Новости все →
Загрузка...
Статьи все →
Загрузка...

Что такое персональные данные

Определение (ст. 3 152-ФЗ "О персональных данных")

Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн).


То есть если есть возможность определить личность на основе этой информации — это персональные данные.

Давайте теперь разберемся с определениями

Субъект персональных данных — человек, к которому эти данные относятся.
Оператор персональных данных — организация, которая самостоятельно или с привлечением других лиц обрабатывает персональные данные.
Обработчик по поручению — третье лицо, которому оператор передаёт данные для обработки, но которое само не определяет цели и способы обработки.


Если на вашем сайте есть любая форма сбора данных, будь-то подписка на рассылку, форма обратной связи, где пользователь оставляет свои ФИО или форма заказа товара - вы являетесь оператором персональных данных и обязаны соблюдать 152 Федеральный закон.


Не всегда какая-то отдельная информация является персональными данными, но в данном случае лучше проявить излишнюю осторожность и подать уведомление об обработке персональных данных, чем этого не сделать.

Что считается персональными данными по мнению Роскомнадзора

Роскомнадзор исходит из широкого толкования. Ниже — 4 типа данных, которые он считает персональными. От типа зависит, насколько тщательно надо защищать персональные данные, какие меры защиты применять и какие штрафы за утерю и некорректную обработку.

1. Общие персональные данные

  • Фамилия, имя, отчество
  • Дата рождения
  • Место рождения
  • Адрес проживания или регистрации
  • Номер телефона
  • Адрес электронной почты
  • Сведения о семейном положении
  • Образование, профессия
  • Фото и видеозаписи (если можно идентифицировать человека)

2. Специальные категории персональных данных

Повышенный уровень защиты. Можно обрабатывать только с письменного согласия субъекта или в строго установленных законом случаях.

  • Состояние здоровья
  • Расовая или национальная принадлежность
  • Политические взгляды
  • Религиозные или философские убеждения
  • Судимость
  • Членство в профсоюзах

3. Биометрические персональные данные

  • Фотография, если используется для распознавания личности
  • Видеозапись с распознаванием лиц
  • Отпечатки пальцев, голос, радужка глаза, ДНК

4. Идентификаторы и технические данные

Роскомнадзор может признать такие данные персональными, если они в совокупности позволяют установить личность.

  • IP-адрес
  • MAC-адрес
  • Cookie-файлы, если они позволяют связать данные с конкретным пользователем
  • Уникальные ID пользователя (например, в мобильном приложении)

Комбинированные данные

Иногда отдельная информация — например, только возраст или город — не считается персональной. Но если она используется в сочетании с другими сведениями и позволяет определить личность, это уже персональные данные.


ФИО. Само по себе ФИО не считается персональными данным, если его нельзя однозначно привязать к конкретному человеку. Но если добавить номер телефона, адрес или email — личность становится определяемой. В совокупности это уже персональные данные.

Номер телефона. По мнению Роскомнадзора, сам номер телефона не всегда позволяет установить личность: телефон может быть передан другому человеку, зарегистрирован на организацию или быть временным. Но в сочетании с ФИО, email или IP-адресом — уже персональные данные.

Email-адрес. Роскомнадзор в большинстве случаев считает email персональными данными, потому что он создаётся индивидуально и часто содержит ФИО, год рождения или название организации. Даже если вы собираете только email для рассылки — это сбор ПДн и требует согласия.

Фотография. Считается персональными данными, если по ней можно идентифицировать человека или она используется в контексте, где видны имя и должность. Фото из системы видеонаблюдения, связанное с графиком работы или доступом к зданию, также попадает под защиту закона.

Кто регулирует обработку персональных данных

Регулированием выполнения норм Федерального закона №152 занимаются Роскомнадзор (РКН), ФСТЭК России (Федеральная служба по техническому и экспортному контролю) и ФСБ России. Все органы действуют в рамках законодательства Российской Федерации в области защиты персональных данных.


Нормативные документы

Соблюдение 152-ФЗ опирается на широкий комплекс нормативных документов.

Федеральный закон №152-ФЗ от 27.07.2006 «О персональных данных»

текст закона


Базовый закон, определяющий:

  • что такое персональные данные
  • кто является оператором персональных данных
  • права субъектов персональных данных
  • правила получения согласия
  • случаи, когда обработка допускается без согласия
  • обязанности оператора по защите персональных данных
  • общие принципы обработки данных

Постановление Правительства РФ №1119 от 01.11.2012

«Об утверждении требований к защите персональных данных при их обработке в информационных системах» текст постановления


Регулирует:

  • классификацию информационных систем персональных данных по уровням защищённости (1–4)
  • минимальные требования к защите на каждом уровне
  • порядок оценки угроз
  • подходы к проектированию и эксплуатации защищённых систем

Приказ ФСТЭК России №21 от 18.02.2013

«Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных» текст приказа


Уточняет:

  • какие меры защиты необходимо применять на каждом уровне защищённости
  • как организовать контроль доступа
  • порядок мониторинга, регистрации событий, антивирусной защиты
  • требования к документации, назначению ответственных лиц и внутреннему контролю

Приказ ФСТЭК России №17 от 11.02.2013

«О порядке обеспечения безопасности персональных данных при их обработке в государственных информационных системах» текст приказа


Применяется к органам государственной власти и муниципальным структурам. Регулирует:

  • особенности проектирования и эксплуатации государственных ИСПДн
  • использование сертифицированных средств защиты
  • обеспечение изоляции доступа к данным

Постановление Правительства РФ №687 от 15.09.2008

«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без автоматизированных средств» текст постановления


Регулирует обработку персональных данных на бумажных носителях: в журналах, картотеках, архивах. Требует:

  • соблюдать те же принципы обработки, что и для автоматизированных систем
  • вести учёт доступа, защищать от несанкционированного копирования
  • обеспечить контроль доступа к бумажным документам
  • соблюдать порядок хранения и уничтожения данных

Приказ ФСБ России №378 от 10.07.2014

«Об утверждении требований к средствам криптографической защиты информации» текст приказа


Определяет:

  • какие криптографические средства (СКЗИ) можно использовать
  • правила сертификации СКЗИ
  • условия передачи персональных данных через открытые каналы связи
  • обязательность сертифицированных решений при определённых уровнях защищённости

Федеральный закон №242-ФЗ от 21.07.2014 (о локализации)

«О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных» текст закона


Обязывает:

  • хранить и обрабатывать персональные данные граждан РФ на территории Российской Федерации
  • использовать локальные серверы или дата-центры, расположенные в России
  • применять решения, соответствующие требованиям российского законодательства

Что такое обработка персональных данных

Обработка персональных данных — это любые действия с информацией о человеке, которые позволяют его прямо или косвенно идентифицировать. Проще говоря, если есть данные, по которым можно понять, о ком идет речь (имя, телефон, email, паспорт, IP-адрес и т.д.), и с этими данными что-то делают — это уже обработка.

Важно понимать, что обработка — это не только «использование» в узком смысле. Сюда входит целый набор операций.

В законодательстве (например, в Федеральный закон №152-ФЗ «О персональных данных») под обработкой понимается набор конкретных действий. Их обычно и называют «типами» обработки:


Основные операции с персональными данными:

Сбор — получение данных от человека (форма на сайте, анкета, регистрация).

Запись — фиксация данных в системе (база данных, CRM, файл).

Систематизация — упорядочивание (например, распределение по категориям или сегментам).

Накопление — постепенное увеличение объема данных (история заказов, действий).

Хранение — удержание данных в течение времени (на сервере, в облаке).

Уточнение (обновление, изменение) — исправление или актуализация информации.

Извлечение — получение данных из системы для дальнейшего использования.

Использование — применение данных по назначению (доставка, связь с клиентом и т.д.).

Передача (распространение, предоставление, доступ)

предоставление — передача конкретному лицу (например, подрядчику)

распространение — раскрытие неопределенному кругу лиц (например, публикация)

Обезличивание — удаление привязки к конкретному человеку (данные остаются, но без идентификаторов).

Блокирование — временное прекращение обработки (например, по запросу пользователя).

Удаление — исключение данных из системы.

Уничтожение — полное и необратимое удаление без возможности восстановления.

Все эти действия могут происходить:

- с использованием средств автоматизации (системы, базы данных, CRM),

- без автоматизации (бумажные документы, таблицы вручную),

- или в смешанном виде.


Даже одна из этих операций уже считается обработкой. Например, просто хранить данные — это уже полноценная обработка с точки зрения закона.

Закон регулирует обработку персональных данных, чтобы защитить человека от злоупотреблений. Основная идея — данные нельзя использовать как угодно.

Для обработки персональных данных должна быть законная цель (например, исполнение договора или согласие пользователя), и нельзя выходить за рамки этой цели. Если человек оставил номер для доставки, использовать его потом для рассылки рекламы без согласия — уже нарушение.


Еще один важный момент — прозрачность. Человек должен понимать, какие его данные собираются, зачем и что с ними будет происходить и предоставить на это согласие. Это оформляется в виде политики конфиденциальности и согласия на обработку персональных данных.

Как обеспечить безопасность персональных данных

Безопасность персональных данных — это не отдельная программа или техническая настройка, а система мер, которая помогает контролировать, как организация собирает, хранит, использует и передаёт информацию о людях. Главная цель такой защиты — не допустить утечки, потери, изменения или незаконного использования персональных данных.


С чего начинается защита данных

Перед выбором конкретных мер важно понять, какие данные обрабатываются, где они находятся и кто имеет к ним доступ. Без этого невозможно правильно оценить риски и определить, какой уровень защиты нужен системе.

Ответьте на эти вопросы:

  • Какие персональные данные собираются?
  • Где они хранятся?
  • Кто имеет к ним доступ?
  • Какие последствия возможны при утечке?
  • Какие внешние сервисы участвуют в обработке?

Основные угрозы для персональных данных

Утечки происходят не только из-за хакерских атак. Часто причиной становятся ошибки сотрудников, слабые настройки доступа или отсутствие контроля за подрядчиками.


  • Кибератаки.
    Злоумышленники могут использовать уязвимости в сайте, CRM, сервере или другом программном обеспечении.
  • Фишинг и социальная инженерия.
    Данные могут получить обманом: через поддельные письма, сайты или сообщения.
  • Внутренние нарушения.
    Сотрудники или подрядчики могут получить доступ к информации, которая им не нужна для работы.
  • Физические риски.
    Потеря ноутбука, телефона, флешки или другого устройства может привести к раскрытию данных.

Как обеспечить защиту персональных данных

Надёжная защита строится на сочетании организационных и технических мер. Одних только паролей или антивируса недостаточно — важно управлять всем процессом обработки данных.


Организационные меры
  • назначить ответственных за обработку и защиту персональных данных;
  • описать правила работы с данными во внутренних документах;
  • разграничить права доступа между сотрудниками;
  • обучать персонал правилам безопасной обработки информации;
  • контролировать подрядчиков и внешние сервисы.

Технические меры
  • использовать сложные пароли и двухфакторную аутентификацию;
  • шифровать данные и защищать каналы передачи информации;
  • вести журналы действий пользователей;
  • регулярно обновлять программное обеспечение;
  • делать резервные копии;
  • проводить проверки безопасности и устранять уязвимости.

Почему уровень защиты может отличаться

Набор мер зависит от того, какие данные обрабатываются, сколько их, кто имеет доступ к системе и какой ущерб может возникнуть при инциденте. Например, для простой формы обратной связи и для медицинской информационной системы требования к защите будут крайне отличаться.


Что такое ИСПДн

Информационная система персональных данных, или ИСПДн, — это любая система, в которой персональные данные хранятся, обрабатываются или передаются.


К ИСПДн можно отнести CRM, сайт с формой заявки, базу клиентов, облачный сервис, внутреннюю программу компании или даже файл, если с его помощью ведётся регулярная обработка персональных данных.

Поэтому защита должна охватывать не только сервер или сайт, но и весь путь данных: от момента их получения до хранения, передачи, архивирования или удаления. Для того, чтобы понять какие меры защиты надо применить в первую очередьт надо определить уровень защищенности ИСПДн.


Итог: безопасность персональных данных — это комплексная работа с рисками, доступами, документами, сотрудниками и технической инфраструктурой. Чем лучше организация понимает, какие данные она обрабатывает, тем точнее можно подобрать меры защиты.

Уровни защищённости (ПП РФ № 1119)

Постановление №1119 — основа защиты персональных данных и информационных систем по их обработке. Постановление даёт определения уровня защищённости персональных данных и описывает мероприятия для их защиты.

Что такое уровень защищённости

Уровень защищённости — это уровень требований к мерам защиты персональных данных, обрабатываемых в информационных системах (ИСПДн), в зависимости от:

  • категории обрабатываемых данных
  • характера угроз (внутренние / внешние)
  • субъекта, которому причиняется вред в случае утечки данных

Всего 4 уровня защищённости

Уровень Когда применяется Что защищаем Кто источник угроз
1 (первый) При наличии угроз от госорганов / спецслужб, а также если утечка может нанести вред жизни или здоровью субъекта ПДн Специальные категории ПДн, биометрия Государства, службы
2 (второй) При угрозах от внешних нарушителей, если возможен существенный вред гражданину (финансовый, социальный) ФИО + паспорт, финансовые данные Внешние злоумышленники
3 (третий) При угрозах от внутреннего персонала (сотрудников оператора) Обычные персональные данные Сотрудники, пользователи
4(четвёртый) Угрозы не выявлены или обработка исключительно минимальна Минимальный объём ПДн Угрозы отсутствуют

Как определяется уровень защищённости

Оператор персональных данных (организация, обрабатывающая данные) должен провести:

  • Оценку угроз безопасности ПДн: составить перечень возможных угроз по типовой методике ФСТЭК, определить источник угрозы (внешний / внутренний)
  • Классификацию информационной системы: определить категории обрабатываемых ПДн (общие, специальные, биометрические), количество субъектов данных и возможные последствия нарушения

Примеры классификации

Первый уровень
  • База медицинских карточек пациентов
  • Обработка биометрии и данных о здоровье
  • Возможность внешнего взлома и нарушения права на жизнь / здоровье

Требуются сертифицированные средства защиты, криптография, аттестация.

Второй уровень
  • Интернет-магазин, хранящий ФИО, телефон, адрес доставки, email
  • Возможен взлом и утечка финансовых / контактных данных

Нужны антивирусы, шифрование каналов, контроль доступа, аудит.

Третий уровень
  • Внутренняя HR-система, доступная только сотрудникам
  • Данные: ФИО, должности, даты рождения

Достаточно базовой защиты внутри корпоративной сети и разграничения прав.

Четвёртый уровень
  • Упрощённая рассылка email-подписки по согласованной форме
  • Нет угроз, согласие получено, объём данных минимальный

Можно применять упрощённые организационные меры.

Модель угроз

Модель угроз — официальный документ, в котором организация (оператор персональных данных) описывает:

  • какие угрозы безопасности персональных данных существуют в её информационной системе
  • источники этих угроз (внешние злоумышленники, сотрудники, ошибки ПО)
  • уязвимости, которые могут быть использованы
  • меры, которые нужно реализовать, чтобы защитить ПДн

Когда нужна модель угроз

Обязательно разрабатывается, если:

  • ИСПДн обрабатывает персональные данные автоматизированно
  • ИСПДн имеет 1, 2 или 3 уровень защищённости (по ПП №1119)
  • в организации существуют реальные угрозы безопасности персональных данных

Не обязательно для 4-го уровня защищённости, если:

  • данные обрабатываются исключительно с согласия субъекта
  • угрозы не выявлены

Что включает модель угроз

  • Описание ИСПДн: состав, назначение, техническая архитектура системы
  • Категории персональных данных: общие, специальные, биометрические
  • Потенциальные источники угроз: внешние хакеры, сотрудники, вирусы, сбои оборудования, третьи лица
  • Типы угроз: несанкционированный доступ, утечка, изменение данных, удаление
  • Уязвимости системы: слабые пароли, незашифрованный трафик, отсутствие логирования
  • Оценка последствий и вероятности реализации каждой угрозы
  • Рекомендации по мерам защиты в соответствии с Приказом ФСТЭК №21

Меры защиты (Приказ ФСТЭК № 21)

Организационные меры

  • Назначение ответственного за обработку ПДн
  • Разработка политики обработки ПДн и локальных актов
  • Обучение и инструктаж сотрудников
  • Контроль доступа к ПДн (принцип минимальных привилегий)
  • Ведение журналов доступа к ПДн

Технические меры

  • Идентификация и аутентификация пользователей (IAM)
  • Управление доступом к ПДн
  • Регистрация событий безопасности (SIEM)
  • Антивирусная защита (сертифицированная)
  • Межсетевое экранирование
  • Шифрование каналов передачи ПДн (СКЗИ)
  • Резервное копирование и восстановление

Сертифицированные средства защиты

ViPNetКриптоПроSecret NetDallas LockКонтинентАПАПКШ Континент

Подтверждение соответствия

Аттестация ИСПДн

Обязательна для государственных ИСПДн. Для коммерческих — добровольная, но повышает доверие клиентов и снижает риски при проверках. Проводится лицензиатами ФСТЭК.

Внутренний аудит

  • Проверка актуальности документации
  • Тест на проникновение (pentest)
  • Проверка работы сотрудников с ПДн
  • Анализ журналов событий

Проверки РКН

Плановые — раз в 3 года. Внеплановые — по жалобе субъекта, по поручению прокуратуры или президента. При проверке запрашивают: уведомление, политику обработки, согласия, документы по информационной безопасности.

Штрафы за несоблюдение

С 30 мая 2025 года сильно изменили ст. 13.11 КоАП РФ (ФЗ №420-ФЗ).
Штрафы значительно выросли!


Основные статьи и нормативные документы

  • Федеральный закон №152-ФЗ «О персональных данных»
  • КоАП РФ, в особенности статья 13.11 — основные штрафы за нарушения в области персональных данных
  • Статья 19.5 КоАП — за неисполнение предписания Роскомнадзора
  • Статья 19.7 КоАП — за непредоставление информации в Роскомнадзор

Штрафы по статье 13.11 КоАП РФ (актуально с 30.05.2025)

Нарушение Должностное лицо Юридическое лицо
Обработка ПДн без законных оснований / без согласия 20 000 — 40 000 ₽ 150 000 — 300 000 ₽
Повторное нарушение 40 000 — 80 000 ₽ 300 000 — 500 000 ₽
Нарушение обязанностей оператора 20 000 — 40 000 ₽ 100 000 — 200 000 ₽
Отсутствие уведомления Роскомнадзора 30 000 — 50 000 ₽ 100 000 — 300 000 ₽
Неправомерная передача ПДн 40 000 — 80 000 ₽ 200 000 — 400 000 ₽
Нарушение требований к защите ПДн 20 000 — 50 000 ₽ 100 000 — 300 000 ₽
Утечка ПДн (до 10 тыс. субъектов) 3 000 000 — 5 000 000 ₽
Утечка ПДн (10–100 тыс. субъектов) 5 000 000 — 10 000 000 ₽
Утечка ПДн (более 100 тыс. субъектов) 10 000 000 — 15 000 000 ₽
Неуведомление об утечке ПДн 50 000 — 100 000 ₽ 1 000 000 — 3 000 000 ₽

Дополнительные санкции

  • За неисполнение предписания Роскомнадзора (ст. 19.5 КоАП) — до 200 000 ₽
  • За непредоставление информации в Роскомнадзор (ст. 19.7 КоАП) — до 50 000 ₽
  • За повторные нарушения штрафы увеличиваются
  • В отдельных случаях возможны оборотные штрафы
  • Штрафы накладываются отдельно на юридическое и должностное лицо

На что обратить особое внимание

  • Наличие согласий на обработку персональных данных на сайте
  • Уведомление Роскомнадзора о начале обработки персональных данных
  • Политика обработки персональных данных
  • Соблюдение режима хранения и уничтожения данных

Важно знать

  • Уголовная ответственность возможна при незаконном сборе, распространении или взломе (например, ст. 137 и ст. 272 УК РФ)
  • Штрафы существенно увеличены с 2025 года — до 15 млн ₽ за утечки персональных данных
  • За неуведомление Роскомнадзора об утечке — до 3 млн ₽
  • При массовых утечках ответственность значительно ужесточается

Выбор облачного провайдера

Ключевые критерии

  • Локализация: серверы должны находиться на территории России (ст. 18.1 152-ФЗ)
  • Аттестация: наличие аттестата соответствия требованиям 152-ФЗ
  • Сертификаты ФСТЭК: лицензии на техзащиту конфиденциальной информации
  • СЗИ: использование сертифицированных средств защиты

Документы, которые должен предоставить провайдер

Аттестат соответствия Лицензия ФСТЭК Политика Информационной Безопасности

Готовый рейтинг провайдеров

Перейдите в раздел «Облачные провайдеры» — там собран актуальный рейтинг с отзывами.