152-ФЗ для бизнеса: кому нужно, что делать и что будет, если не делать

Как современной компании привести работу с персональными данными в соответствие с 152-ФЗ. Разбираем, кого касается закон, какие документы оформить (с шаблонами), какое оборудование и софт использовать, а что категорически запрещено. Считаем риски и штрафы.

В 2025 году Роскомнадзор заблокировал 47 ресурсов за повторные утечки, а суммарные штрафы для бизнеса превысили 2,5 млрд рублей. Если вы думаете, что 152-ФЗ — это “бумажки для галочки”, вы рискуете не только деньгами, но и репутацией.

Разберем по шагам, как привести компанию в соответствие с законом, чтобы спать спокойно.

1. Кого касается 152-ФЗ: проверьте себя

Ответ вас удивит: всех, кто получает любые данные, по которым можно идентифицировать человека.

Категории субъектов ПДн

• Сотрудники — ФИО, паспорт, ИНН, СНИЛС, адрес, телефон, зарплата, фото.
• Клиенты (физлица) — имя, email, телефон, адрес доставки, платёжные данные.
• Кандидаты на вакансии — резюме, результаты собеседований.
• Контрагенты (ИП) — те же персональные данные, даже если это бизнес.
• Посетители сайта — если на сайте есть формы обратной связи, подписка, личный кабинет или даже простые cookie с рекламными идентификаторами.

Исключения

• Только ФИО и должность (без контактов) на сайте в разделе “Контакты”.
• Данные, обрабатываемые исключительно для личных нужд (ваша записная книжка).

Если вы собираете email для рассылки — вы оператор ПДн. Если у вас есть база сотрудников — вы оператор ПДн. Точка.

2. Что нужно сделать: пошаговый план для компании

Шаг 1. Назначьте ответственного

Приказом назначьте сотрудника (или отдел), ответственного за организацию обработки ПДн. Даже если у вас нет штатного специалиста по ИБ, кто-то должен отвечать за документы и контроль.

Шаг 2. Определите, какие данные и зачем вы собираете

Проведите аудит:

• Какие данные поступают? (ФИО, телефоны, паспортные данные, биометрия?)
• Откуда? (Сайт, офис, партнёры, открытые источники?)
• Зачем? (Трудовые отношения, оказание услуг, маркетинг, статистика?)
• Как долго храните?
• Передаёте ли кому-то? (Бухгалтерия, облачные сервисы, курьерские службы?)

На основе этого аудита вы поймёте, подпадаете ли вы под требования по категориям данных (специальные, биометрические, общедоступные).

Шаг 3. Подготовьте документы (самый большой блок)

Система документов должна доказывать, что вы:

• получили согласие на обработку;
• объяснили цели обработки;
• обеспечили защиту;
• никому не передаёте без нужды.

Шаг 4. Уведомите Роскомнадзор

По общему правилу, до начала обработки ПДн нужно подать уведомление в РКН. Есть исключения (трудовые отношения, данные только для входа на сайт и др.), но проще подать — это бесплатно и снижает риски.

Уведомление подаётся через портал Госуслуг или на сайте РКН.

Для проверки регистрации в реестре РНК перейдите по ссылке проверка в реестре и введите название компании, ИНН или ОГРН для поиска.

Для регистрации в реестре РНК перейдите на сайт Роскомнадзора и заполните электронное заявление на регистрацию в качестве оператора персональных данных подать заявление.

Шаг 5. Обеспечьте техническую защиту

В зависимости от категорий данных вам нужно:

• определить угрозы безопасности;
• внедрить организационные и технические меры;
• использовать сертифицированные средства защиты (если данные специальные или биометрические);
• контролировать доступ.

Шаг 6. Получите согласия

Проверьте все формы: договоры, анкеты, формы на сайте. Согласие должно быть конкретным, информированным и сознательным. Никаких “галочек по умолчанию”.

3. Список документов (с образцами)

Вот минимальный набор документов, который должен быть в компании:

Образцы (фрагменты)

Политика в отношении обработки ПДн (размещается на сайте)

1. Общие положения
   1.1. Настоящая Политика определяет порядок обработки персональных данных пользователей сайта https://strategyra.ru/ и меры по обеспечению их безопасности.
   1.2. Оператор обрабатывает персональные данные в целях:
      - заключения и исполнения договоров;
      - обратной связи с пользователями;
      - рассылки информационных материалов (с согласия).
   1.3. Обработка осуществляется с использованием средств автоматизации и без них.

Согласие на обработку ПДн (для сайта)

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, [ФИО], даю согласие [Название компании] (ИНН, ОГРН) на обработку моих персональных данных, а именно: фамилия, имя, отчество, номер телефона, адрес электронной почты.

Цель обработки: обратная связь по оставленной заявке, направление информации об услугах.

Способы обработки: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача (только в рамках достижения цели).

Настоящее согласие действует до момента его отзыва. Я уведомлен, что могу отозвать согласие письменным заявлением.

[Дата] [Подпись]

4. Перечень технических средств

Какое оборудование понадобится для соблюдения 152-ФЗ? Зависит от объёма данных.

Для малого бизнеса (минимальный уровень)

• Сервер или защищённое рабочее место — если данные хранятся локально.
• Межсетевой экран (фаервол) — чтобы отсечь внешние атаки.
• Антивирусная защита на всех рабочих станциях, где есть доступ к ПДн.
• Система резервного копирования — отдельный диск или облако с шифрованием.

Для среднего и крупного бизнеса (если данных много)

• Сертифицированные СКЗИ (средства криптографической защиты информации) — если передаёте данные по открытым каналам или храните в зашифрованном виде.
• SIEM-система для сбора событий безопасности.
• DLP-система для контроля утечек.
• Система обнаружения вторжений (IDS/IPS).
• Защищённый ЦОД или аттестованное серверное помещение.

Важно: если вы обрабатываете специальные категории (здоровье, биометрия, религия), техника должна быть сертифицирована ФСТЭК или ФСБ.

5. Программное обеспечение

Что можно и нужно использовать

Что запрещено категорически

Особое внимание: биометрия

Если вы собираете биометрию (фото для пропуска, голос, отпечатки), то обязаны использовать только государственную Единую биометрическую систему (ЕБС) или коммерческие системы, прошедшие сертификацию ФСБ России. С 2023 года требования ужесточились.

6. Ответственность за несоблюдение

Штрафы выросли серьёзно. Рассмотрим актуальные на 2026 год.

Административная ответственность (КоАП РФ)

Уголовная ответственность

Если утечка привела к тяжким последствиям или совершена из корыстных побуждений:

• ст. 137 УК РФ (Нарушение неприкосновенности частной жизни) — до 2 лет лишения свободы.
• ст. 183 УК РФ (Незаконные получение и разглашение коммерческой тайны) — до 7 лет.

Блокировка сайта

Роскомнадзор может заблокировать сайт за повторное неисполнение требований, особенно если на сайте обрабатываются ПДн без необходимых мер защиты.

Угроза репутации

После громких утечек (Яндекс.Еда, Delivery Club, СДЭК) компании теряли до 30% клиентов в последующие полгода. Публичный реестр утечек РКН никого не щадит.

7. Чек-лист: проверьте себя за 5 минут

• Назначен ответственный за ПДн (приказ).
• Утверждена и опубликована Политика обработки ПДн.
• Получены все необходимые согласия (в т.ч. на сайте, через галочку).
• Подано уведомление в Роскомнадзор (или проверено, что вы в исключениях).
• Определены категории обрабатываемых данных.
• Утверждён перечень лиц, имеющих доступ к ПДн.
• Настроены антивирусы и фаерволы.
• Проведена классификация информационных систем.
• Ежеквартально проверяется журнал обращений субъектов.
• Сотрудники подписали согласие и ознакомлены с инструкциями.

8. Как мы помогаем клиентам в ООО «Стратегия Ра»

В нашей практике compliance с 152-ФЗ — это не разовая акция, а встроенный процесс. Мы проводим:

• Аудит текущего состояния — находим “дыры” в документах и технике.
• Разработку документации — готовим полный пакет под ваш бизнес.
• Настройку средств защиты — от антивирусов до DLP и СКЗИ.
• Помощь в уведомлении РКН — заполняем и подаём.
• Обучение сотрудников — чтобы они не сливали данные в открытые чаты.
• Юридическое сопровождение при проверках.

9. Полезные ссылки