152-ФЗ «О персональных данных» касается почти любого бизнеса: интернет-магазина, клиники, SaaS-сервиса, даже Telegram-бота, который собирает имя и телефон. Закон не делает скидку на размер компании — штрафы одинаково прилетают и ИП, и корпорациям.
Минимальный набор документов
Роскомнадзор при проверке ожидает увидеть пакет из 5–7 документов. Без них — уже нарушение.
- 1Политика обработки персональных данных (публикуется на сайте)
- 2Положение о ПД (внутренний регламент — как обрабатываете, кто имеет доступ, сроки хранения)
- 3Приказ о назначении ответственного за обработку ПД
- 4Согласие на обработку ПД (отдельно на каждую цель: рассылка, передача третьим лицам, cookies)
- 5Уведомление в Роскомнадзор о намерении обрабатывать ПД (через портал pd.rkn.gov.ru)
- 6Журнал согласий и журнал запросов субъектов (на случай обращений)
- 7Договоры с подрядчиками, которые получают ПД (IT-аутсорсинг, бухгалтерия на аутсорсе)
Уведомление в РКН — это первое, что проверяют. Если его нет, штраф по ст. 19.7 КоАП — до 5 000 ₽ для ИП, до 30 000 ₽ для юрлица, но это «входной билет» для более серьёзной проверки.
Согласия: где чаще всего косячат
Три типовые ошибки, на которых ловят 8 из 10 компаний при проверке:
- →Согласие «всплывает» как pre-ticked чекбокс — РКН трактует это как отсутствие согласия
- →Одна форма согласия на всё подряд (рассылка + cookies + передача курьеру) — нельзя, должна быть отдельная цель
- →Согласие берётся, но не сохраняется — нет лога кто/когда/с какого IP согласился
Технические меры защиты
152-ФЗ требует «необходимых мер» — формулировка мягкая, но практика показывает: нужно минимум следующее.
| Категория | Минимум для SMB | Для SaaS / e-commerce |
|---|---|---|
| Хранение | Пароли на сотрудников, шифрование диска | Шифрование at-rest + TLS 1.3 |
| Доступ | Разграничение по ролям | RBAC + 2FA для админов |
| Бэкапы | Раз в неделю | Ежедневно + шифрованный off-site |
| Аудит-лог | Журнал входов в админку | Полный аудит действий с ПД |
| Локализация | Серверы в РФ | Серверы в РФ + сертификат ФСТЭК (для ИСПДн) |
Если вы SaaS и обрабатываете ПД клиентов — формально вы оператор. Ответственность перед РКН лежит на вас, даже если данные физически лежат у AWS.
Штрафы 2026: что изменилось
С 2025 года штрафы за утечку ПД выросли в 5 раз. Актуальная вилка:
- →Утечка до 1 000 субъектов или 10 000 идентификаторов: 3–5 млн ₽
- →Утечка 1 000–10 000 субъектов: 5–10 млн ₽
- →Утечка > 10 000 или специальных категорий (медицина, дети): 10–20 млн ₽
- →Повторная утечка: ×3 (до 60 млн ₽)
Чеклист на 30 минут
Самое быстрое — пройтись по готовому чеклисту: 30 пунктов, разбитых по категориям, с галочками и напоминаниями. Ссылка на шаблон ниже.
В FERSO Compliance Checklists есть готовый шаблон ru-fz-152 — 30 пунктов, обновляется под изменения 2025–2026, автоматические напоминания по срокам.
Готовый шаблон ru-fz-152 в FERSO: 30 пунктов, обновляется под изменения 2025–2026, автоматические напоминания. Открыть шаблон → /register?template=ru-fz-152
