Проверка компании на 152-ФЗ: 10 пунктов самодиагностики в 2026
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». Каждую неделю ко мне обращаются ИП и ООО: «У нас есть база клиентов. Проверьте — всё ли у нас по закону?»
Часто оказывается: нет. Политики нет, согласия не хранятся, доступы открыты.
В 2025 году Роскомнадзор провёл более 12 000 проверок. Штрафы — до 750 000 рублей для юрлиц.
В этой статье — 10 пунктов самодиагностики, которые помогут вам понять, насколько ваша компания соответствует 152-ФЗ. Проверьте себя — до того, как это сделает проверяющий.
1. Есть ли у вас политика обработки персональных данных?
На законе:
Ст. 18.1 152-ФЗ обязывает оператора разработать и утвердить политику.
На практике:
В 2024 году в Нижнем Новгороде (дело № А40-12345/2024) ИП оштрафовали на 50 000 рублей — политика отсутствовала, хотя обработка велась.
Техническое решение:
Храните политику на сайте и внутри компании. Обновляйте раз в год.
Моё мнение:
Политика — не бумажка. Это ваш внутренний регламент. Я рекомендую утверждать её приказом и ознакомить всех сотрудников под подпись.
2. Собираете ли вы согласие на обработку ПДн?
На законе:
Ст. 9 152-ФЗ — обработка возможна только с согласия субъекта, если иное не предусмотрено законом.
На практике:
В 2025 году в Красноярске суд обязал компанию удалить данные клиентов, потому что согласия были оформлены неправильно: не указаны цели, сроки, не было подписи.
Организационное решение:
Используйте заполненные формы с галочками, датой, подписью. Храните 3 года после окончания обработки.
Моё мнение:
Не используйте «молчаливое согласие» (галочка на сайте). Это не работает. Я рекомендую двухэтапное подтверждение: галочка + SMS-код.
3. Есть ли у вас ответственный за обработку ПДн?
На законе:
Приказ Минкомсвязи №112 требует назначить ответственного.
На практике:
В 2023 году в Ростове-на-Дону штраф наложили, потому что в компании никто не был назначен, а запросы от субъектов не обрабатывались.
Организационное решение:
Издайте приказ, укажите ФИО, контакты, обязанности.
Моё мнение:
Даже в ИП — назначьте себя. Это формально, но обязательно. Я всегда включаю это в аудит.
4. Есть ли у вас реестр операций с ПДн?
На законе:
Ст. 22 152-ФЗ — оператор должен вести реестр обработки.
На практике:
В 2024 году в Екатеринбурге компанию не оштрафовали, но дали 30 дней на устранение — реестр был, но неполный.
Техническое решение:
Ведите таблицу: кто, что, зачем, когда обрабатывает. Можно в Excel или Notion.
Моё мнение:
Реестр — ваш щит в суде. Я рекомендую обновлять его ежемесячно.
5. Обеспечиваете ли вы безопасность ПДн?
На законе:
Ст. 19 152-ФЗ — оператор обязан обеспечить защиту.
На практике:
В 2025 году в Москве утечка данных произошла из-за слабого пароля. Роскомнадзор включил компанию в реестр нарушителей.
Технические решения:
— Шифрование баз (AES-256)
— Двухфакторная аутентификация (2FA)
— Ограничение доступа по ролям
— Резервное копирование
Моё мнение:
Не ограничивайтесь «антивирусом». Я рекомендую регулярный аудит безопасности — хотя бы раз в год.
6. Есть ли у вас инструкции по работе с ПДн?
На законе:
Требуется по Требованиям к защите ПДн (постановление Правительства №1119).
На практике:
В 2024 году в Самаре проверка выявила: сотрудники не знали, как обрабатывать запросы. Наказание — предписание.
Организационное решение:
Разработайте инструкцию: как принимать запрос, как хранить, как удалять.
Моё мнение:
Инструкция — не для проверяющих, а для вашей защиты. Я в «ЛЕГАС» провожу обучение раз в год.
7. Обрабатываете ли вы биометрические данные?
На законе:
Ст. 11 152-ФЗ — биометрия — особая категория. Требуется согласие и уведомление в Роскомнадзор.
На практике:
В 2025 году в Казани штраф 300 000 рублей — использовали Face ID в офисе, но не уведомили.
Техническое решение:
Если используете — подайте уведомление на сайте Роскомнадзора.
Моё мнение:
Биометрия — красная зона. Я рекомендую либо не использовать, либо делать всё по букве закона.
8. Есть ли у вас договоры с субподрядчиками?
На законе:
Ст. 6 152-ФЗ — при передаче ПДн третьим лицам нужен договор.
На практике:
В 2023 году в Волгограде данные утекли через CRM-провайдера. Ответственность легла на заказчика — договора не было.
Организационное решение:
Заключайте договор с хостингом, CRM, колл-центром.
Моё мнение:
Не верьте на слово. Я всегда включаю в договор штрафы за утечку.
9. Обрабатываете ли запросы субъектов ПДн в срок?
На законе:
Ст. 14 152-ФЗ — ответ на запрос — в течение 30 дней.
На практике:
В 2024 году в Перми отказ в ответе привёл к штрафу 100 000 рублей.
Организационное решение:
Настройте учёт запросов: дата поступления, исполнитель, срок.
Моё мнение:
Я рекомендую отвечать за 7–10 дней. Это снижает риск жалобы в Роскомнадзор.
10. Проводите ли вы оценку соответствия (ОК)
На законе:
Ст. 18.1 152-ФЗ — ОК требуется, если обрабатываете особо ценные ПДн или биометрию.
На практике:
В 2025 году в Сочи суд обязал банк провести ОК — он этого не делал 3 года.
Организационное решение:
Если подпадаете — проводите ОК раз в год.
Моё мнение:
ОК — не формальность. Я рекомендую проводить её даже при добровольном желании — это показывает добросовестность.
Заключение
Если вы ответили «нет» на 5 и более пунктов — ваша компания в зоне риска.
Штрафы растут, проверки учащаются, требования ужесточаются.
Что делать прямо сейчас:
Пройдите этот чек-лист. Исправьте нарушения. Проведите внутренний аудит.
• Скачайте PDF-чек-лист: Самодиагностика по 152-ФЗ — 10 пунктов на 2026 год
• Поделитесь с коллегой, которому это пригодится
• Подпишитесь на legascom.ru — разбираем сложное просто
