152-ФЗ «О персональных данных»
152-ФЗ — федеральный закон Российской Федерации, обязывающий каждого, кто собирает, хранит, обрабатывает или распространяет персональные данные физических лиц, обеспечивать их защиту и конфиденциальность. Закон распространяется на любой веб-ресурс, приложение или сервис, где пользователь указывает сведения, позволяющие его идентифицировать (имя, телефон, адрес и т. д.). Организация, работающая с такими данными, получает статус оператора персональных данных и несёт ответственность за их безопасность.
Что относится к персональным данным
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (ст. 3 п. 1 152-ФЗ).
| Категория | Примеры |
|---|---|
| Общедоступные | ФИО, место регистрации, телефон, email, место работы |
| Специальные | Национальность, политические и религиозные взгляды, состояние здоровья, сведения о судимостях |
| Биометрические | Отпечатки пальцев, фотографии (при использовании для идентификации), группа крови, генетические данные |
| Иные | Принадлежность к социальной группе, корпоративные сведения и прочее, не вошедшее в предыдущие категории |
Важно: email сам по себе не является ПДн. Но если вместе с адресом запрашивается имя пользователя — это уже персональные данные, и сайт попадает под действие закона.
Уровни защищённости
Закон и Постановление Правительства № 1119 определяют четыре уровня защищённости (УЗ-1 — УЗ-4). Требуемый уровень зависит от:
- Категории ПДн (общедоступные, специальные, биометрические, иные).
- Количества субъектов — число лиц, чьи данные обрабатываются.
- Типа актуальных угроз (1-й тип — уязвимости в системном ПО, 2-й — в прикладном ПО, 3-й — угрозы, не связанные с недокументированными возможностями ПО).
Данные с уровнями УЗ-3 и УЗ-4 допустимо хранить в публичном облаке. Для УЗ-1 и УЗ-2 требуются специальные условия, лицензии ФСБ и ФСТЭК, аттестация инфраструктуры.
Базовые обязанности оператора
- Получить согласие субъекта на обработку ПДн.
- Разместить на сайте политику конфиденциальности и соглашение об обработке данных.
- Хранить ПДн российских граждан на серверах, расположенных на территории РФ.
- Обеспечить защиту данных в соответствии с установленным уровнем защищённости.
- Уведомить Роскомнадзор о начале обработки ПДн (в предусмотренных законом случаях).
Регулирующие органы
- Роскомнадзор — контроль соблюдения законодательства о персональных данных.
- ФСТЭК — требования к технической защите информации.
- ФСБ — требования к криптографической защите.
Нарушение 152-ФЗ влечёт административные штрафы, размер которых зависит от характера нарушения и статуса нарушителя (физическое, должностное или юридическое лицо).