Обработка персональных данных — что это простыми словами по 152-ФЗ
«Обработка персональных данных» — это юридический термин, который пугает многих предпринимателей. На деле всё проще, чем кажется: если вы каким-то образом работаете с данными людей (даже просто храните список клиентов в Excel-файле), вы уже обрабатываете персональные данные. И это требует соблюдения 152-ФЗ.
В этой статье разберём что такое обработка ПДн простыми словами, какие именно действия считаются обработкой, чем отличаются автоматизированная и неавтоматизированная обработка, и что нужно сделать чтобы делать всё это законно.
Содержание
- Что такое обработка ПДн — простыми словами
- Определение по 152-ФЗ — официальное
- Полный перечень действий — что считается обработкой
- Виды обработки: автоматизированная, неавтоматизированная, смешанная
- Кто становится оператором — кто обязан соблюдать 152-ФЗ
- Что нужно сделать чтобы обрабатывать ПДн законно — 7 шагов
- Что бывает за неправильную обработку
- Частые вопросы
- Об авторе
Что такое обработка ПДн — простыми словами
Краткий ответ. Обработка персональных данных — это любое действие с данными человека: собрать, записать, сохранить, использовать, передать кому-то, удалить. Всё это вместе и есть «обработка». Не обязательно компьютер — даже если вы записываете ФИО клиента в бумажный блокнот, это уже обработка.
Чтобы упростить — представьте обычный салон красоты. Что они делают с данными клиента?
- Записывают имя и телефон, когда клиент звонит на запись → это сбор
- Заносят в журнал записей → это запись и хранение
- Достают журнал перед сменой, смотрят кто сегодня придёт → это использование
- Передают мастеру с указанием «Ольга, в 15:00 на маникюр» → это передача
- Через год удаляют старые записи → это уничтожение
Всё перечисленное в совокупности — обработка персональных данных. По закону это четырнадцать разных действий, но в реальной жизни предприниматель часто делает их все, даже не задумываясь.
И вот тут важный момент: 152-ФЗ применяется с первого действия. Не «когда у вас 100 клиентов в базе» и не «когда вы публикуете данные», а с момента первого собранного телефона.
Определение по 152-ФЗ — официальное
Краткий ответ. По части 3 статьи 3 152-ФЗ обработка персональных данных — это любое действие или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без таковых. Включает сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение, распространение.
Полный текст определения:
«Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».
(Часть 3 статьи 3 152-ФЗ)
Ключевая фраза тут — «любое действие». То есть закон не пытается перечислить всё, что можно сделать с данными — он сразу говорит, что любая операция с ПДн является обработкой.
Дальше идёт уточнение «с использованием средств автоматизации или без таких средств». Это означает, что 152-ФЗ применяется и к компьютерной обработке (программы, базы данных, CRM, Excel), и к ручной (бумажные журналы, картотеки, рукописные списки клиентов).
Дальше идёт примерный перечень конкретных действий — от сбора до уничтожения. Это просто помощь для понимания, а не ограничение. Любое другое действие с ПДн тоже будет обработкой.
Полный перечень действий — что считается обработкой
В законе перечислено 14 видов действий. Разберём каждое:
| Действие | Что это значит | Бытовой пример |
|---|---|---|
| Сбор | Получение данных от субъекта или из других источников | Заполнение анкеты, форма обратной связи |
| Запись | Фиксация данных на любом носителе (бумага, диск, БД) | Заполнение журнала, добавление в Excel, INSERT в БД |
| Систематизация | Упорядочение данных по какому-то признаку | Сортировка списка клиентов по дате последнего визита |
| Накопление | Объединение разных частей данных одного субъекта | Привязка истории покупок к контакту в CRM |
| Хранение | Сохранение данных в течение какого-то времени | Архив старых заявок, бэкап базы |
| Уточнение | Изменение, корректировка, обновление данных | Обновление телефона клиента после звонка |
| Извлечение | Получение данных из хранилища для использования | SELECT запрос к БД, открытие журнала |
| Использование | Применение данных для целей оператора | Звонок клиенту, отправка SMS-напоминания |
| Передача | Дача доступа к данным другим лицам | Передача данных бухгалтеру, в курьерскую службу |
| Распространение | Раскрытие данных неопределённому кругу лиц | Публикация ФИО победителей конкурса на сайте |
| Обезличивание | Преобразование данных так чтобы было невозможно определить субъекта | Замена ФИО на анонимный ID для статистики |
| Блокирование | Временное прекращение обработки (по требованию субъекта) | Когда клиент попросил «не звоните мне» |
| Удаление | Прекращение хранения данных так чтобы их можно было восстановить | Помещение в архив с пометкой «удалено» |
| Уничтожение | Физическое уничтожение носителя или окончательная очистка | Стирание файла с надёжной перезаписью |
Важный момент — закон не различает действия по степени тяжести. Сбор email — это такая же «обработка», как и его передача за рубеж. Все 14 действий равны перед 152-ФЗ.
Виды обработки: автоматизированная, неавтоматизированная, смешанная
Краткий ответ. Автоматизированная — через компьютеры, программы, базы данных. Неавтоматизированная — вручную, на бумаге. Смешанная — когда часть на компьютере, часть на бумаге (это самый частый вариант у бизнеса). Все три вида подпадают под 152-ФЗ.
Автоматизированная обработка ПДн
Это работа с данными через средства вычислительной техники: компьютеры, серверы, программы, базы данных, CRM, ERP, бухгалтерские системы.
Примеры:
- Хранение клиентской базы в CRM (Битрикс24, amoCRM, Salesforce)
- Бухгалтерская программа со списком сотрудников
- Сайт с формой захвата → данные попадают в базу
- Email-рассылка через MailChimp или Unisender
- Чат-бот в Telegram, который собирает контакты
Под 152-ФЗ автоматизированная обработка регулируется отдельно (статья 14 152-ФЗ). Главное требование — субъекту должно быть известно об обработке (он дал согласие или это предусмотрено законом).
Неавтоматизированная обработка ПДн
Это работа с данными вручную, без компьютеров: бумажные журналы, картотеки, рукописные списки, личные дела сотрудников в папках.
Примеры:
- Журнал записей клиентов в салоне красоты
- Бумажные анкеты, заполненные ручкой
- Картотека больного в поликлинике
- Личные дела сотрудников в кадровой папке
- Письма от клиентов в почтовом ящике
Многие думают, что 152-ФЗ касается только компьютерной обработки. Это не так. Постановление Правительства РФ от 15.09.2008 N 687 устанавливает специальные требования к неавтоматизированной обработке — отдельные шкафы, ограниченный доступ, журналы ознакомления сотрудников.
Смешанная обработка ПДн
Это когда часть процессов на компьютере, часть на бумаге. Самый частый вид у малого бизнеса.
Примеры:
- В магазине: касса работает с электронным чеком (автоматизация), а накладные от поставщиков подписываются на бумаге (неавтоматизация)
- В клинике: запись пациента в электронной системе (автоматизация), но карточка пациента ведётся на бумаге (неавтоматизация)
- В офисе: CRM-система с клиентами (автоматизация), но трудовые книжки сотрудников хранятся на бумаге (неавтоматизация)
При подаче уведомления в Роскомнадзор в поле «Способ обработки» в большинстве случаев нужно указывать именно смешанную обработку — это самая безопасная и реалистичная формулировка для большинства бизнесов.
Кто становится оператором — кто обязан соблюдать 152-ФЗ
Краткий ответ. Любой, кто обрабатывает ПДн. Это называется «оператор персональных данных» по 152-ФЗ. Не нужна специальная регистрация в налоговой — статус возникает автоматически с первого сбора данных.
Типичные операторы ПДн в России:
- Любой ИП с сайтом или формой захвата — оператор данных посетителей
- Любой работодатель (даже один сотрудник) — оператор данных работников
- Магазины — оператор данных покупателей
- Клиники, фитнес-центры, салоны красоты — оператор данных клиентов
- Управляющие компании, ТСЖ — оператор данных собственников и жильцов
- Образовательные организации — оператор данных учеников и родителей
- Государственные и муниципальные органы — оператор данных граждан
Подробно про оператора ПДн — кто это, какие обязанности, как зарегистрироваться в реестре Роскомнадзора — в нашей статье «Оператор персональных данных: кто это и обязанности».
Что нужно сделать чтобы обрабатывать ПДн законно — 7 шагов
Краткий ответ. Подать уведомление в РКН, опубликовать политику конфиденциальности на сайте, оформить отдельный документ согласия, добавить чекбоксы в формы, установить cookie-баннер, обеспечить меры защиты, назначить ответственного.
1. Подать уведомление в Роскомнадзор
Это первый шаг. Бесплатно через Госуслуги, занимает 15-30 минут. Подробная инструкция — в нашем гайде «Регистрация в РКН как оператор».
2. Опубликовать политику конфиденциальности
На сайте должна быть отдельная страница /policy с 17 обязательными пунктами по ст. 18.1 152-ФЗ. Это не «скачать любой шаблон из интернета» — политика должна быть адаптирована под ваш бизнес. См. «Политика конфиденциальности — образец 2026».
3. Оформить отдельный документ согласия
С сентября 2025 года согласие должно быть отдельным документом, не частью политики. На странице /consent. См. «Согласие на обработку ПДн — образец 2026».
4. Добавить чекбоксы в формы
В каждой форме на сайте (заявка, обратная связь, подписка) — чекбокс «Согласен на обработку ПДн» со ссылкой на политику и согласие. Не предзаполненный.
5. Установить cookie-баннер
С 2025 года cookies приравнены к ПДн. Нужен баннер с тремя кнопками (согласен / отклонить / настройки), отложенная загрузка счётчиков (Метрика грузится только после клика «Согласен»). См. «Cookies и ФЗ-420 в 2026».
6. Обеспечить меры защиты
Технические (антивирус, бэкап, защищённые каналы) и организационные (ограничение доступа, обучение сотрудников, журналы операций). Меры должны соответствовать ст. 18.1 и 19 152-ФЗ.
7. Назначить ответственного за обработку ПДн
Это обязательная должность по 152-ФЗ. Для ИП — обычно сам ИП. Для ООО — назначается приказом. ФИО и контакты ответственного публикуются в реестре Роскомнадзора.
Что бывает за неправильную обработку
Краткий ответ. Штрафы 30 000 – 7 000 000 ₽ по ст. 13.11 КоАП — за каждое нарушение. С 2025 года суммы выросли в 5-10 раз по сравнению с предыдущими редакциями.
Краткая таблица актуальных штрафов:
| Нарушение | ИП | Юрлицо |
|---|---|---|
| Обработка ПДн без согласия | 60 000 – 100 000 ₽ | 300 000 – 500 000 ₽ |
| Обработка цели, не указанные в уведомлении | 30 000 – 50 000 ₽ | 200 000 – 300 000 ₽ |
| Отсутствие политики на сайте | 30 000 – 60 000 ₽ | 60 000 – 200 000 ₽ |
| Передача без согласия | 30 000 – 50 000 ₽ | 350 000 – 700 000 ₽ |
| Утечка ПДн (с 2025) | 100 000 – 400 000 ₽ | 1 000 000 – 6 000 000 ₽ |
| Повторная утечка | 300 000 – 800 000 ₽ | 6 000 000 – 7 000 000 ₽ |
Штрафы суммируются. Один сайт может попасть сразу на несколько нарушений: нет политики (200 тыс) + нет согласия (500 тыс) + Метрика до согласия (300 тыс) = почти 1 млн с одного визита проверки.
Подробно — в нашей статье «Штрафы по 152-ФЗ в 2026 году».
Частые вопросы
Если я просто храню email клиентов, это уже обработка?
Да. Хранение — это один из 14 видов действий, которые считаются обработкой. Даже если вы ничего не делаете с email, кроме того что они лежат в файле — это обработка ПДн.
А если данные собираю по телефону, без сайта?
Тоже обработка. Сбор данных по телефону (вы услышали имя и телефон, записали в блокнот) — это уже сбор + запись. Способ не имеет значения.
Если у меня самозанятый и я веду переписку с клиентом в WhatsApp — это обработка?
Если вы храните контакты клиентов и используете их для связи — да. Даже если переписка идёт через WhatsApp, вы как оператор обязаны соблюдать 152-ФЗ.
Что если я обрабатываю только данные себя самого?
Нет, это не считается. Обработка собственных данных, обработка данных в личных целях семьи — не подпадает под 152-ФЗ (исключение в ч. 2 ст. 1).
А Excel-файл со списком клиентов — это обработка?
Да, и это автоматизированная обработка (Excel — программное средство). Применяются все требования к автоматизированной обработке: согласие, меры защиты, ответственный.
Я веду журнал клиентов на бумаге. Нужно ли соблюдать 152-ФЗ?
Да. Это неавтоматизированная обработка. Нужно: ограниченный доступ к журналу, хранение в закрываемом шкафу, журнал ознакомления сотрудников, политика конфиденциальности и согласие.
Что в итоге
Обработка персональных данных — это любое действие с данными человека. Если вы как-то работаете с именами, телефонами, email, ИНН, фотографиями людей — вы обрабатываете ПДн. И тогда вы обязаны соблюдать 152-ФЗ: подать уведомление в РКН, иметь политику и согласие, обеспечить меры защиты.
pdaudit.ru бесплатно проверяет ваш сайт на соответствие 152-ФЗ за 30 секунд. Полный пакет за 490 ₽ — готовый архив с политикой, согласием и cookie-баннером под ваши реквизиты.
Об авторе
Дмитрий Синица. ИП с 2013 года, в разработке с 2010-го.
Направления: сайты (от лендингов до магазинов), чат-боты с ИИ и без, автоматизация процессов в малом бизнесе.
PdAudit.ru сделал, зная боли своих клиентов: кто-то где-то услышал про 152-ФЗ, подумал «потом разберусь», и через год сайт всё ещё без политики и согласия. Сервис за минуту находит проблемы и собирает готовые документы под конкретный сайт.
ИНН 502716306004, ОГРНИП 313502708000051. Запись в реестре операторов ПДн №77-25-358038 от 23.06.2025.
Источники
- Федеральный закон №152-ФЗ «О персональных данных», ст. 3 ч. 3 (определение обработки)
- Постановление Правительства РФ от 15.09.2008 N 687 (особенности неавтоматизированной обработки)
- Кодекс об административных правонарушениях, ст. 13.11 (штрафы)