Чек-лист 152-ФЗ: 45 обязательных требований к защите персональных данных

Чек-лист 152-ФЗ: проверьте свою компанию за 1 час#

Раздел 1. Организационные меры (ст. 18.1 152-ФЗ)#

1. Назначен ответственный за организацию обработки персональных данных#

Где указано: ст. 22.1 152-ФЗ
Пояснение: В компании должно быть лицо (или подразделение), отвечающее за соблюдение законодательства о ПДн. Назначается приказом руководителя.
Как проверить: Наличие приказа о назначении ответственного.
Статус: ⬜

2. Издана Политика в отношении обработки персональных данных#

Где указано: ст. 18.1, ч. 2 152-ФЗ
Пояснение: Документ, определяющий цели, способы, сроки обработки ПДн, категории субъектов, меры защиты. Должен быть общедоступен (на сайте).
Как проверить: Наличие документа, дата утверждения, размещение на сайте.
Статус: ⬜

3. Утверждено Положение об обработке персональных данных#

Где указано: ст. 18.1 152-ФЗ
Пояснение: Внутренний документ, регламентирующий все процессы обработки ПДн в компании (сбор, хранение, уничтожение, доступ).
Как проверить: Наличие утвержденного положения.
Статус: ⬜

4. Разработаны формы согласий на обработку персональных данных#

Где указано: ст. 9 152-ФЗ
Пояснение: Для каждой цели обработки должно быть отдельное согласие, соответствующее требованиям закона (конкретное, информированное, сознательное).
Как проверить: Наличие форм согласий для сотрудников, клиентов, кандидатов, посетителей сайта.
Статус: ⬜

5. Определены цели обработки персональных данных#

Где указано: ст. 5 152-ФЗ
Пояснение: Цели должны быть конкретными, законными и соответствовать полномочиям оператора. Нельзя собирать данные “на всякий случай”.
Как проверить: Наличие документа, где перечислены все цели (трудовые отношения, оказание услуг, маркетинг и т.д.).
Статус: ⬜

6. Установлены сроки обработки и хранения персональных данных#

Где указано: ст. 5, ч. 7 152-ФЗ
Пояснение: ПДн должны храниться не дольше, чем этого требуют цели обработки. Сроки определяются законодательством или договором.
Как проверить: Наличие политики сроков хранения (например, в Положении).
Статус: ⬜

7. Определен порядок уничтожения персональных данных при достижении целей#

Где указано: ст. 5, ч. 7 152-ФЗ
Пояснение: Должен быть регламент, как и когда уничтожаются данные (акты уничтожения, очистка носителей).
Как проверить: Наличие инструкции по уничтожению, актов уничтожения (если было).
Статус: ⬜

8. Утвержден перечень лиц, имеющих доступ к персональным данным#

Где указано: ст. 18.1 152-ФЗ
Пояснение: Список сотрудников, которым для выполнения обязанностей необходим доступ к ПДн.
Как проверить: Наличие утвержденного перечня.
Статус: ⬜

9. С сотрудниками, обрабатывающими ПДн, подписаны соглашения о неразглашении#

Где указано: ст. 18.1 152-ФЗ
Пояснение: В трудовой договор или отдельное обязательство должно быть включено условие о конфиденциальности ПДн.
Как проверить: Наличие подписанных обязательств у всех сотрудников с доступом.
Статус: ⬜

10. Проведено ознакомление работников с требованиями законодательства о ПДн#

Где указано: ст. 18.1 152-ФЗ
Пояснение: Сотрудники должны знать свои обязанности и ответственность. Проводится инструктаж или обучение под роспись.
Как проверить: Журналы инструктажа, листы ознакомления.
Статус: ⬜

11. Осуществляется внутренний контроль соответствия обработки ПДн#

Где указано: ст. 18.1 152-ФЗ
Пояснение: Периодические проверки соблюдения требований, ревизия документов, контроль доступа.
Как проверить: Наличие графика проверок, актов внутреннего контроля.
Статус: ⬜

12. Проведена оценка вреда, который может быть причинен субъектам ПДн#

Где указано: ст. 18.1 152-ФЗ
Пояснение: Оценка последствий в случае нарушения безопасности ПДн (утечка, искажение, блокирование).
Как проверить: Наличие документа с оценкой рисков.
Статус: ⬜

13. Определены места хранения материальных носителей ПДн#

Где указано: ст. 18.1 152-ФЗ, Приказ ФСТЭК № 21
Пояснение: Где физически находятся документы, диски, флешки с ПДн. Должен быть контроль доступа к этим местам.
Как проверить: Наличие перечня мест хранения, инструкции по доступу.
Статус: ⬜

Раздел 2. Уведомление Роскомнадзора (ст. 22 152-ФЗ)#

14. Подано уведомление об обработке персональных данных в Роскомнадзор#

Где указано: ст. 22 152-ФЗ
Пояснение: До начала обработки ПДн оператор обязан уведомить РКН. Исключения — трудовые отношения, данные только для входа на сайт и др.
Как проверить: Копия уведомления с отметкой о принятии (или скриншот из личного кабинета на Госуслугах).
Статус: ⬜

15. Уведомление содержит актуальные сведения#

Где указано: ст. 22 152-ФЗ
Пояснение: Если изменились сведения (адрес, цели, категории данных), нужно подать новое уведомление в течение 10 дней.
Как проверить: Сравнить текущую деятельность с данными в уведомлении.
Статус: ⬜

16. Уведомление подано в электронном виде через Госуслуги или на бумаге#

Где указано: Приказ Роскомнадзора № 18
Пояснение: Форма уведомления утверждена. Можно подать через портал Госуслуг или почтой.
Как проверить: Наличие подтверждения отправки.
Статус: ⬜

Раздел 3. Согласие на обработку ПДн (ст. 9 152-ФЗ)#

17. Согласие на обработку ПДн получено до начала сбора данных#

Где указано: ст. 9 152-ФЗ
Пояснение: Согласие должно быть предварительным. Нельзя собрать данные, а потом спросить разрешение.
Как проверить: Аудит форм сбора данных (сайт, анкеты, договоры).
Статус: ⬜

18. Согласие содержит все обязательные реквизиты#

Где указано: ст. 9, ч. 4 152-ФЗ
Пояснение: ФИО, адрес, номер документа, дата, подпись — для физлиц. Для оператора — наименование, ИНН, адрес. Также цели, перечень данных, срок действия, порядок отзыва.
Как проверить: Форма согласия должна соответствовать требованиям.
Статус: ⬜

19. Согласие на сайте получено через активное действие (не предустановленная галочка)#

Где указано: Разъяснения Роскомнадзора
Пояснение: Чекбокс не должен быть отмечен по умолчанию. Пользователь сам ставит галочку.
Как проверить: Проверить форму подписки/обратной связи на сайте.
Статус: ⬜

20. Отдельное согласие на передачу данных третьим лицам#

Где указано: ст. 9 152-ФЗ
Пояснение: Если данные передаются партнерам, курьерским службам, в бухгалтерию — нужно отдельное согласие или пункт в общем согласии.
Как проверить: Наличие такого согласия, если передача есть.
Статус: ⬜

21. Отдельное согласие на трансграничную передачу#

Где указано: ст. 12 152-ФЗ
Пояснение: Если данные отправляются за пределы РФ (в страны, не обеспечивающие адекватную защиту), требуется отдельное письменное согласие.
Как проверить: Наличие согласия, если такая передача есть.
Статус: ⬜

22. Отдельное согласие на обработку биометрических данных#

Где указано: ст. 11 152-ФЗ
Пояснение: Для сбора биометрии (фото, отпечатки, голос) нужно отдельное письменное согласие.
Как проверить: Наличие согласия, если биометрия собирается.
Статус: ⬜

23. Отдельное согласие на обработку специальных категорий#

Где указано: ст. 10 152-ФЗ
Пояснение: Раса, национальность, политические взгляды, религия, здоровье, интимная жизнь — только с письменного согласия и в исключительных случаях.
Как проверить: Наличие согласия, если такие данные обрабатываются.
Статус: ⬜

24. Обеспечена возможность отзыва согласия#

Где указано: ст. 9, ч. 2 152-ФЗ
Пояснение: Субъект должен иметь возможность отозвать согласие (кнопка в личном кабинете, форма на сайте, email).
Как проверить: Наличие инструкции по отзыву, работающей формы.
Статус: ⬜

Раздел 4. Права субъектов ПДн (ст. 14-17 152-ФЗ)#

25. Разработан порядок ответа на запросы субъектов#

Где указано: ст. 14 152-ФЗ
Пояснение: Регламент, как обрабатываются запросы граждан о предоставлении информации, уточнении, блокировании, уничтожении данных.
Как проверить: Наличие инструкции или раздела в Положении.
Статус: ⬜

26. Ведется журнал учета обращений субъектов ПДн#

Где указано: Рекомендации Роскомнадзора
Пояснение: Фиксируются все запросы, даты поступления, ответы, отметки об исполнении.
Как проверить: Наличие журнала (бумажного или электронного).
Статус: ⬜

27. Соблюдаются сроки ответа на запросы (30 дней)#

Где указано: ст. 20 152-ФЗ
Пояснение: Ответ на запрос субъекта должен быть дан в течение 30 дней с возможностью продления еще на 30 дней с уведомлением.
Как проверить: Проверить даты в журнале обращений.
Статус: ⬜

28. Обеспечена возможность уточнения (изменения) данных#

Где указано: ст. 14 152-ФЗ
Пояснение: Если данные изменились, субъект может потребовать уточнить их. Должен быть канал для таких запросов.
Как проверить: Наличие формы или email для обращений.
Статус: ⬜

29. Обеспечена возможность блокирования и уничтожения данных#

Где указано: ст. 14 152-ФЗ
Пояснение: При отзыве согласия или достижении целей данные должны быть заблокированы и уничтожены.
Как проверить: Наличие процедуры блокировки/уничтожения, актов уничтожения.
Статус: ⬜

Раздел 5. Технические меры защиты (ст. 19 152-ФЗ, приказы ФСТЭК)#

30. Проведена классификация информационной системы персональных данных (ИСПДн)#

Где указано: Постановление Правительства № 1119
Пояснение: Определен уровень защищенности ИСПДн (УЗ-1, УЗ-2, УЗ-3, УЗ-4) в зависимости от категорий данных и количества субъектов.
Как проверить: Наличие Акта классификации ИСПДн.
Статус: ⬜

31. Определены актуальные угрозы безопасности ПДн#

Где указано: Постановление Правительства № 1119, ФСТЭК
Пояснение: Разработана модель угроз (с учетом типа системы — типовая или специальная).
Как проверить: Наличие документа “Модель угроз безопасности ПДн”.
Статус: ⬜

32. Внедрены средства антивирусной защиты#

Где указано: Приказ ФСТЭК № 21
Пояснение: На всех устройствах, где обрабатываются ПДн, должно быть установлено антивирусное ПО с регулярным обновлением баз.
Как проверить: Наличие антивируса на серверах и рабочих станциях.
Статус: ⬜

33. Используются средства межсетевого экранирования#

Где указано: Приказ ФСТЭК № 21
Пояснение: Должен быть фаервол (программный или аппаратный), ограничивающий доступ к сетям, где обрабатываются ПДн.
Как проверить: Настройки файервола, наличие правил.
Статус: ⬜

34. Обеспечена регистрация и учет действий с ПДн#

Где указано: Приказ ФСТЭК № 21
Пояснение: Должны логироваться события: вход в систему, доступ к базам, изменение прав. Логи хранятся не менее 1 месяца.
Как проверить: Наличие настроенного аудита, просмотр логов.
Статус: ⬜

35. Настроено резервное копирование баз данных с ПДн#

Где указано: Приказ ФСТЭК № 21
Пояснение: Регулярное резервное копирование, возможность восстановления. Копии должны храниться отдельно.
Как проверить: Наличие расписания бэкапов, отчетов о восстановлении.
Статус: ⬜

36. Используется шифрование при передаче ПДн по открытым каналам#

Где указано: ст. 19 152-ФЗ
Пояснение: Если данные передаются через интернет (формы на сайте, email), каналы должны быть защищены (HTTPS, VPN).
Как проверить: Наличие SSL-сертификата на сайте, использование VPN для удаленного доступа.
Статус: ⬜

37. Обеспечен контроль целостности ПО и данных#

Где указано: Приказ ФСТЭК № 21
Пояснение: Проверка, что ПО и данные не были модифицированы несанкционированно.
Как проверить: Наличие настроек контроля целостности (в антивирусах, СЗИ).
Статус: ⬜

38. Реализована идентификация и аутентификация пользователей#

Где указано: Приказ ФСТЭК № 21
Пояснение: Каждый пользователь имеет уникальный логин/пароль. Требования к сложности паролей (длина, смена).
Как проверить: Политика паролей, настройки домена.
Статус: ⬜

39. Разграничены права доступа к ПДн#

Где указано: Приказ ФСТЭК № 21
Пояснение: Пользователи имеют доступ только к тем данным, которые необходимы для работы (ролевая модель).
Как проверить: Настройки прав в ОС, БД, CRM.
Статус: ⬜

40. Обеспечена физическая защита носителей и серверов#

Где указано: Приказ ФСТЭК № 21
Пояснение: Серверные помещения закрыты, доступ по пропускам, видеонаблюдение, сигнализация.
Как проверить: Наличие замков, системы доступа, журналов посещения.
Статус: ⬜

41. Используются средства защиты информации, прошедшие оценку соответствия#

Где указано: ст. 19 152-ФЗ
Пояснение: Для государственных ИС или при обработке специальных категорий — только сертифицированные ФСТЭК/ФСБ средства. Для коммерческих организаций — обязательно наличие документов на СЗИ.
Как проверить: Наличие сертификатов или документов на используемое ПО.
Статус: ⬜

Раздел 6. Документы по защите ПДн (локальные акты)#

42. Разработана Инструкция по антивирусной защите#

Где указано: Методические документы ФСТЭК
Пояснение: Порядок установки, обновления антивирусов, действий при обнаружении вирусов.
Как проверить: Наличие инструкции.
Статус: ⬜

43. Разработана Инструкция по резервному копированию#

Где указано: Методические документы ФСТЭК
Пояснение: Что копируется, как часто, где хранится, как восстанавливать.
Как проверить: Наличие инструкции.
Статус: ⬜

44. Разработан План мероприятий по защите ПДн#

Где указано: Рекомендации ФСТЭК
Пояснение: План на год: обучение, проверки, закупка средств защиты, аудит.
Как проверить: Наличие плана с сроками и ответственными.
Статус: ⬜

45. Разработана Политика использования сети Интернет и электронной почты#

Где указано: Рекомендации
Пояснение: Как сотрудники могут использовать интернет, почту, мессенджеры для работы, чтобы не допустить утечек.
Как проверить: Наличие документа, ознакомление сотрудников.
Статус: ⬜

Итоговая таблица результатов#

Рекомендации по результатам#

Приложение. Ссылки на нормативные документы#