ФЗ-152 «О персональных данных» — ключевые нормы и санкции

Полное название: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Принят: Государственной Думой 8 июля 2006 года

Одобрен: Советом Федерации 14 июля 2006 года

Подписан: Президентом РФ 27 июля 2006 года

Действующая редакция: учитывает изменения, последние из которых внесены ФЗ от 24.06.2025 № 156-ФЗ

Что регулирует закон

152-ФЗ — это закон, который определяет правила работы с персональными данными граждан. Простыми словами: он отвечает на вопрос «что компания имеет право делать с информацией о человеке, а что — нет». Закон распространяется на всех, кто собирает и обрабатывает данные людей: государственные органы, банки, страховые, МФО, брокеров, интернет-магазины, работодателей, медицинские центры — и даже на иностранные компании, если они работают с данными граждан РФ. Не регулируются только обработка данных для личных и семейных нужд, архивное дело и сведения, отнесённые к государственной тайне.

Цель закона — защитить право человека на частную жизнь, дать ему контроль над своими данными и обязать организации (операторов) обращаться с этими данными ответственно: собирать только необходимое, хранить безопасно, передавать только с согласия и удалять после достижения цели.

Для финансового сектора закон особенно важен, поскольку любой банк, МФО, страховая компания или брокер автоматически становится оператором персональных данных и обязан выстраивать всю работу с клиентом в соответствии с его требованиями.

Ключевые понятия

Персональные данные (ПДн) — любая информация о человеке, по которой его можно прямо или косвенно опознать: ФИО, паспорт, ИНН, адрес, телефон, номер счёта, фотография, биометрия и т. д.

Субъект персональных данных — сам человек, к которому относятся данные. То есть клиент банка, заёмщик МФО, страхователь, инвестор.

Оператор — государственный орган, компания или физическое лицо, которое организует обработку данных и определяет её цели. Банк, выдающий кредит, — оператор. Страховая, оформляющая полис, — оператор.

Обработка персональных данных — любые действия с данными: сбор, запись, хранение, изменение, передача, использование, удаление, обезличивание.

Согласие на обработку — добровольное разрешение человека на использование его данных. Должно быть конкретным, осознанным и однозначным.

Биометрические данные — сведения о физиологических особенностях человека (отпечатки пальцев, рисунок вен, голос, изображение лица), по которым можно установить личность.

Специальные категории данных — особо чувствительные сведения о расе, национальности, политических взглядах, религии, здоровье и интимной жизни. Их обработка по умолчанию запрещена.

Трансграничная передача — передача данных в другую страну, иностранной компании или иностранному лицу.

Информационная система персональных данных (ИСПДн) — база данных вместе с технологиями и оборудованием, обеспечивающими её работу. Любая CRM, банковский АБС или скоринговая система — это ИСПДн.

Принципы обработки данных (ст. 5)

Закон требует, чтобы любая обработка данных подчинялась шести правилам:

  1. Законность — у обработки должно быть правовое основание.

  2. Конкретность целей — данные собираются под заранее определённую задачу, а не «на всякий случай».

  3. Соответствие цели — нельзя использовать данные не по назначению.

  4. Минимальная достаточность — данных должно быть ровно столько, сколько нужно для цели; избыточный сбор запрещён.

  5. Точность и актуальность — данные нужно поддерживать в актуальном состоянии.

  6. Ограниченность по времени — данные хранятся не дольше, чем нужно, а затем уничтожаются или обезличиваются.

На практике это означает, что банк не имеет права запрашивать у клиента, открывающего вклад, сведения о его здоровье или политических взглядах — это не нужно для цели договора.

Основания для обработки данных (ст. 6)

Обрабатывать данные можно только при наличии одного из законных оснований. Главное и самое распространённое — согласие клиента. Но закон допускает обработку и без согласия в ряде случаев, важных для финансовых организаций:

  • Исполнение договора, где клиент является стороной (кредитный договор, договор вклада, брокерский договор, страховой полис).

  • Выполнение обязанностей, возложенных на оператора законом — например, идентификация клиента по 115-ФЗ (противодействие отмыванию доходов) или передача сведений в бюро кредитных историй.

  • Защита прав и интересов оператора или третьих лиц, включая взыскание просроченной задолженности по 230-ФЗ.

  • Исполнение судебного акта.

  • Защита жизни и здоровья субъекта, когда получить согласие невозможно.

Если клиент отзывает согласие, но обработка ведётся по одному из перечисленных оснований (например, по действующему кредитному договору), банк вправе её продолжить.

Согласие субъекта (ст. 9 и 10)

Согласие — это юридически значимое действие. Закон требует, чтобы оно было:

  • Конкретным — под определённую цель, а не «на всё подряд».

  • Предметным — с указанием, какие именно данные обрабатываются.

  • Информированным — клиент понимает, на что соглашается.

  • Сознательным и однозначным — без двусмысленности.

Молчание или бездействие согласием не считается — нельзя считать «согласным» того, кто просто не нажал «отмена». Заранее проставленные галочки в формах юридически уязвимы.

Письменное согласие требуется в особых случаях: при обработке специальных категорий, биометрии, при принятии исключительно автоматизированных решений с юридическими последствиями. В письменном согласии указываются ФИО клиента, паспортные данные, наименование оператора, цель обработки, перечень данных и действий с ними, срок действия и способ отзыва.

Клиент в любой момент может отозвать согласие — обработка должна быть прекращена в течение 30 дней, если нет другого законного основания продолжать.

Отдельный режим — для данных, разрешённых для распространения (например, размещаемых на публичных страницах сайтов): здесь требуется отдельное согласие, в котором клиент сам устанавливает запреты и условия дальнейшей передачи.

Особо чувствительные данные (ст. 10 и 11)

Специальные категории — раса, национальность, политические взгляды, религия, здоровье, интимная жизнь — обрабатывать запрещено, за редкими исключениями (письменное согласие, страховое и медицинское законодательство, госзащита и т. д.). Для банков это означает, что собирать данные о состоянии здоровья клиента можно только при заключении договора страхования жизни и здоровья, но не при выдаче обычного потребкредита.

Биометрические данные обрабатываются только с письменного согласия. Важное правило для банков: оператор не вправе отказать в обслуживании при отказе клиента предоставить биометрию, если получение согласия не является обязательным по закону. То есть нельзя ставить условием открытия счёта обязательную сдачу биометрии в ЕБС.

Хранение данных в России (ст. 18, часть 5)

Одно из самых строгих требований закона — локализация персональных данных. При сборе данных граждан РФ, в том числе через интернет, запись, систематизация, накопление, хранение, уточнение (обновление, измене) и извлечение данных должны проводиться с использованием баз данных, находящихся на территории России.

Это означает, что финансовая организация не может хранить клиентские базы в зарубежных облаках (AWS, Google Cloud, Azure за пределами РФ) для первичного сбора и хранения. Допустимо использовать иностранные сервисы только для вторичных целей и при соблюдении ряда условий. Нарушение этого требования — основание для блокировки сервиса в России.

Исключения: исполнение международного договора РФ, осуществление правосудия, предоставление госуслуг, журналистская деятельность.

Передача данных за рубеж (ст. 12)

С 2022 года правила трансграничной передачи существенно ужесточены. До начала передачи данных за рубеж оператор обязан:

  1. Направить в Роскомнадзор отдельное уведомление о намерении осуществлять трансграничную передачу (помимо общего уведомления об обработке).

  2. Получить от иностранного получателя информацию о мерах защиты данных и правовом режиме в его стране.

  3. Самостоятельно оценить адекватность защиты на стороне получателя.

В уведомлении указываются категории данных, перечень стран, правовое основание, цели передачи. Роскомнадзор ведёт перечень государств, обеспечивающих адекватную защиту прав субъектов, и вправе запретить или ограничить передачу в целях защиты конституционного строя, обороны, экономических и финансовых интересов РФ.

В страны, не входящие в перечень и не являющиеся сторонами Конвенции Совета Европы, передача без подтверждённой оценки фактически невозможна.

Уведомление об обработке и реестр операторов (ст. 22)

До начала обработки оператор обязан уведомить Роскомнадзор о своём намерении и быть включённым в публичный реестр операторов персональных данных. В уведомлении указываются:

  • Наименование и адрес оператора.

  • Цели обработки.

  • Категории данных и категории субъектов.

  • Правовое основание.

  • Перечень действий и способы обработки.

  • Меры защиты, включая шифровальные средства.

  • ФИО ответственного за обработку, его контакты.

  • Дата начала обработки и срок (условие) её прекращения.

  • Сведения о трансграничной передаче.

  • Место нахождения базы данных с данными граждан РФ.

При любом изменении этих сведений оператор обязан уведомить Роскомнадзор не позднее 15-го числа следующего месяца. О прекращении обработки — в течение 10 рабочих дней.

Финансовые организации почти всегда обязаны быть в реестре — освобождения для них не предусмотрено.

Меры безопасности (ст. 18 и 19)

Оператор обязан принять комплекс мер защиты, в том числе:

  • Назначить ответственного за организацию обработки ПДн (для юридического лица — обязательно).

  • Издать и опубликовать политику обработки ПДн в открытом доступе, в том числе на сайте.

  • Применять правовые, организационные и технические меры защиты в соответствии с уровнями защищённости, установленными Правительством РФ (Постановление №1119).

  • Использовать сертифицированные средства защиты информации (требования ФСТЭК и ФСБ России).

  • Вести учёт носителей с данными, контролировать доступ, регистрировать действия с данными.

  • Проводить внутренний аудит соответствия.

  • Обеспечить взаимодействие с ГосСОПКА (государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак).

  • Уничтожать данные сертифицированными средствами с функцией гарантированного уничтожения.

Уведомление об утечках (ст. 21, часть 3)

С 2022 года при утечке персональных данных установлены жёсткие сроки реагирования:

  • В течение 24 часов оператор обязан уведомить Роскомнадзор об инциденте, его предполагаемых причинах, предполагаемом вреде и принятых мерах, а также сообщить контактное лицо для связи.

  • В течение 72 часов — направить результаты внутреннего расследования и сведения о лицах, чьи действия привели к утечке (при наличии).

Информация о компьютерных инцидентах также передаётся в ФСБ России через систему ГосСОПКА. Для банков и финтеха это особенно актуально: клиентские базы — частая мишень хакерских атак, а нарушение сроков уведомления ведёт к существенным штрафам.

Права клиента (глава 3)

Любой субъект персональных данных вправе:

  • Получить информацию об обработке его данных (какие данные есть, кому передаются, на каком основании, как защищаются) — оператор обязан ответить в течение 10 рабочих дней с возможностью продления на 5 рабочих дней.

  • Требовать уточнения данных, если они неполные, неточные или устаревшие.

  • Требовать блокирования или уничтожения данных, полученных незаконно или не нужных для заявленной цели.

  • Отозвать согласие в любое время.

  • Возразить против автоматизированных решений (см. ниже).

  • Обжаловать действия оператора в Роскомнадзор или суд.

  • Требовать возмещения убытков и компенсации морального вреда, причём моральный вред компенсируется независимо от имущественного.

Автоматизированные решения (ст. 16)

Закон запрещает принимать исключительно автоматизированные решения, порождающие юридические последствия для человека или иным образом затрагивающие его права, без письменного согласия или прямого указания закона. Это напрямую касается банковского скоринга и автоматического андеррайтинга в МФО: если кредитное решение принимается алгоритмом без участия человека, банк обязан:

  • Получить письменное согласие клиента.

  • Разъяснить порядок принятия решения и возможные последствия.

  • Предоставить возможность возразить против решения.

  • Рассмотреть возражение в течение 30 дней.

Надзор и ответственность (глава 5)

Контроль за соблюдением закона осуществляет Роскомнадзор. Он ведёт реестр операторов и реестр инцидентов, рассматривает жалобы граждан, проводит проверки, вправе ограничивать доступ к информации, обрабатываемой с нарушениями, и обращаться в суд.

Ответственность за нарушения распределена по нескольким кодексам:

  • Административная — по КоАП РФ (ст. 13.11). С 2025 года введены значительно повышенные штрафы за утечки, включая оборотные при повторных нарушениях (до нескольких процентов годовой выручки).

  • Уголовная — по УК РФ (ст. 137 «Нарушение неприкосновенности частной жизни», ст. 272 «Неправомерный доступ к компьютерной информации»).

  • Гражданская — возмещение убытков и компенсация морального вреда независимо друг от друга.

Значение закона

152-ФЗ — это юридический фундамент, на котором строится всё взаимодействие финансовой организации с клиентом в части его данных. Без соблюдения этого закона невозможно легально работать на российском финансовом рынке: банк не получит лицензию ЦБ, МФО не пройдёт проверку, страховая не сможет заключать договоры, финтех-стартап получит блокировку Роскомнадзора и оборотные штрафы.

С точки зрения клиента закон даёт мощный инструмент защиты: право знать, кто и зачем использует его данные, право требовать их исправления и удаления, право не быть отвергнутым в кредите по решению алгоритма без возможности возразить, право на компенсацию при утечке.

С точки зрения финансовой организации соблюдение закона — это постоянный процесс, включающий минимум семь обязательных компонентов:

  1. Юридически корректное согласие — формулировки, доказательства получения, механизм отзыва.

  2. Регистрация в реестре операторов и поддержание сведений в актуальном состоянии, при необходимости — уведомление о трансграничной передаче.

  3. Хранение баз с данными граждан РФ на территории России — без использования зарубежных облаков для первичного сбора.

  4. Опубликованная политика обработки ПДн на сайте и во всех точках сбора данных.

  5. Технический уровень защиты ИСПДн, соответствующий требованиям ФСТЭК и ФСБ.

  6. Регламент реагирования на утечки с возможностью уложиться в сроки 24/72 часа.

  7. Прозрачные процедуры автоматизированных решений (скоринг, антифрод), позволяющие клиенту получить разъяснение и возразить.

ЕвроКредит.руФинансовый словарь152-ФЗ