Что такое 152-ФЗ простыми словами для бизнеса

152-ФЗ простыми словами: кто такой оператор персональных данных, зачем согласие, уведомление и локализация. Требования закона на примерах малого бизнеса.

Что такое 152-ФЗ простыми словами для бизнеса

152-ФЗ это федеральный закон «О персональных данных» от 27 июля 2006 года. Простыми словами он требует от бизнеса пяти вещей. Первое: понять, что Вы оператор, раз записываете имена, телефоны или адреса клиентов, и отвечаете за их обработку. Второе: получить согласие клиента или иметь другое законное основание, прежде чем данные собирать. Третье: по общему правилу уведомить Роскомнадзор о том, что Вы обрабатываете персональные данные. Четвёртое: хранить первичную базу с данными россиян на серверах в России и следить, куда данные уходят дальше. Пятое: защищать данные и удалять их, когда цель обработки достигнута. Размер бизнеса значения не имеет: закон одинаково относится к корпорации и к частному консультанту с таблицей клиентов. Ниже разбираем каждое требование на примерах малого бизнеса и сравниваем 152-ФЗ с европейским GDPR, чтобы тем, кто знаком с ним, было проще.

Какие данные закон считает персональными

Статья 3 закона определяет персональные данные широко: любая информация, которая относится к прямо или косвенно определённому или определяемому человеку. Под определение попадает не только паспорт. Имя и телефон клиента в заметках, почта вида имя.фамилия, адрес доставки, скриншот переписки, строка «Ольга, 34, работаем с тревогой» в таблице коуча: всё это персональные данные.

Слово «косвенно» здесь важно. Данные не перестают быть персональными от того, что Вы убрали фамилию. Если по совокупности деталей человека можно узнать (город, профессия, редкая ситуация), закон считает его определяемым.

Обработкой закон называет любое действие с такими данными: сбор, запись, систематизацию, хранение, уточнение, использование, передачу, удаление. Завели таблицу с контактами: уже обрабатываете. Отправили список клиентов подрядчику: передали. Никакой специальной «обработки» в техническом смысле не требуется.

Оператор персональных данных: роль, а не регистрация

Оператор по 152-ФЗ это тот, кто организует обработку и определяет её цели и состав. Отдельно «записываться в операторы» не нужно: статус возникает из факта работы с данными.

Три примера. Кондитер принимает заказы в мессенджере и сохраняет имена, адреса и даты доставки: оператор. Студия растяжки ведёт клиентов в CRM: оператор. Консультант хранит историю сессий в заметках: оператор, даже если работает один и без юрлица.

Смена инструмента ничего не отменяет. Данные клиентов в блокноте, в CRM и в чате с нейросетью подчиняются одному и тому же закону, и отвечает за них один и тот же человек: тот, кто их собрал. Сервис, куда Вы их внесли, становится звеном обработки, но не принимает на себя Ваш статус.

Что закон требует сделать: пять шагов

Дальше практика. Минимальный набор обязанностей оператора, изложенный по нормам закона. Это пересказ, а не юридическое заключение.

Шаг 1. Основание обработки, чаще всего согласие. Статья 6 перечисляет условия, при которых обработка законна: согласие, исполнение договора, требование закона и другие. Для малого бизнеса рабочих оснований обычно два: договор с клиентом и согласие. Согласие по статье 9 должно быть конкретным, предметным, информированным, сознательным и однозначным: человек понимает, кто, какие данные и зачем обрабатывает. С 1 сентября 2025 года согласие оформляется отдельным документом, а не галочкой внутри оферты.

Шаг 2. Уведомление Роскомнадзора. Статья 22 обязывает оператора уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки. Раньше у этой нормы был длинный список исключений, после поправок 2022 года он сильно сократился. Уведомление подаётся через портал Роскомнадзора; попадает ли Ваш случай в оставшиеся исключения, сверьте с актуальной редакцией статьи.

Шаг 3. Политика обработки. Статья 18.1 требует принять документ, описывающий политику оператора в отношении обработки персональных данных, и обеспечить к нему доступ. Для сайта это знакомая страница «Политика обработки персональных данных». Она нужна не для красоты, а как исполнение конкретной нормы.

Шаг 4. Локализация и передача за рубеж. База, в которой Вы собираете и храните данные россиян, должна находиться на территории России: это часть 5 статьи 18. Передача данных за границу возможна, но по правилам статьи 12: с марта 2023 года о трансграничной передаче нужно уведомить Роскомнадзор до её начала. Практический вопрос звучит просто: где физически стоит сервер каждого сервиса, в который Вы вносите данные клиентов.

Шаг 5. Защита и удаление. Статья 19 требует принимать меры против случайного или неправомерного доступа к данным, а статья 21 предписывает прекратить обработку и уничтожить данные, когда цель достигнута или согласие отозвано. Простой перевод: ограничьте круг доступа, не храните лишнего и умейте удалить данные по запросу клиента.

152-ФЗ и GDPR: знакомая аналогия

Тем, кто сталкивался с европейским регулированием, проще понять 152-ФЗ через сравнение. GDPR, General Data Protection Regulation, действует в ЕС с 25 мая 2018 года; его полный текст, 99 статей в 11 главах, удобно смотреть на справочнике gdpr-info.eu.

Совпадает главное. Оба закона защищают данные живых людей, а не компаний. Оба назначают ответственным того, кто определяет цели обработки: в GDPR эта роль называется controller, в 152-ФЗ оператор. Оба требуют законного основания: статья 6 GDPR перечисляет шесть оснований, от согласия до законного интереса, статья 6 российского закона построена похожим списком. Оба дают человеку права: узнать, что о нём обрабатывают, потребовать уточнения и удаления.

Отличий три, и они существенные. Первое: локализация. GDPR не требует хранить данные в конкретной стране, он регулирует условия передачи за пределы ЕС. 152-ФЗ требует, чтобы первичная база с данными россиян физически находилась в России. Второе: переносимость. Статья 20 GDPR закрепляет право получить свои данные в машиночитаемом формате и унести их к другому оператору; в российском законе прямого аналога нет. Третье: санкции. Текст GDPR сам задаёт верхнюю планку штрафов: до 20 миллионов евро или до 4 процентов мирового годового оборота, смотря что больше. В России административные штрафы вынесены в КоАП и регулярно меняются, поэтому конкретные суммы здесь не приводим: сверяйте действующую редакцию.

Если совсем коротко: GDPR строже к правам человека на свои данные, 152-ФЗ строже к географии их хранения.

Причём здесь ИИ-ассистенты

152-ФЗ писали задолго до чат-ботов, но именно с ними он теперь встречается чаще всего. Как только в диалог с нейросетью попадает имя клиента и обстоятельства его жизни, пять шагов выше перестают быть теорией. Появляются вопросы: где хранится эта переписка, есть ли у Вас основание её туда передавать, не уехали ли данные за рубеж.

Закон при этом не запрещает ИИ. Он требует знать ответы. У облачного сервиса ответы за Вас даёт провайдер, и его серверы чаще всего стоят не в России. В схеме, где ассистент и его база живут на Вашем сервере в РФ, география известна заранее: так устроена Хермес от intakto, память которой хранится на сервере клиента. Подробнее о том, как память хранится на Вашем сервере в РФ, на странице продукта.

Целиком картину владения данными, от политик провайдеров до self-hosted против облака, мы собрали в обзоре темы владения данными.

И напоминание, с которого начинается честный разговор о законе: этот текст пересказывает нормы 152-ФЗ простыми словами и не заменяет юридическую консультацию. Как закон применяется к Вашей конкретной ситуации, оценивает юрист.

частые вопросы
Кто считается оператором персональных данных?

Оператор это тот, кто организует обработку персональных данных и определяет её цели и состав: компания, ИП или частное лицо. Если Вы ведёте базу клиентов, принимаете заявки с сайта или храните переписку с покупателями, Вы оператор. Масштаб роли не играет: у закона нет нижнего порога по выручке или числу сотрудников. Статус возникает из самого факта работы с данными людей, а не из какой-либо регистрации.

Нужно ли уведомлять Роскомнадзор малому бизнесу?

По общему правилу да. Статья 22 закона требует уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки, и после поправок 2022 года исключений осталось немного. Уведомление подаётся через портал Роскомнадзора. Действует ли в Вашем случае одно из оставшихся исключений, лучше сверить с актуальной редакцией статьи или обсудить с юристом.

Чем 152-ФЗ отличается от GDPR?

Логика похожа: оба закона защищают данные людей и назначают ответственным того, кто их обрабатывает. Оператор в 152-ФЗ близок к controller в GDPR, согласие и там и там одно из оснований обработки. Главные отличия: 152-ФЗ требует хранить первичную базу с данными россиян в России, у GDPR требования локализации нет. GDPR закрепляет право забрать свои данные в машиночитаемом виде, в российском законе прямого аналога этой нормы нет.

Запрещает ли 152-ФЗ пользоваться ИИ-сервисами?

Нет. Закон не запрещает инструменты, он регулирует обращение с данными людей. Если Вы вносите в ИИ-сервис сведения о клиентах, Вы остаётесь оператором и отвечаете за то, где эти данные хранятся, есть ли согласие и уходят ли они за рубеж. Поэтому вопрос стоит формулировать не «можно ли ИИ», а «что именно этот сервис делает с данными клиентов и готовы ли Вы за это отвечать».

источники (2)
  1. General Data Protection Regulation (GDPR): full text and overview · gdpr-info.eu, Intersoft Consulting · 2018
  2. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» · КонсультантПлюс · 2006
Подключить  Честная цена 

Ещё в этой теме

Кому принадлежат данные при работе с ИИ: закон, провайдеры, владение
01

Чьи данные в переписке с ИИ: что говорят соглашения Чьи данные в переписке с ИИ-ассистентом: права на текст по соглашениям у Вас, копия у провайдера, ответственность за данные клиентов на Вас по 152-ФЗ.

02

Свой защищённый канал общения с ИИ: Matrix и Element X Свой защищённый канал общения с ИИ на Matrix: зачем он нужен помимо Telegram, у кого ключи шифрования и как включить канал за три шага по QR из кабинета.

03

Что OpenAI делает с перепиской: политики трёх провайдеров Да: часть диалогов Gemini оценивают живые рецензенты, у OpenAI переписка может идти в обучение. Разбираем по строкам политики OpenAI, Google и Яндекса.

Ассистент, который помнит Ваше дело

Хермес работает в Telegram и браузере, а её память живёт на Вашем сервере в РФ. Один тариф, 14 дней на то, чтобы передумать.