Правильная обработка персональных данных: как классифицировать, защищать и не нарушать закон 152-ФЗ

31.1.2026
Правильная обработка персональных данных: как классифицировать, защищать и не нарушать закон 152-ФЗ
  • 70% компаний нарушают закон о ПДн из-за ошибок персонала — обучение и регламенты критичны для снижения рисков.
  • Неверная классификация персональных данных (например, биометрии) ведёт к штрафам и потере репутации.
  • Согласие клиента должно быть отдельным, добровольным и детализированным — одна общая галочка незаконна.
  • Для использования зарубежных сервисов нужно согласие клиента или проверка страны на соответствие требованиям Роскомнадзора.
  • Обезличивание и аудит позволяют анализировать данные безопасно, упрощают работу и минимизируют юридические риски.

5 минут

70% российских компаний обрабатывают персональные данные с нарушениями. Основная причина проблем — не злой умысел, а ошибки сотрудников, которые просто не знают, как правильно работать с персональными данными в рамках закона. 

Рассказываем, как бизнесу навести порядок в работе с ПДн: что именно считается персональными данными, как их классифицировать, на каких основаниях собирать и что делать, чтобы не попасть под штраф.

Понятие персональных данных

Персональные данные (ПДн) — это любая информация, идентифицирующая человека. Это не только паспорт и СНИЛС, но и IP-адрес, координаты местоположения (геолокация) и история онлайн-действий, если они связаны с конкретным пользователем.

Примеры персональных данных в бизнесе:

  • ФИО, ИНН, паспортные данные;
  • телефон для связи, адрес e-mail, юридический/регистрационный адрес;
  • банковские реквизиты;
  • место работы, должность.

Если хотя бы один из этих пунктов помогает идентифицировать клиента — это персональные данные, и вы обязаны их защищать по закону.

Не являются персональными данными:

  • Анонимные данные, которые нельзя связать с человеком.
  • Агрегированные данные без конкретики (например, средний чек).
  • Общие рабочие контакты вроде info@company.ru.

Зачем компаниям правильно классифицировать ПДн

Не все ПДн одинаково чувствительны. Закон делит их на категории, и для каждой предусмотрен свой уровень защиты. Правильная классификация помогает:

  • Не перегружать бизнес-процессы лишними мерами.
  • Избегать штрафов за ошибочную обработку чувствительных данных.

Основные категории ПДн:

Категория Что это значит Бизнес-пример Как можно обрабатывать
Общедоступные Человек сам разместил эти данные в открытых источниках Профиль с контактами на hh.ru, объявление мастера с телефоном Можно использовать, но строго в рамках закона. По запросу человек может потребовать удалить информацию.
Биометрические Сведения, по которым можно точно установить личность Вход с помощью биометрии (отпечатка пальца или лица), голос в IVR Обработка возможна только при отдельном письменном согласии. Есть исключения (например, следствие).
Специальные Чувствительная информация о частной жизни Данные о здоровье, религии, судимости, этническом происхождении Запрещено собирать и использовать, если нет явного согласия или особых оснований по закону.
Основные (общие) Иная информация, позволяющая определить физическое лицо ФИО, email, телефонный номер, паспорт, адрес, история покупок Можно обрабатывать с согласия или по договору. Это самый распространённый тип данных в бизнесе.

Важно! Отнесение данных к той или иной категории — обязанность оператора (компании). Ошибка в классификации, например, неверная работа с биометрическими или специальными данными, ведет к самым серьезным штрафам и репутационным рискам.

Бизнесу важно не просто собирать персональные данные, а обрабатывать их по правилам: учитывать категорию, запрашивать нужное согласие и хранить с защитой. Так компания сбережет не только данные клиентов, но и свою репутацию.

{{cta}}

Права клиентов и обязанности компании: как защитить данные и сохранить доверие

Работа с ПДн — это не только выполнение закона, но и ключ к доверию. Если компания уважает права людей, она выигрывает в репутации и лояльности, нарушители же — теряют клиентов и получают штрафы.

Согласно исследованиям, только 30% российских организаций соблюдают закон о ПДн. Остальные 70% — под риском: от потери репутации до штрафов и исков.

Какие права есть у клиентов (субъектов ПДн)

Клиент, работник или пользователь имеет право:

  • Узнать, какие данные вы храните. Клиент может запросить список данных, цель обработки и получателей. Чтобы ответить, у вас есть 10 рабочих дней.
  • Исправить ошибки. Если в анкете ошибка — например, неверный номер телефона — человек вправе потребовать исправления. Пока идет проверка, вы обязаны временно заблокировать сведения. Срок — 7 рабочих дней.
  • Удалить данные. Если цель обработки достигнута или данные собраны с нарушением, клиент может потребовать их уничтожения. У вас есть до 10 рабочих дней, чтобы выполнить запрос.
  • Отозвать согласие. Человек может в любой момент передумать. Если нет других оснований (например, договор), вы обязаны прекратить обработку и удалить данные.
  • Запретить рассылку. Если клиент отписался от рассылки — его нельзя включать в маркетинг-письма снова. Удаление должно быть мгновенным.

Приведем пример: сотрудник продал базу клиентов конкурентам. Последствия: поток жалоб на спам, недовольство клиентов, репутационный удар. Организация могла бы избежать этого — если бы вовремя внедрила контроль доступа и правила внутреннего аудита.

Что должен делать бизнес (обязанности оператора)

Права клиента реализуются только тогда, когда у бизнеса есть понятные процессы. Что необходимо настроить:

  • Понятный канал связи. На сайте и в документах укажите, как клиент может направить запрос — email, форма обратной связи или специальная кнопка в личном кабинете.
  • Ответственный за сведения. Определите конкретного специалиста, который возьмет на себя ответственность за обработку данных. 
  • Внутренние регламенты. Опишите, как компания работает с ПДн. Размещение этого документа в открытом доступе — прямое требование закона для оператора ПДн.
  • Обучение команды. Больше всего ошибок возникает в отделах продаж, поддержки и маркетинга. Обучите их — как получать согласие, как реагировать на запрос об удалении, что говорить клиенту.
  • Гибкая CRM. Система должна позволять найти все данные по клиенту, заморозить их при отзыве согласия, удалить или экспортировать по запросу.
  • Контроль подрядчиков. Если передаете информацию внешним компаниям (например, рассылка или колл-центр), убедитесь, что они тоже соблюдают закон.
Уважение прав клиента — это конкурентное преимущество. Компании, которые четко выполняют запросы по ПДн, выигрывают: клиенты им доверяют, проверки проходят спокойно, а расходы на конфликты и штрафы сводятся к нулю.

Как правильно обрабатывать персональные данные

Понимание закона — важно. Но главное — уметь применять его на практике. Вот простой алгоритм, который поможет вашей компании выстроить безопасную и соответствующую закону систему обработки ПДн.

Шаг 1. Найдите законное основание для каждой операции

Собирать данные «про запас» — нельзя. Для каждой цели должно быть конкретное основание по 152-ФЗ:

  • Согласие клиента — когда человек сам разрешил использовать информацию. Согласие должно быть отдельным, четким и добровольным.
  • Исполнение договора с субъектом данных — к примеру, регистрация пользователя или доставка товара. Здесь согласие не нужно.
  • По закону — если данные нужны для налогового учета, трудоустройства, воинского учета и т.п.
  • В экстренных случаях — для сохранения жизни или здоровья, например при передаче медданных врачу.

Пример: магазин собирает имя, адрес и телефон для доставки — это исполнение договора. Чтобы потом отправить клиенту рекламу, нужно отдельное согласие. Нельзя объединять все в одну галочку.

Шаг 2. Получайте согласие правильно

Форма согласия — это юридический документ, в котором должно быть:

  • Название и контакты компании.
  • Четкий список собираемых данных.
  • Конкретные цели (например: «рассылка новостей», «создание личного кабинета»).
  • Как вы обрабатываете данные — вручную и/или автоматически.
  • Период действия согласия и процедура его отзыва.

Важно: не ставьте галочку в поле согласия по умолчанию — пользователь сам должен дать разрешение.

Шаг 3. Разместите Политику обработки ПДн в общедоступном месте

Политика — это открытый документ, где вы объясняете, как работаете с данными. Включите в него:

  • цели обработки;
  • какие сведения собираете;
  • с кем можете делиться (например, служба доставки);
  • права клиентов и как ими воспользоваться.

Политика — это не согласие. Она нужна для прозрачности, а согласие — для законной обработки.

Шаг 4. Сообщите в надзорный орган о начале обработки ПДн

Компания, обрабатывающая личную информацию, должна подать соответствующее уведомление в Роскомнадзор. Штраф за его отсутствие может составить до 300 000 рублей. Для подачи уведомления:

  1. Заполните форму — стандартный бланк можно скачать на сайте Роскомнадзора.
  2. Отправьте уведомление — через сайт Роскомнадзора, «Госуслуги» или по почте в ваш территориальный орган РКН.
  3. Ждите подтверждения — обычно проверка занимает до 30 дней. После вашу организацию добавят в список (реестр) операторов, которые работают с ПДн.

Важно знать об исключениях: уведомлять Роскомнадзор не нужно всего в нескольких случаях, например, если вы обрабатываете данные только своих сотрудников для трудовых отношений или если обработка ведется исключительно без средств автоматизации (вручную).

Ситуация Нужно ли уведомление? Почему
Обработка данных только сотрудников Нет, если данные не передаются за пределы компании Классическое исключение — внутрикорпоративная обработка
Работа с данными клиентов по договору (например, доставка) Нет, если данные используются строго в рамках сделки Закон разрешает без уведомления, если нет дополнительных целей обработки
Обработка данных вручную (без компьютеров и CRM) Нет Редкий случай, но формально не попадает под обязанность уведомления
Email- или SMS-рассылки по базе клиентов Да Требуется согласие + обязательное уведомление Роскомнадзора
CRM, формы на сайте, любые автоматизированные системы Да Почти любой автоматизированный бизнес-процесс подпадает под обязанность уведомления

Шаг 5. Защитите данные на деле, а не на бумаге

Безопасность — это 3 уровня: организационные меры, техника, документы.

  • Оргмеры: назначьте ответственного за ПДн, создайте инструкции, обучите команду (особенно маркетинг и поддержку).
  • Техника: используйте HTTPS, обновляйте ПО, шифруйте базы с чувствительными данными, ограничивайте доступ, делайте бэкапы.
  • Локализация: данные российских граждан необходимо хранить в России. Даже если вы используете облака.

{{cta}}

Шаг 6. Настройте прием и обработку запросов от клиентов

Клиенты могут:

  • узнать, что вы храните;
  • исправить или удалить данные;
  • отозвать согласие.

Чтобы не срывать сроки и не терять лицо:

  • создайте отдельный email или форму на сайте;
  • пропишите регламент — кто отвечает, когда, как;
  • подготовьте шаблоны писем (подтверждение, удаление, отказ и т.п.).

Срок ответа по закону — 30 дней. Лучше — быстрее: 10-15 дней.

Шаг 7. Аудит и подрядчики

  • Аудит: минимум раз в год проверьте, как фактически обрабатывается информация. Обновите цели, состав данных, процессы.
  • Подрядчики: если передаете сведения кому-то (email-сервис, колл-центр), убедитесь: у вас есть договор, а у них — защита.
Обработка ПДн — это встроенный процесс, который должен работать на всех уровнях компании: в продажах, маркетинге, поддержке, HR и IT. Да, на старте потребуются время и ресурсы. Но грамотно выстроенная система окупается: вы снижаете риски, избегаете штрафов и жалоб, защищаете репутацию и показываете клиентам, что их данные в безопасности.

Трансграничная передача данных: что важно знать бизнесу

При использовании зарубежных сервисов (облачная CRM, email-платформа или система поддержки), вы фактически передаете персональные данные клиентов за границу, то есть организуете их трансграничную передачу. 

Главное правило: передавать данные за рубеж можно, только если страна входит в список государств с «адекватной защитой ПДн» (такой список публикует Роскомнадзор). Если страны нет в списке, необходимо выполнить одно из следующих требований:

  • получить от клиента письменное разрешение на передачу данных за границу;
  • передать данные для исполнения договора (например, оформление бронирования за границей);
  • передать данные в экстренной ситуации (защита жизни и здоровья).

Важно: большинство популярных зарубежных сервисов (включая западные облака) не обеспечивают «адекватную защиту». Значит, для работы с ними нужно оформлять согласие или пересматривать цепочки передачи информации.

Что делать компаниям

Бизнесу важно понять, где и как обрабатываются ПДн. Проведите мини-аудит: уточните, на каких серверах хранятся данные из CRM, форм на сайте и email-рассылок, и уходят ли они за границу — напрямую или через подрядчиков. Если используете зарубежные сервисы, убедитесь, что страна входит в список Роскомнадзора или получено отдельное согласие клиента.

Если вы передаете данные без нужных оснований — это считается нарушением закона. А значит, возможны проверки, штрафы и блокировки — лучше заранее навести порядок, чем объясняться с регулятором.

Обезличивание данных: как анализировать и не нарушать закон

Обезличивание — это процесс удаления из данных любых признаков, по которым можно определить пользователя. Например, вместо записи «Иван Морозов, ivan22@mail.ru, заказал 5 января» остается обезличенная версия: «Пользователь-1435, мужчина 30-35 лет, покупка в январе». Такие сведения уже не считаются персональными.

Для компаний это удобно и безопасно: не нужно получать согласие на обработку, оформлять дополнительные документы или беспокоиться о соответствии 152-ФЗ. Обезличенные данные можно спокойно использовать для внутренней аналитики, маркетинга или передачи подрядчикам — без риска нарушить закон.

Как это делается

Методы бывают простыми и сложными:

  • удаление ФИО, email, телефона;
  • псевдонимизация (замена на ID);
  • агрегация по группам (возраст, регион);
  • добавление «шума» — чтобы нельзя было восстановить исходные данные.

Если вы собираете и храните данные — подумайте, можно ли часть из них обезличить. Это снимет лишнюю нагрузку, упростит аналитику и снизит юридические риски.

Как крупный бизнес защищает ПДн и снижает риски

Когда у компании миллионы клиентов и сотрудников, ошибка в защите данных может стоить слишком дорого. Ниже — два кейса, которые показывают, как российский бизнес переходит от формального подхода к реальной системной защите.

X5 Group: как утечка стала поводом для реформ

Ситуация: в 2022 году у ритейлера произошла утечка данных соискателей. Причиной стал подрядчик, но ответственность — на X5. Инцидент показал слабые места в системе контроля и стал точкой старта для масштабных изменений.

Решение: комплексное усиление защиты — в компании установили программные решения (DLP), которые в реальном времени отслеживают и блокируют попытки несанкционированного копирования или отправки информации. 

Параллельно провели масштабное обучение сотрудников на всех уровнях — от линейного персонала до руководства — по правилам работы с персональными данными. Также пересмотрели работу с подрядчиками: в договорах появились четкие требования по информационной безопасности и санкции за нарушения.

Результат:

  • Снизили риск повторных утечек и штрафов на миллионы рублей.
  • Вернули доверие клиентов, показав серьёзный подход к безопасности.
  • Повысили дисциплину в работе с данными: от топ-менеджера до кассира.

Как промышленный гигант защитил данные 20 000 сотрудников

Ситуация: крупный промышленный холдинг с десятками тысяч сотрудников работал по устаревшим схемам. Данные хранились в разных местах, об утечках узнавали постфактум, контроль почти отсутствовал. Это мешало проходить проверки и участвовать в тендерах.

Решение: команда партнеров реализовала комплексную защиту ПДн, а именно:

  • Организовали единый центр мониторинга и контроля ПДн и назначили ответственного с доступом к руководству.
  • Запустили проактивный мониторинг утечек: система сама сканирует даркнет и открытые источники на предмет появления данных компании.
  • Провели полный аудит: где и как хранятся данные, кто к ним имеет доступ. Настроили контроль доступа (DAM).
  • Ввели автоматическое обезличивание в тестовых средах — теперь реальные данные не попадают к разработчикам.
  • Обязали всех сотрудников пройти обучение по информационной безопасности.

Результат:

  • Существенно сократили количество инцидентов.
  • Получили преимущество в переговорах с партнерами и банками: безопасный бизнес — привлекательный бизнес.
  • Уменьшили затраты на реагирование: вместо ликвидации последствий теперь делают ставку на предупреждение.

Кейсы доказывают: вложения в грамотную работу с ПДн — это не расходы, а инвестиции в устойчивость бизнеса. Компании, которые внедряют технологии защиты, проводят аудит данных и обучают сотрудников, не только снижают риск утечек и штрафов, но и повышают уровень доверия к бизнесу. Это напрямую влияет на репутацию, ускоряет сделки, помогает проходить проверки и открывает путь к новым контрактам. 

Если вы собираете и используете персональные данные, важно заранее навести порядок в документах, системах и процессах. Это снизит риски, упростит работу с клиентами и позволит спокойно проходить проверки. Четкие правила внутри компании экономят время и деньги. Начните с базового аудита и согласий — дальше будет проще.

{{cta}}

Смотреть

Пришлем вам необходимые материалы или КП

Ответим в течение 30 минут!
Оглавление
Другие статьи

Смотреть все

Как выбрать между ИТ-подрядчиком и партнёром: отличия форматов сотрудничества, риски, выгоды и критерии выбора ИТ-команды для бизнеса

25/6/2025

Подробнее

Правда ли, что low-code нельзя применять в enterprise-решениях

2/4/2021

Подробнее

DORA 2025, Часть 9. Как выбрать правильные метрики и фреймворки для измерения разработки и влияния ИИ в ИТ-организациях

19/12/2025

Подробнее

Смотреть все

Мы используем файлы cookie, чтобы предоставить наилучшие возможности сайта

Ок
Спасибо!
Менеджер свяжется с вами в ближайшее время.

Не хотите ждать? Напишите нам !
Что-то пошло не так! Пожалуйста, попробуйте еще раз.

Получите pdf-материалы с наших воркшопов, тренингов и КПшек

Спасибо! Отправим материалы в ближайшее время
Oops! Something went wrong while submitting the form.