Закон 152-ФЗ о персональных данных: что это и как работает в 2026 году
Как только ваш сотрудник заполнил анкету при приеме на работу, клиент оставил заявку на сайте или покупатель ввел телефон при оформлении заказа, вы уже становитесь оператором персональных данных. И с этого момента 152-ФЗ обязателен для вас так же, как и Трудовой кодекс или налоговое законодательство.
Закон распространяется на любой бизнес в России: от крупных корпораций до ИП с двумя клиентами. Штрафы с 30 мая 2025 года выросли в разы и составляют до 20 млн рублей за утечку биометрии и до 15 млн за утечку медицинских данных. С декабря 2024 добавилась уголовная ответственность по ст. 272.1 УК РФ. Роскомнадзор давно не ограничивается предупреждениями.
В этой статье разберем, как устроен 152-ФЗ простым языком: что он регулирует, кого касается и как избежать штрафов — в том числе тех, о которых большинство предпринимателей даже не догадывается.
Содержание
Что такое 152-ФЗ и зачем он нужен?
Федеральный закон № 152-ФЗ — базовый российский закон о персональных данных. Он устанавливает правила сбора, хранения, использования и защиты любой информации о людях.
Закон принят 27 июля 2006 года. Целью закона являтся защита конституционного права каждого гражданина на неприкосновенность частной жизни. За время действия он пережил более 30 поправок: последние крупные изменения внесли ФЗ № 266-ФЗ (2022), ФЗ № 420-ФЗ (в силе с 30 мая 2025) и ФЗ № 156-ФЗ (от июня 2025).
Кого охватывает закон? Всех: государственные органы, юридические лица, ИП и физических лиц, если они обрабатывают ПДн других людей. При этом не важно, делают они это на компьютере или вручную: бумажная картотека сотрудников тоже попадает под действие закона.
Что считается персональными данными по 152-ФЗ?
Персональные данные (ПДн) — это любая информация, по которой можно прямо или косвенно установить личность конкретного человека. Определение намеренно широкое. Под него попадает не только паспорт, но и множество других данных, в том числе — имя в связке с номером телефона, адрес электронной почты или IP-адрес устройства.
Закон разделяет персональные данные на три категории, для каждой из которых установлены свои правила обработки.
| Категория | Что включает | Требования к обработке |
| Общие ПДн | ФИО, дата рождения, адрес, телефон, email, место работы, фото | Одно из 12 оснований по ст. 6, в т.ч. согласие субъекта |
| Специальные категории (ст. 10) | Состояние здоровья, диагнозы, религия, национальность, политические взгляды | Только письменное согласие или прямые исключения ст. 10; утечка — штраф до 15 млн руб. |
| Биометрические ПДн | Отпечатки пальцев, голос, сетчатка, изображение для автоматической идентификации | Только письменное согласие; хранение — через ЕБС; утечка — штраф до 20 млн руб |
Частый вопрос: является ли фото персональными данными? Да, если по нему можно идентифицировать конкретного человека. Фото сотрудника в разделе «Наша команда» — это ПДн, и для публикации нужно отдельное согласие. Размытый силуэт или стоковое фото к ПДн не относится.
Кто является оператором персональных данных?
Оператором ПДн является любое ИП, юридическое или физическое лицо, которое самостоятельно или совместно с другими организует и осуществляет обработку персональных данных (ст. 3 152-ФЗ).
Если у вашего бизнеса есть хотя бы одно из перечисленного, то вы — оператор ПДн, и 152-ФЗ обязателен к соблюдению для вас:
- форма обратной связи, запись или чат на сайте
- сотрудники, трудовые договоры, личные дела
- клиентская база в CRM, таблице или мессенджере
- email- или SMS-рассылки
- подключенные сервисы аналитики
- программа лояльности
- видеонаблюдение с распознаванием лиц
Важно развеять один из главных мифов. Большинство предпринимателей считают, что 152-ФЗ относится только к интернет-магазинам и галочкам на сайте. На практике Роскомнадзор чаще штрафует за нарушения именно в HR-отделах. Среди типичных случаев:
- Копии паспортов хранятся в бумажных папках без ограничения доступа.
- Данные сотрудников передаются в банк для зарплатного проекта без отдельного согласия.
- Анкеты кандидатов хранятся годами без правового основания и без уведомления о том, что данные будут обрабатываться.
Сведения о больничных листах становятся известны коллегам по «внутренней рассылке».
На каких основаниях можно обрабатывать персональные данные?
Положение ст. 6 152-ФЗ предусматривает 12 законных оснований для обработки ПДн. Согласие является лишь одним из них.
Распространенная ошибка — ставить галочку согласия там, где она не нужна, или, напротив, не получать согласие там, где оно обязательно. Оба случая могут быть квалифицированы как нарушение с одинаковыми последствиями. Для каждой цели обработки должно быть установлено конкретное основание.
| Основание (ст. 6 152-ФЗ) | Пример для бизнеса | Нужно согласие? |
| Согласие субъекта (п. 1 ч. 1 ст. 6) | Рекламная рассылка, публикация фото сотрудника на сайте, маркетинговая
аналитика |
Да, отдельный
документ или чекбокс |
| Исполнение договора с субъектом (п. 5) | Обработка заказа, доставка, оплата, оформление трудового договора | Нет |
| Исполнение договора с субъектом (п. 5) | Видеонаблюдение в офисе, защита IT-инфраструктуры | Нет, но нужно обоснование |
| Требования
законодательства (п. 2) |
Налоговая отчетность, бухгалтерия, отчетность в ПФР | Нет |
| Жизненно важные интересы субъекта (п.
6) |
Передача ПДн скорой
помощи при угрозе жизни |
Нет |
| Статистика и научные исследования (п. 8) | Аналитика с обезличенными
данными, исследования рынка |
Нет, при соблюдении
условий обезличивания |
Отсутствие основания или несоответствие реальной цели заявленному основанию расценивается как нарушение ч. 1 ст. 13.11 КоАП и наказывается штрафом до 300 000 рублей для юридического лица. Все указанные основания для каждой цели должны быть отражены в политике конфиденциальности и внутренних документах оператора.
Кто следит за соблюдением 152-ФЗ?
Главным уполномоченным регулятором является Роскомнадзор. Но в зависимости от характера нарушения к ответственности оператора ПДн может привлечь ФАС, ФСТЭК или ФСБ.
| Регулятор | Зона ответственности | Что проверяет |
| Роскомнадзор | Соблюдение 152-ФЗ в целом | Политика
конфиденциальности, согласия, уведомления, утечки, локализация баз данных |
| ФСТЭК | Обеспечение технической защиты персональных данных | Уровни защищенности, технические меры,
соответствие требованиям приказов ФСТЭК |
| ФСБ | Криптографическая защита | Применение сертифицированных
средств шифрования при передаче данных |
| Минцифры | Государственные
информационные системы |
Соответствие ГИС
требованиям безопасности |
| ФАС | Рекламные коммуникации | Рассылки без согласия по 38-ФЗ; штраф 300 000–1 000 000 руб. (ст. 14.3 ч. 4.1 КоАП) за каждый факт рассылки |
Как работают проверки РКН. Плановые проверки проводятся по утвержденному графику. Но большинство проверок — внеплановые, по жалобам или в результате обнаружения нарушений во время интернет-мониторинга сайта оператора. Написать жалобу может любой: недовольный клиент, которому отправили рассылку без согласия, уволенный сотрудник, конкурент или его законный представитель.
Автоматизированный мониторинг. С 2022 года РКН осуществляет постоянный контроль и ведет автоматическое сканирование сайтов на наличие политики конфиденциальности, корректных форм согласия и чекбоксов. Сайт попадает в внутренний реестр нарушителей РКН без предупреждения.
Уведомление в РКН — отдельная обязанность. Оператор обязан уведомить Роскомнадзор о начале обработки ПДн до начала этой обработки (ст. 22 152-ФЗ). Если вы запустили сайт с формой или приняли первого сотрудника, то уже нужно подавать уведомление. Штраф за его отсутствие составляет от 100 000 до 300 000 рублей для юридических лиц.
Какие штрафы грозят за нарушение 152-ФЗ в 2026 году?
С 30 мая 2025 года штрафы выросли кратно. За утечку биометрических данных сумма составит до 20 млн рублей, а за повторную утечку предусмотрен оборотный штраф: от 1 до 3% годовой выручки, но не менее 20 млн рублей.
Ответственность установлена ст. 13.11 КоАП РФ (поправки ФЗ № 420-ФЗ, в силе с 30 мая 2025). С декабря 2024 года добавилась уголовная ответственность — ст. 272.1 УК РФ (ФЗ № 421-ФЗ). Следует учитывать, что штрафы суммируются и на каждое нарушение выносится отдельное постановление.
| Нарушение | Норма КоАП | Штраф для ЮЛ |
| Неправомерная обработка ПДн (нарушение условий) | ч. 1 ст. 13.11 | 150 000–300 000 руб. |
| Обработка без обязательного письменного согласия | ч. 2 ст. 13.11 | 300 000–700 000 руб. |
| Повторное нарушение ч. 2 | ч. 2.1 ст. 13.11 | 1 000 000–1 500 000 руб. |
| Отсутствие политики конфиденциальности на сайте | ч. 3 ст. 13.11 | 30 000–60 000 руб. |
| Непредоставление субъекту персональных данных доступа к его ПДн | ч. 4 ст. 13.11 | 40 000–80 000 руб. |
| Нарушение требований локализации данных | ч. 8 ст. 13.11 | 1 000 000–6 000 000 руб. |
| Неуведомление РКН о начале обработки | ч. 10 ст. 13.11 | 100 000–300 000 руб. |
| Неуведомление РКН об утечке (нарушение сроков) | ч. 11 ст. 13.11 | 1 000 000–3 000 000 руб. |
| Утечка ПДн (до 10 000 субъектов) | ч. 12 ст. 13.11 | 3 000 000–5 000 000 руб. |
| Утечка ПДн (свыше 100 000 субъектов) | ч. 14 ст. 13.11 | 10 000 000–15 000 000 руб. |
| Повторная утечка ПДн (оборотный штраф) | ч. 15 ст. 13.11 | от 1 до 3% годовой выручки, не менее 20 000 000 руб. |
| Утечка специальных категорий ПДн (здоровье и др.) | ч. 16 ст. 13.11 | 10 000 000–15 000 000 руб. |
| Утечка биометрических ПДн | ч. 17 ст. 13.11 | 15 000 000–20 000 000 руб. |
Уголовная ответственность (с декабря 2024). По ч. 1 ст. 272.1 УК РФ незаконный сбор, хранение или распространение обычных персональных данных наказываются штрафом до 300 000 рублей или лишением свободы на срок до 4 лет. Если те же действия совершены в отношении данных несовершеннолетних, специальных категорий или биометрических ПДн (ч. 2), санкция строже: штраф до 700 000 рублей или лишение свободы на срок до 5 лет. Применяется при умысле и значительном масштабе нарушения.
Итог
Таким образом, федеральный закон 152-ФЗ распространяется на всех: и крупные корпорации, и ИП с парой клиентов. Один сотрудник с телефоном клиента без согласия, одна форма без чекбокса, одна неподанная заявка в РКН — и вы уже в зоне риска. Выстроить грамотную систему работы с персональными данными обходится гораздо дешевле, чем платить штрафы и разбираться с последствиями утечки.
Ответы на вопросы
-
На кого распространяется 152-ФЗ?
На всех, кто обрабатывает персональные данные граждан России: государственные органы, юридические лица, ИП и физических лиц. Исключений для малого бизнеса нет. Если у вас есть сотрудники, клиенты или форма на сайте, то закон касается вас напрямую.
-
Нужно ли согласие, чтобы обработать данные покупателя при оформлении заказа?
Нет. Если данные нужны исключительно для исполнения договора (доставка, оплата, связь по заказу), основанием служит п. 5 ч. 1 ст. 6 152-ФЗ — исполнение договора. Однако как только вы отправите покупателю рекламное письмо, потребуется отдельное согласие.
-
Что будет, если не подавать уведомление в Роскомнадзор?
Штраф по ч. 10 ст. 13.11 КоАП в размере от 100 000 до 300 000 рублей для юридических лиц, от 30 000 до 50 000 рублей для должностных лиц. Уведомление подается до начала обработки ПДн, то есть до запуска сайта или приема первого сотрудника.
-
Какие ПДн относятся к специальным категориям?
Сведения о состоянии здоровья, диагнозы, религиозные и политические убеждения, национальность, раса, а также данные о философских убеждениях. Обрабатывать их без письменного согласия запрещено. Исключения строго ограничены ст. 10 152-ФЗ. Утечка таких данных влечет наложение штрафа размером до 15 млн рублей.
-
Как долго можно хранить персональные данные?
Столько, сколько это необходимо для выполнения конкретной цели. Данные для рекламной рассылки хранятся до истечения срока согласия, а для доставки заказа — до истечения срока договора. После достижения цели данные нужно уничтожить и зафиксировать факт уничтожения документально.
-
Что делать, если произошла утечка ПДн?
Уведомить Роскомнадзор дважды: в течение 24 часов о факте утечки и в течение 72 часов о результатах расследования по факту утечки. Это требование ст. 21 152-ФЗ, введенное поправками 2022 года. Нарушение сроков наказывается штрафом на сумму от 1 до 3 млн рублей по ч. 11 ст. 13.11 КоАП.
-
Касается ли 152-ФЗ иностранных компаний?
Да. Если компания в рамках своей деятельности обрабатывает ПДн граждан РФ на основании договора с ними или с их согласия, российский закон распространяется и на нее. Базы данных граждан РФ должны физически находиться на серверах в России (ч. 5 ст. 18 152-ФЗ). За первичное нарушение требований локализации предусмотрен штраф до 6 млн рублей.
-
На кого распространяется 152-ФЗ?
На всех, кто обрабатывает персональные данные граждан России: государственные органы, юридические лица, ИП и физических лиц. Исключений для малого бизнеса нет. Если у вас есть сотрудники, клиенты или форма на сайте, то закон касается вас напрямую.
-
Нужно ли согласие, чтобы обработать данные покупателя при оформлении заказа?
Нет. Если данные нужны исключительно для исполнения договора (доставка, оплата, связь по заказу), основанием служит п. 5 ч. 1 ст. 6 152-ФЗ — исполнение договора. Однако как только вы отправите покупателю рекламное письмо, потребуется отдельное согласие.
-
Что будет, если не подавать уведомление в Роскомнадзор?
Штраф по ч. 10 ст. 13.11 КоАП в размере от 100 000 до 300 000 рублей для юридических лиц, от 30 000 до 50 000 рублей для должностных лиц. Уведомление подается до начала обработки ПДн, то есть до запуска сайта или приема первого сотрудника.
-
Какие ПДн относятся к специальным категориям?
Сведения о состоянии здоровья, диагнозы, религиозные и политические убеждения, национальность, раса, а также данные о философских убеждениях. Обрабатывать их без письменного согласия запрещено. Исключения строго ограничены ст. 10 152-ФЗ. Утечка таких данных влечет наложение штрафа размером до 15 млн рублей.
-
Как долго можно хранить персональные данные?
Столько, сколько это необходимо для выполнения конкретной цели. Данные для рекламной рассылки хранятся до истечения срока согласия, а для доставки заказа — до истечения срока договора. После достижения цели данные нужно уничтожить и зафиксировать факт уничтожения документально.
-
Что делать, если произошла утечка ПДн?
Уведомить Роскомнадзор дважды: в течение 24 часов о факте утечки и в течение 72 часов о результатах расследования по факту утечки. Это требование ст. 21 152-ФЗ, введенное поправками 2022 года. Нарушение сроков наказывается штрафом на сумму от 1 до 3 млн рублей по ч. 11 ст. 13.11 КоАП.
-
Касается ли 152-ФЗ иностранных компаний?
Да. Если компания в рамках своей деятельности обрабатывает ПДн граждан РФ на основании договора с ними или с их согласия, российский закон распространяется и на нее. Базы данных граждан РФ должны физически находиться на серверах в России (ч. 5 ст. 18 152-ФЗ). За первичное нарушение требований локализации предусмотрен штраф до 6 млн рублей.




Комментарии