В 2026 году требования к обработке и хранению персональных данных в России остаются строгими и регулируются федеральным законодательством. Деятельность государственных органов, предпринимателей и общественных объединений часто связана с обработкой личных данных клиентов, сотрудников и иных лиц. Законодательство запрещает раскрывать такую информацию третьим лицам без согласия субъекта данных. Операторы, работающие с конфиденциальными данными, несут четкие обязанности по их защите и соблюдению установленных правил.
Что такое обработка персональных данных и каковы её цели?
К персональным данным относятся:
- ФИО;
- дата и место рождения;
- адрес регистрации и фактического проживания;
- уровень образования;
- должность;
- фото- и видеоизображения;
- семейное положение;
- сведения о родственниках;
- биографические данные;
- информация о судимости;
- место работы;
- финансовое состояние;
- сведения о воинской службе;
- оценочные характеристики;
- национальность;
- раса;
- религиозные взгляды;
- состояние здоровья;
- политические убеждения;
- интимная жизнь;
- биометрические данные;
- иные идентифицирующие личность сведения.
Такая информация может содержаться в:
- паспортах;
- трудовых книжках;
- военных билетах;
- справках о составе семьи;
- дипломах об образовании;
- декларациях о доходах;
- анкетах;
- личных карточках;
- свидетельствах о заключении брака и рождении детей;
- медицинских картах.
Обработка персональных данных включает следующие этапы:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
Автоматизированная обработка персональных данных
Существует несколько способов обработки персональных данных:
- автоматизированный (с использованием средств вычислительной техники);
- неавтоматизированный (без использования средств автоматизации);
- смешанный (комбинированный).
Автоматизированная обработка персональных данных осуществляется с применением средств вычислительной техники и специализированного программного обеспечения.
Правовое основание обработки персональных данных в России
Правовое регулирование обработки и хранения персональных данных в России осуществляется на основании следующих нормативных актов:
- Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»;
- Федеральный закон № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации»;
- Трудовой кодекс РФ (глава 14);
- Постановления Правительства РФ и приказы ФСТЭК России, ФСБ России, Роскомнадзора.
Требования законодательства в сфере защиты персональных данных распространяются на:
- интернет-магазины;
- работодателей;
- коммерческие организации;
- государственные органы;
- центры обработки данных;
- индивидуальных предпринимателей.
Правила и принципы обработки персональных данных
Персональные данные являются конфиденциальной информацией. Оператор имеет право осуществлять обработку персональных данных в следующих случаях:
- при наличии согласия субъекта персональных данных;
- для исполнения договора, стороной которого является субъект;
- для выполнения возложенных законодательством функций, полномочий и обязанностей;
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта;
- для осуществления прав и законных интересов оператора или третьих лиц;
- для статистических или иных исследовательских целей (при условии обязательного обезличивания);
- в связи с трудовыми отношениями;
- при предоставлении государственных или муниципальных услуг;
- в связи с судопроизводством;
- при страховании;
- в иных предусмотренных законом случаях.
Персональные данные оператор может получить:
- непосредственно от субъектов персональных данных;
- от третьих лиц с обязательным уведомлением субъекта и получением его согласия на передачу таких сведений (о том, всегда ли нужно согласие на обработку персональных данных и как его отозвать, читайте здесь).
При обработке персональных данных оператор обязан соблюдать следующие принципы:
- законность целей и способов обработки персональных данных;
- соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе;
- соответствие объема и характера обрабатываемых персональных данных заявленным целям обработки;
- недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обеспечение точности персональных данных, их достаточности, а в необходимых случаях и актуальности;
- уничтожение или обезличивание персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
Передача персональных данных третьим лицам
Оператор может по договору поручить обработку персональных данных третьей стороне с согласия субъектов персональных данных. Третья сторона (лицо, осуществляющее обработку по поручению оператора) обязана соблюдать те же принципы и правила. Для каждой третьей стороны в договоре должны быть определены:
- перечень действий (операций) с персональными данными;
- цели обработки;
- обязанность соблюдать конфиденциальность и обеспечивать безопасность персональных данных;
- требования к защите обрабатываемых персональных данных.
С согласия субъектов персональных данных оператор может передавать персональные данные на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.
Раскрытие и распространение персональных данных третьим лицам без согласия субъекта не допускается. В случаях, когда раскрытие персональных данных требует федеральный закон или судебное решение, такое раскрытие не считается нарушением законодательства.
Использование технологии cookies
Оператор вправе использовать технологию cookies (служебную информацию, посылаемую веб-сервером на компьютер пользователя для сохранения в браузере). Файлы cookies не содержат персональных данных и не передаются третьим лицам.
Оператор не несет ответственности за сведения, предоставленные субъектом персональных данных в общедоступной форме.
Требования к хранению персональных данных
Законодательством РФ регламентируются:
- место хранения персональных данных граждан РФ;
- порядок хранения;
- сроки хранения.
О том, в каких ситуациях следует обращаться за защитой персональных данных, как составить и куда направить жалобу, читайте в этой статье.
В процессе сбора, обработки и хранения персональных данных должны оформляться следующие документы:
- согласия субъектов персональных данных на обработку их данных;
- журналы учета персональных данных, их выдачи и передачи другим лицам, представителям организаций и государственным органам;
- журнал проверок наличия документов, содержащих персональные данные;
- приказы о назначении ответственных лиц;
- положение об обработке и защите персональных данных;
- перечень персональных данных, обрабатываемых оператором.
Система хранения персональных данных
На законодательном уровне введена обязанность хранить персональные данные граждан Российской Федерации на серверах, физически расположенных на территории РФ. Для соблюдения этого требования российские операторы, использующие зарубежные сервисы, могут перейти на агентскую схему контрактов с конечными пользователями.
В таком случае оператор выступает в отношениях с зарубежным поставщиком сервиса от имени пользователя и не несет ответственности за обработку персональных данных. Права и обязанности по договору возникают непосредственно у зарубежного владельца сервиса, на которого требования российского законодательства не распространяются.
Также возможно изменить систему хранения данных: персональные данные хранятся на российских серверах, а связанные с ними обезличенные данные могут обрабатываться за рубежом.
Перечень мест хранения персональных данных должен быть установлен приказом руководителя организации-оператора.
Порядок хранения персональных данных
Перечень мер, необходимых для обеспечения безопасности персональных данных, должен быть установлен приказом руководителя организации-оператора. Оператор обязан утвердить документ, содержащий перечень персональных данных, используемых в его деятельности.
Оператор должен назначить ответственных за работу с персональными данными и ответственных за обеспечение их безопасности соответствующими приказами. Можно назначить ответственным как конкретного сотрудника, так и структурное подразделение оператора. В последнем случае личную ответственность несет руководитель такого подразделения.
О том, что такое персональные данные и какова ответственность за их разглашение, читайте в этой статье.
Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом.
Документы, предусмотренные Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», необходимо хранить в архиве в течение установленных законодательством сроков.
Сроки хранения персональных данных
Операторы обязаны обеспечивать сохранность архивных документов в течение сроков хранения, установленных федеральными законами Российской Федерации. Хранение персональных данных после прекращения их обработки допускается только после обезличивания.
Документы передаются на хранение в архив с января года, следующего за годом окончания использования документа. Документы, передаваемые в архив, имеют четко определенный срок хранения, который необходимо соблюдать.
Различают документы:
- временного хранения (до 10 лет включительно);
- долговременного хранения (свыше 10 лет);
- постоянного хранения.
| Вид документа | Срок хранения | Основание |
|---|---|---|
| Трудовые договоры, личные дела работников | 75 лет (для документов до 2003 года), 50 лет (для документов с 2003 года) | Приказ Росархива от 20.12.2019 № 236 |
| Приказы по личному составу | 75 лет (до 2003 года), 50 лет (с 2003 года) | Приказ Росархива от 20.12.2019 № 236 |
| Табели учета рабочего времени | 5 лет | Приказ Росархива от 20.12.2019 № 236 |
| Согласия на обработку персональных данных | 3 года после прекращения действия согласия или отзыва | Рекомендации Роскомнадзора |
| Медицинские карты | 25 лет | Приказ Минздрава России от 29.06.2016 № 425н |
Контроль и ответственность оператора
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) осуществляет надзор за соблюдением законодательства о персональных данных. Этот орган имеет право проверять:
- наличие согласий субъектов на обработку их персональных данных;
- утверждение оператором организационно-распорядительных документов, устанавливающих порядок обработки персональных данных;
- соблюдение условий хранения и защиты персональных данных оператором;
- соответствие документации об обработке персональных данных требованиям законодательства;
- выполнение требований к защите персональных данных при их обработке в информационных системах;
- уведомление Роскомнадзора о намерении осуществлять обработку персональных данных.
За нарушение законодательства о персональных данных предусмотрена административная и уголовная ответственность:
- по ст. 13.11 КоАП РФ — штраф для должностных лиц от 10 000 до 20 000 рублей, для юридических лиц — от 60 000 до 100 000 рублей;
- по ст. 137 УК РФ — за незаконное собирание или распространение сведений о частной жизни лица — штраф до 200 000 рублей, обязательные работы до 360 часов, исправительные работы до 1 года, принудительные работы до 2 лет с лишением права занимать определенные должности, арест до 4 месяцев, лишение свободы до 2 лет.
Предлагаем вашему вниманию статьи о том, что относится к персональным данным работника, каков порядок защиты и хранения информации в организации, как заполнить согласие на обработку персональных данных несовершеннолетнего и зачем оно нужно, а также о тонкостях защиты персональных данных в интернете.
Комментарий эксперта: В 2026 году операторы персональных данных должны особое внимание уделять не только формальному соблюдению требований законодательства, но и реальной защите информации. Роскомнадзор усилил контроль за соблюдением требования о хранении данных российских граждан на территории РФ. Рекомендую всем операторам провести внутренний аудит: проверить наличие актуальных согласий на обработку персональных данных, убедиться в правильности оформления организационно-распорядительных документов, а также оценить уровень технической защиты информационных систем. Особое внимание следует уделить обучению сотрудников правилам работы с персональными данными — человеческий фактор остается одной из главных причин утечек информации.
Часто задаваемые вопросы
Нужно ли получать согласие на обработку персональных данных в 2026 году?Да, согласие субъекта персональных данных является одним из основных правовых оснований для обработки персональных данных. Согласие должно быть конкретным, информированным и сознательным. Исключения составляют случаи, прямо предусмотренные законом (исполнение договора, защита жизни и здоровья, исполнение государственных функций и др.).
Где должны храниться персональные данные российских граждан?Персональные данные граждан Российской Федерации должны храниться на серверах, физически расположенных на территории России. Это требование установлено Федеральным законом № 152-ФЗ и контролируется Роскомнадзором.
Какой срок хранения персональных данных работников?Трудовые договоры и личные дела работников хранятся 50 лет (для документов, созданных после 2003 года) или 75 лет (для документов до 2003 года). Приказы по личному составу имеют аналогичные сроки хранения. После истечения срока документы передаются в архив или уничтожаются с составлением акта.
Что такое обезличивание персональных данных?Обезличивание персональных данных — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту. Обезличенные данные не являются персональными и могут использоваться без ограничений.
Какая ответственность предусмотрена за нарушение законодательства о персональных данных?За нарушение требований законодательства о персональных данных предусмотрена административная ответственность по ст. 13.11 КоАП РФ (штраф для должностных лиц от 10 000 до 20 000 рублей, для юридических лиц — от 60 000 до 100 000 рублей) и уголовная ответственность по ст. 137 УК РФ (за незаконное собирание или распространение сведений о частной жизни).
Можно ли передавать персональные данные за границу?Трансграничная передача персональных данных допускается только в страны, обеспечивающие адекватную защиту прав субъектов персональных данных, либо при наличии письменного согласия субъекта на такую передачу. Перечень стран с адекватной защитой утверждается Роскомнадзором.
Комментарии (0)
Пока нет комментариев. Будьте первым, кто оставит комментарий!