Любая компания, у которой есть сайт с формой заявки, клиенты или сотрудники, по закону оператор персональных данных, а значит, обязана соблюдать 152-ФЗ. С 30 мая 2025 года за нарушения грозят штрафы до 15-20 миллионов рублей, а за повторные, оборотные, до 3% годовой выручки. При этом привести компанию в соответствие реально за несколько понятных шагов. Разберём по порядку: уведомление Роскомнадзора, обязательные документы, технические меры и что изменилось в 2026 году.
Тема персональных данных кажется бюрократической, пока не приходит штраф. Между тем под действие 152-ФЗ попадает практически весь бизнес: достаточно собирать имена, телефоны, email или адреса клиентов. После ужесточения ответственности в 2025 году формальное отношение к закону стало по-настоящему дорогим. Хорошая новость в том, что базовое соответствие выстраивается по чёткому алгоритму, и большую часть можно сделать самостоятельно. Этот материал, практический разбор: что именно сделать, в каком порядке и какими документами закрыть требования. Общий контекст угроз и защиты бизнеса мы разбирали в обзоре «Кибербезопасность для бизнеса», а здесь сфокусируемся на юридической стороне.
Кто обязан соблюдать 152-ФЗ
Главное заблуждение, «мы маленькие, закон не про нас». На деле оператором персональных данных становится любая организация или ИП, которые обрабатывают персональные данные: собирают, хранят, используют, передают. Персональные данные — это любая информация, относящаяся к конкретному человеку: имя, телефон, email, адрес, паспорт, фотография, и даже cookie с идентификатором посетителя.
Под закон попадает практически весь бизнес. Интернет-магазин с регистрацией, лендинг с формой заявки, блог с комментариями, кадровый учёт сотрудников, CRM с базой клиентов, всё это обработка персональных данных. Как только на сайте появляется форма обратной связи или заявки, компания становится оператором ПДн со всеми обязанностями: уведомить регулятора, оформить документы, защитить данные и отвечать за их утечку.
Почти каждый
бизнес в России, оператор персональных данных. Достаточно одной формы заявки на сайте или базы клиентов в CRM, чтобы возникли обязанности по 152-ФЗ. «Мы слишком маленькие» не работает как аргумент: размер компании не освобождает от требований закона и от штрафов за их нарушение.
Есть нюанс с уведомлением Роскомнадзора. Раньше действовал список исключений, когда уведомление можно было не подавать (например, обработка только данных сотрудников). После реформы 2022-2025 годов этих исключений почти не осталось, и сегодня подавать уведомление обязано подавляющее большинство операторов. Проще исходить из того, что уведомление нужно, и подать его, чем доказывать, что вы под исключение попадаете.
Главное здесь: оператор персональных данных — это почти любой бизнес с сайтом, клиентами или сотрудниками; размер компании от обязанностей по 152-ФЗ не освобождает, и уведомлять Роскомнадзор сегодня должны почти все.
Шаг 1: Инвентаризация персональных данных
Любое соответствие начинается не с документов, а с инвентаризации: нужно понять, какие персональные данные вы вообще обрабатываете. Без этого невозможно ни корректно уведомить РКН, ни выбрать меры защиты.
Пройдитесь по всем процессам и ответьте на четыре вопроса. Какие данные собираете (имена, телефоны, email, паспорта, биометрия)? Откуда они поступают (формы на сайте, договоры, анкеты, кадровые документы)? Где хранятся (CRM, 1С, таблицы, бумажные папки, облако)? Кто имеет к ним доступ (сотрудники, подрядчики, внешние сервисы)? Отдельно отметьте чувствительные категории, специальные (здоровье, религия, судимости) и биометрию, для них требования строже всего.
«Девять из десяти компаний не знают, какие персональные данные у них реально хранятся и где. Бухгалтерия ведёт одно, отдел продаж, другое, маркетинг заливает базы в сторонние сервисы. Пока не проведёшь инвентаризацию, любые документы будут оторваны от реальности. Я всегда начинаю аудит именно с этого: составляем карту данных, и уже из неё растут и уведомление, и политика, и меры защиты».
— Ольга Веденеева, специалист по комплаенсу и защите персональных данных, Москва, опыт 12 лет.
Главное здесь: начинайте с инвентаризации, составьте карту данных (какие, откуда, где, кто имеет доступ), отдельно выделив биометрию и специальные категории; из этой карты вырастут и уведомление, и документы, и меры защиты.
Шаг 2: Уведомление Роскомнадзора
Уведомление о намерении обрабатывать персональные данные, обязательный шаг для большинства операторов. Подаётся оно онлайн через портал персональных данных Роскомнадзора, на pd.rkn.gov.ru, по электронной форме. Бумажный вариант тоже существует, но электронный быстрее и удобнее.
В уведомлении указывают сведения об операторе (полное название, ОГРН и ИНН, юридический адрес, контакты), цели обработки персональных данных, категории данных и субъектов, перечень действий с данными и описание мер защиты. После подачи Роскомнадзор вносит оператора в реестр, обычно в течение 30 дней. Важный момент: если данные из уведомления изменились (например, добавились новые цели обработки или системы), нужно подать обновлённое уведомление в течение 10 дней.
Главное здесь: подайте уведомление о обработке персональных данных онлайн на pd.rkn.gov.ru, через 30 дней вы попадёте в реестр операторов; при изменениях обновляйте уведомление в течение 10 дней.
Шаг 3: Обязательные документы
Документы, ядро соответствия 152-ФЗ. Именно их в первую очередь запрашивает Роскомнадзор при проверке. Минимальный комплект включает несколько обязательных бумаг.
Политика обработки персональных данных, главный публичный документ. Он объясняет, какие данные компания собирает, зачем, как обрабатывает, кому передаёт, сколько хранит и как защищает, а также описывает права субъектов (на доступ, изменение, удаление данных). Политика размещается на сайте в открытом доступе, обычно ссылкой «Политика конфиденциальности» в футере. Согласие на обработку персональных данных, документ или флажок, которым человек подтверждает, что разрешает обработку своих данных; на каждой форме сбора данных должна быть отметка о согласии и ссылка на политику. Приказ о назначении ответственного за организацию обработки персональных данных, внутренний документ, закрепляющий конкретного сотрудника. Плюс комплект внутренних регламентов: положение об обработке ПДн, перечень мест хранения, инструкции для сотрудников.
Составить документы можно тремя путями: самостоятельно по шаблонам (дёшево, но рискованно при ошибках), через юриста (надёжно, но дороже) или через специализированный сервис. Например, Б-152, один из лидеров рынка консалтинга по защите ПДн с 2011 года, резидент Сколково с лицензией ФСТЭК, предлагает и готовые пакеты документов, и аудит, и аутсорс функции ответственного за ПДн (DPO).
Главное здесь: обязательный минимум, политика обработки ПДн (публичная, в футере), согласия на каждой форме и приказ о назначении ответственного; документы можно сделать по шаблонам, через юриста или через специализированный сервис.
Согласие на обработку: как оформить правильно
Согласие, частый источник нарушений, потому что его оформляют формально. Между тем именно отсутствие или некорректность согласия, одна из главных причин претензий. Правильное согласие, конкретное, информированное и сознательное: человек должен понимать, кто, какие данные и зачем обрабатывает.
На практике это означает несколько правил. Галочка согласия не должна стоять заранее проставленной, пользователь ставит её сам. Рядом обязательна ссылка на политику обработки данных. Нельзя «зашивать» согласие на рекламную рассылку внутрь согласия на обработку — это отдельные согласия. Для специальных категорий и биометрии нужно отдельное письменное (или равнозначное электронное) согласие. И главное: согласие должно храниться, чтобы при проверке доказать, что оно было получено.
Главное здесь: согласие должно быть конкретным и не предзаполненным, с ссылкой на политику; рекламную рассылку и обработку оформляют отдельными согласиями, а для биометрии нужно отдельное согласие, и все согласия нужно хранить.
Уровни защищённости ИСПДн и технические меры
Документы закрывают юридическую сторону, но 152-ФЗ требует и реальной защиты данных. Объём технических мер зависит от уровня защищённости информационной системы персональных данных (ИСПДн). Постановление Правительства № 1119 определяет четыре уровня: чем чувствительнее данные и чем их больше, тем выше уровень и строже требования.
Конкретные меры защиты для каждого уровня описаны в приказе ФСТЭК № 21: это управление доступом, антивирусная защита, межсетевое экранирование, регистрация событий, контроль целостности, резервное копирование и другие. Для криптографической защиты (например, шифрования при передаче данных) действует приказ ФСБ № 378, который требует использовать сертифицированные средства. На практике для большинства небольших компаний, обрабатывающих обычные данные клиентов, достаточно базовых мер: антивирус, разграничение доступа, обновления, резервные копии. Антивирусная защита, одна из обязательных мер для большинства уровней.
«Главная ошибка при выборе мер, либо недооценить уровень и попасть на нарушение, либо переусердствовать и купить тяжёлые сертифицированные системы там, где они не нужны. Уровень защищённости определяется по постановлению 1119, исходя из типа данных и количества субъектов. Для интернет-магазина с обычными контактами клиентов, это, как правило, третий или четвёртый уровень, и там вполне достаточно штатных мер: антивирус, контроль доступа, шифрование канала. Сертифицированная криптография по ФСБ обязательна не всем».
— Роман Цветков, эксперт по технической защите информации, лицензиат ФСТЭК, Екатеринбург, опыт 15 лет.
Главное здесь: объём технических мер зависит от уровня защищённости ИСПДн (ПП № 1119, четыре уровня); меры описаны в приказе ФСТЭК № 21, криптография, в приказе ФСБ № 378, но для обычных данных клиентов хватает базовых мер (антивирус, доступ, шифрование канала, бэкапы).
Уведомление об утечке за 24 часа и локализация данных
Два требования, о которых часто забывают, но которые жёстко контролируются.
Первое, уведомление об утечке. Если произошла утечка персональных данных, оператор обязан уведомить Роскомнадзор в течение 24 часов о самом факте, и в течение 72 часов, о результатах внутреннего расследования. Само по себе несвоевременное уведомление, отдельное нарушение со штрафом 1-3 млн рублей, даже если с утечкой вы ни при чём по злому умыслу. Поэтому в компании заранее должен быть регламент: кто, кому и в какой срок сообщает об инциденте.
Второе, локализация данных. По закону персональные данные граждан России должны храниться и обрабатываться на серверах, расположенных на территории РФ. Это значит, что использовать зарубежные облака и сервисы для хранения данных российских клиентов рискованно: нужно убедиться, что первичная база данных находится в России. Это особенно важно при выборе CRM, хостинга и облачных сервисов.
Главное здесь: об утечке нужно уведомить РКН за 24 часа (и за 72 часа, о расследовании), иначе отдельный штраф; а персональные данные россиян должны храниться на серверах в России, проверяйте это при выборе CRM и облаков.
Что изменилось в 2025-2026 годах
Регулирование персональных данных за последние два года изменилось сильнее, чем за предыдущее десятилетие, и это главная причина пересмотреть отношение к 152-ФЗ.
Ключевое изменение, ужесточение штрафов. С 30 мая 2025 года (по ФЗ № 420-ФЗ) ответственность за утечки выросла в разы: первичный штраф за утечку, до 15 миллионов рублей (за биометрию, до 20 миллионов), а за повторное нарушение введён оборотный штраф, от 1 до 3% годовой выручки компании, но не менее 20 и не более 500 миллионов рублей. Отдельно выросли штрафы за обработку без согласия и за неуведомление об утечке. Кроме того, с 1 марта 2026 года вступил в силу ФЗ № 168-ФЗ, добавивший требования к информации для потребителей. Подробно последствия утечек и оборотные штрафы мы разбирали в обзоре кибербезопасности для бизнеса.
Главное здесь: с 30 мая 2025 штрафы за утечки выросли в разы (до 15-20 млн ₽ за первичную, оборотные 1-3% выручки за повторную), и формальное отношение к 152-ФЗ стало по-настоящему дорогим — это главная причина привести компанию в соответствие сейчас.
Сделать самому, через юриста или сервис
Привести компанию в соответствие можно тремя способами, и выбор зависит от размера бизнеса и чувствительности данных.
Самостоятельно по шаблонам. Подходит микробизнесу с простыми данными: скачать шаблоны политики и согласий, адаптировать под себя, подать уведомление. Дёшево, но есть риск ошибок, а шаблон из интернета может не учитывать вашу специфику. Через юриста или консультанта. Надёжнее: специалист проведёт аудит, подготовит документы под вашу реальность, поможет с уведомлением. Дороже, но снижает риски. Через специализированный сервис. Компании вроде Б-152 предлагают готовые пакеты, аудит, Privacy-сервисы и аутсорс функции ответственного за ПДн (DPO) — это компромисс между ценой и надёжностью, особенно если своего юриста по данным нет.
Универсального ответа нет: микробизнесу часто хватает аккуратной самостоятельной работы по шаблонам, а среднему и крупному бизнесу с большими базами данных лучше подключить профессионалов, потому что цена ошибки измеряется миллионами.
«152-ФЗ — это не разовый проект, а процесс. Подали уведомление, написали политику, и через год всё устарело: появились новые формы на сайте, сменился CRM, подключили новый сервис рассылок. Поэтому важно не только привести в соответствие, но и поддерживать: раз в год пересматривать карту данных, проверять согласия и обновлять уведомление при изменениях. Иначе бумаги есть, а реального соответствия нет, и при проверке это вскрывается сразу».
— Марина Ковалёва, ответственный за обработку персональных данных (DPO) в IT-компании, Санкт-Петербург, опыт 9 лет.
Главное здесь: микробизнесу с простыми данными хватит шаблонов, среднему и крупному, лучше юрист или специализированный сервис; цена профессиональной помощи несопоставима с размером штрафа за нарушение.
5 типичных ошибок в работе с 152-ФЗ
Ошибка 1: «Мы слишком маленькие, закон не про нас»
Что не так: оператором ПДн становится любой бизнес с формой на сайте или базой клиентов. Размер компании не освобождает от 152-ФЗ и от штрафов.
Что делать: провести инвентаризацию данных, подать уведомление в РКН, оформить минимальный комплект документов, даже если вы ИП или микробизнес.
Ошибка 2: «Скачали политику из интернета и забыли»
Что не так: чужой шаблон не отражает, какие данные собираете именно вы и зачем. Несоответствие политики реальным процессам, нарушение, которое легко выявляется при проверке.
Что делать: адаптировать политику под свою карту данных, указать реальные цели, сроки и категории; обновлять при изменении процессов.
Ошибка 3: «Галочка согласия стоит по умолчанию»
Что не так: предзаполненное согласие не считается полученным. Плюс нельзя смешивать согласие на обработку и на рекламную рассылку — это разные согласия.
Что делать: пользователь ставит галочку сам, рядом, ссылка на политику; рассылку и обработку оформлять отдельными согласиями и хранить их.
Ошибка 4: «Храним данные клиентов в зарубежном облаке»
Что не так: персональные данные россиян должны храниться на серверах в РФ. Зарубежный CRM или облако как первичная база данных, нарушение требования локализации.
Что делать: проверить, где физически хранятся данные; для первичной базы выбирать решения с серверами в России.
Ошибка 5: «Если будет утечка, разберёмся потом»
Что не так: об утечке нужно уведомить РКН за 24 часа. Без готового регламента компания не успевает, и несвоевременное уведомление становится отдельным штрафом 1-3 млн ₽.
Что делать: заранее прописать регламент реагирования на инцидент: кто, кому и в какой срок сообщает, как фиксируется факт утечки.
Чек-лист соответствия 152-ФЗ
Вывод
Соответствие 152-ФЗ перестало быть формальностью: после ужесточения штрафов в 2025 году утечка персональных данных грозит суммами до 15-20 миллионов рублей, а повторная, оборотным штрафом до 3% выручки. При этом базовое соответствие выстраивается по понятному алгоритму. Начните с инвентаризации, поймите, какие данные у вас есть и где они хранятся. Подайте уведомление в Роскомнадзор через pd.rkn.gov.ru. Оформите обязательные документы: публичную политику обработки данных, корректные согласия на формах, приказ о назначении ответственного. Реализуйте технические меры по уровню защищённости ИСПДн, для большинства компаний это базовый набор: антивирус, разграничение доступа, шифрование канала и резервные копии. Убедитесь, что данные россиян хранятся в России, и заранее пропишите регламент уведомления об утечке за 24 часа. Микробизнесу часто достаточно аккуратной самостоятельной работы, среднему и крупному лучше подключить юриста или специализированный сервис вроде Б-152. Главное, не откладывать: привести компанию в соответствие заранее всегда дешевле, чем платить штраф после проверки или утечки.
Источники
🏛 Официальные ресурсы
- pd.rkn.gov.ru, портал персональных данных Роскомнадзора: электронная форма уведомления
- КонсультантПлюс, текст Федерального закона № 152-ФЗ «О персональных данных»
- КонсультантПлюс, новые штрафы за персональные данные с 30 мая 2025
📰 Практические руководства
- Клерк, полный перечень обязательных документов по ФЗ-152 в 2026
- Клерк, регистрация в РКН и уведомление Роскомнадзора в 2026
- b-152.ru, сервисы и услуги по защите персональных данных
