Как бизнесу соблюдать 152-ФЗ о персональных данных

О чем 152-ФЗ и почему его ужесточили в 2025 году

Закон о персональных данных был принят еще в 2006 году: он защищает права человека при обработке его персональных данных, гарантируя конфиденциальность и неприкосновенность частной жизни.

152-ФЗ «О персональных данных» определяет:

1. что считать персональными данными
2. кто является оператором персональных данных
3. как собирать, хранить, обрабатывать и передавать персональные данные
4. какие права есть у граждан, чьи данные используются
5. и какая ответственность наступает при нарушении правил.

В 2025 году закон ужесточили. Это связано с растущим количеством утечек и активной деятельностью хакеров. По данным Роскомнадзора, только за I полугодие из-за утечек в открытом доступе оказались 39 млн записей о пользователях.

Новые поправки усилили ответственность бизнеса за утечку персональных данных. Так государство стремится снизить количество инцидентов и заставить операторов данных относиться к их защите так же серьёзно, как к финансовым и юридическим обязательствам.

Что изменилось в 152-ФЗ в этом году:

• Штрафы за утечку персональных данных выросли в разы.
• Санкции стали дифференцированными: чем крупнее масштаб утечки, тем выше наказание.
• Введены дополнительные меры воздействия, включая возможность блокировки отдельных сервисов или ресурсов организации.
• Данные должны храниться и обрабатываться исключительно на территории России.
• Упрощен механизм привлечения к ответственности операторов данных.

За нарушение закона бизнес может получить как предписание (если ошибки найдены впервые), так и крупный штраф. Регуляторы вправе приостановить деятельность компании, заблокировать доступ к ресурсам, где собираются данные, взять организацию под особый контроль и назначить компенсации. А за особо тяжкие нарушения должностные лица могут быть привлечены к уголовной ответственности.

Какие данные попадают под действие закона и кто является оператором персональных данных

Персональные данные — это любая информация, которая прямо или косвенно позволяет идентифицировать человека:

• Основные сведения: ФИО, дата и место рождения, паспортные данные, адреса регистрации и проживания
• Контакты: номер телефона, e-mail, логины в мессенджерах
• Финансовая информация: реквизиты банковских карт, счета, история транзакций
• Медицинские данные: диагнозы, результаты анализов, сведения о состоянии здоровья
• Онлайн-данные: IP-адрес, cookies, данные о поведении на сайте, заказах и покупках, геолокация
• Документы: водительские права, СНИЛС, ИНН, чеки покупок

Бизнес обязан законно использовать персональные данные не только клиентов и покупателей, но и сотрудников, контрагентов, а также данные, собранные с помощью cookies.

152-ФЗ касается каждого, кто работает с клиентами. Если вы принимаете заказы на сайте, ведёте рассылку, храните базу покупателей, то вы автоматически становитесь оператором персональных данных и попадаете под действие закона.

Требования действуют не только для крупных корпораций, но и для малого бизнеса: ИП и самозанятых. Неважно, сколько у вас сотрудников или клиентов — десять или тысяча. Главное, что вы собираете, храните или используете их информацию.

Например, ИП Пирожков владеет небольшой пекарней. У него есть сайт, где можно оформить заказ и указать имя, телефон, адрес доставки. Все заявки с сайта автоматически попадают в базу клиентов, доступ к которой имеют три сотрудника. А это значит, что ИП Пирожков — оператор персональных данных, т.к. собирает, хранит и использует данные для звонков и рассылки уведомлений.

Как бизнесу работать с персональным данными: пошаговая инструкция

Для бизнеса важно не только корректно собирать данные, но и правильно их обрабатывать — хранить, передавать и защищать.

Закон требует соблюдать несколько принципов:

• Согласие. Человек должен понимать, зачем вы берёте его данные. Если он оформляет заказ или подписывается на рассылку, рядом должна быть форма согласия, в которой прописано, с какой целью вы собираете данные.
• Ограниченность. Собирайте только то, что действительно нужно для работы. Если вы продаёте кофе на вынос, паспорт клиента точно не нужен.
• Безопасность. Данные должны храниться и передаваться по защищённым каналам. Например, доступ к клиентской базе лучше организовать через VPN и хранить её на виртуальном сервере с надёжной защитой.
• Прозрачность. У клиента всегда есть право узнать, как используются его данные и по запросу удалить их.

Чтобы избежать рисков, связанных с нарушениями обработки персональных данных, важно наладить системный процесс — от сбора данных до их хранения и удаления. Дальше пошагово разберем, что нужно сделать бизнесу перед тем, как начать собирать персональные данные.

Шаг 1. Определите, какие данные вы будете собирать

Собирайте только то, что действительно необходимо, например, e-mail для рассылки или телефон для доставки.

Разделите данные на категории: общие (ФИО, телефон, e-mail), специальные (здоровье, биометрия) и чувствительные (финансовая информация).

Шаг 2. Определите, где будут храниться данные

Настройте безопасную инфраструктуру для хранения данных. Они должны быть защищены не только юридически, но и технически.

Например, хранить данные можно на виртуальных серверах с резервным копированием и системой контроля доступа. Это исключит утечку информации при сбое оборудования или потере устройств.

Шаг 3. Подготовьте необходимые документы

Роскомнадзор дал примерный перечень документов, которые нужны для работы с персональными данными: уведомление и политика об обработке персональных данных, согласие на обработку персональных данных, регламент по доступу к персональным данным и другие.

Шаг 4. Опубликуйте на сайте политику об обработке данных

Это документ, который открыто сообщает, какие данные и с какой целью вы собираете, где храните, как обрабатываете и кому передаёте.

Шаг 5. Подготовьте согласие на обработку персональных данных для клиентов и сотрудников

Оно должно быть добровольным, информированным и конкретным. Пользователь должен знать, кто собирает данные, зачем и как долго их будут хранить. Согласие может быть электронным в виде чекбокса на сайте или бумажным — подпись в анкете.

Шаг 6. Назначьте ответственного за работу с персональными данными

Обычно это сотрудник отдела безопасности или юрист. Его задача — следить, чтобы бизнес соблюдал все правила.

Также подготовьте журнал лиц, допущенных к обработке персональных данных.

Шаг 7. Обеспечьте конфиденциальность и безопасность данных

• Ограничьте доступ к базам данных. Предоставляйте его только тем сотрудникам, которым данные нужны для работы.
• Ведите записи о том, кто и когда получал доступ к данным.
• Применяйте средства защиты информации: шифрование, лицензионное ПО, антивирусы, двухфакторная аутентификация.
• Регулярно обновляйте пароли и доступы к учётным записям. Используйте только сложные пароли.

Шаг 8. Уведомите Роскомнадзор

Если бизнес обрабатывает персональные данные систематически, а не только для трудовых отношений или исполнения разового договора, то он обязан уведомить об этом регулятора.

Если бизнес вовремя не сообщил в Роскомнадзор об утечке персональных данных, то может получить штраф:

• 50 000 – 100 000 рублей для физлиц
• 400 000 – 800 000 рублей для должностных лиц и ИП
• 1 000 000 – 3 000 000 рублей для юрлиц

Шаг 9. Обучите сотрудников

Обученные сотрудники и постоянный мониторинг (SOC) помогают поддерживать безопасность на уровне и вовремя реагировать на угрозы.

• Проведите инструктаж, как обращаться с персональными данными, чего нельзя делать, например, копировать базы на личные устройства.
• Регулярно проводите учения и тестовые сценарии кибератак и утечки данных.
• Дайте сотрудникам основные правила информационной безопасности и инструкцию о том, что нужно делать при утечке ПДн.

Коротко о главном

• Закон № 152-ФЗ обязателен для всех, кто собирает и хранит данные клиентов, сотрудников или партнёров — независимо от размера бизнеса.
• С 2025 года требования к защите персональных данных стали строже. Проверки бизнеса стали регулярными, а штрафы за нарушения могут достигать десятков миллионов рублей.
• Персональные данные — это любая информация, по которой можно определить человека: e-mail, IP-адрес, фото, история обращений.
• Контроль над данными начинается с инвентаризации: важно понимать, где и как хранится информация, кто имеет к ней доступ.
• Безопасная инфраструктура — основа защиты данных. Защищённый доступ, надёжное хранилище и регулярная проверка на уязвимости помогают снизить риски утечки.
• Документы и регламенты — обязательная часть системы. Они подтверждают, что компания действует по закону и может пройти проверку регуляторов с уверенностью и без паники.

Дом.ру Бизнес помогает бизнесу выстраивать технологии надёжных бизнес-связей — в том числе защищать данные, на которых эти связи держатся.

Если у вас есть сомнения в защищённости персональных данных и киберустойчивости бизнеса, обратитесь за помощью к нашим экспертам. Они помогут:

• Подготовить необходимые документы,
• Пройти проверки регуляторов,
• Выявить уязвимости в ИТ-инфраструктуре.