта или в случаях, прямо предусмотренных законодательством. Но даже при наличии такого согласия РКН может потребовать обоснования законности сбора и обработки данных.


Существуют данные, которые могут быть как обычными, так и чувствительными, например, информация о трудоспособности, инвалидности или данные из больничного листа. Сбор и обработка таких данных пока не регулируются строго, но законодательство оставляет возможность для дальнейшего регулирования. Особое внимание следует уделить данным о судимости – требуется согласие субъекта или обоснование необходимости обработки. Обработка ПД несовершеннолетних регулируется строгими нормами и требует соблюдения всех необходимых процедур. В большинстве юрисдикций нужно согласие родителей или опекунов, за исключением случаев прямых договорных отношений между организацией и несовершеннолетним.

ПД могут пересекаться с коммерческой, банковской тайной или конфиденциальными сведениями. При их обработке необходимо учитывать соответствующие законодательные нормы. Биометрические персональные данные требуют особого внимания к защите. К ним относятся голосовые данные, изображения лица и другие параметры. Внедрение биометрических систем связано с повышенными техническими рисками и значительными затратами для соответствия требованиям. Часто трудно обосновать законность сбора таких сведений, поэтому рекомендуется провести анализ потребностей и возможностей организации, а также рассмотреть сотрудничество с провайдерами биометрических решений.

Управление рисками

Управление рисками включает ряд мероприятий, таких как регулярная проверка наличия и актуальности документов по обработке ПД, обучение сотрудников и внедрение систем защиты данных.

Перед началом операций с ПД необходима оценка потенциальных угроз. Организация должна разработать комплекс мер для минимизации рисков утечки данных, взлома или неправомерного использования информации. Наиболее эффективными считаются ограниченный доступ к БД, применение криптографии и анонимизации, периодический аудит инфраструктуры, а также повышение осведомленности работников.

Профилактика нарушений предполагает регулярный аудит процессов обработки данных, мониторинг доступа и действий пользователей, обучение персонала и разработку регламентов реагирования.


Штрафы за нарушения:

  • Утечка данных: до 15 млн рублей за первую утечку, до 500 млн рублей за повторную.
  • Неуведомление РКН: до 3 млн рублей.
  • Обработка без оснований: до 500 тыс. рублей.
  • Отсутствие согласия: 0,7-1,5 млн рублей за каждый факт.
  • Работа с иностранными сервисами: 6-18 млн рублей.


«РКН активно мониторит факты утечек, используя различные методы, включая анализ СМИ и теневых ресурсов. Если компания допустила утечку, но не уведомила об этом, она может столкнуться с дополнительными штрафами» – рассказывает Сергей.

Судебная практика показывает рост числа случаев привлечения к ответственности юридических и должностных лиц за нарушение правил обработки ПД. Законодательство предусматривает жесткие санкции. Для предотвращения рисков важно создать в компании культуру обработки ПД, включающую разработку нормативных документов, политики конфиденциальности и проведение регулярных тренингов для сотрудников. Рекомендуется назначить ответственных за соблюдение правил, чтобы оперативно реагировать на инциденты с ПД.

«Сотрудник, заметивший инцидент, должен немедленно сообщить об этом службе ИТ и кибербезопасности. Специалисты проводят внутреннюю проверку, чтобы убедиться в реальности события. Если инцидент подтвержден, организация обязана направить уведомление в Роскомнадзор в течение 24 часов. Расследование может занять до 72 часов – рассказывает Сергей. – Несоблюдение сроков уведомления может привести к негативным последствиям. Поэтому важно заранее подготовить регламент, обучить персонал и регулярно проводить тренировки».


Юридические аспекты защиты ПД включают риски нарушений, санкции и штрафы. Проверки проводятся без предупреждения. Передача данных третьим лицам возможна только при соблюдении строгих условий и норм законодательства. За нарушения предусмотрены серьезные санкции. Хранение данных ограничено по времени в зависимости от целей обработки. Их уничтожение должно проводиться своевременно с оформлением акта об уничтожении.

Любая передача ПД сторонним организациям должна сопровождаться соответствующими соглашениями. Следует оценить надежность контрагента и предусмотреть санкции за нарушение договорных обязательств.

Трансграничная передача

Для большинства случаев обязательно хранение ПД на серверах, расположенных на территории РФ. Трансграничная передача ПД возможна лишь при соблюдении определенных условий и после уведомления РКН.


Как защитить персональные данные?

Процесс защиты ПД состоит из множества элементов: от грамотно подготовленных документов до технического оснащения и регулярного обучения сотрудников. Важный элемент – техническая составляющая: шифрование и анонимизация данных, антивирусные программы и межсетевые экраны, регулярное резервное копирование важных данных, своевременное обновление ПО и аппаратных компонентов, периодическое обследование ИТ-процессов и документооборота, сегментация сети, контроль доступа, мониторинг событий.

Рекомендуемые организационные меры включают в себя: развитие культуры обработки ПД в компании, проверку документации и процедур, аудит процессов обработки ПД и контрагентов, управление доступами, контроль изменений. Аудит ИТ-инфраструктуры поможет вовремя выявлять слабые звенья и устранять потенциальные опасности. Нужен четкий план действий при выявлении несанкционированного доступа или кражи данных.

Заключение

Персональные данные – это не только ФИО и паспортные данные. Это практически любая информация о физлице: от IP-адресов и хешированных данных до должности сотрудника в определенном контексте. Даже обезличивание и хеширование не освобождают от требований закона.

Ключевые выводы:

1. Персональные данные требуют системного подхода

Технической защиты недостаточно. Закон требует:

  • Документального оформления (политики, согласия, договоры)
  • Назначения ответственных лиц
  • Регулярного обучения персонала
  • Внедрения процедур контроля и реагирования

2. Согласие субъекта – не единственное основание обработки

Данные можно обрабатывать на основании:

  • Договора с субъектом
  • Требований закона
  • Законного интереса (с осторожностью) и иных оснований, предусмотренных 152-ФЗ

Но рекламные рассылки всегда требуют явного согласия.

3. Реестр обрабатываемых ПД – рабочий инструмент, а не формальность

Это живой документ, который обновляется при каждом изменении в IT-инфраструктуре или бизнес-процессах. Из него формируются все остальные документы по ПД.

4. Подготовка важнее реакции

От утечки не застрахован никто. Критичные требования:

  • 24 часа на уведомление Роскомнадзора
  • 72 часа на расследование и подготовку детального отчета
  • Отработанный алгоритм действий (кто, когда, что делает)

Неуведомление стоит оператору дополнительных 3 млн рублей.

Практические рекомендации:

Первые шаги:

  1. Проведите инвентаризацию процессов – где и какие ПД обрабатываются
  2. Назначьте ответственного за обработку ПД (DPO)
  3. Составьте перечень обрабатываемых персональных данных
  4. Подготовьте минимальный пакет документов

Для реальной защиты:

  • Выстройте процедуру реагирования на инциденты
  • Организуйте контроль за изменениями в IT-инфраструктуре
  • Проверяйте контрагентов перед передачей им ПД
  • Регулярно обучайте сотрудников базовым правилам работы с ПД

Особое внимание:

  • Специальные категории данных (состояние здоровья, сведения о судимости) требуют письменного согласия
  • Биометрия – сложная и дорогая область, следует избегать без крайней необходимости
  • ПД несовершеннолетних требуют согласия родителей / опекунов
  • Трансграничная передача легитимна только после уведомления РКН

Важно помнить:

Роскомнадзор активно мониторит нарушения, включая теневые ресурсы. Дистанционный мониторинг сайтов проводится без предупреждения. Судебная практика показывает рост числа дел о привлечении операторов к ответственности.

Этот материал дает основы работы с законом №152-ФЗ, но не заменяет профессиональную юридическую консультацию при сложных вопросах. Законодательство активно меняется – следите за обновлениями.

Детальные алгоритмы действий, реальные кейсы из судебной практики и ответы на вопросы участников – в полной видеозаписи практикума.

28
фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.