ПД (персональные данные) – сведения, помогающие прямо либо опосредованно распознать личность: имя, телефонный номер, история покупок, cookie-файлы, адрес электронной почты, паспорт.
Всякий раз при заполнении формы пользователем на сервисе или вводе информации о клиенте менеджером в CRM выполняется запуск обработки ПД.
Правовое регулирование оговаривается законом N 152-ФЗ от 27.07.2006 (ред. от 24.06.2025) «О персональных данных».
Российское законодательство становится жестче, мониторинг – тщательнее, а штрафные санкции – существеннее для бизнеса. В 2024–2026 гг. зарегистрированы новые проявления нарушений, РКН активизировал проверки.
Роскомнадзор оттачивал практические навыки и давал предписания в 2025. Регулятор переходит к санкционным действиям в 2026.
Измененные правила игры предполагают действие моратория на проверки, однако не исключают визит контролеров, если фирма входит в зону повышенного риска. Поэтому контролирующий орган при разработке плана проверок учитывает рискориентированный подход.
На сайте ФГИС ЕРКНМ можно уточнить, готовиться ли организации к инспекции.
В этой статье разберемся, какие изменения внесены в 152-ФЗ, как успешно пройти испытание и что грозит предприятию при провале.
Поправки в 152-ФЗ: основные действующие новшества
Многие фирмы ожидают указаний от федерального ведомства. Но дело в том, что сигнал прозвучал – в форме правок, начавших в 2025 работать официально.
С 30.05.2025 введены большие корректировки в КоАП (основание – закон № 420-ФЗ): административные взыскания в контексте персональных данных возросли от 5 до 50 раз, повысилось до 9 число особых видов нарушений, ликвидирована 50-процентрная скидка за досрочное гашение штрафа.
С 01.07.2025 запрещено хранить ПД российских граждан в БД за пределами РФ. Клауд-сервисы с иностранными хостингами, зарубежные CRM без русской локализации – грубое нарушение сейчас.
С 01.09.2025 одобрение на обработку ПД закрепляется отдельным документом. Теперь недостаточно прописать пункт о согласии в содержание договора либо оферты. Устаревшие схемы с зашитыми договоренностями в условия пользования сайтом утратили юридическую силу.
Оповещения об утечке: сутки без права на тайм-аут
Статья 21 № 152-ФЗ регламентирует сроки, когда оповещать о происшествии:
- 24 ч. – первоначальное извещение РКМ о факте слива (в произвольной форме на ведомственном сайте);
- 72 ч. – повторное информирование по материалам внутреннего разбирательства.
Главное – выполнять жесткое требование. Когда техническая команда будет в курсе о происшедшем от клиентов или из СМИ – идет отсчет времени.
Биометрические данные и трансграничный обмен: усиленный надзор
Пристальное внимание привлекает коммерческая обработка биометрии вне ЕБС (Единой биометрической системы). Компании, занимающиеся сбором такой информации (изображения для распознавания лиц, голосовые образцы) без официального допуска, рискуют столкнуться с нарушением.
Передача данных через государственную границу нуждается в заблаговременном информировании регулятора и может оказаться под запретом.
От формальных правил – к надежной защите
Обманчивое заблуждение организации – полная уверенность, что все в порядке при оформлении документации. При мониторинге госорган сопоставляет фактические процессы с заданными моделями в документах. Выявленные несостыковки означают нарушения.
Выясним, что изменяется для каждого отделения.
Отдел коммерции и маркетинга
Каналы связи, посадочные страницы с формой заявки, выборочные поля на портале – нуждаются в улучшении. Необходимо отделить разрешение на рассылку и одобрение на сбор персональной информации для взаимодействия по договору.
Одного чекбокса на все маловато.
IT-сотрудники и секьюрити
Суточный норматив предупреждения об утечке невыполним, если нет систем регистрации инцидентов. IPS/IDS-системы обнаруживают и предотвращают вторжения, а SIEM анализирует события безопасности.
Без этих инструментов компания не в состоянии зарегистрировать вовремя факт нарушения конфиденциальности. При этом сценарии невозможно передать масштабность, составить оповещение.
Допустим, что ночью проведен взлом БД. По силам ли вашей команде программистов за час обнаружить проблему, уточнить объем, составить извещение и переслать в Роскомнадзор? На все операции отводится 24 часа максимум.
Юридическая служба
Политика защиты конфиденциальности, одобрительные формы, договорные обязательства, сделки с операторами надо актуализировать.
Особый акцент на договоры-поручения, кому предприятие передает сведения (контакт-центры, аутсорсеры, агентства маркетинговых услуг): обязаны отвечать критериям ст. 6 закона № 152-ФЗ.
Руководители
Для должностных лиц увеличилась существенно ответственность на нарушение норм с 30.05.2025. Если нарушен порядок обработки, директору грозит штраф 200 тыс. руб. Крупномасштабная компрометация – это индивидуальная ответственность плюс публичные последствия.
Кому ждать в 2026 проверку регулятора
Постановление Правительства России от 05.09.2025 № 1286 указывает, что регулятор сфокусирован на рискориентированном механизме контроля. Каждому оператору ПД присваивается класс риска – от крайне высокого до низкого.
Лишь объекты, входящие в группу чрезвычайно высокого или высокого риска, проверяют в 2026 г. в плановом порядке – раз в два года либо навещают ежегодно в целях профилактики. Для остальных организаций нет контроля по плану. Зато внеплановые проверки есть постоянно.
Поводом для внепланового инспектирования послужит:
- обращение субъекта ПД (специалиста, клиента);
- сведения о взломе от третьих лиц и в массмедиа;
- более трех несовпадений между отметкой в реестровой записи операторов и сведениями на портале фирмы;
- невыполненные предписания Роскомнадзора;
- запрос правоохранительных органов.
Регулятор сообщает о внеплановом обследовании за 24 ч. Временами – вовсе не информирует, когда обнаружены признаки намеренного нарушения. У ведомства 20 рабочих дней, чтобы провести штатный контроль.
В категорию повышенного риска автоматически включают предприятия, что:
- обрабатывают биометрические либо специальные показатели;
- проводят трансграничную передачу;
- имеют опыт нарушений, пренебрегают предписаниями;
- ведут учет данных детей;
- пользуются зарубежными системами для сбора информации.
7 приемов, как подготовиться и пройти проверку с честью
Чтобы успешно выдержать испытание, потребуется тщательная подготовка. Это разработанная система, а не единовременная акция перед приходом инспектора.
В комплекс мероприятий входит:
- Инвентаризация баз ПД. Важно указать, какая и где хранится информация, почему проводится ее обработка и кому выполняется передача. Для каждого потока отдельно – юридическая подкладка.
- Актуализация документов. Политика конфиденциальности, формы одобрения, договор поручения, издание приказа о назначении ответственного лица за организацию обработки ПД – все отвечает редакции закона 152-ФЗ, работающей с 2025.
- Контроль локализации данных. Частичное хранение базы на иностранных серверах либо в облаке за пределами российской юрисдикции относится с 01.07.2025 к нарушениям правил.
- Оценка цифрового контура и техзащиты. Проверяющие анализируют, имеются ли сертифицированные средства информационной защиты, а также системы обнаружения угроз. Смотрят, как ведется журнал инцидентов безопасности. Суточный норматив без технической поддержки физически нереален.
- Внедрение или донастройка SIEM. Инструмент регистрации и анализа событий разрешает оформить происшествие, установить объем, проинформировать в срок надзорный орган.
- Разработка алгоритма реагирования на инциденты и учеба персонала. Регламент утверждается приказом руководителя и эффективно работает, а не занимает место в папке. Все, работающие с ПД, обязаны знать, как действовать при инцидентах.
- Удостоверьтесь, насколько эффективны принимаемые меры, как прописано в п.4 ст.19 ФЗ 152.
Сколько стоят ошибки для нарушителей
Штрафной диапазон работает с 30.05.2025 (№ 420-ФЗ). Посмотрим, какая плата за просчеты для юрлиц.
Влияние на репутацию
Потеря данных приводит к штрафным санкциям, но это не единственное неприятное последствие. При разглашении информации организация обязана сообщить об этом пострадавшим субъектам ПД. Фиксация факта проводится в открытом реестре РКМ.
При этом возможна блокировка портала компании. Клиенты вместе с деловыми партнерами узнают из публикаций о компрометации, поэтому действуют решительно.
Для В2В-бизнесов, которые работают с корпоративной информацией, – это потеря доверия. Репутационный ущерб тяжелее монетизировать, в отличие от штрафа.
Контроль исполнения 152-ФЗ от RG-Soft: этапы работы
RG-Soft выполняет комплексный аудит, проверяя соблюдение требований 152-ФЗ. Многоэтапная работа приносит ощутимый эффект, проводится не ради пустой отчетности и показухи.
Аудиторская проверка документов и процессов
Изучаем разработанную документацию: политику защиты данных, приказы, договоры с обработчиками (подрядчиками), формы согласия. Сопоставляем с реальным ходом процессов в фирме. Устраняем разрывы – недостатки, которые инспекторы выявляют при рассмотрении.
Оценка технического состояния систем защиты
Изучаем, корректно ли отрегулированы IDS/IPS – средства мониторинга инцидентов, SIEM и DLP – системы для управления защитой и предохранения от утечек. Анализируем, обеспечивает ли инфраструктура
Проверяем наличие и настройку средств обнаружения инцидентов (IDS/IPS), систем SIEM и DLP (Data Loss Prevention — защита от утечки данных). Оцениваем, способна ли инфраструктура обеспечить выполнение временного стандарта.
Редактирование нормативных документов
Составляем либо перерабатываем документацию под действующую версию закона: политику безопасности данных, формы одобрения, руководство для специалистов, внутренние правила.
Чек-лист задач
На основании аудита планируем, как устранить недочеты. Указываем сроки, исполнителей, смету расходов. Только четкие указания и перечень выполнимых дел.
Практическое применение
Предписание надзорного органа – причина обращения региональной торговой компании к нашим сотрудникам.
В ходе контроля было обнаружено, что согласие оформлено некорректно (зашито в соглашения с покупателями), часть информации о кадрах хранится в Google Sheets, отсутствует регламент, как действовать при инцидентах.
Нам потребовалось 1.5 месяца, чтобы обновить формы, переместить данные на серверы в России, подготовить и согласовать регламент. О качестве выполненных процедур говорит повторный контроль – никаких нарушений и взысканий.
Новшества в 152-ФЗ и возросшие штрафы – это не формальность, а ключевой фактор регулирования рисков для всех предприятий. Надзор опирается соблюдение процедур по факту.
Поэтому для организаций актуален не просто документальный набор, а внедрение эффективно функционирующей системы информационной защиты.
Корректно разработанный и внедренный комплект документации – ключ к прохождению контроля и защите делового имиджа организации.
Не ожидайте, пока вашу компанию навестит инспекция. Закажите проверку в RG-Soft – мы учтем потенциальные риски, приведем документы в соответствие с 152-ФЗ, обозначим конкретную программу. Проконсультируем бесплатно по защите ПД.