152-ФЗ простыми словами: какие данные защищаются, кто такой оператор и что грозит за нарушения

Федеральный закон № 152 «О персональных данных» — один из ключевых нормативных актов, регулирующих цифровую жизнь бизнеса и граждан. Многие предприниматели считают его сложным и абстрактным, но на деле его требования касаются почти каждой компании. Давайте разберем его основы на понятном языке.

Что считается персональными данными

Если просто, то это любая информация, которая позволяет прямо или косвенно идентифицировать конкретного человека.

Например:

• Очевидное: ФИО, дата рождения, паспортные данные, ИНН, СНИЛС, телефон, домашний адрес.
• Биометрическое: отпечатки пальцев, фотография (в некоторых контекстах), образцы голоса, генетическая информация.
• Частная и профессиональная жизнь: семейное положение, образование, место работы, должность, доходы.
• Цифровые идентификаторы: IP-адрес, cookie-файлы, данные геолокации с телефона — если по ним можно установить личность.

Если у вас есть просто телефон +7XXXXXXXXX без привязки к ФИО — это не персональные данные. Но если в вашей таблице есть столбцы «ФИО» и «Телефон» — это уже полноценная база, попадающая под действие закона.

Кто такой «оператор» и что он должен делать

Оператор — это тот, кто определяет цели и способы обработки персональных данных. В 95% случаев это вы — компания или индивидуальный предприниматель.

Вы становитесь оператором, если:

• Собираете контакты клиентов через форму на сайте.
• Заключаете трудовой договор с сотрудником.
• Ведете базу клиентов для рассылок или доставки.
• Требуете паспорт для оформления заказа или договора.

Главные обязанности оператора:

• Собирать данные легально. Чаще всего — получать письменное согласие человека (в бумажном или электронном виде с подтверждением).
• Обеспечивать безопасность данных. Защищать их от утечек и несанкционированного доступа. Меры зависят от рисков: от простого пароля на компьютере до сложных шифрований.
• Использовать данные только для заявленных целей. Нельзя собрать данные для доставки, а потом начать спамить рекламой без нового согласия.
• Уважать права субъекта персональных данных. По запросу человека вы обязаны рассказать, какие данные о нем храните, исправить неточности или даже удалить их.

А что такое «обработка»? Это любое действие с полученной информацией: сбор, запись, хранение, использование, передача, удаление. Фактически, как только вы получили и куда-то записали ФИО клиента — вы начали обработку.

Что грозит за нарушения? Штрафы и последствия

Роскомнадзор строго следит за исполнением закона. Штрафы по статье 13.11 КоАП РФ серьезны и постоянно растут.

Также грозит:

• Приостановка деятельности компании (до 90 суток).
• Конфискация незаконно полученных данных.
• Гражданские иски от людей, чьи права нарушены.
• Репутационный ущерб. Утечка данных клиентов может разрушить доверие к бренду.
• Уголовная ответственность (по ст. 137 УК РФ) за незаконное распространение сведений о частной жизни — вплоть до лишения свободы (в крайних случаях).

Чек-лист: 5 первых шагов для малого бизнеса

Если вы понимаете, что попадаете под действие закона, начните с этого:

• Определите, какие персональные данные и для чего вы обрабатываете.
• Назначьте ответственного за обработку информации внутри компании (приказом).
• Разработайте и опубликуйте на сайте «Политику обработки персональных данных». Это основной документ.
• Начните получать согласия. Для сайта — это галочка с ссылкой на Политику (Я согласен на обработку…). Для сотрудников — согласие часто включено в трудовой договор.
• Обеспечьте базовую безопасность: пароли на компьютерах, антивирусы, регламент работы с клиентскими данными.

Защита персональных данных по 152-ФЗ — не пустая формальность, а свод правил цифровой гигиены для бизнеса. Его основа — уважение к частной жизни клиентов и сотрудников. Начать соблюдать закон не так сложно, как кажется, а игнорирование — рискованно и дорого. Лучшая стратегия — поэтапно внедрять необходимые меры, начиная с самых базовых.

Алекс Ш. (МЛ)