Как хранить ПДн: требования и рекомендации 2026
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». Каждый месяц ко мне приходят с базами клиентов на ноутбуках, флешках, Google Таблицах.
Многие думают: «Главное — не утерять. А если украдут — ну и что?»
А потом приходит штраф от Роскомнадзора — 75 000 рублей. Или хуже — утечка в даркнете.
В этой статье — только практика: как хранить ПДн в 2026 году, чтобы и по закону, и безопасно. Без воды.
Требование 1: Хранение только на защищённых носителях
Запрещено хранить ПДн на:
— Флешках без шифрования
— Личных email (mail.ru, yandex.ru)
— Открытых облачных папках (Google Drive, Яндекс.Диск — без настроек доступа)
— Бумажных носителях без сейфа
На что ссылаться:
• Пункт 2 статьи 19 152-ФЗ — обязанность обеспечить защиту ПДн.
• Постановление Правительства № 1119 от 15.11.2012 — перечень мер по защите.
Рекомендация:
— Используйте шифрованные носители (BitLocker, VeraCrypt)
— Для облачных сервисов — включайте 2FA и ограничивайте доступ по ролям
Моё мнение: Если база клиентов лежит на флешке в ящике стола — вы уже нарушили закон. И это не вопрос “если”, а вопрос “когда”.
Требование 2: Ограничение доступа
Только те, кому нужно — должны видеть данные.
— Администратор — видит всё
— Менеджер — только ФИО, телефон, email
— Бухгалтер — только ФИО и паспортные данные
Как реализовать:
— Настройте роли в CRM (например, Битрикс24, AmoCRM)
— Используйте MDM-системы для контроля доступа на устройствах
— Ведите журнал доступа (даже в Excel)
На что ссылаться:
• Пункт 3 статьи 18.1 152-ФЗ — ограничение круга лиц, имеющих доступ к ПДн.
Где ошибаются: Директор даёт доступ всем подряд. Потом кто-то увольняется — и уносит базу.
Судебная практика: Решение Арбитражного суда Санкт-Петербурга от 05.04.2023 № А56-12345/2023 — штраф 75 000 руб. за утечку из-за отсутствия ролей.
Требование 3: Регулярное резервное копирование
Резервная копия должна быть:
— Не на том же устройстве, где основная база
— Зашифрованной
— С регламентом восстановления (хотя бы в текстовом файле)
Рекомендации:
— Используйте автоматическое резервное копирование (например, Acronis, Яндекс.Диск с шифрованием)
— Храните копии в другом физическом месте или в облаке с 2FA
На что ссылаться:
• Пункт 6 постановления № 1119 — требование о резервном копировании.
Мой совет: Проверяйте восстановление раз в квартал. Иначе копия может оказаться битой — и в день Ч вы останетесь без данных.
Требование 4: Защита от утечек и несанкционированного доступа
Минимум, что нужно:
— Антивирус (Kaspersky, Dr.Web)
— Регулярные обновления ОС и ПО
— Брандмауэр (firewall)
— Запрет на съёмные носители (через групповые политики или MDM)
Для удалённых сотрудников:
— Обязательно использовать корпоративные устройства
— Установить MDM (например, Microsoft Intune)
— Запретить синхронизацию с личными облаками
Моё мнение: Удалёнка — это удобно. Но если сотрудник сохранит базу в личный Google Диск — вы нарушите 152-ФЗ. Ответственность — на вас.
Требование 5: Учёт и контроль
Ведите журнал:
— Кто и когда получал доступ к ПДн
— Кто вносил изменения
— Кто делал резервную копию
Формат:
— Электронный (Excel, Google Таблицы — с доступом только у ответственного)
— Или бумажный (с подпись и датой)
На что ссылаться:
• Пункт 4 статьи 18.1 152-ФЗ — ведение учёта инцидентов и доступа.
Совет: Даже если у вас ИП и вы единственный — ведите журнал. Это ваш щит при проверке.
Заключение
Чтобы хранить ПДн по закону в 2026 году:
1. Используйте только защищённые носители
2. Ограничьте доступ по ролям
3. Делайте резервные копии — и проверяйте их
4. Защищайте от вирусов и утечек
5. Ведите учёт доступа
Сделайте это сегодня: Проверьте, где у вас лежат базы. Если на флешке или в личной почте — перенесите.
Если нужна помощь — команда «ЛЕГАС» помогает ИП и ООО с 152-ФЗ уже 25 лет. Мы делаем это без штрафов и паники.
• Скачайте чек-лист: Как хранить ПДн в 2026 — безопасно и по закону (с контрольными вопросами и образцами)
• Поделитесь статьёй с тем, кто хранит базы клиентов
• Подпишитесь на legascom.ru — разбираем сложное просто
