152-ФЗ для бизнеса: полный чек-лист соответствия 2026

Что такое 152-ФЗ и кого касается

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» регулирует сбор, хранение, обработку и передачу персональных данных физических лиц. Если ваша компания хранит хотя бы ФИО и email сотрудника или клиента — вы оператор персональных данных и обязаны соблюдать этот закон.

Распространённое заблуждение: «мы маленькая компания, нас это не касается». Касается. 152-ФЗ не делает исключений по размеру бизнеса. ИП с одним сотрудником и корпорация с 10 000 человек подчиняются одним и тем же требованиям. Разница только в масштабе внедрения.

Закон распространяется на любую обработку персональных данных: зарплатные ведомости, CRM-системы с контактами клиентов, формы обратной связи на сайте, cookie-файлы, данные из систем видеонаблюдения, биометрические данные для СКУД. Даже если вы передаёте обработку на аутсорс (например, облачная бухгалтерия), ответственность остаётся на вас как на операторе.

С 2025 года в закон внесены существенные изменения: ужесточены штрафы, введены оборотные штрафы за утечки, расширены полномочия Роскомнадзора по внеплановым проверкам. В 2026 году эти нормы работают в полном объёме, и практика применения уже сформировалась.

Штрафы за нарушение в 2026

С учётом поправок, вступивших в силу в 2025 году, штрафы за нарушения 152-ФЗ выросли в разы. Ниже — актуальная таблица:

Нарушение	Штраф для юрлиц	Штраф для должностных лиц
Обработка без согласия субъекта	300 000 – 700 000 ₽	100 000 – 300 000 ₽
Повторное нарушение обработки без согласия	1 000 000 – 1 500 000 ₽	500 000 – 800 000 ₽
Непредоставление политики обработки ПД	60 000 – 100 000 ₽	15 000 – 30 000 ₽
Необеспечение записи, систематизации, хранения ПД в РФ	2 000 000 – 6 000 000 ₽	200 000 – 500 000 ₽
Повторная локализация (хранение не в РФ)	6 000 000 – 18 000 000 ₽	500 000 – 800 000 ₽
Утечка персональных данных (первичная)	3 000 000 – 5 000 000 ₽	400 000 – 600 000 ₽
Утечка ПД (повторная или массовая, 100 000+ записей)	Оборотный штраф: 1-3% выручки (от 15 до 500 млн ₽)	До 2 000 000 ₽
Неуведомление Роскомнадзора об утечке	1 000 000 – 3 000 000 ₽	400 000 – 600 000 ₽

Внимание: Оборотные штрафы за утечки — это принципиально новый уровень ответственности. Для компании с выручкой 1 млрд рублей штраф может составить от 15 до 30 млн рублей. При этом суд учитывает наличие мер по защите данных: если компания докажет, что принимала разумные меры, штраф будет ближе к нижней границе.

Чек-лист: 12 шагов к соответствию

Этот чек-лист покрывает основные требования 152-ФЗ. Пройдите по каждому пункту и отметьте, что уже сделано, а что требует внимания.

1. Подайте уведомление в Роскомнадзор. Каждый оператор ПД обязан уведомить Роскомнадзор до начала обработки данных. Это делается через портал pd.rkn.gov.ru. Если вы работаете давно и не подавали — подайте сейчас. Штраф за отсутствие уведомления — до 5 000 ₽ для юрлица, но при проверке это первое, на что смотрят, и отсутствие уведомления автоматически ведёт к углублённой проверке.

2. Назначьте ответственного за обработку ПД. Приказом руководителя назначьте сотрудника, ответственного за организацию обработки персональных данных (ст. 22.1 152-ФЗ). Это может быть юрист, HR-директор или отдельный DPO. Ответственный должен быть указан в уведомлении Роскомнадзора.

3. Разработайте Политику обработки ПД. Документ должен быть опубликован на сайте и доступен любому посетителю. Политика описывает: какие данные собираете, цели обработки, сроки хранения, порядок уничтожения, права субъектов, меры защиты. Шаблонная политика из интернета не подойдёт — она должна отражать реальные процессы вашей компании.

4. Составьте Положение об обработке ПД. Внутренний документ, который детализирует процессы: кто имеет доступ к данным, как осуществляется передача третьим лицам, порядок реагирования на инциденты. Это ваш операционный документ, по которому работают сотрудники.

5. Подготовьте формы согласий. Для каждой цели обработки — отдельное согласие. Согласие должно быть конкретным, информированным и сознательным. Нельзя спрятать согласие в общие условия пользования мелким шрифтом. Для обработки биометрических данных и специальных категорий ПД — только письменное согласие.

Совет: Проведите аудит форм на сайте и в мобильном приложении. Каждая форма, где пользователь вводит данные (регистрация, подписка, обратная связь, заказ), должна содержать чекбокс с согласием и ссылку на Политику. Предзаполненные чекбоксы — нарушение.

6. Проведите аудит информационных систем. Составьте реестр всех систем, где хранятся ПД: CRM, ERP, бухгалтерия, почтовые серверы, облачные хранилища, HR-системы, системы видеонаблюдения. Для каждой системы определите: какие данные хранятся, объём, уровень защищённости, кто имеет доступ.

7. Определите уровень защищённости ПД. Согласно Постановлению Правительства РФ N 1119, существует 4 уровня защищённости. Уровень зависит от типа данных (общедоступные, специальные, биометрические, иные), количества субъектов и типа угроз. Большинство компаний попадают под 3-й или 4-й уровень, но если вы обрабатываете медицинские данные сотрудников — это может быть 2-й.

8. Внедрите технические меры защиты. В зависимости от уровня защищённости: антивирусная защита, межсетевые экраны, шифрование данных при передаче и хранении, системы обнаружения вторжений, резервное копирование, разграничение доступа. Для 1-го и 2-го уровней потребуются сертифицированные ФСТЭК средства защиты.

9. Обеспечьте локализацию данных. С 2015 года первичный сбор ПД граждан РФ должен осуществляться в базы данных на территории России. Это касается и облачных сервисов: если ваша CRM хостится на серверах AWS в Ирландии, вы нарушаете закон. Проверьте все SaaS-решения, которые используете.

Внимание: Требование локализации касается именно первичного сбора. Вы можете передавать данные за рубеж (трансграничная передача), но первоначальная запись должна происходить в российскую базу данных. Многие зарубежные SaaS-сервисы уже имеют российские ЦОДы — уточните у поставщика.

10. Подготовьте поручения на обработку. Если вы передаёте данные контрагентам (облачная бухгалтерия, call-центр, маркетинговое агентство), с каждым из них нужен договор поручения на обработку ПД (ст. 6 152-ФЗ). Договор должен содержать: перечень действий с данными, цели обработки, обязанности по защите, порядок уничтожения после окончания обработки.

11. Настройте процесс реагирования на инциденты. С 2025 года оператор обязан уведомить Роскомнадзор об утечке в течение 24 часов, а о результатах внутреннего расследования — в течение 72 часов. Подготовьте регламент: кто принимает сигнал, кто расследует, кто уведомляет регулятора, шаблон уведомления, план коммуникации с пострадавшими субъектами.

12. Обучите сотрудников. Все сотрудники, имеющие доступ к ПД, должны пройти обучение. Это не формальность — при проверке Роскомнадзор запрашивает подтверждение обучения. Проводите инструктаж при приёме на работу и ежегодное обновление знаний. Фиксируйте факт обучения в журнале.

Совет: Сохраните этот чек-лист и назначьте ответственного за каждый пункт. Установите дедлайны. Полное приведение в соответствие занимает от 2 недель (малый бизнес) до 3 месяцев (крупная компания с разветвлённой IT-инфраструктурой).

Типичные ошибки компаний

За время работы Юрист-8 проанализировал compliance-процессы более 400 компаний. Вот ошибки, которые встречаются чаще всего:

Формальная политика, не отражающая реальность. Компания скачала шаблон политики из интернета, опубликовала на сайте и считает вопрос закрытым. При проверке выясняется, что в политике указаны цели обработки, которых компания не осуществляет, а реальные цели (например, ретаргетинг в рекламных сетях) — не указаны. Это нарушение.

Согласие «на всё сразу». Одно согласие покрывает десять целей, включая передачу данных партнёрам для маркетинговых рассылок. Согласие должно быть конкретным для каждой цели. Если субъект согласился на обработку для исполнения договора, это не означает автоматического согласия на рассылку рекламы.

Забытые системы. Компания защитила основную CRM, но забыла про Google Sheets с контактами клиентов, которые ведёт отдел продаж, или про личные мессенджеры сотрудников, где обсуждаются заказы с персональными данными. Теневые IT-системы — самая частая точка утечки.

Отсутствие сроков хранения. Данные копятся годами без ротации. Закон требует уничтожать ПД, когда достигнута цель обработки. Если клиент не покупал у вас ничего 5 лет, хранить его ПД для «будущих продаж» незаконно, если нет отдельного согласия.

Несвоевременная реакция на запросы субъектов. Субъект имеет право запросить информацию о том, какие его данные вы обрабатываете, и потребовать их удаления. Ответить нужно в течение 10 рабочих дней (для запроса информации) или 30 дней (для прекращения обработки). Многие компании просто игнорируют такие запросы — это прямой путь к жалобе в Роскомнадзор.

Как подготовить документы

Минимальный пакет документов для соответствия 152-ФЗ включает:

Политика обработки персональных данных — публичный документ для сайта.
Положение об обработке ПД — внутренний регламент компании.
Приказ о назначении ответственного за обработку ПД.
Приказ об утверждении перечня ПД и лиц, имеющих доступ.
Формы согласий на обработку ПД (для каждой цели и категории субъектов).
Модель угроз — описание актуальных угроз безопасности ПД.
Акт определения уровня защищённости ПД.
Договоры поручения на обработку ПД с контрагентами.
Журнал учёта обращений субъектов ПД.
Регламент реагирования на инциденты безопасности.
План обучения сотрудников и журнал проведённых инструктажей.
Уведомление в Роскомнадзор — с подтверждением подачи.

Каждый документ должен быть адаптирован под специфику вашей компании. Шаблоны из интернета могут использоваться как основа, но потребуют серьёзной доработки. Важно, чтобы документы были согласованы между собой: перечень данных в политике должен совпадать с перечнем в положении и в уведомлении Роскомнадзора.

Роскомнадзор: что проверяют

Проверки Роскомнадзора бывают плановые и внеплановые. Плановые проводятся по ежегодному графику, который публикуется заранее на сайте ведомства. Внеплановые инициируются по жалобам субъектов или по факту утечки данных.

Типичный порядок проверки:

Запрос документов. Роскомнадзор запрашивает весь пакет: политику, положение, приказы, согласия, модель угроз, акт уровня защищённости. Документы нужно предоставить в течение 10 рабочих дней.
Анализ сайта. Проверяют наличие политики на сайте, корректность форм согласий, работу cookie-баннера, наличие ссылок на политику во всех формах сбора данных.
Проверка систем. Инспектор может запросить демонстрацию систем обработки ПД, проверить разграничение доступа, журналы аудита, средства защиты.
Проверка реестра. Сверяют данные из уведомления в Роскомнадзор с фактическими процессами. Расхождения — нарушение.
Опрос сотрудников. Могут опросить сотрудников, работающих с ПД, чтобы убедиться, что обучение проводилось и они знают порядок обработки.

Внимание: При внеплановой проверке по факту утечки Роскомнадзор имеет право запросить результаты внутреннего расследования, логи систем безопасности и доказательства уведомления пострадавших субъектов. Если компания не уведомила регулятора об утечке в течение 24 часов — это отдельное нарушение с отдельным штрафом.

Практический нюанс: проверяющие обращают внимание на «живость» документов. Если политика утверждена в 2020 году и ни разу не обновлялась, хотя за это время изменились и бизнес-процессы, и законодательство — это признак формального подхода. Актуализируйте документы хотя бы раз в год.

Как Юрист-8 помогает с compliance

Приведение в соответствие с 152-ФЗ — одна из самых востребованных услуг у наших клиентов. Вот как работает процесс:

Экспресс-аудит (1-3 дня). AI-система анализирует ваш сайт, публичные документы и отвечает на структурированный опросник о процессах обработки ПД. По итогам вы получаете gap-анализ: что уже соответствует закону, а что нет, с приоритизацией по степени риска.

Генерация документов (3-5 дней). На основе аудита AI формирует полный пакет документов, адаптированных под вашу компанию. Живой юрист проверяет каждый документ, вносит коррективы с учётом отраслевой специфики и актуальной практики Роскомнадзора.

Сопровождение внедрения. Юрист-8 предоставляет чек-лист внедрения с конкретными шагами для IT-отдела, HR, юристов и руководства. Через личный кабинет вы отмечаете выполненные пункты, а система напоминает о пропущенных дедлайнах.

Мониторинг изменений. Законодательство о персональных данных обновляется каждый год. AI-система отслеживает изменения и уведомляет вас, если новые нормы требуют корректировки ваших документов или процессов.

Совет: Не ждите проверки. Среднее время от жалобы субъекта в Роскомнадзор до начала проверки — 30-60 дней. Этого достаточно, чтобы привести документы в порядок, но недостаточно, чтобы выстроить процессы с нуля. Начните сейчас — запросите экспресс-аудит и узнайте, где ваши основные риски.

152-ФЗ — не формальность и не «бумажная» история. Оборотные штрафы за утечки превратили compliance из расходной статьи в страховку от катастрофических убытков. Для компании с выручкой 500 млн рублей один инцидент может стоить 15 млн штрафа, не считая репутационных потерь и оттока клиентов. Стоимость полного приведения в соответствие — от 50 000 до 500 000 рублей в зависимости от масштаба. Математика очевидна.