Обработка персональных данных по 152-ФЗ

Обновлено: март 2026 · 12 мин чтения

Любой сайт, который принимает заявки, регистрирует пользователей или ставит cookie, обрабатывает персональные данные. 152-ФЗ устанавливает чёткие правила: на каком основании можно собирать данные, сколько их хранить, куда передавать и когда удалять. Нарушение этих правил грозит штрафами до 500 000 ₽ за первый случай и оборотными штрафами за утечку. Разбираем по пунктам.

Содержание

1. Что такое ПДн и что считается обработкой
2. Шесть правовых оснований для обработки
3. Сроки хранения — когда удалять
4. Локализация данных в РФ
5. Права субъектов: доступ, удаление, отзыв согласия
6. Проверьте свой сайт

1. Что такое персональные данные и что считается обработкой

Статья 3 закона 152-ФЗ даёт определение: персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту персональных данных). Ключевое слово — «любая». Законодатель намеренно не составил исчерпывающий перечень.

Что относится к ПДн

Однозначно ПДн

ФИО, дата рождения, паспортные данные
Номер телефона, email-адрес
Адрес проживания, ИНН, СНИЛС
Фотография, биометрия (отпечатки, голос)
Данные о здоровье, религия, судимость (спецкатегории)

Часто забывают

IP-адрес (если позволяет идентифицировать лицо)
Cookie-файлы и идентификаторы устройств
Геолокация (GPS, Wi-Fi, сотовые вышки)
История покупок в привязке к аккаунту
Логины и пароли (в связке с email/телефоном)

Что считается обработкой

Статья 3 152-ФЗ определяет обработку как любое действие с ПДн: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение. Перечень открытый — по сути, обработка — это всё, что вы делаете с данными от момента получения до момента уничтожения.

Для владельцев сайтов: Даже если вы просто храните email-адреса из формы обратной связи в базе данных — это обработка ПДн. Установка Яндекс.Метрики или Google Analytics тоже является обработкой, потому что эти сервисы собирают cookie и IP-адреса посетителей.

2. Шесть правовых оснований для обработки

Статья 6 закона 152-ФЗ устанавливает исчерпывающий перечень оснований. Обрабатывать ПДн без хотя бы одного из них — незаконно. Оператор обязан определить основание до начала обработки и зафиксировать его в Политике конфиденциальности.

1Согласие субъекта (ст. 6 ч.1 п.1)

Самое распространённое основание для сайтов. Субъект добровольно, конкретно, информированно и сознательно выражает согласие на обработку. На практике это чекбокс в форме со ссылкой на Политику. С 1 сентября 2025 года на каждую цель обработки требуется отдельное согласие.

2Исполнение договора (ст. 6 ч.1 п.5)

Покупатель оформляет заказ в интернет-магазине — обработка ФИО и адреса доставки законна без отдельного согласия, потому что данные необходимы для исполнения договора купли-продажи. Но для рекламной рассылки по базе покупателей понадобится отдельное согласие — это другая цель.

3Исполнение обязанности по закону (ст. 6 ч.1 п.2)

Работодатель передаёт данные сотрудников в ФНС и ПФР — это его обязанность по Трудовому кодексу и Налоговому кодексу. Банк идентифицирует клиента по 115-ФЗ (противодействие отмыванию). В этих случаях согласие не требуется.

4Защита жизни и здоровья (ст. 6 ч.1 п.6)

Экстренная ситуация: врач обрабатывает данные пациента без согласия, когда тот не в состоянии его дать (без сознания, угроза жизни). К обычным сайтам применяется крайне редко.

5Законный интерес оператора (ст. 6 ч.1 п.7)

Оператор может обрабатывать данные для реализации своих законных интересов, если при этом не нарушаются права субъекта. Роскомнадзор трактует это основание узко. На практике ссылаться на него рискованно — в случае спора бремя доказывания лежит на операторе.

6Статистика и наука (ст. 6 ч.1 п.9)

Обработка в статистических или научных целях с обязательным обезличиванием данных. Применяется к исследовательским организациям. Для коммерческих сайтов это основание практически не используется.

Распространённая ошибка: Операторы часто указывают в Политике конфиденциальности одно основание (например, «согласие»), а фактически обрабатывают данные по другому (исполнение договора). Несоответствие заявленного основания фактическому — нарушение ст. 5 152-ФЗ (принцип законности). Определите основание для каждой цели обработки заранее.

3. Сроки хранения — когда удалять данные

Статья 5 152-ФЗ устанавливает принцип: хранение ПДн должно осуществляться не дольше, чем этого требуют цели обработки. Как только цель достигнута — данные подлежат уничтожению или обезличиванию. На практике сроки зависят от типа данных и основания обработки.

Тип данных / ситуация	Срок хранения	Основание
Кадровые документы (трудовые договоры, приказы)	50–75 лет	Приказ Росархива № 236
Бухгалтерские документы (счета, акты)	5 лет	ст. 29 402-ФЗ
Налоговые документы	5 лет	ст. 23 НК РФ
Данные клиентов интернет-магазина (после исполнения заказа)	До достижения цели	ст. 5 ч.7 152-ФЗ
Данные из формы обратной связи	До обработки обращения	ст. 5 ч.7 152-ФЗ
Cookie и данные аналитики	До отзыва согласия	ст. 9 ч.2 152-ФЗ
После отзыва согласия субъектом	Уничтожить за 30 дней	ст. 21 ч.5 152-ФЗ

Типичное нарушение: данные хранятся бессрочно

Многие компании не удаляют ПДн после достижения цели обработки. База email-адресов из форм обратной связи за 5 лет, неактивные аккаунты, старые заказы — всё это нарушение ст. 5 152-ФЗ. Роскомнадзор проверяет наличие процедуры уничтожения данных и актов уничтожения.

Рекомендация: Составьте внутренний регламент сроков хранения ПДн. Для каждой категории данных укажите срок и порядок уничтожения. Пропишите эти сроки в Политике конфиденциальности — это требование ст. 18.1 152-ФЗ.

Всё ли в порядке с обработкой ПДн на вашем сайте?

AI-аудит проверит политику, формы, cookie-баннер и согласия за 60 секунд. Бесплатно.

4. Локализация данных в РФ

Статья 18 ч.5 закона 152-ФЗ обязывает операторов при сборе персональных данных граждан РФ обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн с использованием баз данных, находящихся на территории Российской Федерации. Требование действует с 1 сентября 2015 года.

Что это означает на практике

Первичная база — в России. Сервер, на котором впервые записываются ПДн россиян, должен физически находиться на территории РФ. Это может быть российский хостинг, VPS у российского провайдера или собственный сервер в российском ЦОД.

Передача за рубеж возможна. Закон не запрещает трансграничную передачу данных. Но первичное хранение и накопление должно быть в РФ. После первичной записи данные можно передать в иностранную систему — при соблюдении требований ст. 12 152-ФЗ (страна-получатель обеспечивает адекватную защиту ПДн).

Облачные сервисы — зона риска. Если CRM, email-рассылочник или платформа аналитики хранит данные на серверах за рубежом и вы используете их как первичное хранилище — это нарушение. Mailchimp, HubSpot, Salesforce с серверами в США и ЕС не подходят для первичного хранения ПДн россиян.

Сервис	Серверы	Статус
Яндекс.Облако, VK Cloud, Selectel	Россия	Подходит
1С-Битрикс24, amoCRM	Россия	Подходит
AWS, Google Cloud, Azure (регион РФ отсутствует)	США / ЕС	Не подходит*
Mailchimp, HubSpot, Salesforce	США	Не подходит*

* Допустимо для вторичного хранения при трансграничной передаче (ст. 12 152-ФЗ), но не для первичной записи ПДн россиян.

Штрафы за нарушение локализации

Статья 13.11 ч.8 КоАП: штраф для юрлиц от 1 до 6 млн ₽ за первое нарушение, от 6 до 18 млн ₽ за повторное. Кроме того, Роскомнадзор вправе ограничить доступ к сайту на территории РФ. Именно за нарушение локализации в 2016 году был заблокирован LinkedIn.

Актуально в 2026: Роскомнадзор усилил контроль за локализацией данных. В 2025 году были возбуждены дела против нескольких крупных маркетплейсов и SaaS-платформ. Проверяется не только заявление оператора, но и фактическое расположение серверов через технические средства (трассировка, DNS-анализ).

5. Права субъектов: доступ, удаление, отзыв согласия

Глава 3 закона 152-ФЗ (статьи 14–17) закрепляет права субъектов персональных данных. Оператор обязан обеспечить реализацию каждого из них. На сайте должна быть описана процедура обращения и указаны контакты ответственного лица.

1Право на доступ (ст. 14)

Субъект вправе запросить у оператора информацию о том, какие его данные обрабатываются, на каком основании, с какой целью, кому передаются. Оператор обязан ответить в течение 10 рабочих дней.

Запрос может быть направлен лично, по почте, через сайт или email.

2Право на уточнение (ст. 14 ч.2 п.3)

Если данные неполные, устаревшие или неточные, субъект вправе потребовать их уточнения. Оператор обязан внести изменения или уничтожить данные в течение 7 рабочих дней после получения требования.

3Право на удаление (ст. 21)

Субъект вправе потребовать прекращения обработки и уничтожения своих данных. Оператор обязан выполнить требование в течение 30 дней. Исключение: данные, которые оператор обязан хранить по закону (бухгалтерские, налоговые документы).

4Отзыв согласия (ст. 9 ч.2)

Субъект может отозвать ранее данное согласие в любой момент. Отзыв не влияет на законность обработки, которая осуществлялась до него. После получения отзыва оператор обязан прекратить обработку по этому основанию в течение 30 дней.

На сайте должен быть указан порядок отзыва: email, форма, почтовый адрес. Многие сайты забывают — и получают замечание при проверке РКН.

5Право на обжалование (ст. 17)

Если оператор нарушает права субъекта, тот вправе обратиться в Роскомнадзор с жалобой или в суд с иском. Жалобу можно подать через сайт РКН (pd.rkn.gov.ru), по почте или через Госуслуги. Роскомнадзор обязан рассмотреть обращение в течение 30 дней.

Штрафы за нарушение прав субъектов

Непредоставление ответа на запрос субъекта: штраф для юрлиц 40 000–80 000 ₽ по ст. 13.11 ч.4 КоАП. Неуничтожение данных в установленный срок: 50 000–90 000 ₽ (ст. 13.11 ч.5). За повторное нарушение суммы увеличиваются кратно.

6. Проверьте, правильно ли ваш сайт обрабатывает ПДн

Большинство нарушений 152-ФЗ связаны с сайтами: нет политики конфиденциальности, формы без согласия, cookie-трекеры без уведомления, отсутствие информации об операторе. Автоматическая проверка выявляет типовые проблемы за минуту — без юриста и без регистрации.

Проверьте свой сайт на соответствие 152-ФЗ

Бесплатный AI-аудит за 60 секунд: политика, формы, cookie, согласия, сроки хранения и локализация данных.

← 152-ФЗ простым языком Согласие на обработку →Штрафы за нарушение →Чек-лист проверки →

Статья носит информационный характер и не является юридической консультацией. Для получения юридически значимых заключений обратитесь к квалифицированному юристу в области защиты персональных данных.