152-ФЗ — Федеральный закон Российской Федерации «О персональных данных» от 27 июля 2006 года. Регулирует обработку сведений, которые прямо или косвенно идентифицируют физическое лицо: ФИО, дата рождения, адрес, телефон, e-mail, IP-адрес, cookie-идентификаторы. Любой сайт, собирающий такие данные — форма регистрации, корзина интернет-магазина, форма обратной связи, — обязан соблюдать закон.
Как работает
Закон вводит понятия оператора (тот, кто собирает и обрабатывает данные) и субъекта (физическое лицо, чьи данные обрабатываются). Оператор обязан получить согласие субъекта до начала обработки, использовать данные только в заявленных целях и уничтожить их по достижении этих целей.
Ключевое требование для хостинга — локализация данных: базы данных с персональными сведениями граждан РФ должны физически располагаться на серверах в России. Это требование ввела статья 22.1, добавленная поправками 2014 года и вступившая в силу 1 сентября 2015 года. Трансграничная передача данных допустима только при соблюдении ряда условий (страна-получатель обеспечивает адекватную защиту или субъект дал явное согласие).
Оператор обязан уведомить Роскомнадзор о начале обработки персональных данных до её начала. Исключение — данные, полученные при заключении договора и используемые исключительно для его исполнения. Политику конфиденциальности публикуют на сайте в открытом доступе.
Технические меры защиты зависят от уровня угроз (УЗ-1, УЗ-2, УЗ-3) и категории данных. Для обычного коммерческого сайта достаточно УЗ-3: SSL/TLS-шифрование, разграничение доступа, антивирусная защита, резервное копирование. Медицинские и биометрические данные требуют УЗ-1 — сертифицированных ФСТЭК средств защиты.
История
Закон принят в 2006 году вслед за Директивой ЕС 95/46/EC о защите данных. Первая редакция была рамочной и почти не применялась на практике. В 2011 году вступили в силу положения об уведомлении Роскомнадзора. Поправки 2014 года (Федеральный закон №242-ФЗ) добавили требование локализации, вступившее в силу с 1 сентября 2015 года. В 2022–2023 годах штрафы резко выросли: за утечку от 10 000 до 100 000 записей — до 15 млн рублей, за повторное нарушение — до 3% годовой выручки компании (поправки, вступившие в силу с декабря 2023 года).
Что обязан сделать владелец сайта
- Разместить политику конфиденциальности — отдельная страница со ссылкой из футера.
- Настроить формы согласия — чекбокс с текстом «Согласен на обработку персональных данных» перед отправкой любой формы.
- Подать уведомление в Роскомнадзор через портал pd.rkn.gov.ru (если сайт не подпадает под исключения).
- Обеспечить хранение данных на серверах в РФ: выбирать хостинг с дата-центрами в России.
- Заключить договор поручения с хостинг-провайдером — он обрабатывает данные по поручению оператора.
- Назначить ответственного за обработку персональных данных внутри компании.
На что обращать внимание при выборе хостинга
При выборе VPS или выделенного сервера для сайта, собирающего персданные, проверяйте юридический адрес хостера и физическое расположение дата-центра. Хостер должен быть готов подписать договор поручения на обработку персональных данных по ст. 6 ФЗ-152. Размещение на зарубежных серверах создаёт риски: Роскомнадзор может потребовать перенос данных. Исключение — технические cookie и аналитика без идентификации личности.
Если сайт использует CDN с зарубежными узлами, статические файлы (изображения, JS, CSS) допустимо кешировать за рубежом — они не считаются персональными данными. Базы данных с профилями пользователей, заказами, адресами должны оставаться в России.
Ключевые отличия от похожих терминов
152-ФЗ — российский закон, аналог европейского GDPR (General Data Protection Regulation, 2018). Оба требуют согласия и защиты данных, но GDPR применяется к данным граждан ЕС, имеет более строгие требования к согласию и выше штрафы (до 4% глобальной выручки). Российский закон при пересечении юрисдикций не отменяет GDPR.