Закон 152-ФЗ «О персональных данных»: структура, статьи, обязанности оператора и штрафы в 2026 году

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — основной нормативный акт, регулирующий обработку персональных данных в Российской Федерации. В 2024-2025 годах закон существенно ужесточили: оборотные штрафы до 500 млн ₽ (ФЗ-420), новая ст. 272.1 УК с санкцией до 10 лет (ФЗ-421), обязательное уведомление об инцидентах за 24 часа. Знать закон и его последние редакции — уже не юридическая тонкость, а операционная необходимость. Закон устанавливает правила сбора, хранения, использования, передачи, защиты и уничтожения персональных данных для любых операторов — от индивидуальных предпринимателей до государственных органов и крупных корпораций.

Закон применяется при обработке ПДн с использованием средств автоматизации (компьютеров, серверов, CRM-систем) и при неавтоматизированной обработке бумажных документов. Если организация ведёт кадровый учёт, работает с клиентами, использует сайт с формами обратной связи или передаёт данные подрядчикам — она попадает под требования 152-ФЗ.

Структура закона

152-ФЗ состоит из 6 глав и 25 статей. Ключевые разделы:

• Глава 1 (ст. 1–5) — общие положения, определения, сфера действия
• Глава 2 (ст. 6–11) — условия обработки ПДн, включая специальные категории и биометрию
• Глава 3 (ст. 14–17) — права субъектов персональных данных
• Глава 4 (ст. 18–22.1) — обязанности оператора и уведомление Роскомнадзора
• Глава 5 (ст. 23–25) — контроль и надзор
• Глава 6 (ст. 27) — требования к локализации на серверах в РФ

Контроль за соблюдением закона осуществляет Роскомнадзор (РКН), в части технических мер защиты — ФСТЭК и ФСБ России. Полный перечень обязательных документов по 152-ФЗ — в нашем каталоге.

Закон 152-ФЗ принят в 2006 году и с тех пор неоднократно дополнялся. Наибольшее влияние на операторов оказали четыре волны поправок последних лет.

Ключевые редакции

• ФЗ-242 от 21.07.2014 (вступил 01.09.2015) — требование локализации баз данных граждан РФ на серверах на территории России (ст. 27)
• ФЗ-266 от 14.07.2022 (вступил 01.09.2022) — обязанность всех операторов уведомлять РКН об обработке ПДн (ранее освобождались многие категории), введены сроки уведомления об инцидентах: 24 часа на первичное сообщение и 72 часа на детальное описание
• ФЗ-420 от 30.11.2024 (вступил 30.05.2025) — оборотные штрафы за повторную утечку: 1–3% годовой выручки, минимум 20–25 млн ₽, максимум 500 млн ₽
• ФЗ-421 от 30.11.2024 (вступил 11.12.2024) — новая статья 272.1 УК РФ: уголовная ответственность за незаконное использование, хранение и передачу ПДн — до 10 лет лишения свободы и штраф до 5 млн ₽

С 2025 года 152-ФЗ — один из самых жёстких законов России о персональных данных. Подробнее — в статье «Изменения 152-ФЗ в 2026 году».

Статья 3 152-ФЗ определяет базовые термины, без понимания которых работа с законом невозможна.

Персональные данные

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). Это не только ФИО и паспортные данные, но и любая комбинация сведений, позволяющая идентифицировать человека: IP-адрес в связке с cookie, номер телефона, email, биометрия, данные о здоровье, местоположение, история покупок.

Подробный разбор того, что относится к ПДн, — в статье о видах персональных данных.

Оператор ПДн

Оператор — юридическое или физическое лицо, которое самостоятельно или совместно с другими организует и/или осуществляет обработку персональных данных и определяет цели обработки. Оператором может быть ООО, АО, ИП, государственное учреждение или даже физическое лицо-работодатель.

Обработка ПДн

Обработка — любое действие или совокупность действий с ПДн: сбор, запись, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже простое хранение списка клиентов в Excel — это обработка.

ИСПДн

Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку технических средств. Каждая организация обязана составить перечень своих ИСПДн — 1С, CRM, ERP, корпоративная почта, сайт с формами.

Специальные категории и биометрия

Специальные категории ПДн (ст. 10) — данные о расовой и национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни, судимости. Обработка требует отдельных оснований (обычно письменного согласия).

Биометрические ПДн (ст. 11) — сведения, характеризующие физиологические и биологические особенности человека (отпечатки пальцев, сетчатка глаза, голос, изображение лица), на основании которых можно установить его личность. Требуют письменного согласия, кроме прямо указанных законом случаев. Подробнее — «Биометрические персональные данные».

Обработка персональных данных допускается только при наличии хотя бы одного из 11 правовых оснований, перечисленных в статье 6 152-ФЗ. Если у оператора нет ни одного основания — обработка незаконна и грозит штрафом по ч. 1–2 ст. 13.11 КоАП (до 1,5 млн ₽).

1. Согласие субъекта — конкретное, информированное, сознательное. Основание по умолчанию для большинства случаев, кроме описанных ниже
2. Исполнение договора, стороной которого является субъект (например, обработка данных клиента для оказания услуги)
3. Исполнение полномочий государственных и муниципальных органов
4. Осуществление правосудия, исполнение судебных актов
5. Исполнение обязанностей, возложенных на оператора законодательством РФ (например, налоговый учёт, кадровый учёт по ТК РФ)
6. Защита жизни, здоровья или иных жизненно важных интересов субъекта
7. Достижение общественно значимых целей при балансе прав субъекта
8. Журналистская, научная, литературная деятельность — без нарушения прав субъекта
9. Обработка общедоступных данных, раскрытых субъектом или по его согласию для неограниченного круга лиц
10. Обработка данных, подлежащих опубликованию в соответствии с законом (например, раскрытие информации АО)
11. Обработка для статистики и иных исследовательских целей при обязательном обезличивании

Практический совет: для каждой цели обработки ПДн документируйте выбранное правовое основание в политике обработки ПДн. При проверке РКН отсутствие основания — первое, что выясняется.

Важный нюанс: для обработки специальных категорий ПДн (ст. 10) и биометрии (ст. 11) набор оснований сужен. Например, обработка данных о здоровье пациента без согласия возможна в медицинских учреждениях при оказании помощи, но обработка в маркетинговых целях требует письменного согласия.

Статьи 18.1 и 19 закона 152-ФЗ устанавливают основные обязанности оператора. Их невыполнение — самое частое нарушение, выявляемое при проверках Роскомнадзора.

Требования статьи 18.1 — организационные меры

Оператор обязан самостоятельно определить и реализовать меры, обеспечивающие выполнение закона. Минимальный набор:

• Назначение ответственного за организацию обработки ПДн (ст. 22.1) — приказом руководителя
• Разработка и публикация политики обработки ПДн на сайте в публичном доступе (ст. 18.1 п. 2)
• Утверждение внутренних регламентов — положение об обеспечении безопасности ПДн, инструкции, журналы учёта
• Ознакомление сотрудников с требованиями закона под подпись
• Внутренний контроль соответствия обработки ПДн требованиям закона (самопроверки — не реже раза в год)
• Оценка возможного вреда субъектам ПДн при нарушении закона

Требования статьи 19 — технические меры защиты

Для технической защиты ПДн применяются 9 групп мер согласно Приказу ФСТЭК России № 21 от 18.02.2013:

1. ОДТ — обеспечение доверенной загрузки (защита от подмены загрузчика)
2. ОПС — обеспечение программной среды (контроль ПО, запрет неавторизованного)
3. УПД — управление доступом (ролевая модель, минимальные привилегии)
4. ИАФ — идентификация и аутентификация (логины, пароли, двухфакторная)
5. ЗНИ — защита носителей информации (шифрование, учёт, уничтожение)
6. ОЦЛ — обеспечение целостности (контроль изменений, резервное копирование)
7. РСБ — регистрация событий безопасности (журналы, SIEM)
8. АВЗ — антивирусная защита
9. СОВ — обнаружение вторжений (IDS/IPS)

Конкретный набор мер зависит от уровня защищённости ИСПДн (УЗ-1 — УЗ-4), который определяется по ПП РФ № 1119 от 01.11.2012. Для определения УЗ своей ИСПДн используйте онлайн-калькулятор уровня защищённости или акт определения УЗ.

Также оператор обязан разработать модель угроз безопасности ПДн по методике ФСТЭК России от 05.02.2021 (не устаревшую версию 2008 года). Модель угроз — ключевой документ, на основе которого выбираются конкретные СЗИ.

Глава 3 закона 152-ФЗ (ст. 14–17) гарантирует субъектам персональных данных широкий набор прав. Оператор обязан ответить на запрос субъекта в строго определённые сроки — их нарушение карается штрафом по ч. 4 ст. 13.11 КоАП (до 80 000 ₽).

Основные права и сроки

• Ст. 14 — право на информацию об обработке: субъект может запросить подтверждение факта обработки, перечень данных, цели, правовые основания, способы обработки, сроки хранения. Срок ответа — 10 рабочих дней с даты обращения
• Ст. 20 — право на получение копии ПДн: субъект вправе получить копию своих данных. Срок — 10 рабочих дней с возможностью продления на 5 рабочих дней при уведомлении субъекта (ст. 20 ч. 4)
• Ст. 21 — право на уточнение, блокирование и уничтожение: если данные неполные, неточные или обрабатываются незаконно, субъект вправе требовать их исправления или удаления. Срок — 7 рабочих дней
• Ст. 15 — право на отзыв согласия: субъект может в любой момент отозвать согласие. Оператор обязан прекратить обработку (кроме случаев, когда обработка ведётся по иному правовому основанию)
• Ст. 17 — право на обжалование действий оператора в суде и Роскомнадзоре

Оператор обязан вести журнал учёта обращений субъектов и хранить записи минимум 3 года. Инструкции по отзыву согласия — «Как отозвать согласие на обработку ПДн».

До 01.09.2022 обязанность подавать уведомление в РКН распространялась не на всех операторов (ст. 22 содержала 9 исключений). С этой даты, после поправок ФЗ-266 от 14.07.2022, обязанность стала практически универсальной: уведомлять РКН должны все операторы, за редкими исключениями.

Что включает уведомление

С 01.09.2022 форма уведомления расширена до 26 обязательных полей, среди которых:

• Наименование, ИНН, ОГРН оператора
• Цели обработки ПДн
• Категории субъектов и обрабатываемых ПДн
• Правовые основания обработки
• Перечень действий с ПДн
• Описание мер защиты
• Сведения о трансграничной передаче
• Сведения об обработке на стороне третьих лиц (поручение)
• Предполагаемая дата начала и срок обработки

Подача уведомления — через личный кабинет на pd.rkn.gov.ru с усиленной квалифицированной электронной подписью. После включения организации в реестр операторов ПДн она становится публично доступной.

Уведомление об инцидентах — новые сроки с 2022

ФЗ-266 ввёл обязательные сроки уведомления РКН об инцидентах с ПДн:

• 24 часа — первичное сообщение о факте утечки
• 72 часа — детальное описание инцидента, принятых мер, количества пострадавших субъектов

Нарушение сроков — основание для усиленных штрафов. Подробнее — «Утечка персональных данных: что делать».

Практический гайд по заполнению формы — «Как подать уведомление в Роскомнадзор».

Ответственность за нарушения 152-ФЗ установлена сразу в трёх кодексах: Кодексе об административных правонарушениях (КоАП), Уголовном кодексе (УК РФ) и Трудовом кодексе. С 2025 года санкции существенно ужесточены — введены оборотные штрафы, новая ст. 272.1 УК и расширены части ст. 13.11 КоАП.

Таблица штрафов по ст. 13.11 КоАП (актуально на 2026 год)

Статья 13.11 КоАП содержит 18 частей. Ниже — штрафы для юридических лиц по ключевым составам:

• Ч. 1 — обработка без правового основания: 150 000 – 300 000 ₽ (первичное); 300 000 – 500 000 ₽ (повторное)
• Ч. 2 — обработка спецкатегорий ПДн без согласия: 300 000 – 700 000 ₽ (первичное); 1 000 000 – 1 500 000 ₽ (повторное)
• Ч. 3 — отсутствие политики обработки ПДн на сайте: 30 000 – 60 000 ₽
• Ч. 4 — невыполнение требования субъекта (уточнить/удалить/блокировать): 40 000 – 80 000 ₽
• Ч. 5 — невыполнение в срок требования субъекта: 50 000 – 90 000 ₽
• Ч. 8 — нарушение требований локализации ПДн (ст. 27, серверы в РФ): 1 000 000 – 6 000 000 ₽ (первичное); 6 000 000 – 18 000 000 ₽ (повторное)
• Ч. 9 — неуведомление РКН об обработке ПДн: 100 000 – 300 000 ₽
• Ч. 10 — невыполнение обязанности уведомить РКН об инциденте (с 30.05.2025): от 1 000 000 ₽ (без верхнего предела по закону)
• Ч. 11 — утечка ПДн 1 000 – 10 000 субъектов (или 10 000 – 100 000 идентификаторов): 3 000 000 – 5 000 000 ₽
• Ч. 12 — утечка ПДн 10 000 – 100 000 субъектов: 5 000 000 – 10 000 000 ₽
• Ч. 13 — утечка ПДн более 100 000 субъектов: 10 000 000 – 15 000 000 ₽
• Ч. 14 — утечка более 1 000 000 идентификаторов без биометрии: 10 000 000 – 15 000 000 ₽
• Ч. 17 — утечка биометрических ПДн: 15 000 000 – 20 000 000 ₽

Оборотные штрафы за повторную утечку (ФЗ-420, действует с 30.05.2025)

Ключевой принцип: штраф считается одновременно по количеству субъектов и количеству идентификаторов — применяется наибольшая сумма.

• Ч. 15 — повторная утечка обычных ПДн: 1–3% годовой выручки, минимум 20 000 000 ₽, максимум 500 000 000 ₽
• Ч. 18 — повторная утечка спецкатегорий ПДн или биометрии: 1–3% годовой выручки, минимум 25 000 000 ₽, максимум 500 000 000 ₽

Смягчающие обстоятельства — снижение штрафа в 10 раз

Часть 15 и ч. 18 предусматривают уменьшение штрафа до 0,1–0,3% выручки (минимум 15–50 млн ₽) при одновременном соблюдении трёх условий:

1. Ежегодно каждый год из 3 лет до инцидента оператор тратил не менее 0,1% годовой выручки на услуги лицензиата ФСТЭК по защите информации (ключевое — «каждый год», а не суммарно за 3 года)
2. Не менее 1 года до инцидента оператор подтверждал соблюдение требований закона в каждой ИСПДн (актуализированная модель угроз, положения, внутренние аудиты)
3. Нет отягчающих обстоятельств: оператор не продолжал нарушение, не привлекался ранее к ответственности за утечку

Практический эффект: при выручке 10 млрд ₽ штраф снижается с потенциальных 300 млн до 30 млн — в 10 раз. Это главный аргумент в пользу документированной системы защиты ПДн до инцидента, а не после.

Уголовная ответственность — новая ст. 272.1 УК (действует с 11.12.2024)

ФЗ-421 от 30.11.2024 ввёл в УК РФ статью 272.1 «Незаконное использование и (или) передача компьютерной информации, содержащей персональные данные». Статья состоит из 6 частей. Ниже — санкции для физических лиц (ответственность персональная):

• Ч. 1 — простой состав (незаконное использование/передача обычных ПДн): штраф до 300 000 ₽, принудительные работы до 4 лет или лишение свободы до 4 лет
• Ч. 2 — спецкатегории ПДн и биометрия: штраф до 700 000 ₽ или лишение свободы до 5 лет
• Ч. 3 — из корыстной заинтересованности или с использованием служебного положения: штраф до 1 000 000 ₽ (или доход за период до 3 лет), лишение права занимать должности до 5 лет, принудительные работы до 5 лет или лишение свободы до 6 лет
• Ч. 4 — трансграничная передача + служебное положение: штраф до 2 000 000 ₽ или лишение свободы до 8 лет
• Ч. 5 — тяжкие последствия или организованная группа: штраф до 3 000 000 ₽ или лишение свободы до 10 лет
• Ч. 6 — создание ресурсов для хранения украденных ПДн: штраф до 700 000 ₽ или лишение свободы до 5 лет

Также продолжают применяться ст. 137 УК (распространение сведений о частной жизни — до 4 лет), ст. 272 УК (неправомерный доступ — до 6 лет), ст. 13.12 КоАП (нарушение требований защиты информации — штраф до 15 000 ₽) и ст. 13.14 КоАП (разглашение охраняемой законом информации сотрудником — штраф до 200 000 ₽).

Для быстрой оценки риска штрафа — онлайн-калькулятор штрафов по 152-ФЗ. Детальный разбор всех видов ответственности — «Штрафы за персональные данные». Про оборотные штрафы отдельно — «Оборотные штрафы за утечку ПДн».

Статья 27 152-ФЗ в редакции ФЗ-242 от 21.07.2014 (вступила 01.09.2015) установила одно из самых строгих требований закона: первичная запись, систематизация, хранение и обновление ПДн граждан РФ должны осуществляться с использованием баз данных, расположенных на территории России.

Кого касается локализация

Требование распространяется на всех операторов, обрабатывающих ПДн граждан РФ. Исключения (ст. 27 ч. 3):

• Обработка для выполнения международных договоров РФ
• Обработка, необходимая для исполнения функций госорганов в соответствии с законом
• Обработка для правосудия
• Обработка для журналистской, научной деятельности (в рамках свободы СМИ)

Обработка в облачных сервисах (Amazon AWS, Google Cloud, Microsoft Azure без региона РФ) — прямое нарушение статьи 27. Подробнее — «Локализация ПДн на серверах РФ».

Трансграничная передача ПДн

Трансграничная передача (ТГП) — передача ПДн за пределы РФ. С 01.09.2022 (ФЗ-266) правила ТГП существенно ужесточены:

• Перед началом ТГП оператор обязан уведомить РКН за 10 дней
• Передача допускается только в страны с адекватным уровнем защиты ПДн (Приказ РКН № 128 от 12.09.2022 содержит актуальный список)
• В страны с неадекватным уровнем — только при наличии согласия субъекта в письменной форме, договорных гарантий или исключительных оснований

Подробности — «Трансграничная передача персональных данных».

Выполнить требования 152-ФЗ — это не одноразовая задача, а непрерывный процесс. Стандартный маршрут вывода организации в соответствие:

1. Аудит текущего состояния. Инвентаризация процессов обработки ПДн, ИСПДн, действующих документов. Выявление критичных пробелов. Используйте наш чек-лист 152-ФЗ для самодиагностики или закажите профессиональный аудит персональных данных
2. Разработка организационно-распорядительной документации (ОРД). Политика обработки ПДн, положение о безопасности, приказы, инструкции, журналы учёта. Самостоятельно через генератор документов или пакет документов 152-ФЗ под ключ
3. Определение уровня защищённости ИСПДн. По ПП-1119. Результат — акт определения УЗ и выбор набора мер защиты по Приказу ФСТЭК № 21. Для онлайн-расчёта — калькулятор УЗ
4. Разработка модели угроз безопасности ПДн по методике ФСТЭК от 05.02.2021. Модель — основа для выбора конкретных средств защиты информации (СЗИ)
5. Внедрение технических мер защиты. Установка и настройка СЗИ, СКЗИ (если требуются). Для ГИС и ИСПДн высокого УЗ — аттестация ИСПДн в лицензированной организации ФСТЭК
6. Уведомление Роскомнадзора и регулярный контроль. Подача уведомления через pd.rkn.gov.ru, актуализация раз в год или при существенных изменениях. Регулярные внутренние аудиты (не реже 1 раза в год). Подготовка к возможной проверке РКН — в статье «Подготовка к проверке Роскомнадзора»

Если организация впервые выстраивает систему соответствия — срок 3–6 месяцев при ресурсах внутренней команды или 1–2 месяца с внешней экспертизой. Средний бюджет комплексной подготовки (документация + аудит + минимальные технические меры): от 120 000 ₽ (малый бизнес) до 500 000+ ₽ (средний бизнес с ИСПДн высокого УЗ).