Обучение сотрудников по 152 ФЗ в 2026 году: программа, сертификат и требования

• 

Обновлено 05.04.2026 07:44

 

Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог десяткам компаний выстроить систему защиты персональных данных и пройти проверки Роскомнадзора без штрафов. И почти каждый год ко мне обращаются с вопросом: «Обязательно ли обучать сотрудников по 152 ФЗ и как это сделать правильно?».

В 2026 году требования к обучению не изменились, но многие до сих пор не знают, кого и как учить, какой сертификат нужен и что будет, если этого не делать. В этой статье — только практика: как организовать обучение, какая программа нужна и как получить документ, который защитит компанию.

Кто обязан проходить обучение по 152 ФЗ?

По 152 ФЗ (ст. 18.1), обучение обязаны пройти сотрудники, которые:

•             обрабатывают персональные данные (бухгалтеры, HR, менеджеры по продажам);

•             отвечают за организацию защиты ПДн (ИТ специалисты, администраторы систем);

•             принимают решения по работе с ПДн (руководители, юристы).

Важно: обучение нужно не только штатным сотрудникам, но и подрядчикам, если они работают с ПДн.

Мой совет: составьте список должностей, которые работают с ПДн, и включите их в план обучения на год.

Какая программа обучения нужна?

Программа должна охватывать:

•             основы 152 ФЗ и GDPR (если работаете с европейскими данными);

•             категории персональных данных и уровни их защиты;

•             угрозы и риски при обработке ПДн;

•             технические и организационные меры защиты (шифрование, разграничение прав доступа);

•             порядок реагирования на инциденты (утечки, запросы субъектов);

•             ответственность за нарушения (административную, уголовную).

Пример модуля программы:

•             Тема 1. Нормативная база: 152 ФЗ, приказы Роскомнадзора.

•             Тема 2. Классификация ПДн и уровни защиты.

•             Тема 3. Практикум: как оформить согласие на обработку ПДн.

•             Тема 4. Разбор кейсов: ошибки при хранении данных.

•             Тема 5. Итоговая проверка знаний.

Сколько часов должно быть в курсе?

Минимально — 16 академических часов (рекомендации Роскомнадзора). Оптимально — 24–36 часов, включая практику.

Формы обучения:

•             очное (семинары, тренинги);

•             дистанционное (вебинары, онлайн курсы);

•             смешанное (теория онлайн, практика очно).

На практике: в 2025 году суд в Санкт Петербурге признал обучение недействительным, потому что курс длился всего 4 часа и не содержал практики — это сочли формальным подходом.

Как получить сертификат и что он даёт?

Сертификат выдаётся после:

•             завершения курса;

•             успешной сдачи теста или зачёта.

Что подтверждает сертификат:

•             сотрудник изучил требования 152 ФЗ;

•             компания выполнила обязанность по обучению (ст. 18.1 152 ФЗ);

•             при проверке Роскомнадзор увидит, что сотрудники обучены.

Важно: сертификат должен содержать:

•             название программы;

•             количество часов;

•             дату выдачи;

•             печать и подпись организации, проводившей обучение.

Что будет, если не обучать сотрудников?

Что будет, если не обучать сотрудников?

Отсутствие обучения — это нарушение 152 ФЗ. Последствия:

•             штраф от Роскомнадзора: до 60 000 руб. для юрлиц (ч. 6 ст. 13.11 КоАП РФ);

•             предписание об устранении нарушений;

•             внеплановая проверка;

•             репутационные риски;

•             повышенная вероятность утечек данных из за низкой осведомлённости персонала.

Пример из практики: в 2025 году сеть клиник получила штраф 55 000 руб., потому что сотрудники не знали правил обработки медицинских данных. При проверке выяснилось, что обучение не проводилось, а должностные инструкции не содержали требований по защите ПДн.

Мой совет: не экономьте на обучении. Лучше потратить несколько часов на курс, чем десятки тысяч на штрафы и репутационные потери.

Заключение

Обучение сотрудников по 152 ФЗ — не формальность, а инвестиция в безопасность компании. Чтобы всё было по закону:

•             определите, кто из сотрудников работает с ПДн — включите их в план обучения;

•             выберите программу на 16+ часов с теорией и практикой;

•             проведите обучение очно, дистанционно или смешанно — главное, чтобы оно было качественным;

•             выдайте сертификаты всем, кто успешно прошёл курс;

•             сохраните документы об обучении (программы, списки, сертификаты) — они пригодятся при проверке.

Сделайте это сейчас: проверьте, все ли сотрудники, работающие с ПДн, прошли обучение в 2026 году. Если нет — запланируйте курс и получите сертификаты.

Скачайте образец программы обучения по 152 ФЗ от «ЛЕГАС» — готовая структура курса с модулями и тестами.

Поделитесь статьёй с коллегой — возможно, ему тоже пригодится эта информация!