FAQ по 152-ФЗ: частые вопросы о персональных данных
Короткие ответы на частые вопросы по закону о персональных данных (152-ФЗ) со ссылками на подробные разборы. Материалы вычитываем на соответствие действующим НПА.
Кто такой оператор персональных данных?
Оператор — любое лицо (организация, ИП, госорган), которое самостоятельно или совместно определяет цели и состав обработки персональных данных (статья 3 152-ФЗ). Размер бизнеса значения не имеет: кадровый учёт, база клиентов или заявки с сайта — это уже обработка ПДн.
Оператор ПДн: ИП и малый бизнес →Нужно ли уведомлять Роскомнадзор об обработке ПДн?
Да, практически всем операторам, включая тех, кто обрабатывает данные только своих работников. После поправок 2022 года (266-ФЗ) прежние исключения отменены. Уведомление подаётся бесплатно до начала обработки.
Уведомление в Роскомнадзор →Всегда ли нужно согласие на обработку персональных данных?
Нет. Согласие — лишь одно из оснований обработки по статье 6 152-ФЗ. Для исполнения договора с субъектом оно обычно не требуется. Для специальных категорий данных (статья 10) согласие оформляется письменно, а для распространения данных нужно отдельное согласие (статья 10.1).
Виды согласий на обработку ПДн →Что такое уровень защищённости ИСПДн (УЗ)?
Уровень защищённости (УЗ-1…УЗ-4) устанавливается постановлением Правительства №1119 по категории данных, числу субъектов и типу актуальных угроз и определяет состав мер защиты по приказу ФСТЭК №21. УЗ-1 — наивысший.
Калькулятор уровня защищённости →Какие штрафы за нарушения с персональными данными?
С 30 мая 2025 года (по 420-ФЗ от 30.11.2024) за утечку действуют отдельные крупные штрафы для юрлиц (в зависимости от масштаба, для повторной — оборотные), а за неподачу уведомления в Роскомнадзор — до 300 000 рублей для юрлиц. За несвоевременное уведомление об инциденте — отдельный штраф.
Калькулятор штрафов →Сколько нужно хранить персональные данные?
Не дольше, чем требует цель обработки (статья 5 152-ФЗ). Конкретные сроки задают другие законы: бухгалтерские документы — не менее 5 лет, кадровые — по перечню Росархива. По достижении цели данные уничтожают или обезличивают.
Сколько хранить ПДн →В какой срок ответить на запрос субъекта ПДн?
В течение 10 рабочих дней с даты получения запроса; срок можно продлить не более чем на 5 рабочих дней с уведомлением субъекта (статья 20 152-ФЗ).
Сроки по 152-ФЗ →Что делать при утечке персональных данных?
Уведомить Роскомнадзор об инциденте: предварительно — в течение 24 часов с момента выявления, результаты внутреннего расследования — в течение 72 часов (статья 21 152-ФЗ). Уведомление подаётся через сервис Роскомнадзора.
Алгоритм действий при утечке →Обязательна ли политика обработки персональных данных?
Да. По части 2 статьи 18.1 152-ФЗ оператор обязан обеспечить неограниченный доступ к документу, определяющему политику обработки ПДн; при сборе данных через сайт политика публикуется на сайте.
Как разработать политику обработки ПДн →Нужен ли в России баннер согласия на cookie?
Прямого требования о cookie-баннере, как в европейском GDPR, в российском законе нет. Действует общий принцип прозрачности: пользователя информируют об использовании cookie и счётчиков со ссылкой на политику. Главный риск на практике — зарубежная аналитика и трансграничная передача.
Согласие на cookie и баннер →Нужен полный разбор под вашу организацию? Зарегистрируйтесь в ГрамотаИБ → — профиль обработки, список мер, документы и готовность к проверке.