Что значит обработка персональных данных: понятие и требования 152-ФЗ
Российское законодательство трактует обработку персональных данных шире, чем просто хранение сведений о клиентах или сотрудниках. Любое действие с такой информацией регулируется 152-ФЗ и сопровождается серьёзными штрафами. В материале рассмотрим понятие обработки персональных данных простым языком, актуальные требования 2025 года, пошаговые рекомендации для компаний и пример согласия на обработку.
Под «обработкой персональных данных» законодатель понимает практически любое действие с информацией о человеке: от банального сбора анкет до её уничтожения. Компании часто обращают внимание лишь на хранение баз, забывая, что даже разовая передача телефона курьеру — уже правовое событие. Ошибка чревата штрафами до 3 % годового оборота (минимум 20 млн ₽) за повторные утечки. Чтобы избежать санкций, важно разобраться, что означает обработка персональных данных человека, и как организовать процессы в бизнесе.
Что считается обработкой персональных данных
Федеральный закон №152-ФЗ определяет обработку персональных данных как «любое действие (операцию) или совокупность действий, совершаемых с использованием средств автоматизации или без них». В перечень входят:
| Действие | Краткое описание |
| Сбор | Получение данных от самого субъекта или третьих лиц |
| Запись | Фиксация сведений в ИТ-системе или на бумаге |
| Систематизация | Структурирование по ключам, каталогизация |
| Накопление | Создание базы и её пополнение |
| Хранение | Содержание данных в ИС или архивах |
| Уточнение | Обновление, исправление, актуализация |
| Извлечение | Выгрузка, просмотр, выборка записей |
| Использование | Работа сотрудников, аналитика, рассылки |
| Передача | Распространение, предоставление, доступ третьим лицам |
| Обезличивание | Удаление связи с конкретным лицом |
| Блокирование | Временная приостановка доступа |
| Удаление/уничтожение | Полное удаление носителей или записи |
Иными словами, обработка персональных данных это простым языком любой «контакт» компании с персональной информацией.
Ключевые термины, на которые стоит обратить внимание
- Оператор — организация или ИП, определяющие цели и способы обработки.
- Субъект — физическое лицо, чьи данные обрабатываются.
- База данных — не только сервер, но и печатная папка с анкетами.
- Локализация — хранение баз граждан РФ на территории страны.
Все типы организаций, ИП, ООО
Все, ОСНО, ПСН, УСН
Да
- Для новых ИП – обслуживание и бухгалтерия бесплатно; Для ООО – обслуживание бесплатно 3 месяца
Принципы обработки персональных данных (ст. 5 152-ФЗ)
- Законность и справедливость: нельзя собирать лишние данные или без цели.
- Конкретные цели: цели фиксируются в политике и согласиях.
- Соразмерность: не допускается избыточность сведений.
- Точность: данные должны обновляться при появлении новых сведений.
- Хранение не дольше необходимого: после достижения цели данные подлежат уничтожению или обезличиванию.
Юридические основания (ст. 6, 9 152-ФЗ)
| Основание | Пример | Документ-подтверждение |
| Согласие субъекта | Онлайн-форма на сайте | Письменное согласие/галочка в форме |
| Договор с субъектом | Купля-продажа, трудовой договор | Контракт, оферта |
| Закон | Налоговый кодекс, трудовое право | Прямая норма закона |
| Жизненно важные интересы | Медицинская помощь | Акт врача |
| Судебное производство | Исполнение решения суда | Определение суда |
Новые штрафы 2025 года: за что наказывают операторов
| Нарушение (ст. 13.11 КоАП) | Для юрлиц до 30 мая 2025 | С 30 мая 2025 | Разъяснение |
| Обработка без оснований (ч. 1) | 60,000–100,000 ₽ | 150,000–300,000 ₽ | «Подам ли рассылку без согласия?» |
| Повторное такое же (ч. 1.1) | 100,000–300,000 ₽ | 300,000–500,000 ₽ | Второе нарушение дороже |
| Неуведомление об утечке (ч. 11) | 3,000–5,000 ₽ (факт) | 1–3 млн ₽ | 24 ч на сообщение в РКН |
| Утечка 1,000–10,000 субъектов (ч. 12) | до 700,000 ₽ | 3–5 млн ₽ | Количественный критерий |
| Утечка >100,000 субъектов (ч. 14) | нет | 10–15 млн ₽ | Массовое нарушение |
| Повторная утечка (ч. 15) | нет | 1–3% выручки ≥20 млн ₽ | Минимум 20 млн ₽ |
Скидка 50% при быстрой уплате больше не действует.
Автоматизация под ключ
— экономьте время и ресурсы
Подберем CRM, ERP или систему электронного документооборота под ваши задачи.
Оставьте заявку — расскажем о решениях, которые окупятся в первые месяцы использования.
Практические рекомендации для бизнеса
- Проведите инвентаризацию данных
- Составьте реестр процессов, где фигурируют персональные данные: HR, продажи, маркетинг, логистика. Отметьте цели обработки и категории данных.
- Удостоверьтесь, что все базы граждан РФ физически расположены на территории России (требование локализации).
- Оформите политику и документы
- Политика обработки ПД — публичный документ на сайте. Отразите цели, сроки, права субъектов и контакт ответственного лица.
- Согласие — проверьте наличие обязательных атрибутов: Ф.И.О. субъекта, данные паспорта, цели, срок действия.
Ниже приведён укороченный пример согласия, который можно адаптировать под компанию.
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я, ____________________________, даю ООО «Ромашка» (ИНН 7700000000, адрес: 101000, г. Москва, …) согласие на обработку моих персональных данных: Ф.И.О., телефон, e-mail, адрес доставки.
Данные обрабатываются в целях: оформления заказа, доставки товара, обработки возврата.
Перечень действий: сбор, запись, систематизация, хранение, использование, передача курьеру, обезличивание, удаление.
Согласие действует до отзыва.
Дата _________ Подпись ___________
- Настройте процессы безопасности
- Разграничьте доступы в ИТ-системах по принципу «минимально необходимого».
- Шифруйте каналы передачи данных (TLS, VPN).
- Храните резервные копии отдельно; проверяйте их на отсутствие ПД, если не нужны.
- Проводите ежегодный аудит соответствия 152-ФЗ и внутренних политик.
- Отрабатывайте инциденты
- Определите регламент: кто и как в течение 24 ч уведомляет Роскомнадзор об утечке.
- Храните шаблоны писем, лог-файлы, журнал действий для внутреннего расследования (72 ч на результаты).
- Обучайте персонал
- Включите в должностные инструкции обязанности по защите ПД.
- Проводите тренинги: фишинг-симуляции, контроль знаний.
Часто задаваемые вопросы
Обработка персональных данных это сложный ИТ-процесс?
Не обязательно. Даже бумажная анкета посетителя уже считается обработкой персональных данных человека.
Что значит обработка персональных данных «совместимая с целями сбора»?
Данные о клиенте, собранные для доставки товара, нельзя использовать для рассылки рекламы без дополнительного согласия.
Можно ли хранить резюме соискателей после отказа?
Только при создании кадрового резерва и наличии отдельного согласия. Иначе резюме нужно уничтожить.
Определение обработки персональных данных в российском праве максимально широкое: почти любое действие с информацией о человеке подпадает под 152-ФЗ. С 2025 года усилилась ответственность: штрафы за утечки и отсутствие уведомлений исчисляются миллионами рублей, а повторные нарушения грозят процентом от выручки. Чтобы снизить риски, бизнесу важно:
- документировать цели и объемы данных,
- получать корректные согласия,
- соблюдать принцип «минимально достаточного» доступа,
- обучать сотрудников,
- оперативно реагировать на инциденты.
Сравните тарифы и сроки регистрации бизнеса на нашей витрине