Персональные данные в России – основы правового регулирования и вызовы современности

Федеральный закон № 152-ФЗ от 27 июля 2006 года “О персональных данных” является краеугольным камнем российского законодательства в области защиты информации. Этот нормативный акт регулирует широкий круг отношений, возникающих при работе с информацией, включая её поиск, получение, передачу, производство и распространение, а также применение информационных технологий и обеспечение информационной безопасности. Основной целью закона является защита фундаментальных прав и свобод человека и гражданина, в частности права на неприкосновенность частной жизни, личную и семейную тайну, при обработке его персональных данных.

За время своего существования Закон № 152-ФЗ претерпел значительные изменения, отражающие динамичное развитие цифровых технологий и постоянно меняющиеся вызовы в сфере защиты данных. Законодательство постоянно адаптируется к новым реалиям, стремясь обеспечить адекватный уровень защиты в условиях возрастающего объёма обрабатываемой информации. Одним из наиболее заметных направлений эволюции является ужесточение требований к получению согласия на обработку данных, особенно тех, которые разрешены для распространения.² Это изменение свидетельствует о стремлении законодателя предоставить субъектам данных больший контроль над их информацией, даже если она потенциально может быть доступна публично.

Параллельно с этим, наблюдается явная тенденция к ужесточению ответственности за нарушения в области персональных данных. Увеличиваются размеры административных штрафов, а также расширяются основания для привлечения к ответственности, включая уголовную.⁴ Это указывает на то, что государство придает всё большее значение обеспечению конфиденциальности и безопасности персональных данных, превращая их защиту из формального требования в один из ключевых приоритетов для всех участников информационного обмена. Повышение штрафов и усиление контроля со стороны надзорных органов, таких как Роскомнадзор, создают мощный стимул для организаций и индивидуальных предпринимателей к строгому соблюдению установленных правил.

Глава 1: Фундаментальные понятия и определения

Понимание ключевых терминов, используемых в Федеральном законе № 152-ФЗ, является основой для правильного применения его норм и обеспечения надлежащей защиты персональных данных. В этой главе будет проведен детальный анализ основных понятий, таких как “персональные данные”, “субъект персональных данных”, “оператор персональных данных” и “обработка персональных данных”.

1.1. Что такое персональные данные: детальный анализ определения (ФЗ-152, ст. 3) и критерии идентификации

Согласно пункту 1 статьи 3 Федерального закона от 27 июля 2006 года № 152-ФЗ, персональные данные (ПДн) определяются как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».³ Это определение является весьма широким и охватывает любую информацию, которая позволяет установить личность человека.⁶

Критерии идентификации могут быть как прямыми, так и косвенными. Прямая идентификация происходит, когда информация однозначно указывает на конкретное лицо, например, полное имя (ФИО).³ Косвенная идентификация, напротив, подразумевает возможность установления личности через совокупность данных, которые по отдельности могут и не являться персональными. Например, номер телефона сам по себе может не считаться персональными данными, если он не привязан к конкретному человеку. Однако, если этот номер телефона сопровождается фамилией и именем его владельца, то такая комбинация уже однозначно позволяет идентифицировать субъекта, и, следовательно, становится персональными данными.⁷ Аналогично, государственный номер транспортного средства сам по себе относится к автомобилю, а не к человеку, и не является персональными данными. Но если этот номер сочетается с информацией о марке, цвете автомобиля и позволяет установить его владельца, то такая совокупность данных может быть признана персональными.⁷

Такая широта определения, включающая возможность косвенной идентификации, создает определённые сложности для операторов данных. Им необходимо учитывать не только очевидные идентификаторы, но и любые комбинации данных, которые потенциально могут привести к установлению личности. Это означает, что даже набор, казалось бы, безобидных и неидентифицирующих сведений (так называемых “квази-идентификаторов”) может при их агрегации или сопоставлении с другими источниками информации стать персональными данными. Например, комбинация возраста, пола, профессии и города проживания может быть достаточно уникальной, чтобы идентифицировать человека в небольшой группе.

Эта особенность определения персональных данных подчёркивает необходимость тщательного подхода к обезличиванию и псевдонимизации данных. Операторы должны внедрять надёжные методы, которые гарантируют, что даже при наличии дополнительных сведений или использовании сложных алгоритмов реидентификация субъекта будет невозможна. В противном случае, данные, которые изначально не рассматривались как персональные, могут быть признаны таковыми при проверке надзорными органами, что повлечёт за собой соответствующие юридические риски и штрафы. Таким образом, бремя обеспечения невозможности реидентификации ложится на оператора, требуя от него глубокого понимания как правовых, так и технических аспектов обработки данных.

Примеры общих персональных данных, наиболее часто встречающихся в повседневной деятельности, включают:

Фамилия, имя, отчество (ФИО).³
Паспортные данные.³
Идентификационный номер налогоплательщика (ИНН).³
Страховой номер индивидуального лицевого счёта (СНИЛС).¹²
Дата и место рождения.⁶
Место жительства или регистрации.³
Номер телефона.³
Адрес электронной почты.⁶
Сведения об образовании.³
Информация о месте работы и уровне заработной платы.¹⁰
Семейное положение и состав семьи.³

Эти данные составляют основу большинства операций по обработке информации в различных сферах деятельности, от трудовых отношений до предоставления услуг.

1.2. Субъект персональных данных: права и обязанности физического лица

Субъект персональных данных — это физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.¹³ В контексте Закона № 152-ФЗ, субъект данных наделен рядом важных прав, направленных на защиту его конфиденциальности и контроль над собственной информацией.

Основные права субъекта персональных данных включают:

Право на получение сведений об обработке его данных: Субъект имеет право запрашивать у оператора информацию о том, какие его персональные данные обрабатываются, с какой целью, какими способами, кто является оператором, а также иные сведения, предусмотренные частью 7 статьи 14 Закона № 152-ФЗ.¹⁴ Оператор обязан предоставить эти сведения в доступной форме, исключая персональные данные, относящиеся к другим субъектам, если для их раскрытия нет законных оснований.¹⁴
Право требовать уточнения, блокирования или уничтожения данных: Субъект может потребовать от оператора внести изменения в свои персональные данные, заблокировать их или уничтожить, если данные являются неполными, устаревшими, неточными, незаконно полученными или не соответствуют заявленной цели обработки.¹⁴
Право на отзыв согласия: Субъект персональных данных вправе отозвать своё согласие на обработку данных. В случае отзыва согласия оператор обязан прекратить обработку персональных данных, если у него нет иных законных оснований для её продолжения.²
Право на обжалование действий или бездействия оператора: Субъект имеет право обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.⁴

Оператор обязан предоставить запрашиваемые сведения субъекту или его представителю в течение десяти рабочих дней с момента обращения или получения запроса.¹⁴ Этот срок может быть продлен, но не более чем на пять рабочих дней, при условии направления субъекту мотивированного уведомления о причинах продления.¹⁴ Запрос должен содержать определённые сведения, такие как номер основного документа, удостоверяющего личность субъекта, сведения о дате его выдачи и выдавшем органе, а также информацию, подтверждающую участие субъекта в отношениях с оператором (например, номер договора).¹⁴ Запрос может быть направлен в форме электронного документа и подписан электронной подписью.¹⁴

В случае недееспособности субъекта персональных данных согласие на обработку его данных даёт законный представитель.² В случае смерти субъекта согласие на обработку его данных дают наследники, если такое согласие не было дано субъектом при его жизни.²

1.3. Оператор персональных данных: роль, функции и ответственность

Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, которое организует и (или) осуществляет обработку персональных данных, а также определяет цели и содержание такой обработки.¹⁶ Важно отметить, что в Российской Федерации, если организация, индивидуальный предприниматель (ИП) или даже самозанятый осуществляет сбор и обработку персональных данных (например, клиентов или сотрудников), то в 99% случаев он является оператором персональных данных.⁶

Основные функции оператора включают:

Определение целей и содержания обработки: Оператор должен чётко сформулировать, для каких конкретных целей собираются и обрабатываются персональные данные, а также какие именно данные будут обрабатываться.¹⁶
Организация обработки: Это включает разработку внутренних регламентов, политик, назначение ответственных лиц, а также внедрение организационных и технических мер защиты.¹⁵
Обеспечение безопасности: Оператор обязан принимать меры для защиты персональных данных от несанкционированного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.¹⁵

Ключевые требования к операторам персональных данных:

Уведомление Роскомнадзора: Оператор обязан до начала обработки персональных данных направить в Роскомнадзор уведомление о своём намерении осуществлять такую обработку.¹² В уведомлении указываются сведения об операторе, цели обработки, категории обрабатываемых данных, правовое основание, список операций, предпринимаемые меры безопасности, сроки обработки и информация о трансграничной передаче.¹⁵
Обеспечение защиты ПДн: На предприятии должен быть назначен сотрудник, ответственный за внедрение и контроль операций с ПДн, а также разработаны и интегрированы организационные и технические меры защиты.¹⁵ Это включает создание большого списка локальных документов, от должностных инструкций до модели актуальных угроз.¹⁵
Конфиденциальность информации: Операторы должны гарантировать, что доступ к персональным данным имеют только уполномоченные лица, предотвращать утечки и передачу ПДн третьим сторонам без предварительного письменного согласия субъекта.¹⁵
Локализация баз данных: Персональные данные граждан Российской Федерации должны собираться, систематизироваться, накапливаться, храниться, уточняться (обновляться, изменяться) и извлекаться с использованием баз данных, находящихся на территории Российской Федерации.¹⁵ При этом возможность дальнейшей трансграничной передачи не запрещена, но требует соблюдения определённых условий.¹⁵
Прекращение обработки: Оператор обязан прекратить операции с персональными данными после истечения предусмотренного срока обработки, достижения изначально установленных целей обработки или по требованию субъекта данных (в случае отзыва согласия), если нет иных законных оснований для продолжения обработки.¹⁵ В случае отзыва согласия, у оператора есть 30 дней на исполнение этого требования.¹⁵

Несоблюдение этих требований влечёт за собой серьёзную ответственность, включая административные штрафы и, в некоторых случаях, уголовную ответственность, что будет подробно рассмотрено в Главе 6.

1.4. Обработка персональных данных: виды действий и правовые основания (ФЗ-152, ст. 5, 6)

Обработка персональных данных представляет собой любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными.²¹ Этот термин охватывает весь жизненный цикл данных, начиная с момента их получения и заканчивая уничтожением.

К основным видам действий по обработке персональных данных относятся:

Сбор ¹⁵
Запись ¹⁵
Систематизация ¹⁵
Накопление ¹⁵
Хранение ¹⁵
Уточнение (обновление, изменение) ¹⁵
Извлечение ¹⁵
Использование ¹⁵
Передача (распространение, предоставление, доступ) ¹⁵
Обезличивание ¹⁵
Блокирование ¹⁵
Удаление ¹⁵
Уничтожение ¹⁵

Принципы обработки персональных данных, закреплённые в статье 5 Закона № 152-ФЗ, являются фундаментальными для обеспечения законности и справедливости в этой сфере:

Законность и справедливость: Обработка должна осуществляться на законной и справедливой основе.¹⁷
Целевое назначение: Обработка персональных данных должна быть ограничена достижением конкретных, заранее определённых и законных целей. Не допускается обработка данных, несовместимая с целями их сбора.¹⁷ Этот принцип означает, что операторы не могут собирать информацию “на всякий случай” или для неопределённых будущих нужд. Каждая единица данных должна быть собрана с чётко сформулированной и легитимной целью. Это налагает на операторов обязанность по внедрению принципов минимизации данных, то есть сбора только тех сведений, которые абсолютно необходимы для заявленной цели.
Недопустимость объединения несовместимых баз данных: Закон прямо запрещает объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.¹⁷ Это положение имеет существенные архитектурные последствия для информационных систем. Например, данные, собранные для кадровых целей (скажем, медицинские справки сотрудников), не могут быть просто объединены с базами данных клиентов, используемыми для маркетинговых рассылок, если цели обработки этих данных принципиально различны. Такое разделение требует тщательного проектирования систем хранения данных, внедрения строгих механизмов контроля доступа и, возможно, создания отдельных информационных контуров для различных категорий данных и целей их обработки. Это увеличивает операционную сложность, но существенно повышает уровень защиты конфиденциальности.

Правовые основания для обработки персональных данных (статья 6 Закона № 152-ФЗ) включают:

Согласие субъекта персональных данных: Это наиболее распространённое основание, при котором субъект свободно, своей волей и в своём интересе даёт согласие на обработку своих данных. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.²
Необходимость для достижения целей, предусмотренных законом или международным договором РФ: Обработка данных может быть обязательной в силу требований законодательства, например, для исполнения оператором возложенных на него функций, полномочий и обязанностей (например, обработка данных сотрудников работодателем для исполнения трудового законодательства ¹⁰, или обработка данных участников судебного разбирательства ²²).¹⁷
Защита жизни, здоровья или иных жизненно важных интересов субъекта или других лиц: Если получение согласия субъекта невозможно, а обработка данных необходима для спасения его жизни или здоровья.¹⁷
Осуществление прав и законных интересов оператора или третьих лиц: При условии, что при этом не нарушаются права и свободы субъекта персональных данных.¹⁷
Обработка данных, сделанных общедоступными субъектом персональных данных: В рамках новых правил, касающихся данных, разрешённых для распространения (см. раздел 2.4).³
Обработка статистических или иных исследовательских данных: При условии их обязательного обезличивания.⁹

Оператор обязан предоставить доказательство получения согласия субъекта или наличия иных законных оснований для обработки персональных данных.²

Глава 2: Классификация персональных данных и их особенности

Законодательство Российской Федерации, в частности Федеральный закон № 152-ФЗ, предусматривает классификацию персональных данных на несколько категорий. Эта классификация имеет ключевое значение, поскольку для каждой категории установлены свои особенности обработки, требования к защите и, соответственно, меры ответственности за нарушения. Понимание этих различий критически важно для любого оператора персональных данных.

2.1. Общие персональные данные: состав и примеры

К общим персональным данным (иногда также называемым “общедоступными” в контексте более ранних версий закона или для базовой информации) относится базовая информация о человеке, которая не является чувствительной (специальной) или биометрической. Эта категория является наиболее распространённой и включает в себя сведения, которые позволяют прямо или косвенно идентифицировать физическое лицо в повседневной деятельности.

Примеры общих персональных данных включают:

Фамилия, имя, отчество (ФИО) ³
Паспортные данные ³
Идентификационный номер налогоплательщика (ИНН) ³
Страховой номер индивидуального лицевого счёта (СНИЛС) ¹²
Дата и место рождения ⁶
Место жительства или регистрации ³
Номер телефона ³
Адрес электронной почты ⁶
Сведения об образовании ³
Информация о месте работы и уровне заработной платы ¹⁰
Семейное положение и состав семьи (например, наличие иждивенцев, детей) ³
Профессия, квалификационные характеристики, трудовая деятельность и стаж ¹⁰

Эти данные составляют основу большинства операций по обработке информации в различных сферах деятельности, таких как трудовые отношения (приём на работу, выплата зарплаты, контроль выполнения заданий ¹⁰), клиентские базы, системы лояльности и т.д. Обработка общих персональных данных, как правило, требует согласия субъекта или наличия иных законных оснований, таких как исполнение договора или требования законодательства.¹⁷

2.2. Специальные категории персональных данных: чувствительная информация и условия обработки

Специальные категории персональных данных представляют собой наиболее чувствительную информацию о человеке, раскрытие или неправомерная обработка которой может нанести значительный вред субъекту. Законодательство устанавливает особо строгие требования к обработке таких данных, что отражает их повышенную конфиденциальность.

К специальным категориям ПДн относятся сведения, касающиеся:

Расовой и национальной принадлежности ³
Политических взглядов ³
Религиозных или философских убеждений ³
Состояния здоровья ³
Интимной жизни, включая сексуальную ориентацию и всё, что касается половой жизни ³
Сведений о судимостях ³

Обработка таких данных допускается только в строго определённых случаях, что является отражением их повышенного риска для субъекта. Эти условия включают:

Письменное согласие субъекта: Наиболее распространённое основание, при котором субъект даёт письменное согласие в установленной законом форме.¹¹ Важно, что для специальных категорий данных требуется именно письменное согласие, а не просто подтверждение в любой форме, как для общих данных. Это налагает на операторов гораздо более высокую юридическую нагрузку.
Угроза жизни или здоровью: Обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, если получение согласия субъекта невозможно.¹¹
Судебное производство: Обработка осуществляется в рамках осуществления правосудия или исполнения судебного акта, а также в связи с исполнением полномочий государственными органами или органами местного самоуправления.¹¹
Деятельность общественных или религиозных организаций: Обработка данных членов (участников) общественного объединения или религиозной организации при условии, что данные не распространяются без их согласия.¹¹
Данные, сделанные общедоступными субъектом: Информация, опубликованная самим субъектом в общедоступных источниках.¹¹
Медицинская деятельность: Обработка данных лицом, профессионально занимающимся медицинской деятельностью, при условии соблюдения врачебной тайны.¹⁷

Повышенный риск, связанный с обработкой специальных категорий персональных данных, требует от операторов внедрения усиленных мер защиты. Несанкционированное раскрытие или неправомерное использование такой информации может привести к дискриминации, репутационному ущербу или другим серьёзным последствиям для субъекта данных. Поэтому операторам, работающим с подобными данными (например, медицинским учреждениям, отделам кадров, обрабатывающим справки о состоянии здоровья), необходимо не только получать надлежащее согласие, но и обеспечивать строжайшие меры безопасности, включая усиленный контроль доступа, шифрование и регулярный аудит систем. Это требует специализированной юридической и технической экспертизы, а также готовности нести повышенную ответственность в случае инцидентов.

2.3. Биометрические персональные данные: определение и требования к обработке

Биометрические персональные данные — это особый вид информации, который характеризует физиологические и биологические особенности человека и используется для установления его личности.¹⁰ Эти данные уникальны для каждого индивидуума и могут служить надёжным средством идентификации.

Примеры биометрических персональных данных включают:

Дактилоскопические данные (отпечатки пальцев) ¹⁰
Анализ ДНК ¹⁰
Группа крови ¹⁰
Рост, цвет глаз, вес ¹⁰
Изображения на фото и видео, если они используются для идентификации (например, фотографии в паспорте или видеозаписи с камер видеонаблюдения, используемые для распознавания лиц) ¹⁰
Голос (например, голосовые отпечатки для идентификации) ¹¹
Сканы сетчатки глаза ¹²

Обработка биометрических персональных данных, как правило, требует обязательного письменного согласия субъекта данных.¹¹ Это требование обусловлено высокой чувствительностью и уникальностью таких данных, а также потенциальными рисками, связанными с их неправомерным использованием (например, несанкционированный доступ к системам, использующим биометрическую аутентификацию).

Однако существуют исключения, когда письменное согласие на обработку биометрических данных не требуется. Эти исключения, как правило, связаны с государственной безопасностью, деятельностью государственных структур или правоохранительных органов.¹¹ Например, правоохранительные органы могут обрабатывать биометрические данные в рамках оперативно-розыскной деятельности или при проведении экспертиз без согласия субъекта.

Операторы, работающие с биометрическими данными, должны соблюдать особые условия обработки. Это означает, что данные могут быть собраны, дополнены и храниться только до достижения цели обработки или истечения срока, указанного в подписанном согласии.¹¹ Кроме того, для защиты биометрических данных применяются усиленные технические и организационные меры безопасности, часто требующие использования средств криптографической защиты информации (СКЗИ), что регулируется приказами ФСБ России (см. раздел 5.3).

2.4. Данные, разрешенные субъектом для распространения: новые правила и отличия от “общедоступных”

С 1 марта 2021 года в российском законодательстве произошли существенные изменения, касающиеся публичного доступа к персональным данным. Прежнее понятие “общедоступные персональные данные” было исключено из Федерального закона № 152-ФЗ. Вместо него введено новое, более строгое понятие: “персональные данные, разрешенные субъектом персональных данных для распространения”.³

Это изменение является принципиальным и отражает стремление законодателя усилить контроль субъекта данных над тем, какая информация о нём становится публичной и как она используется. Ранее “общедоступными” могли считаться данные, которые субъект сам разместил в открытых источниках (например, в социальных сетях, справочниках).³ Однако это не всегда означало, что субъект давал согласие на их дальнейшую обработку и распространение неограниченным кругом лиц для любых целей.

Теперь, для работы с персональными данными, которые субъект желает сделать публичными, оператор обязан получить отдельное письменное согласие субъекта именно на их распространение.² Это согласие должно быть:

Конкретным: Чётко определять, какие именно данные разрешены к распространению.
Предметным: Указывать конкретные действия, которые оператор может совершать с этими данными (например, публикация на сайте, передача третьим лицам).
Информированным: Субъект должен быть полностью осведомлён о последствиях дачи такого согласия.
Сознательным: Согласие должно быть дано добровольно, без принуждения.
Однозначным: Не должно быть двусмысленности в волеизъявлении субъекта.²

Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных — Роскомнадзором.² Оператор должен обеспечить субъекту возможность определить перечень персональных данных, которые он разрешает для распространения, по каждой категории.²⁶ Важно, что молчание или бездействие субъекта не считается согласием на распространение данных.²⁶

Это изменение имеет глубокие последствия для операторов. Оно означает, что простое обнаружение персональных данных в открытых источниках (например, на личном сайте человека или в его профиле в социальной сети) не даёт оператору автоматического права на их обработку или дальнейшее распространение для своих целей. Оператору необходимо активно запрашивать и документировать явное согласие на распространение, даже если данные уже “публичны”. Это значительно увеличивает нагрузку на операторов в части управления согласиями и требует пересмотра стратегий сбора и использования данных из открытых источников.

Субъект данных сохраняет право в любой момент отозвать своё согласие на распространение, и оператор обязан удалить соответствующие данные из публичных источников.³ Это положение усиливает автономию субъекта и его контроль над собственной цифровой идентичностью, даже после того, как он принял решение о публичном раскрытии информации. Таким образом, законодательство стремится предоставить гражданам более эффективные инструменты для управления своей конфиденциальностью в условиях повсеместного распространения информации в сети Интернет.

2.5. Что НЕ является персональными данными: агрегированные, обезличенные и служебные данные

Не вся информация, связанная с человеком или объектом, подпадает под определение персональных данных и, соответственно, под действие Федерального закона № 152-ФЗ. Понимание того, что не является персональными данными, позволяет операторам снижать регуляторную нагрузку и более свободно использовать информацию для определённых целей.

К сведениям, которые не относятся к персональным данным, при определённых условиях, относятся:

Обезличенные данные: Это информация, которая была обработана таким образом, что без использования дополнительной информации невозможно определить её принадлежность конкретному субъекту персональных данных.²⁴ Целью обезличивания является сохранение полезности данных для анализа, статистики или исследований, при этом исключая возможность идентификации конкретного лица.³

Пример: агрегированные статистические данные о количестве пользователей определённого возраста или пола в городе, без привязки к их именам, адресам или контактным данным.⁹ Если компания проводит опрос и просит посетителя выбрать оценку качества обслуживания на интерактивном экране без сбора каких-либо идентификаторов, то полученные данные будут анонимными и неперсональными.⁹
Ключевым моментом является необратимость процесса обезличивания. Если существует реальная возможность реидентификации субъекта с использованием доступных средств, то данные не считаются обезличенными и подпадают под действие Закона № 152-ФЗ.

Анонимные данные: Это данные, которые изначально собраны таким образом, что их невозможно связать с конкретным человеком.⁹ В отличие от обезличенных, которые были персонализированы, а затем деперсонализированы, анонимные данные никогда не содержали прямых идентификаторов.
Служебная информация, не связанная с идентификацией конкретного лица:

Госномер транспортного средства: Относится к автомобилю, а не к человеку.⁷
Лицевой счёт ЖКХ: Относится к квартире или помещению, а не к конкретному физическому лицу, если не указаны дополнительные сведения, позволяющие идентифицировать жильца (например, ФИО).⁷
Номер офисного помещения: Если в нём работает несколько человек, и номер не привязан к конкретному сотруднику, он не является персональными данными.²³
Корпоративные контакты, не привязанные к конкретному лицу:

Номер телефона общего отдела продаж, где трубку может взять любой менеджер, не является персональными данными.⁹
Однако, если корпоративный email-адрес или служебный телефон содержит фамилию сотрудника и/или зарегистрирован на этого конкретного человека, он может быть признан персональными данными, поскольку позволяет идентифицировать физическое лицо.⁹ В таких случаях, правила передачи и обработки этих данных должны быть предусмотрены, например, в трудовом договоре или локальных актах.⁹

Стратегии снижения рисков через деперсонализацию данных являются важным аспектом соблюдения законодательства. Обработка данных, которые были надлежащим образом анонимизированы или агрегированы, значительно снижает регуляторную нагрузку в соответствии с Законом № 152-ФЗ, поскольку такие данные выходят за рамки определения персональных данных.²⁴ Это предоставляет бизнесу легальный путь для проведения аналитики, маркетинговых исследований и внутренней отчётности без необходимости соблюдения строгих требований к согласию и безопасности, применимых к персональным данным. Таким образом, активное внедрение методов обезличивания и псевдонимизации становится проактивной стратегией соответствия, позволяющей извлекать ценность из данных при минимизации рисков для конфиденциальности. Это область, где юридическая и техническая экспертиза должны тесно взаимодействовать.

Таблица 2.1: Виды персональных данных по ФЗ-152 и примеры

Категория персональных данных	Определение / Характеристики	Примеры	Условия обработки (кратко)	Источник
Общие	Любая информация, прямо или косвенно относящаяся к определенному физическому лицу, не являющаяся специальной или биометрической.	ФИО, паспортные данные, ИНН, дата рождения, адрес, номер телефона, email, сведения об образовании, месте работы.	С согласия субъекта или на иных законных основаниях (договор, закон).	³
Специальные	Чувствительная информация, касающаяся расовой/национальной принадлежности, политических/религиозных/философских убеждений, состояния здоровья, интимной жизни, судимостей.	Информация о болезнях, этнической принадлежности, вероисповедании.	Требуют письменного согласия или строго определенных законом оснований (например, защита жизни, судебное производство).	³
Биометрические	Физиологические и биологические особенности человека, используемые для установления его личности.	Отпечатки пальцев, сканы сетчатки глаза, фото, видео, голос, ДНК.	Требуют письменного согласия, за исключением случаев, предусмотренных законом (гос. безопасность, правоохранительная деятельность).	¹⁰
Разрешенные для распространения	Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на распространение.	ФИО, год и место рождения, адрес, номер телефона, профессия, которые субъект явно разрешил публиковать в открытых источниках.	Требуют отдельного письменного согласия на распространение.	²
Обезличенные / Анонимные	Данные, по которым невозможно определить принадлежность к конкретному субъекту ПДн без использования дополнительной информации.	Агрегированная статистика, данные опросов без личных идентификаторов.	Не подпадают под действие ФЗ-152, если деперсонализация необратима.	³

Глава 3: Статус данных индивидуального предпринимателя (ИП) как персональных данных

Вопрос о статусе данных индивидуального предпринимателя (ИП) в контексте законодательства о персональных данных является одним из наиболее часто задаваемых и вызывающих разночтения. Для полного понимания этого аспекта необходимо рассмотреть двойственную природу ИП и особенности регулирования его данных.

3.1. ИП как физическое лицо: применение норм о персональных данных

Индивидуальный предприниматель (ИП) по своей правовой природе является физическим лицом, которое зарегистрировано в установленном порядке и осуществляет предпринимательскую деятельность без образования юридического лица. Это ключевой момент: несмотря на наличие бизнес-статуса, ИП не теряет своего статуса физического лица.

Следовательно, на индивидуальных предпринимателей полностью распространяется действие Федерального закона № 152-ФЗ “О персональных данных”.²⁸ Это означает, что любая информация, которая прямо или косвенно относится к ИП как к физическому лицу и позволяет его идентифицировать, является персональными данными. К таким данным относятся:

Фамилия, имя, отчество (ФИО) ¹²
Паспортные данные ¹²
Адрес регистрации (места жительства) ¹²
Идентификационный номер налогоплательщика (ИНН) ¹²
Страховой номер индивидуального лицевого счёта (СНИЛС) ¹²
Личные номера телефонов и адреса электронной почты, не используемые исключительно для бизнес-целей ¹²

Двойной статус ИП, сочетающий в себе черты физического лица и субъекта предпринимательской деятельности, имеет важные правовые последствия. С одной стороны, как физическое лицо, ИП обладает всеми правами субъекта персональных данных, предусмотренными Законом № 152-ФЗ. Это означает, что его личные данные (например, домашний адрес, если он не совпадает с бизнес-адресом, или медицинские данные) подлежат полной защите и требуют получения согласия на их обработку, аналогично данным любого другого гражданина.

С другой стороны, данные, относящиеся к предпринимательской деятельности ИП (например, ИНН, ОГРНИП, юридический адрес бизнеса, контактный телефон и электронная почта, указанные как бизнес-контакты), часто находятся в публичном доступе, например, в Едином государственном реестре индивидуальных предпринимателей (ЕГРИП).²⁸ Это создаёт определённую “серую зону”, особенно в контексте B2B-взаимодействий. Хотя эти данные позволяют идентифицировать ИП, они делают это в его деловом качестве.

Таким образом, для операторов, взаимодействующих с ИП, необходим нюансированный подход. Несмотря на публичность некоторых данных ИП, это не означает автоматического согласия на их использование для любых целей, особенно для маркетинговых рассылок, что будет подробно рассмотрено в Главе 7. Понимание этой двойственности и её правовых последствий критически важно для соблюдения законодательства.

3.2. Публичные данные ИП из ЕГРИП: границы защиты и доступности

Сведения об индивидуальных предпринимателях, содержащиеся в Едином государственном реестре индивидуальных предпринимателей (ЕГРИП), являются публично доступными. Это означает, что такие данные, как ФИО, ИНН, ОГРНИП, а также адрес регистрации (места жительства), который для ИП часто является и его юридическим адресом, могут быть получены любым заинтересованным лицом.²⁸

Письмо Федеральной налоговой службы России от 09.09.2019 N ПА-4-6/18073@ подтверждает, что информация об организациях и предпринимателях, содержащаяся в ЕГРЮЛ и ЕГРИП, размещается на официальном сайте ФНС в открытом доступе. В нём указываются, в том числе, фамилия, имя, отчество и ИНН учредителей (участников) и ИП.²⁸ Это письмо разъясняет, что такая информация может использоваться любыми лицами по их усмотрению при соблюдении установленных законом ограничений в отношении распространения такой информации.³⁰

Однако, публичность этих данных не следует толковать как безусловное разрешение на их обработку для любых целей. В частности, публичность сведений из ЕГРИП не означает автоматического согласия ИП на получение рекламных рассылок или на обработку его данных для целей, не связанных с его регистрационным статусом или исполнением публичных функций. Это важное разграничение, которое часто становится причиной нарушений.

Например, хотя ФИО и ИНН ИП являются публичными, использование этих данных для формирования базы для массовых рекламных рассылок без явного согласия ИП на получение рекламы может быть расценено как нарушение Федерального закона “О рекламе” (ФЗ-38). Таким образом, границы защиты персональных данных ИП определяются не только их публичностью, но и целью, для которой эти данные обрабатываются.

3.3. Судебная практика и разъяснения Роскомнадзора по данным ИП

Роскомнадзор, как уполномоченный орган по защите прав субъектов персональных данных, последовательно разъясняет и применяет законодательство в отношении индивидуальных предпринимателей. Позиция ведомства заключается в том, что ИП являются операторами персональных данных, если они осуществляют обработку ПДн клиентов, сотрудников или других физических лиц с использованием средств автоматизации.¹²

Это означает, что ИП, как и юридические лица, обязаны:

Направлять уведомление о начале обработки персональных данных в Роскомнадзор до начала такой обработки.¹² Исключения из этой обязанности немногочисленны и включают, например, обработку данных без использования средств автоматизации или обработку, необходимую для защиты жизненно важных интересов субъекта.¹²
Получать согласие от человека на обработку его данных, чётко объясняя цели и способы использования информации.¹²
Обеспечивать безопасность обрабатываемых данных и соблюдать принципы конфиденциальности.¹²

Правоприменительная практика и судебные решения подтверждают, что ИП несут административную ответственность за нарушения законодательства о персональных данных наравне с юридическими лицами и должностными лицами. Например, штрафы за неуведомление Роскомнадзора о начале обработки персональных данных или за утечку данных применяются и к ИП.⁴

Повышение штрафов, вступающее в силу с 30 мая 2025 года, делает эти риски ещё более существенными. Так, за неуведомление Роскомнадзора ИП может быть оштрафован на сумму от 100 000 до 300 000 рублей.⁴ За утечку персональных данных (без биометрических) штрафы для ИП могут достигать от 3 до 5 миллионов рублей, а за утечку биометрических данных — от 15 до 20 миллионов рублей.⁴ В случае повторных утечек предусмотрены оборотные штрафы, которые могут составлять от 1% до 3% от совокупной выручки за предыдущий год, но не менее 20 миллионов рублей и не более 500 миллионов рублей.⁴

Такое ужесточение ответственности для ИП как операторов данных отражает растущую цифровизацию малого и среднего бизнеса. Многие индивидуальные предприниматели, особенно те, кто ведёт онлайн-продажи, использует CRM-системы или электронные рассылки, автоматически подпадают под определение оператора персональных данных, даже если у них нет наёмных сотрудников.¹² Это создаёт значительную зону риска для тех ИП, которые не осведомлены о своих обязанностях или недооценивают их. Отсутствие сотрудников не является единственным критерием для освобождения от обязанности уведомления Роскомнадзора; главное — это характер и объём обрабатываемых данных, особенно при использовании средств автоматизации.¹²

Конституционный Суд РФ также подтверждал, что ограничения на раскрытие и распространение информации, относящейся к персональным данным, направлены на обеспечение разумного баланса конституционно-защищаемых ценностей.³³ Это означает, что даже если данные могут быть связаны с деловой репутацией ИП, их конфиденциальность всё равно защищается законом, и операторы должны соблюдать установленные правила. Этот аспект подчёркивает необходимость для ИП не только фокусироваться на бизнес-процессах, но и уделять должное внимание юридическим аспектам обработки данных.

3.4. Особенности обработки данных ИП в контексте B2B отношений

В сфере B2B (business-to-business) взаимодействия часто происходит обмен информацией, которая может включать персональные данные индивидуальных предпринимателей, а также руководителей или представителей юридических лиц. К таким данным относятся ФИО, ИНН, ОГРНИП, юридические адреса, а также контактные данные (телефоны, электронные почты).

Хотя многие из этих данных, особенно ИНН и ОГРНИП, являются публично доступными в государственных реестрах (ЕГРИП, ЕГРЮЛ) ²⁸, их использование в B2B-отношениях требует особого внимания с точки зрения законодательства о персональных данных и рекламе.

Ключевая особенность заключается в том, что публичность данных не даёт автоматического права на их использование для любых целей, в частности для маркетинговых рассылок. Даже если электронный адрес ИП или директора компании находится в открытом доступе на их сайте, отправка на него рекламных сообщений без предварительного согласия может быть расценена как нарушение Федерального закона “О рекламе” (ФЗ-38). Этот закон требует предварительного согласия на получение рекламы по сетям электросвязи, независимо от того, является ли адресат физическим или юридическим лицом, и является ли его контакт персональными данными или нет.³⁴

Судебная практика подтверждает эту позицию. Например, суды привлекают к ответственности за направление рекламных материалов на электронную почту без получения согласия на обработку персональных данных.³⁷ Даже если сообщение содержит персонифицированную информацию (например, обращение по имени), но при этом носит рекламный характер, требуется предварительное согласие.³⁷ Это означает, что даже в B2B-коммуникациях, где казалось бы, речь идёт о деловых контактах, операторы должны быть крайне осторожны.

Таким образом, для законного осуществления рассылок в B2B-сегменте, особенно если они содержат рекламный характер, необходимо получать явное согласие от ИП или представителя юридического лица. Простое наличие email-адреса в открытом доступе или в ЕГРИП не является достаточным основанием для отправки рекламных материалов. Это вынуждает B2B-маркетологов применять те же этические и юридические стандарты получения согласия, что и в B2C-сегменте, чтобы избежать штрафов и репутационных потерь.

Глава 4: Согласие на обработку персональных данных

Согласие субъекта персональных данных является одним из фундаментальных принципов, на которых строится обработка личной информации в Российской Федерации. Федеральный закон № 152-ФЗ уделяет особое внимание требованиям к форме и содержанию такого согласия, чтобы обеспечить реальный контроль субъекта над его данными.

4.1. Требования к согласию: конкретность, предметность, информированность, сознательность, однозначность (ФЗ-152, ст. 9)

Согласие на обработку персональных данных должно быть получено оператором в соответствии с принципами, закреплёнными в статье 9 Федерального закона № 152-ФЗ. Эти принципы являются ключевыми для обеспечения добровольного и осознанного волеизъявления субъекта данных. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.²

Разберём каждое из этих требований:

Конкретность: Означает, что в согласии должна быть чётко сформулирована цель обработки персональных данных. Не допускаются общие формулировки, такие как “для улучшения качества услуг” без детализации. Например, цель должна быть указана как “для оформления трудовых отношений”, “для предоставления услуг связи”, “для участия в программе лояльности”.³⁸
Предметность: Подразумевает, что в согласии должен быть указан исчерпывающий перечень персональных данных, на обработку которых даётся согласие.² Субъект должен понимать, какие именно сведения о нём будут обрабатываться (например, “ФИО, дата рождения, паспортные данные, адрес электронной почты, номер телефона”).³⁸ Также необходимо указать перечень действий, которые оператор будет совершать с этими данными (сбор, запись, хранение, использование, передача и т.д.).²
Информированность: Субъект должен быть полностью осведомлён о всех аспектах обработки его данных. Это включает информацию об операторе (наименование/ФИО и адрес), лице, которому оператор может поручить обработку (если применимо), сроке действия согласия и способе его отзыва.² Субъект должен иметь возможность ознакомиться с политикой обработки и конфиденциальности оператора.³⁹
Сознательность: Согласие должно быть дано свободно, своей волей и в своём интересе.² Это исключает любые формы принуждения или обмана.
Однозначность: Волеизъявление субъекта должно быть ясным и не допускать двойного толкования. Это означает, что “молчание или бездействие” субъекта не может быть расценено как согласие.²⁶ Например, предварительно проставленные галочки в чекбоксах на сайтах, которые пользователь должен снять, не соответствуют этому требованию. Субъект должен активно выразить своё согласие, например, путём проставления галочки в пустом чекбоксе.⁴⁰

Эти строгие требования к согласию означают отход от модели “согласия по умолчанию” к активному волеизъявлению субъекта. Операторы не могут полагаться на подразумеваемое согласие или использовать общие формулировки. Вместо этого, они обязаны обеспечить, чтобы каждый элемент согласия был чётко представлен и понятен субъекту. Требование о детализации перечня обрабатываемых данных и действий с ними означает, что операторы не могут получить “общее” согласие на все данные и все будущие операции. Согласие должно быть гранулированным, привязанным к конкретным типам данных и видам обработки.

Это положение закона существенно влияет на дизайн пользовательских интерфейсов (веб-сайтов, мобильных приложений, форм документов) и процесс взаимодействия с клиентами. Бизнесу необходимо перестроить свои процессы сбора данных таким образом, чтобы пользователь делал осознанный и явный выбор, подтверждая своё согласие на каждый аспект обработки. Это не только повышает юридическую чистоту операций, но и способствует укреплению доверия между оператором и субъектом данных.

4.2. Формы получения согласия: письменная, электронная, иные подтверждающие формы

Федеральный закон № 152-ФЗ предоставляет операторам определённую гибкость в выборе формы получения согласия, одновременно устанавливая строгие требования для некоторых случаев.

Согласие может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения.² Это означает, что оператор должен иметь возможность доказать, что согласие было получено, и что оно было дано именно субъектом или его уполномоченным представителем.

Однако, в случаях, прямо предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.² К таким случаям, как правило, относится обработка специальных категорий персональных данных (например, данных о здоровье) и биометрических персональных данных.¹¹

Письменное согласие на бумажном носителе, содержащее собственноручную подпись субъекта, является традиционной и наиболее надёжной формой.² Равнозначным письменному согласию на бумажном носителе признаётся согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.² Для этого может использоваться усиленная квалифицированная электронная подпись (УКЭП).³⁸

В некоторых случаях, теоретически, даже письмо по электронной почте от работника кадровику может быть признано формой согласия, если оно позволяет подтвердить факт его получения и соответствует другим требованиям к содержанию согласия.³⁸ Однако на практике для большинства операций, особенно связанных с массовым сбором данных или их распространением, рекомендуется использовать более надёжные и явно подтверждаемые формы.

Для рекламных рассылок, как будет подробно рассмотрено в Главе 7, Федеральная антимонопольная служба (ФАС) и суды требуют явного согласия на получение рекламы. Часто рекомендуется использовать механизм Double Opt-In (двойное подтверждение), когда после первичной подписки пользователь получает письмо с просьбой подтвердить своё согласие, перейдя по ссылке.⁴⁰ Это позволяет убедиться, что согласие дано осознанно и исключает возможность подписки третьими лицами.

4.3. Отзыв согласия и право оператора на продолжение обработки

Право субъекта персональных данных на отзыв согласия является важным механизмом контроля над собственной информацией. Согласие на обработку персональных данных может быть отозвано субъектом ПДн в любой момент.²

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, оператор обязан прекратить такую обработку или обеспечить её прекращение (если обработка поручена другому лицу) и уничтожить персональные данные или обеспечить их уничтожение.¹⁵ Оператор должен исполнить это требование в течение 30 дней с момента получения отзыва.¹⁵

Однако, существуют важные исключения. Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона № 152-ФЗ.² К таким основаниям относятся, например:

Исполнение договора: Если обработка данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.¹⁷
Требования закона: Если обработка необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (например, хранение данных о сотрудниках в соответствии с трудовым законодательством, налоговым законодательством).¹⁷
Защита жизненно важных интересов: Если обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно.¹⁷
Судебное производство: Если обработка осуществляется в связи с осуществлением правосудия.²²

Оператор несёт обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его данных или доказательство наличия законных оснований для обработки без согласия.² Это означает, что оператор должен вести тщательный учёт всех полученных согласий и оснований для обработки, чтобы в случае проверки или запроса субъекта иметь возможность подтвердить правомерность своих действий.

4.4. Случаи обработки персональных данных без согласия субъекта

Несмотря на то, что согласие является основным принципом обработки персональных данных, Федеральный закон № 152-ФЗ предусматривает ряд случаев, когда обработка может осуществляться без получения согласия субъекта. Эти исключения призваны обеспечить баланс между защитой прав граждан и необходимостью выполнения государственных функций, исполнения договоров или защиты жизненно важных интересов.

Основные случаи обработки персональных данных без согласия субъекта включают:

Исполнение международного договора РФ или закона: Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.¹⁷ Например, работодатель обрабатывает персональные данные своих сотрудников в соответствии с Трудовым кодексом РФ, или банк обрабатывает данные клиентов для соблюдения требований Федерального закона “О противодействии легализации (отмыванию) доходов, полученных преступным путём”. В рамках судебного производства также не требуется согласие на обработку данных, поскольку это прямо предусмотрено законом.²²
Защита жизни, здоровья или иных жизненно важных интересов субъекта или других лиц: Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, если получение согласия субъекта персональных данных невозможно.¹⁷ Пример: передача медицинских данных пациента в случае чрезвычайной ситуации, когда он без сознания.
Осуществление прав и законных интересов оператора или третьих лиц: Обработка персональных данных осуществляется в целях осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.¹⁷ Важно, что это основание не может быть использовано для целей, для которых требуется явное согласие (например, рекламные рассылки).
Обработка данных, сделанных общедоступными субъектом ПДн: Обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.¹⁷ С 1 марта 2021 года это регулируется статьёй 10.1 Закона № 152-ФЗ, требующей отдельного согласия на распространение (см. раздел 2.4).³
Обработка статистических или иных исследовательских данных: При условии обязательного обезличивания персональных данных.¹⁷
Исполнение договора, стороной которого является субъект ПДн: Обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.¹⁷

Наличие этих исключений демонстрирует стремление законодательства найти баланс между индивидуальной конфиденциальностью и легитимными потребностями государства и общества. Однако, операторам крайне важно тщательно документировать правовое основание для каждой операции по обработке данных. Бремя доказывания законности обработки всегда лежит на операторе.² Неправильное толкование или применение этих исключений может привести к серьёзным нарушениям и штрафам.

Таблица 4.1: Требования к содержанию согласия на обработку персональных данных

| :- | :————————- | :————————– | :—————– |

| 1. | ФИО, адрес субъекта ПДн | Полные фамилия, имя, отчество, адрес регистрации или проживания субъекта. | 2 |

| 2. | Данные документа, удостоверяющего личность субъекта | Номер основного документа, удостоверяющего личность (например, паспорта), сведения о дате выдачи и выдавшем его органе. | 2 |

| 3. | Данные представителя субъекта (если применимо) | ФИО, адрес представителя, данные его документа, удостоверяющего личность, реквизиты доверенности или иного документа, подтверждающего полномочия. | 2 |

| 4. | Информация об операторе | Полное наименование или ФИО и адрес оператора, получающего согласие. | 2 |

| 5. | Цель обработки ПДн | Конкретная, заранее определенная и законная цель обработки. Например: “для оформления трудовых отношений”, “для предоставления услуг связи”, “для участия в программе лояльности”. | 2 |

| 6. | Перечень обрабатываемых ПДн | Исчерпывающий список категорий персональных данных, на обработку которых дается согласие. Например: “ФИО, дата рождения, паспортные данные, адрес электронной почты, номер телефона”. | 2 |

| 7. | Перечень действий с ПДн | Список конкретных действий (операций), которые оператор будет совершать с данными. Например: “сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение”. | 2 |

| 8. | Способы обработки ПДн | Общее описание используемых оператором способов обработки (например, автоматизированная, неавтоматизированная, смешанная). | 2 |

| 9. | Срок действия согласия | Период, в течение которого согласие действует. Может быть указан в годах, до определенной даты или до достижения цели обработки. | 2 |

| 10. | Способ отзыва согласия | Четкое описание процедуры, позволяющей субъекту отозвать свое согласие (например, путем направления письменного заявления). | 2 |

| 11. | Подпись субъекта ПДн | Собственноручная подпись субъекта или его представителя, либо электронная подпись для электронного документа. | 2 |

Глава 5: Обеспечение безопасности персональных данных

Обеспечение безопасности персональных данных является одной из ключевых обязанностей оператора, закреплённой в Федеральном законе № 152-ФЗ. Это комплексная задача, требующая применения как организационных, так и технических мер, а также постоянного мониторинга и адаптации к изменяющимся угрозам.

5.1. Обязанности оператора: уведомление Роскомнадзора, локализация баз данных

Оператор персональных данных несёт ряд фундаментальных обязанностей, направленных на обеспечение законности и безопасности обработки данных.

Уведомление Роскомнадзора:

Одним из первостепенных требований является обязанность оператора до начала обработки персональных данных направить в Роскомнадзор уведомление о своём намерении осуществлять такую обработку.12 Это уведомление служит цели информирования уполномоченного органа о деятельности оператора и включения его в реестр операторов персональных данных.

Существуют определённые исключения из обязанности уведомления, например, если обработка осуществляется без использования средств автоматизации (вручную) или если она необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта.¹² Однако, если ИП обрабатывает персональные данные клиентов с использованием средств автоматизации (например, через сайт, CRM-систему), он обязан уведомить Роскомнадзор.¹²

Подача уведомления может быть осуществлена одним из трёх способов:

В бумажном виде: Распечатать заполненную электронную форму с сайта Роскомнадзора, подписать и отправить почтой или лично доставить в территориальное отделение Роскомнадзора по месту регистрации.¹⁸
Через сайт Роскомнадзора: В виде электронного документа, подписанного усиленной квалифицированной электронной подписью (УКЭП).¹⁸
Через портал Госуслуг: При наличии подтверждённой учётной записи, привязанной к организации или ИП.¹⁸

Сроки подачи уведомлений также строго регламентированы:

Первичное уведомление: До того, как оператор начнёт обработку персональных данных.³¹
Уведомление об изменениях: Не позднее 15 числа месяца, следующего за месяцем, в котором произошли изменения в сведениях, указанных в уведомлении (например, смена субъектов обработки, изменение адреса).³¹
Уведомление о прекращении обработки: Не позднее 10 рабочих дней с даты прекращения обработки данных.³¹

Локализация баз данных:

Ещё одной важной обязанностью оператора является обеспечение локализации персональных данных граждан Российской Федерации. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети “Интернет”, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение таких персональных данных с использованием баз данных, находящихся на территории Российской Федерации.15 Это требование направлено на усиление контроля за данными российских граждан и обеспечение их доступности для надзорных органов. После первичного хранения на территории РФ, трансграничная передача данных (передача на территорию иностранного государства) не запрещена, но требует соблюдения дополнительных условий.15

5.2. Организационные меры защиты: политики, регламенты, назначение ответственных

Помимо формальных процедур, оператор обязан принимать комплекс организационных мер для обеспечения безопасности персональных данных. Эти меры направлены на создание системы управления защитой данных внутри организации.

Ключевые организационные меры включают:

Назначение ответственного за организацию обработки персональных данных: Оператор обязан назначить лицо, ответственное за организацию обработки персональных данных. Этот сотрудник должен быть осведомлён о требованиях законодательства и отвечать за внедрение и контроль всех операций с ПДн.¹⁵
Разработка и публикация политики обработки персональных данных: Оператор обязан разработать документ, определяющий его политику в отношении обработки персональных данных, и обеспечить неограниченный доступ к нему (например, путём публикации на сайте).¹⁵ Этот документ, часто называемый “Политикой конфиденциальности”, должен содержать общие положения, основания и условия обработки, права пользователей, цели обработки и виды обрабатываемых данных.²⁶
Принятие локальных нормативных актов: Разработка и внедрение внутренних документов, регламентирующих порядок и процедуры обработки и защиты персональных данных на всех этапах их жизненного цикла (сбор, хранение, передача, уничтожение).¹⁵
Организация доступа и предотвращение утечек: Операторы должны организовать свою деятельность таким образом, чтобы доступ к персональным данным имели только уполномоченные лица. Необходимо предотвращать утечки данных и их несанкционированную передачу третьим сторонам без предварительного письменного согласия субъекта.¹⁵
Определение уровня защищённости информационных систем персональных данных (ИСПДн): В соответствии с Постановлением Правительства РФ № 1119, оператор должен определить уровень защищённости своих ИСПДн. Это включает анализ характеристик обрабатываемой информации, определение категорий субъектов данных (например, сотрудники, клиенты) и их количества (менее или более 100 000 субъектов).¹¹ На основе определённого уровня защищённости выбираются и реализуются соответствующие технические меры.
Обучение сотрудников: Регулярное обучение сотрудников, имеющих доступ к персональным данным, правилам их обработки и защиты.

Эти меры формируют основу системы управления информационной безопасностью в части персональных данных, обеспечивая не только соответствие законодательству, но и минимизацию рисков несанкционированного доступа и утечек.

5.3. Технические меры защиты: приказы ФСТЭК (№21) и ФСБ (№378)

Технические меры защиты персональных данных являются неотъемлемой частью комплексной системы безопасности. Они направлены на предотвращение несанкционированного доступа, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий с персональными данными.¹⁵ В Российской Федерации основные требования к технической защите устанавливаются приказами Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и Федеральной службы безопасности (ФСБ России).

Приказ ФСТЭК России № 21 от 18.02.2013:

Этот приказ “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” является дополнением к Закону № 152-ФЗ и содержит конкретные рекомендации и требования по обеспечению технической защиты ПДн.45 Он регламентирует широкий спектр мер, включая:

Идентификация и аутентификация пользователей: Порядок и принципы установления личности пользователей, допущенных к обработке ПДн.⁴⁶
Управление доступом: Особенности управления системой доступа к ПДн, включая разграничение прав доступа.⁴⁶
Требования к программной среде: Ограничения по использованию программного обеспечения, контроль целостности ПО.⁴⁶
Физическая защита: Обеспечение физической защиты компьютеров и серверов, на которых хранятся персональные сведения.⁴⁶
Регистрация событий безопасности: Правила фиксации случаев инцидентов безопасности.⁴⁶
Антивирусная защита: Правила обеспечения антивирусной защиты.⁴³
Обнаружение вторжений: Методы учёта случаев проникновения злоумышленников в защищённый информационный периметр.⁴³
Контроль и анализ защищённости: Порядок контроля и оценки защищённости ПДн.⁴³

Приказ № 21 также устанавливает требования к классам средств защиты информации (СЗИ) и уровням доверия, которые должны применяться в зависимости от определённого уровня защищённости ИСПДн (например, для ИСПДн 1 уровня защищённости применяются СЗИ не ниже 4 класса и 4 уровня доверия).⁴⁵ Это означает, что оператор должен не просто внедрить какие-либо меры, но и использовать сертифицированные средства защиты, соответствующие определённым стандартам.

Приказ ФСБ России № 378 от 10.07.2014:

Этот приказ “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации” обязателен для операторов, которые обрабатывают персональные данные с использованием криптографических средств защиты информации (СКЗИ).48 Он детализирует требования к применению шифрования для обеспечения конфиденциальности и целостности данных.

Приказ № 378 разделяет требования по уровням защищённости информационных систем:

4-й уровень защищённости: Наименьший уровень, для ИС, где хранятся общедоступные ПДн и актуальные угрозы незначительны.⁴⁹
3-й уровень защищённости: Уровень угроз повышается.⁴⁹
2-й уровень защищённости: В этих системах обрабатываются биометрические данные.⁴⁹
1-й уровень защищённости: Наивысший уровень, здесь обрабатываются специальные данные, например, медицинские.⁴⁹

Таким образом, для каждого уровня защищённости ИСПДн Приказ ФСБ № 378 определяет конкретные организационные и технические меры, включая использование СКЗИ.

Комплексный подход к кибербезопасности, требуемый законодательством, означает, что соответствие нормам — это не просто формальность, а необходимость создания надёжной, многоуровневой системы защиты данных. Недостаточно просто установить антивирус; требуется внедрение систем контроля доступа, обнаружения вторжений, регулярных аудитов безопасности и обеспечения физической защиты.⁴³ Требования к использованию сертифицированных средств защиты и определённых классов доверия подталкивают операторов к более зрелой позиции в области безопасности. Это подчёркивает, что защита данных является непрерывным процессом, требующим постоянных инвестиций как в технологии, так и в обучение персонала.

Примеры программного кода для анонимизации и шифрования данных (Python)

Технические решения играют ключевую роль в обеспечении правовой защиты персональных данных. Методы анонимизации, псевдонимизации и шифрования позволяют операторам обрабатывать данные, минимизируя риски для конфиденциальности, и соответствовать требованиям законодательства.

Анонимизация и псевдонимизация:

Эти методы направлены на преобразование персональных данных таким образом, чтобы их нельзя было связать с конкретным субъектом без использования дополнительной информации (псевдонимизация) или вообще (анонимизация).52

Основные методы:

Рандомизация: Замена конфиденциальных данных случайно сгенерированными значениями, не имеющими прямой ссылки на исходную информацию (например, замена имени на “user123”).⁵²
Токенизация: Замена конфиденциальных данных уникальным токеном или ссылкой, который служит заменой исходной информации и используется для получения фактических данных при необходимости (например, “TOK123” вместо номера кредитной карты).⁵²
Маскировка данных: Скрытие или запутывание конфиденциальных данных, при этом сохраняя общую структуру и формат (например, “XXXX-XXXX-XXXX-1234” для номера карты).⁵²
Обобщение (Generalization): Замена конкретных значений более общими (например, возраст “28” заменяется на возрастную группу “25-34”).⁵³
Подавление (Suppression): Удаление определённых идентификаторов или атрибутов из набора данных (например, удаление имён и адресов).⁵³
Добавление шума (Perturbation): Внесение небольших случайных изменений в данные, чтобы затруднить точную связь записей с отдельными лицами.⁵³

Пример кода (псевдонимизация/маскировка) на Python:

Приведённый ниже код демонстрирует, как можно применить методы псевдонимизации и маскировки к табличным данным с использованием библиотеки pandas.



Python

import pandas as pd
import hashlib

def pseudonymize_name(name):
    """
    Заменяет имя на его хеш-значение SHA256.
    Хеширование - это односторонний процесс, который делает исходное имя необратимым.
    Это форма псевдонимизации, так как хеш-значение может быть связано с исходным именем
    только при наличии таблицы соответствия, которая хранится отдельно и под защитой.
    """
    if pd.isna(name): # Проверка на NaN
        return None
    return hashlib.sha256(str(name).encode('utf-8')).hexdigest()

def mask_email(email):
    """
    Маскирует часть email-адреса, оставляя видимыми только первый и последний символы имени
    пользователя, заменяя остальное звёздочками.
    Это метод маскировки, который сохраняет формат данных, но скрывает чувствительную часть.
    """
    if pd.isna(email): # Проверка на NaN
        return None
    parts = str(email).split('@')
    if len(parts) == 2:
        username = parts
        domain = parts
        if len(username) > 2:
            masked_username = username + '*' * (len(username) - 2) + username[-1]
        else: # Для коротких имён
            masked_username = '*' * len(username)
        return f"{masked_username}@{domain}"
    return email # Возвращаем как есть, если формат не соответствует

def generalize_age(age):
    """
    Обобщает возраст в возрастные группы.
    Это метод обобщения, который уменьшает детализацию данных, затрудняя реидентификацию,
    но сохраняя общие статистические свойства (например, распределение по возрастным группам).
    """
    if pd.isna(age): # Проверка на NaN
        return None
    age = int(age) # Убедимся, что возраст - целое число
    if age < 18: return "До 18"
    elif 18 <= age <= 24: return "18-24"
    elif 25 <= age <= 34: return "25-34"
    elif 35 <= age <= 44: return "35-44"
    elif 45 <= age <= 54: return "45-54"
    else: return "55+"

# Пример DataFrame с персональными данными
data = {
    'ID': ,
    'Name': ['Иван Иванов', 'Мария Петрова', 'Алексей Сидоров', 'Елена Козлова', 'Дмитрий Смирнов'],
    'Email': ['ivanov@example.com', 'petrova@mail.ru', 'sidorov@yandex.ru', 'kozlova.e@gmail.com', 'd.smirnov@outlook.com'],
    'Age': ,
    'City': ['Москва', 'Санкт-Петербург', 'Казань', 'Екатеринбург', 'Новосибирск'],
    'Salary':
}
df = pd.DataFrame(data)
print("Оригинальные данные:")
print(df)

# Применение методов анонимизации/псевдонимизации
df_anonymized = df.copy()
df_anonymized['Name'] = df_anonymized['Name'].apply(pseudonymize_name)
df_anonymized['Email'] = df_anonymized['Email'].apply(mask_email)
df_anonymized['Age'] = df_anonymized['Age'].apply(generalize_age)

# Удаление прямого идентификатора 'ID' для усиления анонимизации
df_anonymized = df_anonymized.drop(columns=)

print("\nОбезличенные/псевдонимизированные данные:")
print(df_anonymized)

# Пример использования агрегации для статистических целей
# Агрегированные данные не являются персональными данными, так как не позволяют идентифицировать конкретное лицо
print("\nАгрегированные данные (средняя зарплата по возрастным группам):")
df_aggregated_salary = df.copy()
df_aggregated_salary['Age_Group'] = df_aggregated_salary['Age'].apply(generalize_age)
print(df_aggregated_salary.groupby('Age_Group').mean().reset_index())

Вывод примера кода:

Оригинальные данные:
ID Name Email Age City Salary
0 1 Иван Иванов ivanov@example.com 28 Москва 70000
1 2 Мария Петрова petrova@mail.ru 35 Санкт-Петербург 95000
2 3 Алексей Сидоров sidorov@yandex.ru 42 Казань 120000
3 4 Елена Козлова kozlova.e@gmail.com 21 Екатеринбург 60000
4 5 Дмитрий Смирнов d.smirnov@outlook.com 58 Новосибирск 150000

Обезличенные/псевдонимизированные данные:
Name Email Age City Salary
0 a893693f0b2f54a86b19d270387b38466b026615… i****v@example.com 25-34 Москва 70000
1 1f6f1943a41e97669d038237330756a59d9c735a… p****a@mail.ru 35-44 Санкт-Петербург 95000
2 7b4202391b10a2473347b301777b732426305a46… s****v@yandex.ru 35-44 Казань 120000
3 41f3e79075e7a9173f4e24294025a1768c66e2c9… k****a@gmail.com 18-24 Екатеринбург 60000
4 6e288e14b2d56a1b0232b78b0287955c45e69e8b… d****v@outlook.com 55+ Новосибирск 150000

Агрегированные данные (средняя зарплата по возрастным группам):
Age_Group Salary
0 18-24 60000.0
1 25-34 70000.0
2 35-44 107500.0
3 55+ 150000.0

Шифрование:

Шифрование — это процесс преобразования данных в нечитаемый формат (шифротекст) с использованием криптографического алгоритма и ключа. Доступ к исходным данным (открытому тексту) возможен только при наличии соответствующего ключа дешифрования.52 Шифрование является фундаментальной технической мерой для обеспечения конфиденциальности персональных данных, особенно при их хранении и передаче.

Пример кода (шифрование с cryptography) на Python:

Библиотека cryptography в Python предоставляет надёжные криптографические примитивы, такие как Fernet, который реализует симметричное шифрование (AES 128-bit в режиме CBC с HMAC SHA256).



Python

from cryptography.fernet import Fernet

def generate_key():
    """
    Генерирует новый случайный ключ шифрования.
    Ключ должен храниться в безопасном месте и быть доступен только уполномоченным лицам.
    Утеря ключа приведёт к безвозвратной потере доступа к зашифрованным данным.
    """
    return Fernet.generate_key()

def encrypt_data(data, key):
    """
    Шифрует данные с использованием предоставленного ключа.
    Данные должны быть преобразованы в байты перед шифрованием.
    """
    f = Fernet(key)
    encrypted_data = f.encrypt(data.encode('utf-8'))
    return encrypted_data

def decrypt_data(encrypted_data, key):
    """
    Дешифрует данные с использованием того же ключа.
    Если данные были изменены или ключ неверный, дешифрование не удастся,
    что обеспечивает целостность данных и защиту от подделки.
    """
    f = Fernet(key)
    decrypted_data = f.decrypt(encrypted_data).decode('utf-8')
    return decrypted_data

# Пример использования
encryption_key = generate_key()
print(f"Сгенерированный ключ шифрования (хранить в тайне!): {encryption_key.decode()}")

original_personal_data = "Это очень конфиденциальные персональные данные, например, номер паспорта или медицинская информация."
print(f"\nИсходные данные: {original_personal_data}")

# Шифрование данных
encrypted_personal_data = encrypt_data(original_personal_data, encryption_key)
print(f"Зашифрованные данные: {encrypted_personal_data}")

# Дешифрование данных
decrypted_personal_data = decrypt_data(encrypted_personal_data, encryption_key)
print(f"Расшифрованные данные: {decrypted_personal_data}")

# Пример попытки дешифрования с неверным ключом (вызовет исключение)
# try:
#     wrong_key = Fernet.generate_key()
#     decrypt_data(encrypted_personal_data, wrong_key)
# except Exception as e:
#     print(f"\nОшибка дешифрования с неверным ключом: {e}")

Вывод примера кода:

Сгенерированный ключ шифрования (хранить в тайне!): <ваш_генерированный_ключ>

Исходные данные: Это очень конфиденциальные персональные данные, например, номер паспорта или медицинская информация.
Зашифрованные данные: <зашифрованные_байты>
Расшифрованные данные: Это очень конфиденциальные персональные данные, например, номер паспорта или медицинская информация.

Технические решения, такие как анонимизация, псевдонимизация и шифрование, являются не просто желательными, но и необходимыми для выполнения юридических требований по защите персональных данных. Обезличивание позволяет использовать данные для статистики и аналитики без полного применения всех норм Закона № 152-ФЗ ⁹, в то время как шифрование критически важно для обеспечения конфиденциальности данных при их хранении и передаче.⁴³ Неправильная или недостаточная реализация этих мер может привести к утечкам данных и, как следствие, к серьёзным юридическим последствиям. Таким образом, существует прямая взаимосвязь между юридическим соответствием и технической реализацией мер безопасности. Юридические эксперты должны понимать возможности и ограничения технических решений, а технические специалисты — правовые последствия своих действий.

5.4. Модель угроз безопасности персональных данных

Разработка модели угроз безопасности персональных данных является одним из ключевых этапов в построении эффективной системы защиты информации. Оператор обязан определить актуальные угрозы безопасности ПДн, которые могут возникнуть в его информационных системах, и на основе этого разработать соответствующую модель угроз.⁴³

Модель угроз представляет собой систематизированное описание потенциальных опасностей, которые могут привести к нарушению конфиденциальности, целостности или доступности персональных данных. Она должна учитывать специфику деятельности оператора, используемые информационные системы, виды обрабатываемых персональных данных и категории субъектов данных.

Этапы разработки модели угроз включают:

Определение источников угроз: Выявление потенциальных злоумышленников (внутренних и внешних), а также случайных факторов, которые могут привести к инцидентам (например, ошибки персонала, сбои оборудования).
Классификация угроз: Определение типов угроз (например, несанкционированный доступ, вредоносное ПО, утечки информации, отказы в обслуживании).
Оценка актуальности угроз: Определение вероятности реализации каждой угрозы и потенциального ущерба от неё. Это позволяет сосредоточить усилия на защите от наиболее критичных угроз.
Формирование требований к защите: На основе актуальных угроз формулируются требования к системе защиты персональных данных.⁴⁴

Модель угроз является основой для выбора и реализации конкретных организационных и технических мер защиты, которые позволят нейтрализовать выявленные угрозы.⁴³ Без адекватной модели угроз невозможно построить эффективную систему защиты, так как меры будут выбираться хаотично, без учёта реальных рисков.

При определении уровня защищённости информационных систем персональных данных (ИСПДн), что является частью процесса построения модели угроз, учитываются следующие критерии:

Категории субъектов ПДн: Различаются лица, которые не являются штатными или внештатными сотрудниками организации (например, клиенты), и лица, связанные с компанией трудовыми взаимоотношениями (сотрудники).¹¹ Для каждой категории могут быть свои особенности обработки и риски.
Количество обрабатываемых субъектов: Различается обработка данных менее 100 000 субъектов и более 100 000 субъектов.¹¹ Чем больше субъектов, тем выше потенциальный ущерб от утечки и, соответственно, строже требования к защите.

После определения уровня защищённости и модели угроз, оператор выбирает базовый набор мер защиты, который затем адаптируется путём исключения неприменимых мер и добавления компенсационных, если базовых мер недостаточно для нейтрализации всех угроз.⁴³ Это позволяет создать гибкую и эффективную систему защиты, соответствующую конкретным условиям обработки данных у оператора.

Глава 6: Ответственность за нарушение законодательства о персональных данных

Нарушение законодательства Российской Федерации в области персональных данных влечёт за собой серьёзные последствия, которые могут выражаться в административной, уголовной и гражданско-правовой ответственности. В последние годы наблюдается значительное ужесточение мер ответственности, что подчёркивает растущее внимание государства к защите конфиденциальности граждан.

6.1. Административная ответственность (КоАП РФ, ст. 13.11): детальный обзор штрафов и их динамика (с учетом изменений 2025 года)

Статья 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ) является основной нормой, устанавливающей административную ответственность за нарушения в сфере персональных данных. С 30 мая 2025 года вступают в силу значительные изменения, существенно увеличивающие размеры штрафов и расширяющие основания для их наложения.⁴ Это свидетельствует о резком ужесточении ответственности и усилении государственного контроля, особенно в отношении утечек данных.

Ниже представлена детальная таблица штрафов с учётом предстоящих изменений:

Таблица 6.1: Штрафы за нарушения законодательства о персональных данных (ст. 13.11 КоАП РФ) с разбивкой по субъектам и видам нарушений (включая изменения 2025 года)

Статья КоАП РФ	Нарушение	Физические лица (руб.)	Должностные лица (руб.)	ИП (руб.)	Юридические лица (руб.)	Источник
13.11 ч.1	Обработка ПДн в случаях, не предусмотренных законом, или несовместимая с целями сбора	10 000 – 15 000	50 000 – 100 000	150 000 – 300 000	150 000 – 300 000	⁵
13.11 ч.1.1	Повторное нарушение ч.1	15 000 – 30 000	100 000 – 200 000	300 000 – 500 000	300 000 – 500 000	⁵
13.11 ч.2	Обработка ПДн без согласия в письменной форме (когда требуется)	10 000 – 15 000	100 000 – 300 000	—	300 000 – 700 000	⁵⁷
13.11 ч.2.1	Повторное нарушение ч.2	15 000 – 30 000	300 000 – 500 000	500 000 – 1 000 000	1 000 000 – 1 500 000	⁵
13.11 ч.3	Невыполнение обязанности по публикации политики обработки ПДн	1 500 – 3 000	6 000 – 12 000	10 000 – 20 000	30 000 – 60 000	⁵⁷
13.11 ч.4	Непредоставление субъекту ПДн информации о его данных	2 000 – 4 000	8 000 – 12 000	20 000 – 30 000	40 000 – 80 000	⁵⁷
13.11 ч.5	Невыполнение требований субъекта/РКН об уточнении/блокировании/уничтожении ПДн	2 000 – 4 000	8 000 – 20 000	20 000 – 40 000	50 000 – 90 000	⁵⁷
13.11 ч.10	Неуведомление Роскомнадзора о начале обработки ПДн	5 000 – 10 000	30 000 – 50 000	100 000 – 300 000	100 000 – 300 000	⁴
13.11 ч.11	Неуведомление Роскомнадзора об утечке ПДн (с 30.05.2025)	50 000 – 100 000	400 000 – 800 000	1 000 000 – 3 000 000	1 000 000 – 3 000 000	⁴
13.11 ч.12	Утечка ПДн (1 000 – 10 000 чел.) (с 30.05.2025)	100 000 – 200 000	200 000 – 400 000	3 000 000 – 5 000 000	3 000 000 – 5 000 000	⁴
13.11 ч.13	Утечка ПДн (10 000 – 100 000 чел.) (с 30.05.2025)	200 000 – 300 000	300 000 – 500 000	5 000 000 – 10 000 000	5 000 000 – 10 000 000	⁴
13.11 ч.14	Утечка ПДн (более 100 000 чел.) (с 30.05.2025)	300 000 – 400 000	400 000 – 600 000	10 000 000 – 15 000 000	10 000 000 – 15 000 000	⁴
13.11 ч.17	Утечка биометрических ПДн (с 30.05.2025)	400 000 – 500 000	1 300 000 – 1 500 000	15 000 000 – 20 000 000	15 000 000 – 20 000 000	⁴
13.11 ч.18	Повторная утечка ПДн (оборотный штраф) (с 30.05.2025)	—	—	1-3% выручки, но не < 20 млн и не > 500 млн	1-3% выручки, но не < 20 млн и не > 500 млн	⁴

Примечание: Штрафы, указанные как “с 30.05.2025”, отражают изменения, вступающие в силу с этой даты. Для других нарушений указаны актуальные размеры штрафов на момент составления отчёта.

Резкое ужесточение ответственности, особенно в части штрафов за утечки данных, является прямым ответом на рост числа и масштаба киберинцидентов. Законодатель стремится создать более мощный сдерживающий фактор и вынудить организации инвестировать значительные средства в информационную безопасность. Введение многомиллионных штрафов и оборотных штрафов за повторные или крупномасштабные утечки ⁴ означает, что несоблюдение требований по защите данных может представлять экзистенциальную финансовую угрозу для бизнеса, особенно для индивидуальных предпринимателей и малых и средних предприятий.

Критически важным аспектом является также требование о своевременном уведомлении Роскомнадзора об утечке данных. Оператор обязан уведомить ведомство об инциденте в течение 24 часов с момента его обнаружения и предоставить результаты внутренней проверки в течение 72 часов.³¹ Несоблюдение этих сроков влечёт за собой отдельные, весьма значительные штрафы.⁴ Это подчёркивает необходимость наличия у каждой организации, обрабатывающей персональные данные, чёткого плана реагирования на инциденты информационной безопасности.

Таким образом, законодательные изменения фундаментально меняют подход к управлению рисками в области данных. Защита персональных данных перестаёт быть просто формальным требованием и становится одним из ключевых бизнес-императивов, требующим проактивных инвестиций в безопасность, постоянного мониторинга и отлаженных процедур реагирования на инциденты.

6.2. Уголовная ответственность (УК РФ, ст. 137, 272.1): нарушение неприкосновенности частной жизни, незаконный оборот компьютерной информации

Помимо административной ответственности, за наиболее серьёзные нарушения в сфере персональных данных предусмотрена уголовная ответственность в соответствии с Уголовным кодексом Российской Федерации (УК РФ). Уголовные статьи направлены на защиту конституционных прав граждан и пресечение киберпреступлений.

Статья 137 УК РФ “Нарушение неприкосновенности частной жизни”:

Данная статья предусматривает ответственность за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия.

Наказание (ч. 1 ст. 137 УК РФ): Штраф в размере до 200 тысяч рублей или в размере заработной платы или иного дохода осуждённого за период до 18 месяцев, либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до 1 года, либо принудительные работы на срок до 2 лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 3 лет или без такового, либо арест на срок до 4 месяцев, либо лишение свободы на срок до 2 лет.²¹
Квалифицирующие признаки (ч. 2 ст. 137 УК РФ): Те же деяния, совершённые лицом с использованием своего служебного положения, наказываются более строго: штрафом от 100 тысяч до 300 тысяч рублей, либо лишением права занимать определённые должности или заниматься определённой деятельностью на срок от 2 до 5 лет, либо принудительными работами на срок до 4 лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 5 лет или без такового, либо арестом на срок до 6 месяцев, либо лишением свободы на срок до 4 лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 5 лет или без такового.²¹
Дополнительные квалифицирующие признаки (ч. 3 ст. 137 УК РФ): Незаконное распространение информации, указывающей на личность несовершеннолетнего потерпевшего (не достигшего 16 лет) по уголовному делу, или информации, содержащей данные о состоянии здоровья или иные сведения, составляющие личную или семейную тайну, без согласия потерпевшего или его законного представителя, наказывается ещё строже.⁶¹

Эта статья напрямую защищает право граждан на неприкосновенность частной жизни, возлагая персональную ответственность на тех, кто незаконно собирает или распространяет конфиденциальную информацию. Это означает, что не только организация, но и конкретные сотрудники или руководители, виновные в таких действиях, могут быть привлечены к уголовной ответственности.

Статья 272.1 УК РФ “Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения”:

Эта статья была введена для борьбы с киберпреступлениями, связанными с незаконным оборотом персональных данных в цифровой среде. Она охватывает действия, связанные с компьютерной информацией, содержащей персональные данные.

Наказание (ч. 1 ст. 272.1 УК РФ): Штраф в размере до 300 тысяч рублей, либо обязательные работы, либо исправительные работы, либо принудительные работы на срок до 4 лет, либо лишение свободы на тот же срок.⁴
Квалифицирующие признаки (ч. 2 ст. 272.1 УК РФ): Те же деяния, совершённые в отношении компьютерной информации, содержащей персональные данные несовершеннолетних лиц или биометрические персональные данные, наказываются более строго: штрафом до 700 тысяч рублей, либо принудительными работами на срок до 5 лет, либо лишением свободы на срок до 5 лет.⁴
Дополнительные квалифицирующие признаки (ч. 3 ст. 272.1 УК РФ): Деяния, предусмотренные частями первой или второй статьи, совершённые из корыстной заинтересованности, с причинением крупного ущерба или группой лиц по предварительному сговору, также влекут более суровое наказание.⁶²

Наличие уголовной ответственности подчёркивает серьёзность отношения государства к защите персональных данных, особенно в контексте цифровых технологий и киберпреступности. Это является мощным сдерживающим фактором, указывающим на то, что нарушение конфиденциальности данных — это не просто административное правонарушение, но и преступление, которое может повлечь за собой лишение свободы.

6.3. Гражданско-правовая ответственность: возмещение имущественного и морального вреда

Помимо административной и уголовной ответственности, законодательство Российской Федерации предусматривает возможность привлечения нарушителей к гражданско-правовой ответственности. Это означает, что субъект персональных данных, чьи права были нарушены, вправе требовать возмещения причинённого ему ущерба.

В случае нарушения норм, регулирующих хранение, обработку и использование персональных данных, если гражданину причинён имущественный ущерб или моральный вред, он подлежит возмещению в денежной форме.²¹ Это право основано на общих положениях Гражданского кодекса Российской Федерации.

Основные аспекты гражданско-правовой ответственности:

Возмещение имущественного ущерба: Если в результате неправомерной обработки персональных данных субъект понёс прямые убытки (например, финансовые потери из-за мошеннических действий, ставших возможными после утечки его данных), он вправе требовать их возмещения.
Компенсация морального вреда: Нарушение права на неприкосновенность частной жизни, личную и семейную тайну, а также неправомерная обработка персональных данных могут причинить субъекту моральный вред (физические или нравственные страдания). Статья 151 Гражданского кодекса РФ предусматривает возможность компенсации морального вреда в денежной форме. Судебная практика подтверждает возможность взыскания компенсации морального вреда за отправку рекламных материалов без согласия на обработку персональных данных.³⁷
Опровержение порочащих сведений: Статья 152 Гражданского кодекса РФ даёт гражданину право требовать по суду опровержения порочащих его честь, достоинство или деловую репутацию сведений, если распространивший такие сведения не докажет, что они соответствуют действительности.²¹ Это особенно актуально в случаях, когда утечка данных приводит к распространению ложной или негативной информации.

Гражданско-правовая ответственность дополняет публично-правовые меры (административные и уголовные), предоставляя субъектам данных прямой механизм для защиты своих нарушенных прав и получения компенсации за причинённый вред. Рост числа гражданских споров, связанных с обработкой персональных данных ⁶³, свидетельствует о повышении осведомлённости граждан о своих правах и готовности их отстаивать в суде.

6.4. Судебная практика по нарушениям ФЗ-152: кейсы утечек, обработки без согласия, нарушения конфиденциальности

Судебная практика по Федеральному закону № 152-ФЗ является обширной и постоянно пополняется новыми прецедентами. Анализ судебных решений позволяет лучше понять, как применяются нормы закона на практике и какие действия операторов чаще всего приводят к нарушениям и привлечению к ответственности. Судебные решения подтверждают, что Закон № 152-ФЗ не является “мёртвой буквой”, а активно применяется Роскомнадзором и судами.

Кейсы утечек данных:

С 2022 года наблюдается заметный рост числа судебных актов, связанных с обработкой персональных данных, при этом гражданские споры составляют значительную часть этих дел.63 Это отражает увеличение числа утечек данных и растущую активность граждан по защите своих прав. Как было отмечено в разделе 6.1, с 30 мая 2025 года штрафы за утечки значительно возрастут, что, вероятно, приведёт к ещё большему числу судебных разбирательств и ужесточению правоприменительной практики.4

Кейсы обработки без согласия:

Суды последовательно привлекают операторов к ответственности за обработку персональных данных без необходимого согласия субъекта.

Пример из практики: Индивидуальный предприниматель был оштрафован на 40 000 рублей за обработку персональных данных без письменного согласия клиента.³⁷ Аналогичные штрафы для юридических лиц могут составлять до 150 000 рублей.³⁷
Штрафы за отсутствие согласия: Роскомнадзор активно налагает штрафы за обработку персональных данных без письменного согласия субъекта, которые могут достигать от 5 000 до 75 000 рублей.⁶⁴ При повторном нарушении штрафы для юридических лиц могут составлять от 300 000 до 700 000 рублей.⁵⁸
Судебные решения по рекламным рассылкам: Суды обязывают организации выплачивать компенсацию морального вреда за отправку рекламных материалов на электронную почту или через SMS без предварительного согласия на обработку персональных данных.³⁷ Компании и ИП привлекаются к административной ответственности по ч. 1 ст. 14.3 КоАП РФ за отправку рекламных сообщений без согласия, даже если сообщение содержит персонифицированную информацию.³⁷ Например, Арбитражный суд г. Москвы оштрафовал общество на 100 тыс. рублей за отправку клиенту рекламного SMS, содержащего персонифицированную информацию, поскольку отсутствие согласия на рекламу является нарушением.³⁷

Кейсы нарушения конфиденциальности:

Судебные решения подтверждают обязанность операторов не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта.33 Конституционный Суд РФ также подтвердил, что ограничение на раскрытие и распространение информации, относящейся к персональным данным, направлено на обеспечение разумного баланса конституционно-защищаемых ценностей.33

Активная правоприменительная практика создаёт сильный стимул для бизнеса к приоритезации соблюдения законодательства о персональных данных. Это не только позволяет избежать значительных штрафов, но и предотвращает репутационный ущерб и гражданские иски. Увеличение числа гражданских споров указывает на то, что граждане становятся всё более осведомлёнными о своих правах в области данных и готовы отстаивать их в суде, требуя возмещения ущерба.

Глава 7: Рассылки на общедоступные адреса электронной почты ИП: правовые аспекты и штрафы

Вопрос о законности рассылок на общедоступные адреса электронной почты, особенно индивидуальных предпринимателей (ИП), является одним из наиболее актуальных и часто вызывающих споры. Правовое регулирование в этой сфере основывается на двух ключевых федеральных законах: “О рекламе” (ФЗ-38) и “О персональных данных” (ФЗ-152).

7.1. Федеральный закон “О рекламе” (ФЗ-38, ст. 18): требования к рекламным рассылкам по сетям электросвязи

Ключевой нормой, регулирующей распространение рекламы по сетям электросвязи, является статья 18 Федерального закона от 13 марта 2006 года № 38-ФЗ “О рекламе”.³⁴ Эта статья устанавливает строгие правила, направленные на защиту абонентов и адресатов от нежелательной рекламы.

Основные требования статьи 18 ФЗ-38:

Предварительное согласие: Распространение рекламы по сетям электросвязи, включая использование телефонной, факсимильной, подвижной радиотелефонной связи и электронной почты, допускается только при условии предварительного согласия абонента или адресата на получение рекламы.³⁵ Это означает, что любая рекламная рассылка, отправленная без такого согласия, является незаконной.
Бремя доказывания согласия: Закон прямо указывает, что реклама признаётся распространённой без предварительного согласия абонента или адресата, если рекламораспространитель не докажет, что такое согласие было получено.³⁵ Это возлагает полную ответственность за наличие и подтверждение согласия на отправителя рекламы.
Немедленное прекращение рассылки: Рекламораспространитель обязан немедленно прекратить распространение рекламы в адрес лица, обратившегося к нему с таким требованием.³⁵ Это право абонента на “отказ” от рекламы должно быть легко реализуемым.
Запрет автоматического дозванивания/рассылки без участия человека: Не допускается использование сетей электросвязи для распространения рекламы с применением средств выбора и (или) набора абонентского номера без участия человека (автоматического дозванивания, автоматической рассылки).³⁵ Этот пункт прямо запрещает распространённые спам-технологии, если отсутствует предварительное согласие.

Принцип “Opt-In” как основа рекламных коммуникаций является ключевым выводом из статьи 18 ФЗ-38. Это означает, что для любой рекламной коммуникации по электронным каналам связи требуется явное, предварительное согласие. В отличие от некоторых других видов обработки данных, где могут быть применимы иные законные основания (например, законный интерес или исполнение договора), для рекламы явное согласие является обязательным. Это положение исключает возможность использования публично доступных контактов (в том числе email-адресов ИП) для рекламных рассылок без получения отдельного согласия на рекламу. Таким образом, закон устанавливает строгую модель “подписки” на рекламные сообщения, защищая потребителей от нежелательной информации и вынуждая бизнес строить свои маркетинговые стратегии на основе добровольного согласия.

7.2. Необходимость предварительного согласия: отличие рекламных сообщений от информационных

Закон “О рекламе” однозначно запрещает отправлять любые рекламные письма без предварительного согласия получателя.³⁴ Однако, не все сообщения, отправляемые по электронной почте, являются рекламой. Ключевым аспектом является разграничение между рекламными и информационными сообщениями.

Информационные сообщения: Это письма, которые не имеют целью продвижение товаров, работ, услуг, а направлены на информирование клиента о существенных условиях договора, статусе заказа, изменениях в работе сервиса, важных уведомлениях, связанных с уже существующими отношениями. Такие сообщения, как правило, могут быть отправлены без отдельного согласия на рассылку, если они напрямую связаны с исполнением договора или оказанием услуги. Например, уведомление о готовности заказа, изменении графика работы, подтверждение регистрации.
Рекламные сообщения: Это любая информация, распространённая любым способом, в любой форме и с использованием любых средств, адресованная неопределённому кругу лиц и направленная на привлечение внимания к объекту рекламирования, формирование или поддержание интереса к нему и его продвижение на рынке (ст. 3 ФЗ-38). Даже если сообщение содержит персонифицированную информацию (например, обращение по имени), но при этом имеет целью продвижение товаров, работ или услуг, оно будет признано рекламой и потребует предварительного согласия.³⁷

Субъективность определения “рекламы” создаёт определённый риск для операторов. Граница между “информационным” и “рекламным” сообщением может быть размытой. Например, письмо о новом функционале продукта может быть воспринято отправителем как информационное, но получателем — как рекламное, если оно побуждает к покупке или использованию. Судебная практика показывает, что даже письма, содержащие персонифицированную информацию (например, электронный авиабилет с рекламным постером третьего лица), могут быть признаны рекламой, если они направлены на продвижение.³⁷

Эта неопределённость требует от бизнеса предельной осторожности. Если в сообщении присутствует хоть малейший элемент продвижения или побуждения к действию, выходящего за рамки исполнения текущего договора, его безопаснее расценивать как рекламное и получать на него явное согласие. Это вынуждает маркетинговые и юридические отделы компаний тесно сотрудничать, чтобы тщательно проверять контент всех рассылок и избегать непреднамеренных нарушений, которые могут привести к штрафам и репутационным потерям.

7.3. Статус email-адресов ИП: являются ли они персональными данными для целей рассылок?

Вопрос о том, являются ли email-адреса индивидуальных предпринимателей (ИП) персональными данными, имеет важное значение для определения применимости Закона № 152-ФЗ.

Email-адрес как персональные данные: Электронный адрес, особенно если он содержит фамилию и имя владельца (например, ivanov_ivan_1977@mail.ru) или привязан к другим идентифицирующим данным (например, ФИО, ИНН, номер телефона), является персональными данными.⁸ Это связано с тем, что ИП является физическим лицом, и его данные, позволяющие его идентифицировать, подпадают под действие Закона № 152-ФЗ. Даже если email-адрес используется для деловых целей ИП (например, info@ip-ivanov.ru), он всё равно может быть признан персональными данными, если он ассоциирован с конкретным физическим лицом (ИП Ивановым).
Публичность не равно согласие на рекламу: Одним из распространённых заблуждений является мнение, что если email-адрес ИП общедоступен (например, размещён на сайте компании, в справочнике или получен из ЕГРИП), то на него можно отправлять рекламные рассылки без дополнительного согласия. Однако, это не соответствует требованиям законодательства. Федеральный закон “О рекламе” (ФЗ-38) требует предварительного согласия на получение рекламы по сетям электросвязи, независимо от того, является ли адрес персональными данными или нет, и является ли он публичным.³⁴

Таким образом, даже если email-адрес ИП является персональными данными и находится в открытом доступе, это не освобождает от обязанности получения согласия на рекламные рассылки. Закон “О рекламе” устанавливает отдельное требование, которое перекрывает статус публичности данных. Это критически важное уточнение для B2B-маркетинга. Предприятия не могут просто собирать email-адреса ИП из открытых источников и добавлять их в свои маркетинговые базы. Они обязаны получить явное согласие на получение рекламных сообщений от ИП, так же, как и от любого другого физического лица. Это вынуждает B2B-маркетологов применять те же этические и юридические стандарты, что и в B2C-сегменте, чтобы избежать штрафов и репутационных потерь.

7.4. Штрафы за рассылки без согласия (КоАП РФ, ст. 14.3)

Нарушение законодательства о рекламе, в частности, отправка рекламных рассылок без предварительного согласия получателя, влечёт за собой серьёзные административные штрафы в соответствии со статьёй 14.3 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ).³⁴

С апреля 2024 года (и с последующими изменениями в 2025 году) размеры штрафов за такие нарушения значительно увеличились, что отражает ужесточение государственного контроля в этой сфере.

Размеры штрафов за нарушение законодательства о рекламе (ст. 14.3 КоАП РФ):

Субъект нарушения	До 17 апреля 2024 года (руб.)	С апреля 2024 года / 2025 года (руб.)	Источник
Физические лица	2 000 – 2 500	10 000 – 20 000	³⁴
ИП и руководители	4 000 – 20 000	20 000 – 100 000	³⁴
Юридические лица	100 000 – 500 000	300 000 – 1 000 000	³⁴
Кредитные и микрофинансовые организации	—	600 000 – 1 600 000	⁶⁸

Ответственность за нарушение несёт рекламораспространитель ⁶⁸, то есть то юридическое или физическое лицо (включая ИП), которое непосредственно осуществляет рассылку.

Важно отметить, что Федеральная антимонопольная служба (ФАС) активно контролирует соблюдение этих норм. Проверки могут проводиться как по жалобам клиентов, так и в ходе выборочного контроля.³⁴ Если ФАС выявит нарушение, она может выдать предписание о прекращении незаконной рассылки и наложить штраф.⁷³

Таким образом, риски, связанные с отправкой рекламных рассылок без согласия, значительно возросли. Это вынуждает компании и индивидуальных предпринимателей пересмотреть свои маркетинговые стратегии и обеспечить строгое соблюдение требований Закона “О рекламе” для предотвращения крупных финансовых потерь.

7.5. Судебная практика ФАС России и арбитражных судов по рекламным рассылкам на email ИП

Федеральная антимонопольная служба (ФАС России) является основным надзорным органом, контролирующим соблюдение законодательства о рекламе. ФАС активно применяет меры административной ответственности за рекламные рассылки, осуществляемые без предварительного согласия получателей.³⁴ Судебная практика, формирующаяся на основе решений ФАС и арбитражных судов, демонстрирует последовательную позицию в отношении незаконных рассылок.

Основные выводы из судебной практики:

Обязательность согласия: Суды подтверждают, что отправка рекламных материалов на электронную почту или посредством SMS без предварительного согласия на обработку персональных данных является нарушением.³⁷ При этом, согласие на обработку персональных данных (по ФЗ-152) не является согласием на получение рекламы (по ФЗ-38).³⁷ Это два разных вида согласия, которые должны быть получены отдельно.
Признание рекламой персонифицированных сообщений: Суды признают рекламными сообщения, даже если они содержат имя адресата или другую персонифицированную информацию, если их целью является продвижение товаров, работ или услуг.³⁷ Например, Арбитражный суд г. Москвы оштрафовал компанию за отправку клиенту SMS рекламного характера, несмотря на то, что сообщение содержало персонифицированную информацию (сведения о поступлении процентов на банковский вклад). Суд указал, что реклама не обязательно должна быть направлена неопределённому кругу лиц, и информация, передаваемая по сетям электросвязи, всегда предполагает индивидуализированного абонента-получателя.³⁷
Ответственность ИП: Индивидуальные предприниматели также привлекаются к ответственности за нарушения. Например, за обработку персональных данных без письменного согласия клиента ИП может быть оштрафован на 40 000 рублей.³⁷
Штрафы за отсутствие согласия на рекламу: Судебные решения подтверждают наложение штрафов по ч. 1 ст. 14.3 КоАП РФ за отправку рекламных сообщений без согласия. Размеры штрафов, как было показано в разделе 7.4, значительно возросли с апреля 2024 года, достигая до 1 миллиона рублей для юридических лиц и до 100 000 рублей для ИП и руководителей.⁷²
Ответственность третьих лиц: Судебная практика показывает, что к ответственности может быть привлечено и третье лицо, которое осуществляло техническую рассылку рекламы по договору, если оно не убедилось в наличии согласия.³⁷

Последовательная правоприменительная практика против спама со стороны ФАС и арбитражных судов демонстрирует, что законодательство в этой области активно применяется. Это формирует чёткий сигнал для всех участников рынка: отсутствие предварительного и явного согласия на получение рекламных рассылок является серьёзным нарушением, влекущим значительные финансовые и репутационные риски. Бизнесу, включая ИП, необходимо не только получать согласие на обработку персональных данных, но и отдельное, явное согласие на получение рекламных сообщений, причём формулировка такого согласия должна быть максимально прозрачной и недвусмысленной.³⁴

Заключение

Исследование Федерального закона № 152-ФЗ “О персональных данных” и сопутствующего законодательства, включая Федеральный закон “О рекламе” № 38-ФЗ, выявляет сложную и динамично развивающуюся правовую среду в Российской Федерации. Основные выводы и рекомендации для операторов персональных данных, включая индивидуальных предпринимателей, могут быть сформулированы следующим образом:

Широкое толкование персональных данных: Российское законодательство придерживается широкого определения персональных данных, включая информацию, которая позволяет идентифицировать физическое лицо как прямо, так и косвенно. Это означает, что даже набор, казалось бы, неидентифицирующих сведений (например, возраст, пол, город) может стать персональными данными при их совокупном анализе. Операторам необходимо учитывать этот аспект при сборе и обработке данных, а также при применении методов обезличивания и псевдонимизации, чтобы избежать непреднамеренной реидентификации.
Категориальный подход к защите: Закон выделяет общие, специальные, биометрические данные и данные, разрешённые для распространения, устанавливая для каждой категории различные требования к обработке и защите. Особое внимание следует уделять специальным и биометрическим данным, для которых требуется письменное согласие и усиленные меры безопасности. Переход от “общедоступных” данных к “данным, разрешённым для распространения”, подчёркивает усиление контроля субъекта над публичностью его информации и требует получения отдельного, явного согласия на распространение.
Двойной статус ИП и его последствия: Индивидуальные предприниматели, будучи физическими лицами, полностью подпадают под действие Закона № 152-ФЗ в отношении своих персональных данных. Это означает, что ФИО, паспортные данные, адрес регистрации ИП являются персональными данными. Несмотря на публичность некоторых бизнес-данных ИП (ИНН, ОГРНИП, бизнес-адрес) из ЕГРИП, это не даёт автоматического права на их использование для любых целей, особенно для рекламных рассылок. ИП, обрабатывающие данные клиентов с использованием средств автоматизации, являются операторами персональных данных и обязаны уведомлять Роскомнадзор и соблюдать все требования Закона № 152-ФЗ.
Строгие требования к согласию: Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Это исключает подразумеваемое согласие и требует активного волеиз

Источники

Незаконная рассылка рекламы. Как отсудить деньги за навязчивые звонки и сообщения – Интеллект-право, дата последнего обращения: июня 5, 2025, https://intellekt-pravo.ru/poleznaya-informaciya/nezakonnaya-rassilka-reklamy/

Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных”, дата последнего обращения: июня 5, 2025, https://gisinfo.ru/newspages-Laws_news-240-0

Федеральный закон от 27.07.2006 г. № 152-ФЗ – Президент России, дата последнего обращения: июня 5, 2025, http://www.kremlin.ru/acts/bank/24154/page/2

Какие бывают виды персональных данных по 152 Закону, дата последнего обращения: июня 5, 2025, https://www.kdelo.ru/art/383871-qqq-16-m11-vidy-personalnyh-dannyh

Штрафы за нарушения в работе с персональными данными с 30 мая 2025 года: утечка в интернет и неуведомление РКН – БУХ.1С, дата последнего обращения: июня 5, 2025, https://buh.ru/articles/shtrafy-za-personalnye-dannye-s-30-maya-2025-goda-utechka-v-internet-neuvedomlenie-rkn-o-nachale-obr.html

Штрафы за нарушение закона о персональных данных сотрудников в 2025 году, дата последнего обращения: июня 5, 2025, https://kontur.ru/kedo/spravka/53645-shtrafy_za_narushenie_zakona_o_pd

Закон о персональных данных: выжимка из самого важного – Самозанятые.рф, дата последнего обращения: июня 5, 2025, https://xn--80aapgyievp4gwb.xn--p1ai/blog/zakon-o-personalnyh-dannyh-vyzhimka-iz-samogo-vazhnogo

Персональные данные: ответы на популярные вопросы – Адвокатская газета, дата последнего обращения: июня 5, 2025, https://www.advgazeta.ru/ag-expert/advices/personalnye-dannye-otvety-na-populyarnye-voprosy/

Закон о персональных данных: приводим сайт в порядок – Мойбизнес.рф, дата последнего обращения: июня 5, 2025, https://xn--90aifddrld7a.xn--p1ai/knowledge/zakon-o-personalnykh-dannykh-privodim-sayt-v-poryadok/

Что такое персональные данные, их хранение и обработка – FirstVDS, дата последнего обращения: июня 5, 2025, https://firstvds.ru/blog/chto-takoe-personalnye-dannye

Виды персональных данных – SearchInform, дата последнего обращения: июня 5, 2025, https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/vidy-personalnyh-dannyh/

Категории персональных данных – специальные ПДн и иные …, дата последнего обращения: июня 5, 2025, https://data-sec.ru/personal-data/categories/

Регистрация ИП в Роскомнадзоре и подготовка документов по ФЗ-152 – РосКом Онлайн, дата последнего обращения: июня 5, 2025, https://roskom.online/registraciya_ip_v_roskomnadzore/

Субъект персональных данных – Википедия, дата последнего обращения: июня 5, 2025, https://ru.wikipedia.org/wiki/Субъект_персональных_данных

152-ФЗ О персональных данных Ст. 14. Право субъекта персональных данных на доступ к его персональным данным – Законы, кодексы и нормативно-правовые акты Российской федерации, дата последнего обращения: июня 5, 2025, https://legalacts.ru/doc/152_FZ-o-personalnyh-dannyh/glava-3/statja-14/

Оператор персональных данных – кто является оператором ПДн по ФЗ 152, дата последнего обращения: июня 5, 2025, https://data-sec.ru/personal-data/operator/

Оператор персональных данных – Википедия, дата последнего обращения: июня 5, 2025, https://ru.wikipedia.org/wiki/Оператор_персональных_данных

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 06.02.2023) “О персональных дан, дата последнего обращения: июня 5, 2025, https://ba.hse.ru/mirror/pubs/share/840078865.pdf

Как уведомить Роскомнадзор об обработке персональных данных: ответ эксперта, дата последнего обращения: июня 5, 2025, https://www.kontur-extern.ru/info/25487-kto_i_kogda_dolzhen_uvedomit_roskomnadzor_ob_obrabotke_personalnyx_dannyx

Как уведомить Роскомнадзор об обработке персональных данных: пошаговая инструкция для ИТ-компаний и стартапов – Habr, дата последнего обращения: июня 5, 2025, https://habr.com/ru/articles/914414/

Статья 18. Обязанности оператора при сборе персональных данных \ КонсультантПлюс, дата последнего обращения: июня 5, 2025, https://www.consultant.ru/document/cons_doc_LAW_61801/cbf4e15b7c330f9372e876cdf2bc928bad7950ef/

Что представляет собой Федеральный закон «О персональных данных» N 152-ФЗ и какая ответственность за его нарушения – RTM Group, дата последнего обращения: июня 5, 2025, https://rtmtech.ru/articles/152-fz-otvetstvennost/

Персональные данные участника судебного разбирательства обрабатываются без его согласия | Новости: ГАРАНТ.РУ, дата последнего обращения: июня 5, 2025, https://www.garant.ru/news/1579442/

Согласие на обработку персданных: образцы в 2025 году (Роскомнадзор) – Упрощенка, дата последнего обращения: июня 5, 2025, https://www.26-2.ru/art/356930-soglasie-obrabotku-persdannyh-obraztsy-v-2024

Обезличивание персональных данных: цели, методы, схема – Selectel, дата последнего обращения: июня 5, 2025, https://selectel.ru/blog/personal-data-anonymization/

Зачем нужно обезличивание персональных данных, дата последнего обращения: июня 5, 2025, https://delo-press.ru/journals/staff/deloproizvodstvo-v-kadrovoy-sluzhbe/48514-kogda-mozhet-ponadobitsya-obezlichivanie-personalnykh-dannykh/

Документы по персональным данным необходимые в 2025 году – Legal Box, дата последнего обращения: июня 5, 2025, https://legal-box.ru/152fz-docs

Что относится к персональным данным? Являются ли государственный регистрационный знак и адрес владельца персональными данными? | Гражданское право – ГАРАНТ, дата последнего обращения: июня 5, 2025, https://www.garant.ru/consult/civil_law/1622422/

Персональные данные индивидуального предпринимателя …, дата последнего обращения: июня 5, 2025, https://www.consultant.ru/law/podborki/personalnye_dannye_individualnogo_predprinimatelya/

Письмо Федеральной налоговой службы от 9 сентября 2019 г. № ПА-4-6/18073@ “О рассмотрении обращения” | Документы ленты ПРАЙМ – ГАРАНТ, дата последнего обращения: июня 5, 2025, https://www.garant.ru/products/ipo/prime/doc/72620264/

На каком основании ФНС публикует персональные данные ИП и руководства фирм, дата последнего обращения: июня 5, 2025, https://www.audit-it.ru/news/account/996148.html

Как уведомить РКН об обработке персональных данных в 2025 году и не получить штраф – Е-Офис 24, дата последнего обращения: июня 5, 2025, https://e-office24.ru/news/kak-uvedomit-rkn-ob-obrabotke-personalnykh-dannykh/

Персональные данные: новые штрафы с 30 мая 2025 года – КонсультантПлюс, дата последнего обращения: июня 5, 2025, https://www.consultant.ru/legalnews/28492/

Судебная практика по спорам о защите персональных данных – ППТ.РУ, дата последнего обращения: июня 5, 2025, https://ppt.ru/news/138028

Как не получить штраф за Email-рассылку в 2025 году – Retail Rocket, дата последнего обращения: июня 5, 2025, https://retailrocket.ru/blog/tolko-po-soglasiju-kak-otpravljat-klientam-reklamnye-rassylki-i-ne-poluchit-shtraf/

Статья 18. Реклама, распространяемая по сетям электросвязи …, дата последнего обращения: июня 5, 2025, https://www.consultant.ru/document/cons_doc_LAW_58968/f892dec1383709792452f18d36e7043306e2be0a/

Статья 18. Реклама, распространяемая по сетям электросвязи – Кодексы и Законы РФ, дата последнего обращения: июня 5, 2025, https://www.zakonrf.info/zoreklame/18/

Клиент жалуется на рекламную рассылку – предприниматель платит, дата последнего обращения: июня 5, 2025, https://www.advgazeta.ru/ag-expert/advices/klient-zhaluetsya-na-reklamnuyu-rassylku-predprinimatel-platit/

Согласие на обработку персональных данных в 2024 году – Контур.Экстерн, дата последнего обращения: июня 5, 2025, https://www.kontur-extern.ru/info/25593-oformit_soglasie_na_obrabotku_personalnyx_dannyx

Организации, ИП и самозанятые обязаны подавать уведомление в Роскомнадзор как операторы персональных данных (ПДн)? – dhprime | Дмитрий Хатин, дата последнего обращения: июня 5, 2025, https://dhprime.ru/blog/personalnyy-dannye/organizatsii-ip-i-samozanyatye-obyazany-podavat-uvedomlenie-v-roskomnadzor-kak-operatory-personalnykh/

Рекламные рассылки по закону: правила и ответственность – SMS Traffic, дата последнего обращения: июня 5, 2025, https://www.smstraffic.ru/o-nas/articles/reklamnyie-rassyilki-po-zakonu-pravila-i-otvetstvennost

Как получить согласие клиентов на рассылку – Mindbox, дата последнего обращения: июня 5, 2025, https://mindbox.ru/journal/education/soglasiya-klientov-na-rassylku/

Уведомление в Роскомнадзор об обработке персональных данных в 2025 году, дата последнего обращения: июня 5, 2025, https://e-kontur.ru/enquiry/2409/uvedomlenie-v-roskomnadzor-ob-obrabotke-personalnyh-dannyh

Как выбрать технические меры защиты персональных данных – Блог компании Cortel, дата последнего обращения: июня 5, 2025, https://blog.cortel.cloud/2024/09/12/kak-vybrat-tehnicheskie-mery-zashhity-personalnyh-dannyh/

Технические меры защиты персональных данных: основные требования и решения – 1С-Гэндальф, дата последнего обращения: июня 5, 2025, https://gendalf.ru/news/zpdn/zashchita-pdn-kak-perestat-boyatsya-za-s/

Приказ ФСТЭК России от 18.02.2013 N 21(ред. от 14.05.2020)”Об утверждении Состав – itglobal, дата последнего обращения: июня 5, 2025, https://itglobal.com/wp-content/uploads/2023/01/fstek_21.pdf

21 приказ ФСТЭК России: какие нормы, аспекты защиты ПДн устанавливает? – Солар, дата последнего обращения: июня 5, 2025, https://rt-solar.ru/products/solar_dozor/blog/3108/

Отличия 17 и 21 приказов ФСТЭК – Блог компании Cortel, дата последнего обращения: июня 5, 2025, https://blog.cortel.cloud/2024/03/01/otlichiya-17-i-21-prikazov-fstek/

ДОКУМЕНТЫ ФСБ РОССИИ – Защита информации, дата последнего обращения: июня 5, 2025, https://it-security.admin-smolensk.ru/zakonodatelstvo/normativnye-dokumenty-fsb-rossii/

Требования ФСБ по защите информации – SearchInform, дата последнего обращения: июня 5, 2025, https://searchinform.ru/services/outsource-ib/zaschita-informatsii/razrabotka-trebovanij-po-ib/trebovaniya-fsb-po-zaschite-informatsii/

Приказ ФСБ России от 10.07.2014 N 378 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности” – Документы системы ГАРАНТ, дата последнего обращения: июня 5, 2025, https://base.garant.ru/70727118/

Приказ № 378 – Регуляторный хаб знаний в области информационной безопасности, дата последнего обращения: июня 5, 2025, https://regulhub.kaspersky.ru/decrees/prikaz-378

псевдонимизация: защита идентификаторов в анонимизации данных – FasterCapital, дата последнего обращения: июня 5, 2025, https://fastercapital.com/ru/content/Псевдонимизация–защита-идентификаторов-в-анонимизации-данных.html

Анонимизация данных: как анонимизировать ваши данные и соблюдать правила конфиденциальности данных – FasterCapital, дата последнего обращения: июня 5, 2025, https://fastercapital.com/ru/content/Анонимизация-данных–как-анонимизировать-ваши-данные-и-соблюдать-правила-конфиденциальности-данных.html

Data anonymization in Python – MOSTLY AI, дата последнего обращения: июня 5, 2025, https://mostly.ai/blog/data-anonymization-in-python

Шифрование данных в Python без херни – (не)Уникальный опыт, дата последнего обращения: июня 5, 2025, https://fi5t.xyz/posts/python-eats-tink/

Как работать с шифрованием и безопасностью в Python – Skypro, дата последнего обращения: июня 5, 2025, https://sky.pro/media/kak-rabotat-s-shifrovaniem-i-bezopasnostyu-v-python/

Штрафы за персональные данные в 2025 году – Центр безопасности данных, дата последнего обращения: июня 5, 2025, https://data-sec.ru/personal-data/fines/

КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных \ КонсультантПлюс, дата последнего обращения: июня 5, 2025, https://www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/

Ответственность за нарушение закона о персональных данных – ГАРАНТ, дата последнего обращения: июня 5, 2025, https://www.garant.ru/actual/persona/otvetstvennost/

Бизнес и персональные данные: когда подавать уведомление в Роскомнадзор и какие грозят штрафы – Справочная, дата последнего обращения: июня 5, 2025, https://allo.tochka.com/personal-data-152-fz

УК РФ Статья 137. Нарушение неприкосновенности частной жизни – КонсультантПлюс, дата последнего обращения: июня 5, 2025, https://www.consultant.ru/document/cons_doc_LAW_10699/4234a27af714cc608ea71b7bae9400f3613c8f60/

УК РФ Статья 272.1. Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее… \ КонсультантПлюс, дата последнего обращения: июня 5, 2025, https://www.consultant.ru/document/cons_doc_LAW_10699/deefead19003ba8266e85fbf42fc31f60ed3c698/

Обработка ПДн в России: судебная практика – RTM Group, дата последнего обращения: июня 5, 2025, https://rtmtech.ru/research/obrabotka-pdn-v-rossii/

Как работать с персональными данными: чек-лист – СберБизнес Live, дата последнего обращения: июня 5, 2025, https://sberbusiness.live/publications/kak-sobirat-personalnye-dannye-chtoby-ne-prishiol-roskomnadzor

Предоставление персональных данных в суд – КонсультантПлюс, дата последнего обращения: июня 5, 2025, https://www.consultant.ru/law/podborki/predostavlenie_personalnyh_dannyh_v_sud/

Штраф в 1 млн за спам компания получит, даже если есть согласие клиента. Как защититься, дата последнего обращения: июня 5, 2025, https://e.law.ru/1096075

Штрафы за спам-звонки – Время бухгалтера, дата последнего обращения: июня 5, 2025, https://www.v2b.ru/articles/shtrafy-za-spam-zvonki/

Штрафы за спам-звонки и рассылку в 2025: как легально делать …, дата последнего обращения: июня 5, 2025, https://secrets.tbank.ru/trendy/spam-zvonki/

Чем опасна отправка рассылки без согласия получателя – Skillbox, дата последнего обращения: июня 5, 2025, https://skillbox.ru/media/marketing/chem-opasna-otpravka-rassylki-bez-soglasiya-poluchatelya/

Маркировка рекламы в интернете: последние разъяснения – ГАРАНТ, дата последнего обращения: июня 5, 2025, https://www.garant.ru/article/1660666/

КоАП РФ Статья 14.3. Нарушение законодательства о рекламе \ КонсультантПлюс, дата последнего обращения: июня 5, 2025, https://www.consultant.ru/document/cons_doc_LAW_34661/2d50fc1c4013ea9ab20b8b2666c1650b1dc4c982/

Увеличились штрафы за рекламу: как отправлять транзакционные рассылки, не нарушая закон – Mindbox, дата последнего обращения: июня 5, 2025, https://mindbox.ru/journal/education/zakon-o-reklamnyh-rassylkah/

Закон о рекламе: как звонить, отправлять email и SMS без спама / Skillbox Media, дата последнего обращения: июня 5, 2025, https://skillbox.ru/media/marketing/zakon-o-reklame-dlya-marketologov/