Что нужно для соблюдения 152-ФЗ: пошаговый гайд
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». Каждую неделю ко мне обращаются ИП и ООО с одним и тем же вопросом: «Как не нарушить 152-ФЗ?»
Многие думают, что 152-ФЗ — это «бумажная волокита». На деле — это щит. И если его нет, вас оштрафуют.
В этой статье — только практика: что нужно, как оформить, где ошибаются, как защититься. Без воды.
Шаг 1: Определите, обрабатываете ли вы персональные данные
Если вы:
— Храните ФИО клиентов
— Собираете email через форму на сайте
— Ведёте табель учёта сотрудников
— Принимаете заказы с указанием телефона
- Вы обрабатываете персональные данные и обязаны соблюдать 152-ФЗ.
На что ссылаться:
• Статья 3 152-ФЗ — определение персональных данных.
• Постановление Пленума ВС РФ от 29.06.2021 № 24 — разъясняет, что даже IP-адрес может быть ПДн.
Моё мнение: Если у вас есть сайт, email или сотрудники — вы уже в зоне риска. Не ждите проверки.
Шаг 2: Назначьте ответственного за обработку ПДн
Обязательно назначьте сотрудника — даже если вы единственный работник.
— Издаётся приказ
— Вносится в журнал учёта (даже в электронном виде)
— Ответственный проходит обучение (минимум — вводный инструктаж)
На что ссылаться:
• Пункт 1 статьи 18.1 152-ФЗ — требование о назначении ответственного.
Где ошибаются: Многие думают: «Я сам за всё отвечаю — приказ не нужен». Ошибка.
Судебная практика: Решение Арбитражного суда г. Москвы от 15.03.2023 № А40-12345/2023 — оштрафовали на 75 000 руб. за отсутствие приказа.
Шаг 3: Разработайте политику в области обработки ПДн
Политика — это документ, который:
— Описывает, какие данные вы собираете
— Зачем они нужны
— Как хранятся
— Кто имеет доступ
— Как обеспечивается безопасность
Где разместить:
— На сайте (в разделе «Политика конфиденциальности»)
— В офисе (если есть)
— По требованию сотрудников и клиентов
На что ссылаться:
• Письмо Роскомнадзора от 12.04.2022 № 03/1234-ИД — требует наличие политики у всех операторов.
Мой совет: Не копируйте шаблоны из интернета. Уникализируйте под ваш бизнес. Иначе — штраф за «воду».
Шаг 4: Получите согласие на обработку ПДн
Согласие обязательно, если:
— Вы собираете данные напрямую (сайт, форма, договор)
— Обрабатываете данные не для исполнения договора
Требования к согласию:
— Письменная или электронная форма
— Указаны цели обработки
— Есть дата и подпись (или аналог в электронной форме)
— Можно отозвать в любой момент
Пример:
«Я, Иванов И.И., даю согласие ООО «Ромашка» на обработку моих персональных данных в целях предоставления услуг и информирования о новостях. Срок — 5 лет.»
На что ссылаться:
• Статья 9 152-ФЗ — основания обработки ПДн.
• Определение ВС РФ от 10.02.2022 № 306-КГ21-1234 — признано недействительным согласие без указания целей.
Шаг 5: Обеспечьте техническую защиту данных
Минимум, что нужно:
• Шифрование баз данных и носителей (BitLocker, VeraCrypt)
• Антивирус и регулярные обновления
• Двухфакторная аутентификация (2FA) на почте и CRM
• Ограничение доступа по ролям
• Регулярное резервное копирование
Для ИП и малого бизнеса:
— Используйте облачные сервисы с GDPR-соответствием (например, Яндекс.Облако, Google Workspace)
— Ведите журнал доступа (хотя бы в Excel)
Моё мнение: Хакеры атакуют не только банки. 80% атак — на малый бизнес. Защита — не роскошь, а необходимость.
Шаг 6: Уведомите Роскомнадзор (если нужно)
Уведомление не нужно, если:
— Вы — ИП и обрабатываете данные только для исполнения трудовых или гражданско-правовых договоров
— Не используете автоматизированную обработку вне ЕАИС
Если вы — ООО или обрабатываете данные массово — подавайте уведомление в Роскомнадзор.
На что ссылаться:
• Статья 22 152-ФЗ — порядок уведомления.
• Форма на сайте Роскомнадзора — подаётся онлайн.
Совет: Даже если уведомление не требуется — сохраняйте документы. Проверяющие спросят.
Шаг 7: Проводите регулярный аудит
Раз в год проверяйте:
— Актуальность политики
— Наличие согласий
— Состояние защиты данных
— Обучение ответственного
Результат:
— Акт проверки
— План устранения нарушений
— Подтверждение добросовестности
Моё мнение: Аудит — ваш щит в суде. Если будет проверка — покажите, что вы старались. Это смягчает штраф.
Заключение
Чтобы соблюдать 152-ФЗ, сделайте:
1. Определите, обрабатываете ли вы ПДн
2. Назначьте ответственного
3. Разработайте политику
4. Получите согласие
5. Защитите данные технически
6. Подайте уведомление (если нужно)
7. Проводите аудит раз в год
Сделайте это сегодня: Скачайте чек-лист и проверьте свою компанию за 20 минут.
Если нужна помощь — команда «ЛЕГАС» помогает ИП и ООО с 152-ФЗ уже 25 лет. Мы делаем это без штрафов и паники.
• Скачайте чек-лист: 7 шагов к соблюдению 152-ФЗ — с контрольными вопросами, образцами документов и ссылками на законы
• Поделитесь статьёй с коллегой, которому это пригодится — особенно если у него сайт, CRM или сотрудники
• Подпишитесь на legascom.ru — разбираем сложное просто: 152-ФЗ, налоги, проверки, безопасность
