Организация обработки персональных данных: обязательные меры в соответствии с законами РФ

За последние несколько лет вопросы обработки и защиты персональных данных стали предметом все большей озабоченности как для граждан, так и для организаций в РФ. Развитие информационных технологий и проникновение интернета во все сферы нашей жизни обусловили необходимость законодательного регулирования этой области. В России основным документом, регулирующим обработку персональных данных, является Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Выделяют следующие категории персональных данных:
➢ общедоступные (абз. 3 п. 5 Постановления Правительства РФ от 01.11.2012 г. № 1119) – персональные данные, субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со ст. 8 Закона о персональных данных; с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных;
➢ специальные (абз. 1 п. 5 Постановления Правительства РФ от 01.11.2012 г. № 1119, ст. 10 Закона о персональных данных) – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;
➢ биометрические (абз. 2 п. 5 Постановления Правительства РФ от 01.11.2012 г. № 1119, ст. 11 Закона о персональных данных) – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
➢ иные (абз. 4 п. 5 Постановления Правительства РФ от 01.11.2012 г. № 1119) – персональные данные, отличные от вышеприведенных (не общедоступные, не специальные и не биометрические).

➢➢ Любопытен стоящий в стороне от темы статьи Федеральный закон от 08.03.2026 г. № 55-ФЗ «О внесении изменений в статьи 2 и 3 Закона Российской Федерации «О праве граждан Российской Федерации на свободу передвижения, выбор места пребывания и жительства в пределах Российской Федерации» (дата принятия - 08 марта 2026 г., дата начала действия - 05 сентября 2026), в котором вводится понятие «адресно-справочная информация» - персональные данные гражданина Российской Федерации, содержащиеся в государственном информационном ресурсе регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации (далее - база данных), в ограниченном объеме: фамилия, имя, отчество (при наличии), дата и место рождения, данные основного документа, удостоверяющего личность гражданина Российской Федерации на территории Российской Федерации, адрес и дата регистрации (снятия с регистрационного учета) по месту жительства (месту пребывания).

Обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Согласно ст.7 Закона о персональных данных операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.

Обезличивание персональных данных (с 1 сентября 2025 года)

С 1 сентября 2025 года подлежат применению Требования к обезличиванию персональных данных и методы обезличивания персональных данных, утвержденные Приказом Роскомнадзора от 19.06.2025 г. № 140. Данный документ устанавливает:

1. способы обезличивания персональных данных (введение псевдонимов, замена значений, статистическая обработка и пр.);
2. правила применения этих методов в зависимости от целей обработки и категории ПДн;
3. обязанность оператора при обезличивании руководствоваться указанными требованиями во всех случаях, за исключением прямо предусмотренных п. 9.1 ч. 1 ст. 6 Федерального закона № 152-ФЗ.

Важно: операторы обязаны разработать и принять локальные нормативные акты по обезличиванию персональных данных, а также ограничить доступ к этим актам, к используемым для обезличивания информационным системам и программному обеспечению.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Согласно ст.22 Закона о персональных данных оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (им является Федеральная служба по надзору в сфере массовых коммуникаций – Роскомнадзор – на основании п. 1 ст. 23 Закона о персональных данных и п. 1 Положения о Федеральной службе по надзору в сфере массовых коммуникаций, утвержденного Постановлением Правительства РФ от 16.03.2009 г. № 228) о своем намерении осуществлять обработку персональных данных, при этом оператор вправе осуществлять без уведомления Роскомнадзора:
➢ включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
➢ в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
➢ обрабатываемых в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Ст. 24 Закона о персональных данных определена ответственность за нарушение требований федерального закона «О персональных данных». Виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством РФ. Ниже на слайдах приведены типовые нарушения законодательства в области персональных данных и меры ответственности.

С 1 июля 2025 года вступила в силу новая редакция части 5 статьи 18 Федерального закона от 27.07.2006 г. № 152-ФЗ (внесена Федеральным законом от 28.02.2025 г. № 23-ФЗ). Данное требование устанавливает прямой запрет на сбор, хранение, обновление и извлечение персональных данных граждан Российской Федерации с использованием баз данных, расположенных за пределами территории РФ.

Исключения из этого правила составляют случаи, прямо предусмотренные федеральными законами. Обратите внимание: требования локализации теперь распространяются не только на операторов, но и на обработчиков персональных данных (лиц, обрабатывающих ПДн по поручению оператора). При этом запрет на сбор ПДн с использованием зарубежных баз данных введен безотносительно места нахождения оператора (то есть распространяется и на российских, и на иностранных операторов).

В связи с этим важно понимать, что использование некоторых привычных инструментов для организации вебинаров и мероприятий учебного центра может нести прямые юридические риски. Мы уже рассмотрели общие требования ч. 5 ст. 18 Федерального закона № 152-ФЗ «О персональных данных». Давайте разберем, как эти правила применяются к популярным зарубежным сервисам (Zoom, Google Forms, иностранным CRM и т.д.) и что это значит для учебных центров и других организаторов мероприятий.

Что конкретно запрещает закон? Новая редакция ч. 5 ст. 18 152-ФЗ устанавливает прямой запрет на сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан РФ с использованием баз данных, которые физически находятся за пределами нашей страны. Важное слово здесь — «использование». Это означает, что нарушением считается даже временная запись данных на зарубежный сервер, например, в процессе сбора.

🎥 Вебинары и мероприятия: как закон применяется на практике? Для организаторов онлайн-мероприятий и учебных центров это означает, что необходимо критически оценить все этапы взаимодействия с участниками:

1. Сбор данных участников. Самая рискованная зона — это процесс регистрации. Если форма сбора данных (ФИО, электронная почта, телефон) участника находится на вашем сайте, но при ее заполнении эти данные направляются напрямую в зарубежную CRM-систему, сервис электронных (email)-рассылок или даже в Google-таблицу, — это прямое нарушение закона. Первичная запись в любую базу данных, расположенную за пределами РФ, недопустима.
2. Использование иностранных мессенджеров. Направление персональных данных (например, ссылки на вебинар, раздаточных материалов) через иностранные мессенджеры пользователям, находящимся на территории РФ, по разъяснению РКН не считается трансграничной передачей. Однако это не означает, что такой способ безопасен. Оператор должен обеспечить весь цикл обработки ПДн в соответствии с 152-ФЗ, и использование иностранных публичных мессенджеров для передачи данных повышает риски утечки и осложняет контроль за обработкой. И не стоит забывать, что в РФ есть ряд запрещенных / заблокированных иностранных мессенджеров, обмениваться через которые рабочими документами с персональными данными недопустимо.
3. Привлечение обработчиков. Если вы поручаете обработку ПДн (например, настройку рассылки или ведение базы участников) третьему лицу (обработчику), требования по локализации распространяются и на него. Вы обязаны включить в поручение на обработку требование об использовании только российских баз данных для хранения ПДн ваших участников. При этом ответственность за нарушение в любом случае несете вы как оператор.

Пример из судебной практики и ответственность
Регуляторы активно следят за соблюдением этих норм. Уже есть громкие дела против зарубежных IT-компаний, которые могут служить индикатором настроений.

• Пример с Zoom. Таганский суд Москвы неоднократно штрафовал компанию Zoom Video Communications за повторный отказ локализовать персональные данные российских пользователей. Размер одного из штрафов составил 15 миллионов рублей по ч. 9 ст. 13.11 КоАП РФ. Согласно публикации сетевого издания «Интерфакс.ру»: «Назначить Zoom Video Communications Inc. наказание в виде административного штрафа в размере 15 млн руб.», - огласил постановление мировой судья судебного участка №422 Таганского района Москвы Тимур Вахрамеев. Хотя штраф выписан иностранной платформе, этот пример четко показывает позицию государства: отказ от локализации данных россиян влечет серьезные последствия.

Ваша ответственность как оператора. Штрафные санкции применяются и к российским организациям.

• Штраф для организации: за сбор ПДн с использованием зарубежных баз данных (ч. 8 ст. 13.11 КоАП РФ) — от 1 до 6 млн рублей, а за повторное нарушение (ч. 9 ст. 13.11 КоАП РФ) — от 6 до 18 млн рублей.
• Штраф для должностных лиц: за то же нарушение — до 200 тыс. рублей, за повторное — до 800 тыс. рублей.

Таким образом, недостаточно просто перенести сайт на российский хостинг. Необходимо убедиться, что любой ПДн гражданина РФ, собранный при регистрации на вебинар или мероприятие, как только он введен — сразу же попадает в базу данных, физически расположенную на территории России. Использование любых промежуточных зарубежных хранилищ данных, очередей сообщений, логов (access log, event log) и временных буферов за пределами РФ теперь является прямым нарушением закона.
Это значительно повышает требования к IT-инфраструктуре и выбору программного обеспечения (ПО) для организаций, проводящих онлайн-мероприятия. Приоритетом становится использование российских платформ и сервисов, зарегистрированных в реестре отечественного ПО, что позволит минимизировать юридические риски и обеспечить соответствие законодательству РФ.

🎯 Шпаргалка: как легально использовать данные участников
Чтобы использование иностранных платформ не привело к санкциям, соблюдайте два обязательных условия:

1. Первичный сбор данных должен происходить только в базе данных, расположенной в РФ.
2. Только после этого можно осуществлять трансграничную передачу данных, предварительно уведомив об этом Роскомнадзор и получив отдельное согласие субъекта.

Какие необходимо подготовить документы по законодательству о персональных данных, достаточные для прохождения проверок Роскомнадзора? На официальном сайте в сети «Интернет» должны быть размещены:
➢ Политика в отношении обработки и обеспечения защиты персональных данных (или Политика конфиденциальности). Где размещать: в открытом доступе на сайте (обычно в подвале сайта или в отдельном разделе). Что указать: цели обработки ПДн, перечень обрабатываемых ПДн, правовые основания обработки, порядок и условия обработки, сроки хранения, порядок уничтожения, сведения о трансграничной передаче (если есть), контактные данные ответственного за обработку ПДн.
➢ Политика использования cookie-файлов (или Соглашение об использовании cookie-файлов);
➢ Отдельное согласие на обработку персональных данных, оформленное в виде самостоятельного документа (бланка, электронной формы). С 1 сентября 2025 года запрещено включать условия о согласии в тексты договоров, Пользовательских соглашений или Политик конфиденциальности (ч. 1 ст. 9 Федерального закона от 27.07.2006 г. № 152-ФЗ в ред. Федерального закона от 24.06.2025 г. № 156-ФЗ). Где размещать: на каждой странице, где осуществляется сбор ПДн (формы обратной связи, формы записи на курсы, формы зачисления). Срок действия согласия: до достижения целей обработки или до отзыва субъектом ПДн.
➢ Пользовательское соглашение.

Для установления номенклатуры и порядка разрабатываемых документов в конкретной организации необходимо определить цели обработки персональных данных на основе которых сформируется требуемый собираемый объем персональных данных, порядок их обработки и срок хранения персональных данных.

Оценка вреда субъектам персональных данных – требования?
Согласно Приказу Роскомнадзора от 27.10.2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» с 1 марта 2023 года все операторы персональных данных обязаны проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных. Оператор для целей оценки вреда должен определить одну из степеней вреда (высокую, среднюю или низкую) и результаты оценки вреда оформить актом оценки вреда.

Какой порядок уничтожения персональных данных?
По истечению срока хранения персональных данных или при достижения целей их обработки организация обязана уничтожить документы с такими персональными данными. С 1 марта 2023 года вступил в силу Приказ Роскомнадзора от 28.10.2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных» (дата окончания его действия - 01 марта 2029 года). В случае если обработка персональных данных осуществляется оператором:
➢ без использования средств автоматизации - документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных;
➢ с использованием средств автоматизации - документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются акт об уничтожении персональных данных и выгрузка из журнала регистрации событий в информационной системе персональных данных.

Порядок уничтожения персональных данных имеет следующий алгоритм: разработан локальный нормативный акт об уничтожении персональных данных с определением в нем способов и этапов уничтожения; создана комиссия по уничтожению персональных данных с включением в нее ответственного за обработку документов, которые планируется уничтожить; фиксация уничтожения с отражением в акте об уничтожении персональных данных. Таким образом, с 1 марта 2023 г. необходимо фиксировать факт уничтожения персональных данных, причем если ранее акт об уничтожении оформлялся в свободной форме, то теперь Приказом Роскомнадзора от 28.10.2022 г. № 179 указаны обязательные его реквизиты для включения.

Проведение проверок Роскомнадзором
За нарушение работы с персональными данными наказать могут и без выезда в организацию. Как разъясняется в Письме Роскомнадзора от 31.01.2023 г. № 09–6488 «Об особенностях возбуждения Роскомнадзором дел об административных правонарушениях без проведения КНМ во взаимодействии с контролируемым лицом» в соответствии с ч. 3.1 ст. 28.1 КоАП РФ дело об административном правонарушении, выражающемся в несоблюдении обязательных требований, оценка соблюдения которых является предметом государственного контроля (надзора), муниципального контроля, при наличии одного из предусмотренных пунктами 1 - 3 ч. 1 ст. 28.1 КоАП РФ поводов к возбуждению дела может быть возбуждено только после проведения контрольного (надзорного) мероприятия во взаимодействии с контролируемым лицом, проверки, совершения контрольного (надзорного) действия в рамках постоянного государственного контроля (надзора), постоянного рейда и оформления их результатов, за исключением случаев, предусмотренных ч. 3.2 - 3.5 ст. 28.1 и ст. 28.6 КоАП РФ.

Ч.3.5 ст. 28.1 КоАП РФ установлен перечень ст. КоАП РФ, по которым Роскомнадзор вправе возбуждать дела об административных правонарушениях без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом. Проведение Роскомнадзором контрольных (надзорных) без взаимодействия в целях возбуждения дел об административных правонарушениях, установленных Перечнем, при наличии одного из предусмотренных пунктами 1–3 ч. 1 ст. 28.1 КоАП РФ поводов к возбуждению дела об административном правонарушении, также не требуется.

Требования к трансграничной передаче персональных данных
С 1 июля 2025 года в связи с внесением изменений в Федеральный закон № 152-ФЗ (Федеральный закон от 28.02.2025 № 23-ФЗ) ужесточены правила трансграничной передачи ПДн.
Новый порядок:
➢ до начала передачи персональных данных за рубеж оператор обязан направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу;
➢ Роскомнадзор в течение 10 рабочих дней со дня получения уведомления вправе принять решение о запрете или ограничении такой передачи, если установит, что в стране-получателе не обеспечивается адекватный уровень защиты прав субъектов ПДн;
➢ передача до истечения 10 рабочих дней после подачи уведомления запрещена.

Важно: ранее действовавшая возможность не уведомлять РКН о передаче в «адекватные» страны отменена — теперь уведомление требуется в каждом случае.