Персональные данные (ПДн) — это любые сведения, напрямую или косвенно относящиеся к конкретному физическому лицу (в нашем случае пользователю), определяемому законом, как субъект персональных данных.
Такая личная информация, позволяющая идентифицировать отдельного человека, является чувствительной, а потому регулируется Федеральным законом от 27.07.2006 № 152-ФЗ.
В законе 152-ФЗ не конкретизируется, какая информация относится к персональным данным. Поэтому обычно под ними понимают любые сведения, соотносимые с конкретным пользователем.
Однако при этом можно точно сказать, что относится к ПДн:
Не вся личная информация — это персональные данные. К примеру, если вы анонимно спрашиваете людей, например, об их доходе, то в таком случае сведения не будут рассматриваться как ПДн.
Компании хранят персональные данные в следующих целях:
Составляя политику обработки и хранения персональных данных, важно отразить в документе, для чего именно собирается такая информация и как она будет использоваться.
Рассмотрим основные виды ПДн:
Согласно п. 3 ст. 6 закона о ПДн, владельцы сайтов обязаны встать на учет и зарегистрироваться в реестре операторов персональных данных, если они собирают информацию о посетителях (например, имеют форму регистрации). Отметим, что полученные сведения можно передавать на обработку другим участникам процесса (например, сервису рассылки). Это отражают в пользовательском соглашении, но при этом сторонний специалист или сервис не должен регистрироваться как оператор ПД.
Также, в п. 5 ст. 18 закона о персональных данных сказано, что информацию нужно хранить именно на российских серверах за редкими исключениями.
Отдельно законодатели закрепили и требования к предоставлению субъектом согласия на обработку персональных данных в 2025 году. Так, в п. 1 ст. 9 ФЗ-152 указано, что оно (согласие) должно быть свободным, осознанным и однозначным, а факт его предоставления — зафиксированным в любой официально подтвержденной форме.
Операторы ПДн, нарушившие статью 152-ФЗ, привлекаются к административной ответственности и получают штрафы.
Размеры штрафов зависят от статьи КоАП РФ и могут составлять от нескольких тысяч до полутора миллионов рублей в зависимости от ситуации. При этом максимальная сумма штрафных санкций в 2025 году, при повторном административном нарушении, составит:
Единственным положительным моментом здесь является то, что данное административное нарушение не влечет за собой приостановку деятельности организации.
Персональные данные на сайте могут обрабатываться 2 способами. К примеру, посетитель хочет зарегистрироваться, чтобы получить доступ к закрытому контенту. В таком случае он должен заполнить форму со следующими полями:
Второй пример сбора персональных данных подразумевает использование cookie. В этом случае можно получить следующую дополнительную информацию:
Оператор ПДн — это любая организация или ИП, намеренно обрабатывающие персональные данные пользователей. Чтобы стать оператором и получить право на сбор личной информации, нужно разработать политику их обработки, создать или найти безопасную платформу для их хранения, а также уведомить Роскомнадзор о начале деятельности ОПДн.
Физическое лицо не считается оператором обработки персональных данных, а потому может хранить почту и номера телефонов родственников, друзей, коллег для использования в личных целях. В этом случае регистрироваться в реестре и получать разрешение на сбор ПДн не нужно.
К мероприятиям по обработке ПДн относятся 8 операций:
Чтобы легально работать с персональными данными по закону ФЗ-152, важно выполнить ряд условий. Рассмотрим все требования, которых должен придерживаться оператор ПДн.
Политика обработки персональных данных — это обязательный для всех операторов документ, который должен содержать:
Ссылку на страницу с политикой персональных данных рекомендуется разместить в футере сайта, чтобы регулирующие органы и пользователи имели постоянный доступ к документу.
Под формами сбора данных нужно добавить сообщение о том, что компания собирает личную информацию пользователей. Если человек согласен с этим, то он должен поставить галочку напротив «Даю согласие на обработку своих персональных данных». В противном случае пользователь просто не сможет отправить информацию.
Файлы cookie также относятся к ПДн, поэтому новые пользователи должны подтвердить согласие на их сбор. Для этого разработчики создают специальный блок с уведомлением, всплывающим при входе на сайт. Обычно там пишут что-то похожее: «На сайте используются файлы cookie. Продолжая пользоваться сайтом, вы соглашаетесь с этим. Подробности об обработке персональных данных по ссылке». Также в блоке оставляют кнопку для пользователя, например, «Я согласен».
Чтобы компанию включили в реестр ОПД, нужно заполнить форму на сайте ведомства и отправить ее одним из двух возможных способов:
Информация об ОПД добавляется в течение месяца.
Пользователи имеют право запрашивать информацию о том, какие данные и для чего собираются. При этом у компании есть 10 рабочих дней на предоставление им актуальных сведений.
Кроме того, закон устанавливает срок обработки запросов посетителей сайта, отказавшихся предоставлять некоторые виды личных данных. К примеру, человек заказал доставку товара в пункт выдачи, а компания просит сообщить адрес проживания. Если клиент требует объяснить причину запроса такой информации, компания обязана ответить в течение недели на письменный запрос и моментально на устный.
Ответственность за обработку персональных данных с нарушением сроков ответа на запрос пользователя выражается в штрафах на сумму 40-80 тыс. рублей.
Если компания сотрудничает со сторонними агентствами (например, аналитическими), то нужно составить поручение на работу с данными с указанием:
Существуют 2 основных способа хранения данных.
Электронное хранение предполагает использование защищенных ИСПДн (Информационные Системы Персональных Данных), которые автоматически собирают и обрабатывают персональные данные пользователей на сайте. Чаще всего компании для записи информации обращаются к услугам сторонних дата-центров (например, ОБИТ), прошедших аттестацию.
Плюсы такого способа хранения персональных данных:
Минусы хранения персональных данных в электронном виде:
В таком случае имеется в виду создание личных дел и их хранение в сейфах. Сегодня в бумажном виде персональные данные обычно не хранят ввиду трудоемкости процесса и необходимости выделять место под архив.
Плюсы такого способа хранения:
Минусы:
Есть 2 группы средств для обеспечения безопасности персональных данных — организационные и технические. В первую категорию входят:
В группу технических средств защиты персональных данных входят:
Для обеспечения безопасности данных с технической точки зрения рекомендуется хранить данные на серверах стороннего провайдера (например, SberCloud). При этом поставщики облачных услуг проходят аттестацию и обеспечивают:
В таком случае вам потребуется только решить организационные вопросы по работе с данными, чтобы не произошла внутренняя утечка.
Уничтожение пользовательских данных — это операция, после которой нельзя восстановить ранее собранную и обработанную личную информацию пользователей в информационной системе.
Здесь важно знать, что все компании должны удалять данные при достижении цели обработки.
Чтобы работать с персональными данными, необходимо зарегистрироваться в качестве оператора, получить согласие пользователя, а также обеспечить полную конфиденциальность информации. Несоблюдение требований закона — риск для компании, грозящий крупными штрафами, а в случае утечки — серьезными последствиями для субъектов ПД, в том числе и уголовной ответственностью.