Обработка и хранение персональных данных

В 2025 году тема защиты и обработки персональных данных (ПД) стала одной из ключевых для бизнеса в России. Любая компания, которая собирает и хранит данные о клиентах, сотрудниках или партнерах, сталкивается с растущими требованиями законодательства и усиленным контролем со стороны Роскомнадзора. Ошибки в организации хранения ПД или нарушении требований 152-ФЗ могут не только повлечь за собой штрафы, но и нанести серьезные удары по репутации.

Чтобы минимизировать риски, важно понимать что считается персональными данными, как их можно собирать и хранить, какие цели преследует обработка ПД, а также какие обязанности возлагаются на оператора персональных данных.

Персональные данные  — это информация, которая помогает идентифицировать конкретного человека. Это не только очевидные сведения, например фамилия, имя и отчество, но и такие данные, как IP-адрес, электронная почта или фотография в профиле.

В Федеральном законе № 152-ФЗ сказано, что персональными данными являются любые сведения, относящиеся к конкретному субъекту ПД, вне зависимости от формы хранения. Это может быть бумажный документ, запись в электронных базах или данные на электронных носителях.

Особенности персональных данных

• Даже минимальный набор сведений (например, номер телефона или адрес электронной почты) считается ПД.
• Если сведения позволяют идентифицировать конкретного человека, они автоматически подпадают под действие закона о персональных данных.
• Обработка ПД всегда должна быть обоснованной и соразмерной заявленным целям.

Перечень информации, которая считается персональными данными, включает в себя много аспектов. Роскомнадзор относит к персональным данным следующую информацию:

• ФИО;
• дата и место рождения;
• адрес регистрации и проживания;
• паспортные данные;
• ИНН, СНИЛС и другие идентификаторы;
• номера телефонов и электронные адреса;
• сведения о зарплате и трудовом стаже;
• информация о близких родственниках.

Даже если пользователь оставил на сайте только электронную почту для рассылки, это уже подпадает под действие закона о ПД.

Отдельное место занимают биометрические данные: фото, голос, отпечатки пальцев, видеоизображения. Такие данные считаются высокочувствительными и требуют дополнительных мер защиты.

Все персональные данные можно разделить на четыре категории согласно 152-ФЗ:

Общие персональные данные

Это самая распространенная категория. К ней относятся стандартные сведения: ФИО, паспортные данные, контактные телефоны, адрес проживания, сведения о месте работы. Эти данные необходимы работодателям, банкам, интернет-магазинам и другим компаниям, которые заключают договорные отношения с клиентами или сотрудниками.

Специальные категории данных

Сюда входят более чувствительные сведения: данные о здоровье, национальности, религиозных и политических убеждениях. Закон разрешает их обработку только в исключительных случаях и, как правило, при наличии письменного согласия субъекта ПД. Например, медицинские учреждения должны работать с такими данными своих пациентов, но обязаны соблюдать строгие требования к их хранению и доступу.

Биометрические данные

К этой категории относятся фотографии, видеозаписи, отпечатки пальцев, образцы голоса, данные о геолокации и другие сведения, которые идентифицируют человека по физиологическим признакам. Их обработка допускается только при наличии письменного согласия субъекта. В 2025 году требования к хранению биометрических данных стали еще строже. Роскомнадзор требует от операторов использовать только сертифицированное отечественное ПО и средства защиты информации.

Иные данные

К этой категории относят IP-адреса, cookie-файлы, информацию о поведении пользователя на сайте и данные о местоположении устройств. Несмотря на то, что эти данные кажутся техническими, закон также относит их к персональным данным, если они помогают связать сведения с конкретным человеком.

Обработка ПД — это любой процесс работы с информацией, который позволяет идентифицировать человека.

Даже если компания только хранит, но не использует данные, это тоже считается обработкой.

Способы обработки

1. Автоматизированная обработка с использованием различных ИТ-систем, например, CRM-система интернет-магазина.
2. Неавтоматизированная обработка — ручная работа с бумажными документами.
3. Смешанная обработка — комбинация бумажного и электронного документооборота.

_{*Даже временное хранение данных на сервере, например при передаче информации подрядчику, относится к обработке и регулируется 152-ФЗ.}

По закону, обработка ПД возможна только под целевые нужды. Собирать данные про запас или без указанной причины запрещено.

Основные цели обработки

• выполнение договорных обязательств перед клиентами, сотрудниками и партнерами;
• кадровый учет и оформление трудовых отношений;
• ведение бухгалтерской и налоговой отчетности;
• предоставление государственных и муниципальных услуг;
• маркетинговые рассылки и рекламные предложения (только при наличии согласия пользователя);
• обеспечение информационной безопасности и контроля доступа.

Каждый оператор обязан фиксировать цели обработки персональных данных в специальных актах и корпоративной политике.

Оператором признается компания, организация или ИП, которые определяют цели и способы обработки ПД. Оператор несет ответственность за правильность работы с данными.

Кто может быть оператором

• работодатель, хранящий сведения о сотрудниках;
• интернет-магазин, собирающий контакты покупателей;
• банк, обрабатывающий данные клиентов;
• медицинский центр, который ведет учет пациентов;
• даже сайт, где пользователи оставляют электронные адреса для подписки на рассылку.

Обязанности оператора

Согласно 152-ФЗ, операторы обязаны:

• уведомить Роскомнадзор о начале работы с ПД и включить себя в реестр операторов ПД;
• назначить сотрудников, которые будут контролировать процессы обработки и хранения;
• вести учет операций с персональными данными;
• применять меры по защите информации: от шифрования и резервного копирования до разграничения доступа;
• своевременно уничтожать или обезличивать данные после достижения целей обработки.

Субъект ПД — это человек, чьи данные обрабатываются. Закон подчеркивает, что при работе с персональными данными интересы и права субъекта всегда должны стоять на первом месте.

Каждый человек имеет право:

• знать, кто обрабатывает его персональные данные и с какой целью;
• требовать уточнения или удаления недостоверной информации;
• отозвать согласие на обработку в любой момент;
• обжаловать нарушения в Роскомнадзоре или в суде.

Если пользователь подписался на рассылку, а затем передумал, то он может потребовать удалить свой e-mail из базы. Компания обязана выполнить этот запрос.

Кто должен соблюдать закон об обработке персональных данных

Некоторые организации до сих пор считают, что закон о ПД касается только enterprise-компаний. На деле требования 152-ФЗ обязательны для всех, кто работает с персональными данными:

• работодатели (в кадровых документах всегда содержатся персональные данные сотрудников);
• интернет-магазины и онлайн-сервисы (собирают адреса, телефоны, данные банковских карт);
• медицинские учреждения (обрабатывают специальные категории ПД, включая сведения о здоровье);
• банки и страховые компании (хранят массивы финансовых и биометрических данных);
• государственные структуры (обеспечивают учет населения и предоставление госуслуг).

Сегодня практически любой сайт в той или иной степени работает с ПД. Для пользователя важно понимать, когда его данные обрабатываются, а бизнес должен честно информировать об этом.

Признаки обработки ПД на сайте:

• наличие форм регистрации, обратной связи или заявки;
• функции «оставить комментарий» или «подписаться на рассылку»;
• использование cookies и систем аналитики, которые фиксируют IP-адреса и поведение пользователей;
• запрос контактных данных при оформлении заказа или регистрации в личном кабинете.

Согласно 152-ФЗ и приказам Роскомнадзора, сайт обязан размещать политику обработки персональных данных и форму согласия пользователя. Если на ресурсе этого нет, это прямое нарушение требований закона.

Любая компания должна организовать работу с ПД так, чтобы исключить нарушение закона. Это не только выполнение требований регулятора, но и шаг к построению доверительных отношений с клиентами.

Базовые принципы 

• Законность. Обработка возможна только с согласия субъекта или при наличии иных законных оснований.
• Конкретность целей. Сбор «на всякий случай» не допускается, цели фиксируются в документах.
• Минимизация. Обрабатываются только необходимые данные, избыточность исключается.
• Защита. Технические и организационные меры безопасности обязательны: шифрование, контроль доступа, регулярный аудит.
• Сроки хранения. По достижении цели данные подлежат уничтожению или обезличиванию.

Нарушение требований 152-ФЗ может повлечь за собой штрафы, а в некоторых случаях приостановку деятельности.

Любая обработка ПД возможна только при согласии субъекта. Исключение — случаи, предусмотренные законом (например, кадровый учет работников или выполнение договора).

Формы согласия

• Письменное — бумажный документ или электронная подпись. Применяется при работе со специальными категориями ПД и биометрией.
• Электронное — галочка в форме на сайте, подтверждение через SMS или электронную почту. Такое согласие применяется в интернет-магазинах и онлайн-сервисах.

Обязательные элементы согласия

Согласие должно включать:

• конкретный перечень обрабатываемых сведений;
• цели обработки;
• сроки хранения данных;
• информацию об операторе;
• права субъекта на отзыв согласия.

_{*Согласие не может быть «скрытым» на сайте, должно быть понятно, кто собирает данные, зачем и как они будут храниться.}

Федеральный закон № 152-ФЗ «О персональных данных» определяет базовые обязанности операторов:

• уведомить Роскомнадзор о начале работы с ПД и внести себя в реестр операторов;
• обрабатывать данные только в соответствии с заявленными целями;
• применять меры защиты: шифрование, разграничение прав доступа, системы мониторинга;
• назначить ответственных сотрудников;
• обеспечивать уничтожение ПД или их обезличивание по окончании сроков хранения.

С 30 мая 2025 года вступили в силу поправки в Федеральный закон № 152-ФЗ «О персональных данных». Если у организации есть сайт с формой обратной связи, аналитикой, CRM или база клиентов, она автоматически становится оператором персональных данных и обязана соблюдать требования закона.

Локализация данных

Все персональные данные российских пользователей теперь должны храниться и обрабатываться исключительно в России. Использование зарубежных сервисов Google Analytics, Meta Pixel, Hotjar и других — запрещено. Компании обязаны переходить на отечественные или сертифицированные решения с размещением инфраструктуры в РФ.

Если передача данных за границу критически необходима, требуется специальное разрешение Роскомнадзора и внесение в реестр трансграничных передач. Заявку можно подать онлайн.

Что нужно сделать бизнесу

Чтобы соответствовать новым правилам, организациям необходимо:

• обновить локальные акты и положение об обработке ПД;
• вести журнал обращений граждан и хранить его не менее трех лет;
• создать регламент действий на случай утечки данных;
• уведомить Роскомнадзор по обновленной форме;
• назначить сотрудника, ответственного за работу с персональными данными;
• оформить отдельные согласия с клиентами и сотрудниками (включая фрилансеров);
• реализовать на сайтах гибкую настройку cookie и добавить политику конфиденциальности.

Обработка и хранение персональных данных — стратегическая задача для любого бизнеса. В условиях цифровизации и усиления контроля со стороны Роскомнадзора требования становятся жестче, а последствия — серьезнее.