Обработке персональных данных уделяется особое внимание в условиях цифровизации бизнеса и государственных услуг. В законодательство вносят поправки, регуляторы ужесточают ответственность за нарушения хранения и обработки ПДн Основным документом, регулирующим этот вопрос, является Федеральный закон №152-ФЗ «О персональных данных». Разберемся, что это за закон, кто обязан его соблюдать и как избежать нарушений, работая в облаке 152-ФЗ.
Содержание закона
Федеральный закон №152-ФЗ «О персональных данных» регулирует отношения, связанные с обработкой и мерами, направленными на обеспечение безопасности персональных данных граждан РФ при их обработке. Он вступил в силу 27 июля 2006 года, и с тех пор в него неоднократно вносили изменения.
Закон определяет ключевые термины, такие как «персональные данные», «оператор», «обработка данных», и устанавливает права граждан на защиту своей личной информации.
Персональными данными закон признает любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу. Это могут быть паспортные данные, номер телефона, адрес проживания, место работы, сведения о здоровье и даже данные геолокации.
Основные принципы обработки ПДн:
— Обработка ПДн должна осуществляться на законной и справедливой основе.
— Обработка ПДн только с согласия субъекта (за некоторыми исключениями).
— Обеспечение конфиденциальности и безопасности данных.
— Запрет на использование ПДн в целях, не указанных при сборе.
Кого касается 152-ФЗ?
Практически любой бизнес или деятельность, связанная с хранением личной информации, оказывается под воздействием 152-ФЗ. Даже если у вас небольшой онлайн-магазин, для отправки заказов вы все равно собираете данные клиентов — имя, номер телефона, адрес доставки — а значит, обязаны правильно хранить и обрабатывать эти данные. Исключение — если данные обрабатываются для личных или семейных нужд без коммерческой выгоды.
Под 152-ФЗ попадают:
- Организации и индивидуальные предприниматели. Это коммерческие компании, государственные учреждения, медицинские организации, образовательные учреждения и любые другие юридические лица, которые собирают и используют персональные данные граждан.
- Физические лица. Например, если мастер ведет базу клиентов, фиксируя их контактные данные, он также подпадает под действие закона.
- Иностранные компании. По 152-ФЗ необходимо, чтобы хостинг был на серверах, расположенных на территории России. Это касается даже иностранных онлайн-сервисов (например, крупных социальных сетей или маркетплейсов), если их пользователями являются граждане РФ.
Как соответствовать 152-ФЗ?
Обязанности оператора в части применения мер по обеспечению безопасности ПДн при их обработке указаны в ст. 18.1 и ст. 19, Федерального закона №152-ФЗ «О персональных данных», а именно:
- назначить ответственного за организацию обработки ПДн;
- издать документы, определяющие политику в отношении обработки ПДн и другие локальные документы, необходимые для выполнения требований по защите ПДн;
- определить угрозы безопасности ПДн при их обработке в ИСПДн;
- внедрить организационные и технические меры по обеспечению безопасности ПДн.
Какие требования к инфраструктуре?
Для защиты данных закон предъявляет требования к ИТ-инфраструктуре, где происходит обработка ПДн. Под 152-ФЗ попадают и ЦОДы (центры обработки данных), и компании на аутсорсе, которым клиент передает данные на обработку ПДн — например, облачные провайдеры или SaaS-сервисы.
При аренде вычислительных ресурсов облака, соответствующего 152-ФЗ, вы должны убедиться, что провайдер в полной степени выполняет требования законодательства. До момента обработки ПДн вы можете запросить информацию, которая подтверждает, что приняты необходимые меры по обеспечению безопасности ПДн при их обработке, в соответствии с нормативными правовыми актами в области защиты ПДн.
Потом вам понадобится заключить поручение на обработку ПДн. В поручении должны быть определены:
- перечень ПДн,
- перечень действий с ПДн,
- обязанность провайдера обеспечивать безопасность ПДн при их обработке исходя из модели предоставления облачных услуг.
Где купить облако 152-ФЗ для обработки ПДн?
Облачные провайдеры и интеграторы облачных решений предлагают различные хостинги 152-ФЗ. Выбирайте решения исходя из нужного уровня защиты информации.
Облако 152-ФЗ от OXYGEN создано специально для работы с персональными данными которые обрабатываются в государственных (муниципальных) информационных системах и других ИСПДн. Облако OXYGEN имеет аттестат соответствия требованиям защиты информации по максимальному классу защиты и уровню защищенности К1 / УЗ1.
Подробнее об аренде облака 152-ФЗ от OXYGEN
Какая ответственность за нарушения 152-ФЗ?
Нарушение требований Федерального Закона № 152-ФЗ может привести к серьезным последствиям, как финансовым, так и репутационным. Ответственность за несоблюдение закона растет с каждым годом, а надзор становится все более жестким. Основной регулирующий орган — Роскомнадзор, который проводит плановые и внеплановые проверки. Организации, допустившие утечку или неправомерную обработку данных, в 2025 году несут ответственность в следующих формах:
- Штрафы. Согласно новым поправкам, которые вступают в силу с 20 мая 2025 года, утечка данных может повлечь штраф до 15 млн рублей.
- Блокировка сайта. Онлайн-ресурсы, нарушившие закон, могут быть заблокированы Роскомнадзором до устранения нарушений.
- Уголовная ответственность. В ряде случае может наступить уголовная ответственность. Предусмотрено от 4 до 10 лет лишения свободы в зависимости от степени тяжести. Если в составе преступления есть данные несовершеннолетних, срок лишения свободы может достигать 5 лет.
- Исковая ответственность. Граждане могут подать иск о компенсации морального ущерба или убытков, вызванных неправомерной обработкой их данных.
152-ФЗ обязывает компании защищать персональные данные клиентов и сотрудников. Чтобы избежать штрафов, важно:
✔ Получать согласие на обработку ПДн.
✔ Обеспечить безопасное хранение данных, например в защищенном облаке 152-ФЗ.
✔ Своевременно уведомлять Роскомнадзор.
Хотите купить облако 152-ФЗ? Оставьте заявку в OXYGEN.
Бесплатный чек-лист на соответствие №152-ФЗ
Проверьте, насколько ваша компания соответствует требованиям закона о персональных данных!
