Что требует 152-ФЗ о персональных данных от IT-компаний, eCommerce и сервисов: ответственность, штрафы, кейсы и решения

25.12.2025
Что требует 152-ФЗ о персональных данных от IT-компаний, eCommerce и сервисов: ответственность, штрафы, кейсы и решения
  • Счёт или аналитика на сайте — уже обработка ПДн, требующая согласия.
  • С 30 мая 2025 года нужно отдельное согласие на поведенческие данные.
  • За нарушения — штрафы до 700 тыс. ₽, блокировка сайта, репутационные риски.
  • Для законной обработки нужны: политика, согласия, договоры, уведомление в Роскомнадзор.
  • ПДн обязаны храниться в РФ, удаляться по запросу и быть защищены технически.

5 минут

Компании ежедневно собирают десятки персональных данных: от IP-адресов до поведенческих метрик. Но мало кто задумывается: даже счет на оплату или подключенная аналитика на сайте могут нарушать 152-ФЗ. А за этим — проверка, штраф, блокировка сайта.

Разбираемся, на кого распространяется действие 152-ФЗ, что грозит бизнесу за ошибки в обработке данных, какие документы требуются и как выстроить безопасную систему работы с ПДн.

Что такое 152-ФЗ и почему бизнесу важно его соблюдать

152-ФЗ «О персональных данных» определяет, как бизнес должен обращаться с личной информацией клиентов, сотрудников и партнеров. Цель закона — защитить права граждан, предотвратив злоупотребления при сборе и обработке данных.

Для компаний несоблюдение норм 152-ФЗ оборачивается не только штрафами, но и репутационными рисками: возможна блокировка сайта, судебные разбирательства и утрата лояльности клиентов.

Показательный пример — случай с «Яндекс.Едой» в 2021 году. Роскомнадзор назначил компании штраф 150 тыс. рублей, установив, что сервис не предоставлял пользователям полную информацию о том, на каких условиях будут обрабатываться данные, нарушая процедуру получения согласия. Инцидент подтвердил: даже крупные IT-компании с серьезными ресурсами уязвимы, если игнорируют юридические требования.

Какие компании обязаны соблюдать закон о персональных данных?

Фактически — любой бизнес, который работает с личной информацией граждан. Закон называет таких субъектов операторами. Оператор — это структура, которая самостоятельно определяет, как и зачем обрабатывать ПДн. Причем требования 152-ФЗ действуют даже для иностранных компаний, если они работают с информацией россиян. Единственное исключение — обработка информации в личных и семейных целях.

Соблюдение закона защищает бизнес от штрафных санкций и претензий со стороны надзорных органов, а также помогает выстраивать прозрачные отношения с клиентами и партнерами.

Ключевые понятия закона: что важно знать бизнесу

Чтобы соблюдать 152-ФЗ, нужно точно понимать, какие термины использует закон. От этого зависит зона вашей ответственности и набор обязательств.

Понятие ПДн

Персональные данные это информация, которая помогает определить личность человека. Законодательство выделяет несколько категорий:

  • Общие данные — имя, фамилия, электронный адрес, паспортные данные.
  • Косвенные данные — информация, которая сама по себе не указывает на личность, но в комбинации с другими сведениями позволяет ее установить (например, IP, куки или геолокация).
  • Специальные категории — сведения о расе, национальности, политических взглядах, религии, состоянии здоровья. Их обработка ограничена и допустима только в прямо предусмотренных законом случаях (например, при наличии письменного согласия).
  • Биометрические данные — параметры, по которым можно идентифицировать личность: голос, отпечатки пальцев, фото, используемое для распознавания.

Важно! С 30 мая действуют изменения о персональных данных, касающиеся поведенческой аналитики. Теперь для сбора данных о действиях пользователей — например, кликах, времени просмотра карточек товаров, переходах между страницами — необходимо получить отдельное согласие. Эти сведения больше не могут собираться автоматически без уведомления пользователя.

Ниже — обновленная таблица категорий персональных данных и требований к их обработке:

Категория данных Примеры Необходимое согласие Особые условия
Общие ФИО, телефон, адрес проживания, электронная почта Письменное согласие или согласие в рамках договора Обработка строго в рамках указанных целей
Специальные категории Данные о здоровье, политических и религиозных взглядах Явное письменное согласие Обработка запрещена, за исключением случаев, предусмотренных ст. 10 закона
Биометрические Фото для идентификации, отпечатки пальцев Письменное согласие с чётким указанием целей Запрещено требовать у сотрудников
Обезличенные Сводная статистика, агрегированные показатели Не требуется Допустимо только при полной и необратимой обезличенности

Что считается обработкой данных

Обработка — это любое действие с ПДн: не только сбор или хранение, но и систематизация, использование, передача и окончательное удаление сведений. Даже если вы просто фиксируете контакт в CRM или отправляете счет на email, вы уже обрабатываете личную информацию, а значит должны соблюдать требования закона.

{{cta}}

Оператор и обработчик: кто есть кто

Оператор — компания или ИП, который устанавливает цели и выбирает методы обработки информации. Именно на операторе лежит основная юридическая ответственность за соблюдение закона.

Обработчик — сторонняя организация, которой вы поручаете работу с личными сведениями. Это может быть хостинг, облачное хранилище, колл-центр. Чтобы передать ПДн обработчику, нужно заключить с ним договор с обязательствами по защите информации.

Права субъектов ПДн

Если вы обрабатываете личную информацию людей — будь то клиенты, сотрудники или посетители сайта — эти люди по закону считаются субъектами персональных данных. Субъект в праве:

  • получить доступ к своим данным;
  • потребовать корректировки или удаления;
  • отменить действие своего согласия.

На любой запрос нужно дать ответ в течение месяца. Игнорирование обращений — прямой путь к жалобе в Роскомнадзор и штрафу.

Основные субъекты по 152-ФЗ:

Термин Определение Пример в бизнес-среде
Субъект ПДн Лицо, чью личную информацию обрабатывают. Ваши контрагенты, персонал и аудитория.
Оператор Компании и ИП, определяющие способы и цели обработки. Организация, которая собирает данные для отправки заказов.
Обработчик Третья сторона, обрабатывающая сведения по поручению оператора. Хостинг-провайдер, CRM-сервис, call-центр.

152-ФЗ охватывает практически все сведения о сотрудниках, клиентах и партнерах. Если ваша организация работает с такими данными, вы являетесь оператором и должны соблюдать все нормы закона — от фиксации согласий до обеспечения безопасности данных.

Как работать с данными легально и избежать крупных штрафов

Правила обработки персональных данных стали заметно строже. По оценкам экспертов, это связано с усилением политики цифрового суверенитета и обеспечением защиты граждан в условиях роста киберугроз. Наиболее существенные изменения касаются порядка получения согласий и регулирования поведенческих данных.

Какие документы необходимы компаниям

Чтобы законно работать с ПДн, компании обязаны оформить и утвердить ряд внутренних документов. Их отсутствие приравнивается к нарушению и может стать основанием для штрафов.

  1. Политика обработки ПДн организационный регламент, где прописано, какие именно данные собирает компания, зачем она это делает, как долго будет их хранить и какие меры предпринимает для их защиты. Политика должна быть размещена в открытом доступе — например, на сайте организации.
  2. Согласие на обработку если для работы с общими персональными данными требуется согласие, оно должно быть оформлено отдельным электронным или бумажным документом. Включать его в договор или оферту больше нельзя.
  3. Приказ и перечень допущенных к ПДн лиц — в компании должен быть специалист, ответственный за обработку личных сведений. Каждый сотрудник, имеющий доступ к информации, подписывает обязательство о неразглашении.

Уведомление в Роскомнадзор: когда и как подать

Подача уведомления — это обязанность большинства операторов. Его направляют через официальный сайт Роскомнадзора до начала фактической обработки данных.

  • Кто обязан подавать: все компании и ИП, кроме тех, кто попадает под исключения.
  • Кто может не подавать: операторы, которые обрабатывают информацию только для исполнения конкретного договора с субъектом (например, данные клиента для доставки его заказа) или только данные своих сотрудников.
  • Процесс подачи: заполните онлайн-форму на сайте Роскомнадзора. В форме потребуется детально описать цели, для которых вы собираете данные, и перечислить все категории обрабатываемой информации. Сведения в уведомлении должны всегда соответствовать реальной практике компании.

Исключения: кто освобождается от подачи уведомления в Роскомнадзор

По 152-ФЗ существуют лишь 3 исключения, при которых компания может не направлять уведомление в контролирующий орган:

  • Обработка без автоматизации — если данные обрабатываются исключительно вручную — например, заполняются бумажные анкеты или журналы без последующего переноса в цифровые системы.
  • Обработка в государственных системах с целью защиты безопасности это касается исключительно тех ИС, которые используются в целях защиты общественного порядка и государственной безопасности.
  • Обработка в целях транспортной безопасности — в случае, если обработка данных осуществляется строго в рамках законодательства, регулирующего транспортную безопасность.

Как привести бизнес в соответствие с 152-ФЗ: пошаговый план

Последовательная реализация 6 шагов позволит вам законно работать с ПДн, избегать финансовых рисков и формировать конкурентное преимущество — репутацию ответственной организации, что напрямую влияет на лояльность клиентов и надежность в глазах партнеров.

Шаг 1. Проведите аудит каналов сбора и и хранения данных

Начните с аудита всех каналов, где вы работаете с личной информацией: сайт, CRM, email, анкеты, онлайн-формы для связи, кадровые документы. Зафиксируйте, какие именно данные собираются и с какой целью. Этот реестр — основа для всех последующих действий.

Шаг 2. Подготовьте и обновите ключевые документы

В обязательном порядке оформите:

  • Политику обработки ПДн — опубликуйте документ в открытом для всех посетителей разделе вашего корпоративного сайта.
  • Форму согласия — она должна быть отдельным документом (в бумажном или электронном виде). Включать согласие в текст договора, оферты или политики конфиденциальности теперь недопустимо.

Шаг 3. Направьте уведомление в Роскомнадзор

Подайте уведомление через личный кабинет на сайте регулятора — это бесплатно и обязательно для большинства операторов. Исключение — компании, обрабатывающие ПДн только для исполнения договора с субъектом (например, для доставки товара). После подачи уведомления компания официально вносится в государственный реестр операторов ПДн.

Шаг 4. Обозначьте ответственность сотрудников

Проведите обязательный инструктаж для всех сотрудников, которые работают с клиентскими базами, письмами или кадровыми документами. Закрепите их обязанности по защите данных в трудовых договорах или отдельными соглашениями. Подготовьте приказ о назначении специалиста, отвечающего за обработку личной информации.

Шаг 5. Обеспечьте необходимые меры защиты 

Внедрите меры для предотвращения утечек. Установите антивирусное ПО и межсетевые экраны (файрволы). Внедрите в рабочих системах принцип минимального доступа: сотрудники должны видеть только ту информацию, которая необходима им для выполнения задач. Регулярно делайте резервные копии баз данных.

Шаг 6. Внедрите систему регулярного контроля 

Назначьте лицо, ответственное за ежегодную проверку процессов работы с ПДн. Периодически пересматривайте политику и согласия — особенно при запуске новых сервисов, рекламных кампаний или изменений в IT-инфраструктуре. Так вы сможете минимизировать риски случайных нарушений, за которые компании грозит крупный штраф.

Грамотно выстроенная система обработки данных снижает юридические и операционные риски, повышает прозрачность внутренних процессов и укрепляет доверие со стороны клиентов и контролирующих органов.

Ответственность за нарушения: штрафы и реальные кейсы

С 30 мая санкции за нарушения законодательства о персональных данных стали строже, а перечень типовых нарушений — шире. Вот основные риски для бизнеса:

  • Обработка без правового основания или с нарушением заявленных целей: если компания впервые нарушает требования к обработке данных, штраф составит 150-300 тыс. рублей. Однако если допустить нарушение повторно, сумма штрафа может достичь 700 тыс. рублей.
  • Отсутствие должных мер защиты: пренебрежение технической и организационной защитой информации может обойтись компании в 250-500 тыс. рублей.
  • Игнорирование запросов от субъектов данных: за непредоставление информации, отказ удалить данные или иное нарушение прав пользователя — штраф до 200 тыс. рублей.

Важно: если обработка данных передана подрядчику (к примеру, облачному провайдеру), ответственность все равно несет оператор — то есть компания, инициирующая сбор информации. Поэтому очень важно заключать с обработчиком юридически выверенный договор и проверять его на соответствие законным нормам.

152-ФЗ требует от организаций более точного документооборота, прозрачного получения согласий и регулярного обновления процессов. Нарушения грозят не только штрафами, но и репутационными потерями. Работа с ПДн — это вопрос и юридической, и деловой надежности.

{{cta}}

Реальные кейсы нарушений в российских компаниях

В 2021 году Московский городской суд подтвердил штраф в 1,5 млн рублей, наложенный на социальную сеть «ВКонтакте» за отказ удалить персональные данные пользователя. Представители платформы пояснили, что «полное удаление» невозможно из-за особенностей технической архитектуры. Однако суд указал: внутренние ограничения системы не освобождают компанию от обязанности соблюдать закон.

Решение стало важным прецедентом: суд подтвердил, что «право на забвение» — это не условная рекомендация, а обязательное требование, которое должно быть предусмотрено на уровне проектирования ИТ-систем. Неспособность выполнить требование субъекта данных из-за архитектурных или организационных причин — это нарушение, за которое несет ответственность оператор.

Если платформа или сервис обрабатывает персональные данные, возможность полного удаления информации должна быть реализована заранее. Отказ на основании «технической невозможности» не признается оправданием при проверках или судебных разбирательствах.

Еще один пример — утечка персональных данных клиентов МТС‑банка. В 2023 году в сети была опубликована обширная клиентская база — почти 1 млн записей. В открытый доступ попали полные имена, даты рождения, ИНН, а также частично маскированные номера банковских карт и электронные адреса. 

После проверки Роскомнадзор подтвердил утечку личных данных и составил административный протокол о нарушении законодательства, который был передан в суд. Ведомство обязало банк следовать требованиям закона о защите ПДн. 

Банк официально заявлял, что его инфраструктура не подвергалась прямой атаке, а данные могли попасть в сеть через системы сторонних подрядчиков. Тем не менее регулятор указал: обязанность уведомить Роскомнадзор о возможной утечке и обеспечить защиту данных — это прямая ответственность оператора, независимо от источника инцидента.

Даже если утечка произошла по вине подрядчика, ответственность несет оператор. Нарушение установленных 152-ФЗ требований, включая несвоевременное уведомление — основание для серьезных санкций.

FAQ

Что важно сделать в первую очередь, чтобы соответствовать 152‑ФЗ?

  • Проанализировать все процессы, где вы собираете и обрабатываете персональные данные.
  • Подготовить Политику обработки ПДн и разместить документ на сайте.
  • Привести в порядок формы согласий — они должны быть оформлены как отдельные документы.
  • Направить уведомление в Роскомнадзор, если ваша компания не попадает под исключение.

Нужно ли получать согласие у собственных сотрудников?

Да, но не всегда:

  • Если обработка данных необходима для выполнения трудового договора или исполнения требований ТК РФ (например, передача данных в ПФР) — отдельное согласие не требуется.
  • Если речь о дополнительных данных, не связанных напрямую с трудовыми функциями (например, фото для пропуска, публикация на сайте, участие в мероприятии), нужно оформить письменное согласие.

Обязательно ли хранить ПДн россиян на серверах в России?

Да, правило о локализации обязывает оператора: все ключевые операции с ПДн граждан РФ необходимо осуществлять на серверах, расположенных в России. При этом трансграничная передача (например, в головной офис за рубеж) не запрещена, но возможна только после соблюдения локализации и при выполнении ряда условий.

Нужно ли оформлять работу с подрядчиком, который обрабатывает ПДн за нас?

Если вы передаете обработку данных внешнему исполнителю (облачной CRM, колл-центру или подрядчику по email-рассылкам), необходимо заключить договор с обработчиком. В нем должны быть прописаны обязательства по обеспечению конфиденциальности, запрету передавать данные третьим лицам и действиям строго по вашим инструкциям.

Сколько времени нужно хранить ПДн?

Компания не может сама устанавливать сроки — они определяются целями обработки и строго регламентируются соответствующими законами. Например, данные сотрудников хранятся 75 лет после увольнения, а данные клиентов — на протяжении всего срока действия гарантии плюс 3 года.

Что делать, если клиент прислал запрос на удаление своих данных?

Вы обязаны удовлетворить обоснованный запрос в течение месяца. Нужно не только удалить данные из активной CRM, но и из всех резервных копий и архивов, что технически сложно. Этот процесс должен быть предусмотрен вашими внутренними регламентами.

Что делать при утечке персональных данных?

При обнаружении утечки у компании есть 24 часа для того, чтобы уведомить Роскомнадзор, принять меры по ликвидации инцидента и сообщить субъектам персональных данных о возможных рисках.

{{cta}}

Смотреть

Пришлем вам необходимые материалы или КП

Ответим в течение 30 минут!
Оглавление
Другие статьи

Смотреть все

ERP-система для бизнеса: автоматизация учета, снижение издержек и эффективное управление финансами, складом и производством

23/9/2025

Подробнее

Свойства гибкой и масштабируемой ИТ-инфраструктуры: ликбез по базовым концепциям и основные критерии оценки

19/7/2024

Подробнее

ИИ-агенты: кто такие цифровые сотрудники, как они работают, и почему их массово внедряют компании

27/10/2025

Подробнее

Смотреть все

Мы используем файлы cookie, чтобы предоставить наилучшие возможности сайта

Ок
Спасибо!
Менеджер свяжется с вами в ближайшее время.

Не хотите ждать? Напишите нам !
Что-то пошло не так! Пожалуйста, попробуйте еще раз.

Получите pdf-материалы с наших воркшопов, тренингов и КПшек

Спасибо! Отправим материалы в ближайшее время
Oops! Something went wrong while submitting the form.