menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Кто обязан соблюдать 152‑ФЗ: подробное руководство для бизнеса, юристов и ИТ-специалистов

лонгриды
13.01.2023
28/08/25
Б-152
Лонгриды
События /
Кто обязан соблюдать 152‑ФЗ: подробное руководство
Статья объясняет, что Федеральный закон № 152-ФЗ о персональных данных обязывает к соблюдению всех, кто обрабатывает персональные данные — от крупных компаний до малого бизнеса и фрилансеров — и нарушение требований влечет юридическую ответственность.
Почему биометрия требует отдельного внимания
Глубокое понимание понятия биометрических персональных данных
Содержание
Виды биометрии и особенности их правового регулирования
Правовые основания для обработки биометрии: согласия и исключения
Особенности обработки биометрии несовершеннолетних
Технические и организационные требования
Риски и ответственность за нарушения
Практические советы и рекомендации
Заключение
Почему биометрия требует отдельного внимания
Глубокое понимание понятия биометрических персональных данных
Содержание
Виды биометрии и особенности их правового регулирования
Правовые основания для обработки биометрии: согласия и исключения
Особенности обработки биометрии несовершеннолетних
Технические и организационные требования
Риски и ответственность за нарушения
Практические советы и рекомендации
Заключение
С момента принятия в 2006 году Федеральный закон № 152-ФЗ «О персональных данных» прошёл путь от формального акта, воспринимавшегося как бюрократическое требование «для галочки», до полноценного регулятора цифровой и офлайн-деятельности компаний.
Сегодня этот закон не просто о том, когда и у кого нужно брать согласие на обработку. Это фундаментальный юридический каркас, определяющий, кто, как, зачем и на каких условиях может взаимодействовать с любой информацией, позволяющей установить личность человека.
Эволюция закона шла поэтапно: от общих требований к уведомлению Роскомнадзора и получению согласий к детализированным процедурам трансграничной передачи, обязательной публикации политики, обязанностям операторов и росту административной ответственности.
При этом вектор изменений очевиден: от декларативных норм к реально действующей системе правового регулирования, в которой компании несут не только юридическую, но и репутационную ответственность за ошибки.
На практике это означает: 152‑ФЗ сегодня регулирует не отдельные случаи, а всю инфраструктуру обработки персональных данных, независимо от отрасли, масштаба бизнеса и способов взаимодействия с данными. Он охватывает:
Именно поэтому 152‑ФЗ нельзя воспринимать как набор формальных действий или как документ для отдела юристов. Это обязательная часть архитектуры любой организации, работающей с людьми и их данными.
  • маркетинг — где собираются и используются контактные данные, профили поведения и интересов клиентов;
  • кадровые процессы — с хранением анкет, трудовых договоров, документов об образовании, медсправок;
  • информационные системы и SaaS-сервисы — где данные передаются, хранятся, обрабатываются в облаке;
  • оффлайн-бизнес — если, например, вы ведёте клиентскую базу в Excel, храните договора в архиве или принимаете заявления в бумажной форме.

Кому и когда нужно соблюдать закон о персональных данных

Чтобы соблюдение закона № 152‑ФЗ не стало неожиданностью или формальной обузой, бизнесу важно понимать не только что именно запрещено, но и как работает сам механизм правового регулирования.
Даже самая простая форма обратной связи на сайте, при помощи которой собирается имя и email, делает организацию оператором персональных данных с полным перечнем обязанностей: от выбора правового основания до уведомления Роскомнадзора и обеспечения технической защиты данных.
Это особенно актуально для малого и среднего бизнеса, индивидуальных предпринимателей, digital-команд, маркетологов и IT-специалистов. Именно в этих сегментах часто встречаются заблуждения: если данных немного, если они «нечувствительные» или хранятся на флешке, значит, закон «не про нас».
Необходимо ясно осознавать, кто именно подпадает под действие закона, в каких случаях его соблюдение обязательно, где допускаются исключения, и что означает статус оператора персональных данных не только юридически, но и с точки зрения ответственности и организационных последствий.
На практике всё обстоит иначе. Закон распространяется на любую деятельность, связанную с обработкой персональных данных, независимо от объёма, отрасли и масштаба компании.

Кому обязателен закон: прямая норма статьи 1

Ответ на этот вопрос даёт часть 1 статьи 1 закона 152‑ФЗ, устанавливающая круг субъектов, подпадающих под его действие. И этот круг чрезвычайно широк. Закон распространяется на:
  • все юридические лица, зарегистрированные в России, вне зависимости от формы собственности (частные, государственные, НКО) и направления деятельности (услуги, производство, торговля, образовательные проекты и пр.);
  • все филиалы, представительства и обособленные подразделения, если они обрабатывают персональные данные, даже если сама головная организация зарегистрирована в другой юрисдикции;
  • индивидуальных предпринимателей и физических лиц, если обработка осуществляется в рамках профессиональной, служебной или предпринимательской деятельности (например, адвокат, репетитор, фотограф или частный перевозчик, ведущий базу клиентов);
  • органы государственной власти и местного самоуправления: от федеральных министерств до муниципальных учреждений, если в их деятельности присутствует сбор, использование или хранение данных о физических лицах.
Ключевое условие: наличие организованной обработки персональных данных.
  • сбор (например, анкета, заявка, резюме, онлайн-форма);
  • систематизацию и хранение (в таблице, CRM, на бумажных носителях);
  • передачу (внутри компании или третьим лицам: подрядчику, колл-центру, поставщику услуг);
  • использование (рассылка, звонки, аналитика, оформление документов);
  • обезличивание (для статистики, внутреннего анализа);
  • уничтожение данных (при завершении цели или по запросу субъекта).
Речь не идёт о разовых действиях, а о системной работе с персональными данными, включающей хотя бы один из процессов:
Если компания или специалист хотя бы один из этих процессов осуществляет регулярно, она автоматически приобретает статус оператора персональных данных. И этот статус не зависит:
Даже если клиентская база ведётся вручную, а в штате всего три человека, вы обязаны соблюдать требования 152-ФЗ. Отсюда вытекает, что любая организация, у которой есть информация о людях, становится субъектом регулирования этого закона.
  • ни от количества сотрудников (хоть один, и это уже персональные данные);
  • ни от объёма данных;
  • ни от наличия ИСПДн в формальном смысле;
  • ни от формата хранения (бумажный или электронный);
  • ни от намерений оператора.

Особый случай — иностранные компании: статья 1.1

С 1 сентября 2022 года действие закона было расширено на иностранные организации и граждан, если они обрабатывают персональные данные российских пользователей при наличии признаков направленности деятельности на территорию РФ.
Закон закрепляет так называемую экстратерриториальную юрисдикцию — подход, при котором национальный закон применяется к иностранным лицам, если они ориентированы на российских субъектов данных. Эта логика соответствует международной практике (например, GDPR) и означает, что компании вне РФ обязаны соблюдать 152‑ФЗ, если:
  • на сайте используется русскоязычный интерфейс или домен .ru, .рф, .рус;
  • предлагаются товары или услуги на территории России;
  • есть доставка по РФ, оплата в рублях, поддержка на русском языке;
  • в рекламе прямо указаны российские пользователи или упомянуты партнёры в РФ.
Наличие хотя бы нескольких таких признаков достаточно, чтобы признать компанию оператором и возложить на неё обязанности по российскому закону. При этом место нахождения серверов, регистрация бизнеса или локация сотрудников значения не имеют.

Когда 152‑ФЗ не применяется: статья 2

Хотя закон № 152-ФЗ имеет широкий охват и действует практически на всех, кто обрабатывает персональные данные, он не применяется в строго ограниченных случаях, которые прямо указаны в части 2 статьи 1. Эти исключения узки и трактуются ограничительно. Попытки использовать их как универсальную лазейку чаще всего заканчиваются ошибкой и административной ответственностью.
1. Обработка в личных или семейных целях
Классический пример — ведение личного адресного справочника, напоминания о днях рождения родственников, хранение фотографий из семейного архива. Закон в таких случаях не применяется, поскольку отсутствует организованная деятельность и системная обработка, направленная на извлечение выгоды или выполнение профессиональных задач.
2. Архивное хранение на основании законодательства об архивном деле
Закон 152-ФЗ также не применяется к архивной обработке, если она осуществляется строго на основании закона об архивном деле (например, при передаче в государственный или муниципальный архив, формировании фондов длительного хранения и т. д.).
3. Работа с государственной тайной
Если вы обрабатываете данные, подпадающие под режим государственной тайны, к ним применяется специальное законодательство: закон № 5485−1 «О государственной тайне», а также нормативные акты ФСБ, Минобороны и других ведомств. В этом случае режим защиты и регулирования иной, и 152-ФЗ не используется.
Однако как только появляется регулярность, автоматизация или вовлечение третьих лиц, грань личного использования нарушается.
Та же логика применяется, например, к блогерам, репетиторам или частным организаторам мероприятий: если вы системно собираете контакты участников (даже в Excel) и делитесь ими с подрядчиками, вы становитесь оператором ПДн.
  • Если вы поставили видеокамеру в своей квартире и она фиксирует только вашу входную дверь, это личное использование.
  • Если камера снимает лестничную площадку, хранит записи на сервере, и вы в любой момент можете передать запись соседям или участковому, это уже организованная обработка, которая подпадает под 152-ФЗ.
Пример:
Ключевой вывод:
Как только обработка данных переходит из личной сферы в профессиональную, служебную или предпринимательскую, 152-ФЗ начинает применяться.
Наличие сайта, CRM, офиса или электронной подписи не определяет, попадаете вы под закон или нет. Определяет наличие организованного доступа к данным и их использования в рамках деятельности, направленной на взаимодействие с другими лицами.
Ошибка № 1: полагать, что если нет сайта, значит, закон не действует.
Ошибка № 2: считать, что работа в одиночку (например, как ИП или самозанятый) освобождает от обязанностей оператора.
Ошибка № 3: предполагать, что если всё хранится на личном компьютере, то это «личное использование».

Кто такой оператор: от юридических лиц до частных специалистов

Закон даёт чёткое и функциональное определение. Согласно статье 3 Федерального закона № 152-ФЗ:
Оператор — это лицо (физическое или юридическое), которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.
То есть оператором является не тот, кто физически нажимает кнопку «отправить», а тот, кто принимает решение:
  • какие данные собирать (например, только email или также телефон и дату рождения);
  • зачем они нужны (например, для отправки рассылок, обратной связи, формирования отчётов);
  • как обрабатывать и хранить (в CRM, в Excel, в облаке, на флешке);
  • кому передавать (внешним подрядчикам, колл-центрам, службам доставки);
  • как долго хранить и когда уничтожать.
Кто может быть оператором:
  • Фрилансер, собирающий заявки через Google Форму — если сам определяет поля, цели сбора и хранит данные.
  • Маркетолог, ведущий рассылки через сторонний сервис — если сам выбирает платформу, готовит базу и управляет контентом.
  • Фитнес-тренер или преподаватель, организующий запись через сайт или мессенджер-бот.
  • Бухгалтер, обслуживающий клиентов и хранящий их паспортные данные, ИНН, платёжные реквизиты.
  • Рекрутер, собирающий и анализирующий резюме кандидатов.
  • Digital-специалист, подключающий аналитику и использующий IP-адреса, cookies, UTM-метки — даже если он работает по заказу клиента, но самостоятельно настраивает логику обработки.
Статус оператора возникает не с момента регистрации юрлица, а с момента фактического влияния на обработку.
Если вы определяете:
  • цели (зачем вы это делаете);
  • средства (каким способом и где данные будут обрабатываться) — вы автоматически становитесь оператором.
Даже если техническую часть обрабатывает подрядчик, хостинг-провайдер или маркетинговая платформа, именно вы определили, что эти данные должны быть собраны, через какую форму, и кому их передать.

Как понимать трансграничную составляющую 152‑ФЗ

Федеральный закон № 152‑ФЗ распространяется не только на компании, зарегистрированные в России, но и на всю обработку персональных данных, осуществляемую на территории РФ, вне зависимости от гражданства субъекта данных.
Это значит, что если иностранец приезжает в Россию (например, на лечение, обучение, стажировку или просто как турист), и вы собираете, храните или используете его персональные данные (паспорт, контактный номер, адрес пребывания), вы автоматически становитесь оператором, обязанным соблюдать все положения закона 152‑ФЗ.
Важно понимать: субъект данных — это любой человек, чьи персональные данные обрабатываются на территории России.
Закон не делает различий по гражданству, статусу визы или цели приезда. Главное — территориальная привязка: факт нахождения субъекта на территории Российской Федерации в момент сбора данных. Это критически важно, например, для медицинских учреждений, отелей, онлайн-школ, сервисов бронирования, принимающих иностранных клиентов.

Как работает логика в обратную сторону?

Если гражданин РФ находится за пределами России, то обработка его данных регулируется местным законодательством страны пребывания, особенно если данные собираются или используются впервые уже за границей. Однако, если данные были собраны до выезда (допустим, в момент заключения договора, регистрации на сайте или заполнения анкеты на территории РФ), то обязанности оператора по защите таких данных продолжают действовать.
Это означает, что даже если гражданин уехал, оператор по-прежнему должен соблюдать:
  • условия хранения и уничтожения данных;
  • ограничения на передачу;
  • запреты на использование без правового основания;
  • требования о локализации.
Такой подход особенно актуален для международных компаний, а также образовательных, туристических, юридических, страховых и медицинских проектов, взаимодействующих с клиентами до, во время и после их пребывания в РФ.

Вывод: незнание оператора не освобождает от ответственности

На практике закон № 152‑ФЗ охватывает намного больше сфер и субъектов, чем предполагают многие специалисты. Он распространяется на:
  • все юридически оформленные процессы, в которых задействованы персональные данные;
  • любую предпринимательскую деятельность, где используются таблицы, формы, CRM-системы, анкеты или бумажные базы;
  • почти все формы взаимодействия с пользователями онлайн — от подписки на рассылку до отправки заявки через мессенджер;
  • аналитику поведения клиентов — если используются IP-адреса, cookies, сессии, UTM-метки и прочие инструменты идентификации.
Если вы работаете с данными людей, осознанно или неосознанно, вы обязаны:
  • иметь законное основание для обработки (например, согласие, договор, законное требование);
  • соблюдать принцип минимизации: не собирать лишнего;
  • информировать субъекта данных об условиях обработки и его правах (ст. 18.1);
  • обеспечить техническую и организационную защиту (ст. 19);
  • подать уведомление в Роскомнадзор, если обработка подлежит регистрации (ст. 22).
Нельзя переложить ответственность на подрядчика, разработчика сайта, маркетолога, бухгалтера или IT-команду. Если вы — лицо, определяющее цели и средства обработки (даже если формально не храните данные у себя), то вы — оператор персональных данных. И все риски ложатся на вас.
152‑ФЗ — это зона личной ответственности каждой организации и каждого специалиста. А зрелый бизнес сегодня не тот, кто формально разместил политику, а тот, кто выстроил устойчивую, доказуемую, юридически корректную систему работы с персональными данными.
Ваша бесплатная консультация
Мы позвоним и поможем выбрать лучший формат решения вашей задачи
ОСТАВИТЬ ЗАЯВКУ
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме