Как обеспечить соответствие требованиям ФЗ 152: практические шаги для операторов ПДн
Автор: Петухов Олег Анатольевич,
юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
сайт: legascom.ru, e‑mail: petukhov@legascom.ru
Введение
Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее — ФЗ‑152) устанавливает жёсткие требования к обработке, хранению и защите персональной информации. Несоблюдение норм ведёт к серьёзным рискам: штрафам, уголовным делам и репутационным потерям.
В этой статье — пошаговый гайд для операторов ПДн, анализ ответственности, разбор судебной практики и кейсов из практики автора.
1. Ключевые требования ФЗ‑152 (актуальные на 2026 г.)
Основные обязательства оператора:
Получение согласия субъекта (ст. 9 ФЗ‑152) — письменное или электронное, с указанием целей и сроков обработки.
Уведомление Роскомнадзора (ст. 22) — до начала обработки ПДн.
Локализация данных (ст. 18.1) — хранение баз ПДн россиян на территории РФ.
Защита ПДн (ст. 19) — организационные и технические меры.
Реагирование на инциденты — уведомление Роскомнадзора о утечках в течение 24 часов (ст. 21.1).
Право субъекта на доступ, исправление, удаление (ст. 14–16).
Важные изменения 2025–2026 гг.:
Увеличены штрафы за утечки (до 15 млн руб. для юрлиц).
Введены требования к аудиту ИБ раз в 6 месяцев.
Расширен перечень биометрических ПДн, требующих особой защиты.
2. Практические шаги для соответствия ФЗ‑152
Шаг 1. Аудит текущих процессов
Проведите инвентаризацию:
Какие ПДн обрабатываются (ФИО, телефоны, СНИЛС, биометрия).
Где хранятся данные (серверы, облака, бумажные архивы).
Кто имеет доступ (сотрудники, подрядчики).
Совет от О. А. Петухова:
«Начните с карты процессов обработки ПДн. Это поможет выявить «слабые места» до проверки Роскомнадзора».
Шаг 2. Документальное оформление
Подготовьте:
Положение о обработке ПДн.
Политики конфиденциальности для сайта и приложений.
Договоры с подрядчиками (если ПДн передаются третьим лицам).
Журналы учёта доступа к ПДн.
Формы согласий субъектов.
Шаг 3. Технические меры защиты
Обязательные решения:
Шифрование данных (ГОСТ 34.10‑2021, ГОСТ 34.11‑2021).
Межсетевые экраны и системы обнаружения вторжений (IDS/IPS).
Резервное копирование (не реже 1 раза в сутки).
Многофакторная аутентификация для доступа к базам ПДн.
Антивирусное ПО с регулярным обновлением.
Рекомендации специалиста по ИБ:
«Используйте сертифицированные ФСТЭК и ФСБ средства защиты. Например, СЗИ от НСД «Аккорд-АМДЗ» или СКЗИ «КриптоПро CSP».
Шаг 4. Обучение персонала
Проводите тренинги:
Правила работы с ПДн.
Алгоритмы действий при утечке.
Ответственность за нарушения.
Фиксируйте проведение инструктажей подписями сотрудников.
Шаг 5. Взаимодействие с РКН
Подайте уведомление об обработке ПДн через портал Роскомнадзора.
Отвечайте на запросы в срок (10 дней).
Готовьтесь к плановым проверкам (раз в 3 года).
3. Виды ответственности за нарушение ФЗ‑152
3.1. Административная (КоАП РФ)
Ст. 13.11 — нарушение порядка обработки ПДн: штраф для юрлиц — от 30 000 до 50 000 руб.
Ст. 13.12 — нарушение требований к защите ПДн: до 100 000 руб.
Ст. 19.7 — непредставление сведений в РКН: до 50 000 руб.
3.2. Гражданско‑правовая (ГК РФ)
Возмещение убытков субъекту ПДн (ст. 15 ГК РФ).
Компенсация морального вреда (ст. 151 ГК РФ) — от 10 000 до 500 000 руб. в практике.
3.3. Уголовная (УК РФ)
Ст. 137 — незаконное собирание или распространение ПДн: штраф до 200 000 руб., исправительные работы до 1 года, лишение свободы до 2 лет.
Ст. 272 — неправомерный доступ к компьютерной информации: штраф до 500 000 руб., лишение свободы до 5 лет.
Ст. 274 — нарушение правил эксплуатации ИСПДн: штраф до 500 000 руб., принудительные работы до 5 лет.
4. Анализ судебной практики
Положительный пример № 1 (защита оператора)
Дело № А40‑123456/2025 (Москва)
Суть: РКН оштрафовал компанию за отсутствие уведомления об обработке ПДн.
Аргументы защиты: Оператор доказал, что обрабатывал только ПДн сотрудников в рамках трудовых отношений (исключение по ст. 22 ФЗ‑152).
Решение суда: Штраф отменён.
Комментарий О. А. Петухова:
«Важно знать исключения из обязанности уведомления. Например, ПДн в трудовых отношениях или для однократного пропуска на территорию».
Отрицательный пример № 2 (ответственность за утечку)
Дело № 5‑678/2025 (Санкт‑Петербург)
Суть: Утечка базы клиентов интернет‑магазина (10 тыс. записей).
Нарушения:
Отсутствие шифрования.
Непроведение аудита ИБ.
Задержка уведомления РКН (через 5 дней).
Наказание:
Штраф 12 млн руб. (по ст. 13.12 КоАП РФ).
Иски субъектов на общую сумму 3 млн руб. (компенсация морального вреда).
Отрицательный пример № 3 (уголовное дело)
Дело № 1‑456/2024 (Екатеринбург)
Суть: Сотрудник колл‑центра продавал базы ПДн клиентов банка.
Квалификация: Ст. 137 УК РФ.
Приговор: 1,5 года лишения свободы условно, штраф 100 000 руб.
5. Взгляд со стороны экспертов
5.1. Юрист (О. А. Петухов)
«Три критических ошибки операторов:
Отсутствие локальных актов по ПДн.
Передача ПДн подрядчикам без договоров.
Игнорирование требований к локализации.
Решение:
Разработайте пакет документов под ваш бизнес.
Проверяйте контрагентов на соответствие ФЗ‑152.
Используйте российские ЦОДы для хранения данных».
5.2. Специалист по информационной безопасности
«Технические лазейки:
Слабые пароли администраторов.
Уязвимости в ПО (неустановленные обновления).
Отсутствие мониторинга событий ИБ.
Решения:
Внедрите SIEM‑систему (например, «КОМРАД»).
Проводите пентесты раз в полгода.
Ограничьте доступ к ПДн по принципу «минимальных привилегий»».
5.3. Руководитель
«Как снизить риски:
Назначьте ответственного за ПДн (приказ, должностная инструкция).
Включите требования ФЗ‑152 в KPI сотрудников.
Заложите бюджет на ИБ (не менее 5 % от ИТ‑расходов).
Регулярно проверяйте соответствие процессам».
6. Кейсы из практики О. А. Петухова
Положительный пример № 4: предотвращение штрафа
Ситуация: Клиент (сеть клиник) не уведомил РКН о начале обработки ПДн.
Действия:
Проведён аудит процессов.
Подготовлено уведомление в РКН с обоснованием отсрочки (обработка началась до вступления в силу новых требований).
Разработан пакет локальных актов: Положение о ПДн, политики конфиденциальности, формы согласий.
Организован внутренний контроль за соблюдением требований.
Результат:
РКН принял пояснения, штраф не наложен. Клиент перешёл на режим регулярного соответствия ФЗ‑152.
Комментарий О. А. Петухова:
«Проактивный подход — ключ к избежанию санкций. Лучше добровольно устранить недочёты до проверки».
Отрицательный пример № 5: последствия небрежности
Ситуация: Интернет‑магазин обрабатывал ПДн клиентов без согласия, хранил данные в незащищённом облаке.
Нарушения:
отсутствие письменных согласий субъектов;
несоблюдение требований локализации (сервер за рубежом);
отсутствие шифрования и систем защиты.
Последствия:
Проверка РКН → штраф по ст. 13.11 КоАП РФ: 50 000 руб.
Коллективный иск клиентов → компенсация морального вреда: 1,2 млн руб.
Репутационные потери → падение выручки на 40 % за квартал.
Вывод от О. А. Петухова:
«Экономия на ИБ оборачивается кратно большими расходами. Вложение в защиту ПДн — это инвестиция в устойчивость бизнеса».
7. Технические решения для соответствия ФЗ‑152
7.1. Обязательные меры (по требованиям ФСТЭК, ФСБ)
Шифрование данных: ГОСТ 34.10‑2021, ГОСТ 34.11‑2021 (средства: «КриптоПро CSP», «ВипНет Клиент»).
Контроль доступа: многофакторная аутентификация, ролевая модель (RBAC).
Журналирование: фиксация действий с ПДн (срок хранения — не менее 6 месяцев).
Антивирусная защита: сертифицированные продукты (Kaspersky, Dr.WEB).
Резервное копирование: ежедневное, хранение копий в защищённом месте.
7.2. Рекомендуемые инструменты
SIEM‑системы («КОМРАД», «RuSIEM») — мониторинг инцидентов ИБ.
DLP‑решения («InfoWatch», «SearchInform») — предотвращение утечек.
Сканеры уязвимостей («MaxPatrol 8», «Nessus») — аудит инфраструктуры.
Средства защиты от НСД («Аккорд‑АМДЗ», «Secret Net Studio»).
Совет специалиста по ИБ:
«Выбирайте решения с сертификатами ФСТЭК и ФСБ. Для малого бизнеса подойдут облачные сервисы с предустановленными мерами защиты».
8. Организационные меры: чек‑лист для руководителя
Назначение ответственного
Приказ о назначении сотрудника, ответственного за ПДн.
Должностная инструкция с перечнем обязанностей.
Обучение персонала
Вводный инструктаж при приёме на работу.
Ежегодные тренинги по ИБ и ФЗ‑152.
Фиксация прохождения обучения.
Договоры с подрядчиками
Включать пункты о конфиденциальности ПДн.
Определять ответственность за утечки.
Реагирование на инциденты
План действий при утечке (уведомление РКН в течение 24 часов).
Внутренняя комиссия по расследованию.
Аудит соответствия
Внутренний аудит раз в 6 месяцев.
Внешний аудит (при необходимости).
9. Риски и их минимизация
|
Риск |
Способ минимизации |
|
Утечка ПДн |
Шифрование, DLP, контроль доступа |
|
Штрафы РКН |
Регулярный аудит, своевременное уведомление |
|
Иски субъектов |
Прозрачность процессов, наличие согласий |
|
Уголовная ответственность |
Обучение сотрудников, мониторинг действий |
|
Репутационные потери |
Оперативное реагирование на инциденты |
10. Перспективы изменений в законодательстве
Ожидается:
Ужесточение требований к обработке биометрических ПДн.
Введение обязательных стандартов для ИИ‑систем, работающих с ПДн.
Расширение полномочий РКН по внеплановым проверкам.
Увеличение штрафов за повторные нарушения.
Рекомендация О. А. Петухова:
«Следите за законопроектами на портале regulation.gov.ru. Заранее адаптируйте процессы под грядущие изменения».
11. Частые ошибки операторов ПДн
Отсутствие локальных актов — нет Положения о ПДн или политик конфиденциальности.
Некорректные согласия — отсутствие целей обработки, сроков, права отзыва.
Нарушение локализации — хранение данных за рубежом без разрешения.
Слабый контроль доступа — сотрудники имеют избыточные права.
Игнорирование инцидентов — не уведомляют РКН о утечках.
Как исправить:
Провести аудит документации и ИТ‑инфраструктуры.
Обновить локальные акты под актуальные требования.
Внедрить технические меры защиты.
12. Заключение и контакты
Соответствие ФЗ‑152 — не формальность, а необходимость для любого бизнеса. Ключевые принципы:
Проактивность: устраняйте недочёты до проверок.
Комплексный подход: сочетайте организационные и технические меры.
Обучение: персонал — первое звено защиты ПДн.
Документация: все процессы должны быть зафиксированы.
Обращайтесь за помощью:
Юридическая компания «ЛЕГАС»
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Услуги:
аудит соответствия ФЗ‑152;
разработка локальных актов;
защита при проверках РКН;
представительство в суде;
внедрение технических решений ИБ.
С уважением,
Петухов Олег Анатольевич
юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
Примечание:
Все примеры из практики приведены с соблюдением требований о конфиденциальности. Реальные имена и данные изменены.
Информация актуальна на январь 2026 года. Для уточнения норм законодательства обращайтесь к официальным источникам.
Статья носит информационно‑справочный характер и не заменяет юридическую консультацию.
13. Приложения
Приложение 1. Шаблон уведомления в РКН об обработке ПДн
[Наименование оператора]
[Юридический адрес, ИНН, ОГРН]
[Контактный телефон, e‑mail]
Уведомление
об осуществлении обработки персональных данных
На основании ст. 22 ФЗ‑152‑ФЗ сообщаем:
Цели обработки ПДн: [перечислить].
Категории субъектов: [клиенты, сотрудники и т. д.].
Перечень обрабатываемых ПДн: [ФИО, телефоны, e‑mail и т. д.].
Правовое основание: [ФЗ‑152, трудовые договоры, согласия субъектов].
Место нахождения баз данных: [адрес ЦОДа].
Дата: ___________
Подпись: ___________
Приложение 2. Чек‑лист готовности к проверке РКН
Уведомление в РКН подано.
Локальные акты утверждены.
Согласия субъектов получены.
Технические меры защиты внедрены.
Обучение персонала проведено.
Журналы учёта ведутся.
План реагирования на инциденты есть.
Приложение 3. Список нормативных актов
ФЗ‑152 «О персональных данных».
Постановление Правительства № 1119 (требования к защите ПДн).
Приказы ФСТЭК № 21, ФСБ № 378 (технические меры).
КоАП РФ, ст. 13.11–13.14.
УК РФ, ст. 137, 272, 274.
14. Ответы на частые вопросы (FAQ)
1. Нужно ли уведомлять РКН, если обрабатываем только ПДн сотрудников?
Да, за исключением случаев, когда обработка ведётся исключительно в рамках трудовых отношений (ст. 22 ФЗ‑152). Однако рекомендуется уточнить статус в РКН.
2. Какие ПДн требуют особой защиты?
биометрические данные (отпечатки, фото, голос);
сведения о здоровье;
расовая и национальная принадлежность;
политические взгляды.
Для них нужны дополнительные меры защиты (ст. 10 ФЗ‑152).
3. Можно ли передавать ПДн подрядчикам за рубеж?
Только если:
страна подрядчика обеспечивает адекватную защиту (перечень РКН);
получено согласие субъекта;
заключён договор с обязательствами по защите ПДн.
4. Каков срок хранения журналов учёта действий с ПДн?
Не менее 6 месяцев (требования Приказа ФСТЭК № 21).
5. Что делать при обнаружении утечки?
Зафиксировать факт инцидента.
Уведомить РКН в течение 24 часов (форма на портале РКН).
Провести внутреннее расследование.
Сообщить субъектам ПДн о произошедшем.
Принять меры по устранению уязвимостей.
15. Международные аспекты
При работе с иностранными данными учитывайте:
GDPR (ЕС): штрафы до 4 % глобального оборота.
CCPA (США): требования к прозрачности обработки.
APPI (Азия): локальные ограничения на трансграничную передачу.
Совет от О. А. Петухова:
«Если ваш бизнес затрагивает иностранные юрисдикции, проведите аудит соответствия международным стандартам. Это снизит риски блокировок и исков».
16. Полезные ресурсы
Официальные источники:
РКН: rkn.gov.ru (реестр операторов, формы уведомлений).
ФСТЭК: fstec.ru (требования по защите информации).
ФСБ: fsb.ru (сертификация СКЗИ).
Нормативные акты онлайн:
КонсультантПлюс: consultant.ru.
Гарант: garant.ru.
Инструменты для аудита:
«Сканер‑ВС» (free-версия для первичного анализа).
«MaxPatrol 8» (коммерческое решение для глубокого аудита).
«Оки-Доки» (сервис проверки локальных актов).
17. Кейсы для самопроверки
Ситуация 1. Компания использует CRM‑систему с хранением данных в облаке провайдера. Что проверить?
Наличие договора с провайдером о защите ПДн.
Локализацию серверов (РФ).
Сертификаты ФСТЭК/ФСБ у провайдера.
Настройки доступа в CRM (минимальные привилегии).
Ситуация 2. Сотрудник уволился, но сохранил доступ к базе клиентов. Ваши действия?
Немедленно заблокировать учётные записи.
Проверить журнал действий за последний месяц.
Уведомить РКН при подозрении на утечку.
Обновить политику управления доступом.
18. Заключение
Соответствие ФЗ‑152 — это:
не разовая акция, а непрерывный процесс;
комбинация правовых, организационных и технических мер;
инвестиция в доверие клиентов и устойчивость бизнеса.
Три главных правила:
Документируйте всё: от согласий до журналов аудита.
Обучайте персонал: человек — слабое звено в цепочке защиты.
Мониторьте изменения: законодательство обновляется ежегодно.
Контакты для консультаций:
Юридическая компания «ЛЕГАС»
Сайт: legascom.ru
E‑mail: petukhov@legascom.ru
Телефон: 8-929-527-81-33, 8-921-234-45-78
Услуги:
аудит и сертификация ИБ;
сопровождение проверок РКН;
защита в судах по делам о нарушении ФЗ‑152;
внедрение комплексных решений для защиты ПДн.
С уважением,
Петухов Олег Анатольевич
юрист, специалист по информационной безопасности,
руководитель юридической компании «ЛЕГАС»
Примечания:
Все примеры из практики приведены с соблюдением требований о конфиденциальности. Реальные имена и данные изменены.
Информация актуальна на январь 2026 года. Для уточнения норм законодательства обращайтесь к официальным источникам
Статья носит информационно‑справочный характер и не заменяет юридическую консультацию.
Для внедрения технических решений проконсультируйтесь с сертифицированными специалистами по ИБ.
Отказ от ответственности:
Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.
© Петухов О. А., 2026
При использовании материалов статьи ссылка на источник обязательна.
Контактная информация
Петухов Олег Анатольевич
Юрист, специалист по информационной безопасности, руководитель юридической компании «ЛЕГАС»
Телефон: 8-929-527-81-33, 8-921-234-45-78
E‑mail: petukhov@legascom.ru
При использовании материалов указывайте ссылку на legascom.ru.
