Что такое 152-ФЗ: простыми словами о персональных данных
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я видел десятки компаний, которые думали, что 152-ФЗ — это «не про них».
Пока не пришёл штраф.
В этой статье — только живое объяснение: что такое 152-ФЗ, кому он нужен и как не попасть под удар.
Что такое 152-ФЗ?
Ответ: Это Федеральный закон «О персональных данных», принятый в 2006 году. Он регулирует, как можно собирать, хранить, использовать и передавать информацию о людях.
Если вы когда-либо спрашивали у клиента:
ФИО
Телефон
Адрес
Дату рождения — вы уже обрабатываете персональные данные. А значит — подпадаете под 152-ФЗ.
Я часто слышу: «У меня же маленький бизнес, это не про меня». Это опасное заблуждение. В 2024 году штрафовали даже единоличного ИП, который вёл учёт клиентов в Excel.
Кто обязан соблюдать 152-ФЗ?
Ответ: Любой, кто обрабатывает персональные данные — независимо от формы собственности, масштаба или вида деятельности.
Это касается:
ИП и ООО
Фрилансеров
Школ, клиник, садиков
Интернет-магазинов
Даже частных лиц, если собирают данные систематически (например, ведут базу арендаторов)
Пример: в 2025 году индивидуального репетитора оштрафовали на 30 000 рублей за хранение ФИО и телефонов учеников в телефоне без шифрования (Постановление Управления Роскомнадзора по РТ № 5-41/2025).
Мой совет: если вы не хотите штрафа — относитесь к данным как к денег в сейфе. Даже если их мало.
Что нужно сделать, чтобы соблюдать закон?
Ответ: Минимум:
Составить политику обработки ПДн — и разместить её на сайте или в приложении.
Получить согласие от субъекта данных (например, через галочку на сайте).
Назначить ответственного за ПДн — даже если вы работаете один.
Принять меры защиты — шифрование, 2FA, резервное копирование.
Вести учёт операций с ПДн — журнал, даже если он в Excel.
Я рекомендую использовать MDM-системы для корпоративных телефонов и шифрование (AES-256) для баз данных. Это уже не «опция» — это стандарт.
Можно ли использовать данные без согласия?
Ответ: Только в исключительных случаях, прямо прописанных в ст. 6 152-ФЗ:
Исполнение трудового договора
Защита жизни и здоровья
Представление интересов в суде
Обязательная отчётность в госорганы
Во всех остальных случаях — согласие обязательно.
Пример: в 2023 году интернет-магазин получил штраф 500 000 рублей за рассылку без согласия (Дело № А40-12456/2023). Суд посчитал, что «галочка была неактивной по умолчанию» — но клиент не ставил её сам. Значит, согласия нет.
Что будет, если не соблюдать 152-ФЗ?
Ответ: Штрафы по ст. 13.11 КоАП РФ:
Для должностных лиц — до 75 000 рублей
Для ИП — до 75 000 рублей
Для юрлиц — до 1 млн рублей
При рецидиве — до 2 млн рублей. А в 2026 году могут ввести административную ответственность за утечку данных.
Но хуже не штраф. Репутация после утечки может не восстановиться. Я видел, как компания теряла 60% клиентов за месяц.
Что делать прямо сейчас?
Проверьте, есть ли у вас политика обработки ПДн.
Убедитесь, что согласие на сайте получается корректно.
Зашифруйте базы данных и включите 2FA.
Назначьте ответственного — это можете быть вы.
Если сомневаетесь — обратитесь к специалисту. В «ЛЕГАС» мы помогаем с 2000 года. У нас есть проверенные шаблоны, технические решения и судебная практика — чтобы вы не платили за чужие ошибки.
