Что такое обработка персональных данных: определение и принципы
Слово «обработка» вводит в заблуждение: кажется, что это что-то технически сложное. На самом деле по 152-ФЗ обработкой является любое действие с персональными данными — сбор контактов через форму на сайте, хранение в таблице Excel, передача данных в CRM. Если вы делаете хотя бы одно из одиннадцати действий, перечисленных в законе, — вы обрабатываете персональные данные.
Определение обработки по статье 3 152-ФЗ
Статья 3 Федерального закона № 152-ФЗ даёт следующее определение:
«Обработка персональных данных — действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.»
Закон перечисляет 11 конкретных операций. При этом прямо указывает: неважно, используются ли средства автоматизации (компьютер, база данных) или нет (бумажный журнал). Запись в блокнот — тоже обработка.
Одиннадцать операций = обработка
Достаточно выполнять хотя бы одну операцию из списка, чтобы считаться оператором ПДн. Если вы просто храните таблицу с именами и телефонами клиентов — вы уже обрабатываете персональные данные и обязаны соблюдать 152-ФЗ.
Кто такой оператор персональных данных
Оператор — центральная фигура в системе 152-ФЗ. Это тот, кто самостоятельно или совместно с другими лицами организует и осуществляет обработку ПДн, а также определяет цели и способы обработки.
Оператором может быть:
- Индивидуальный предприниматель, принимающий заявки от клиентов
- Самозанятый, ведущий базу контактов
- ООО с интернет-магазином
- Физическое лицо, если оно ведёт деятельность с ПДн (например, репетитор, ведущий запись учеников)
Именно оператор несёт ответственность за соблюдение 152-ФЗ: публикует политику конфиденциальности, получает согласия, уведомляет РКН и принимает меры защиты данных.
Принципы обработки персональных данных (статья 5)
Закон устанавливает семь принципов, которым должна соответствовать любая обработка ПДн:
| Принцип | Что означает на практике |
|---|---|
| Законность и справедливость | Есть правовое основание: согласие, договор, закон |
| Целевое ограничение | Данные собираются для конкретных, заранее определённых целей |
| Минимизация | Только те данные, что необходимы для цели |
| Точность | Данные актуальны и обновляются при необходимости |
| Ограничение хранения | Данные не хранятся дольше, чем нужно для цели |
| Целостность и конфиденциальность | Применяются технические и организационные меры защиты |
| Подотчётность | Оператор может доказать соответствие всем принципам |
Когда нужно согласие субъекта
Согласие субъекта — основное, но не единственное правовое основание обработки. Статья 6 152-ФЗ допускает обработку без согласия в следующих случаях:
- Исполнение договора, стороной которого является субъект
- Осуществление полномочий государственных органов
- Осуществление правосудия
- Выполнение обязанности, предусмотренной законом (например, ведение бухгалтерии)
- Защита жизни или здоровья субъекта при невозможности получить согласие
- Журналистская деятельность в общественных интересах
Для коммерческих целей — маркетинга, email-рассылок, аналитики поведения пользователей, ремаркетинга — согласие субъекта обязательно. С 1 сентября 2025 года (ФЗ-156) согласие на обработку cookie должно быть отдельным документом.
Поручение обработки третьим лицам
Оператор вправе поручить обработку ПДн другому лицу — на основании договора или государственного задания. Типичные примеры: CRM-система, email-сервис для рассылок, облачное хранилище.
При этом важно понимать: ответственность остаётся у оператора. Если ваш подрядчик допустит утечку — претензии предъявят именно вам. Поэтому договор с обработчиком должен включать обязательства по защите данных и уведомлению об инцидентах.
Если вы передаёте данные клиентов в любой сервис — CRM, аналитику, колл-центр — убедитесь, что в договоре с ним есть раздел об обработке ПДн. Без него вы нарушаете требования статьи 6 152-ФЗ.
Документы оператора ПДн за 10 минут
Политика конфиденциальности, согласие на обработку ПДн и уведомление в РКН — в редактируемом формате с вашими реквизитами.
Оформить документы — от 590 ₽Часто задаваемые вопросы
Любое действие с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Полный список — статья 3 152-ФЗ. Неважно, автоматизирована обработка или нет: бумажный журнал — тоже обработка.
Оператор — тот, кто самостоятельно определяет цели и осуществляет обработку ПДн. Это может быть ИП, ООО, самозанятый, физическое лицо. Если вы собираете имена и контакты клиентов для своей деятельности — вы оператор.
Хранение — одна из операций обработки. Для него нужно правовое основание: согласие субъекта или иное законное основание из статьи 6 152-ФЗ (исполнение договора, соблюдение закона и т.д.). Хранение данных без основания — нарушение, даже если данные никуда не передаются.
Да, по общему правилу — до начала обработки. Есть исключения: обработка только данных сотрудников в рамках трудовых отношений, разовая передача данных без создания базы и ряд других. Подать уведомление можно через pd.rkn.gov.ru. Privadoc включает готовый документ уведомления в оба тарифа.
Не дольше, чем необходимо для достижения целей обработки. После выполнения цели или отзыва согласия данные должны быть уничтожены или обезличены в течение 30 дней. Исключения — данные, которые по закону нужно хранить определённый срок (бухгалтерские документы, кадровые дела и т.д.).