С июля 2025 года штрафы за нарушения 152-ФЗ многократно выросли: для юридических лиц они достигают нескольких миллионов рублей, а за повторное нарушение возможны оборотные штрафы. Это значит, что даже малому бизнесу больше нельзя откладывать «бумажную часть» защиты персональных данных. В статье — практический минимум, который снимает большинство рисков.
О чём вы узнаете
- Какие документы Роскомнадзор спрашивает первыми при проверке
- Как правильно подать уведомление об обработке ПДн и не получить отказ
- Какие технические меры считаются «достаточными» для коммерческого ИП и ООО
- За что штрафуют в 2026 году и какие штрафы повторные
01Кто попадает под 152-ФЗ
Под закон попадают все, кто собирает или хранит данные физических лиц: ФИО, телефон, email, паспортные данные, фотографии, биометрию и т. д. Это касается интернет-магазинов, сайтов с формами заявок, отделов кадров, клиник, образовательных центров — практически любого бизнеса с клиентами или сотрудниками.
Распространённое заблуждение: «если данные только сотрудников — закон не работает». Работает: ваши сотрудники — это физические лица, и их ПДн вы обрабатываете как оператор.
02Минимальный пакет документов
Это первое, что попросит Роскомнадзор при проверке. Без этих документов санкции практически гарантированы.
- Уведомление об обработке ПДн в реестре Роскомнадзора
- Политика обработки персональных данных, размещённая на сайте
- Согласие субъекта на обработку ПДн (форма + механизм сбора)
- Приказ о назначении ответственного за обработку ПДн
- Положение о защите персональных данных (внутренний документ)
- Перечень обрабатываемых ПДн и целей обработки
- Перечень сотрудников, имеющих доступ к ПДн
- Журнал учёта носителей ПДн (для физических носителей)
- Модель угроз и модель нарушителя (для значимых систем)
03Технические меры защиты: реалистичный минимум
152-ФЗ требует «достаточных» мер защиты, но не предписывает их жёстко. В 2026 году рынок и проверяющие сходятся на следующем минимуме для коммерческого ИП и ООО:
- Парольная политика: длина от 12 символов, смена раз в 90 дней, запрет повторов
- Разграничение прав доступа: каждый сотрудник видит только свои данные
- Журналирование действий пользователей с ПДн (минимум: вход, доступ, изменение, удаление)
- Сертифицированный антивирус (Dr.Web, Kaspersky, ESET — выбор за вами)
- Шифрование канала: HTTPS для сайта, защищённое соединение для доступа к 1С/CRM
- Резервное копирование с проверяемой схемой восстановления (минимум 3-2-1)
- Защита от утечек: запрет копирования ПДн на личные носители, блокировка USB
- Регулярный аудит безопасности — не реже раза в год
04Дорожная карта на 4 недели
- 01
Неделя 1. Аудит и инвентаризация
Опишите, какие ПДн вы собираете, где они хранятся (CRM, 1С, файлы, бумажные носители), кто имеет доступ. Составьте перечень ПДн и целей.
- 02
Неделя 2. Документы
Подготовьте политику, согласие, приказ, положение. Разместите политику на сайте, согласие — в формах сбора. Подайте уведомление в реестр Роскомнадзора.
- 03
Неделя 3. Технические меры
Включите парольную политику, разграничьте доступ, настройте журналирование, проверьте антивирус и шифрование. Документируйте каждое изменение.
- 04
Неделя 4. Обучение и проверка
Проинструктируйте сотрудников под подпись, проведите внутренний аудит: проверьте, что документы и меры реально работают, а не лежат «для галочки».
05Штрафы в 2026 году
Минимальный штраф для юрлица за отсутствие уведомления — несколько сотен тысяч рублей. За работу с ПДн без согласия и за утечку данных — до 15 миллионов рублей за первое нарушение и до 3% годового оборота — за повторное. Отдельный штраф предусмотрен за неуведомление Роскомнадзора об инциденте утечки в течение 24 часов.
06Что мы делаем для клиентов
ФЛЕШ-ФОРМАТ закрывает 152-ФЗ под ключ: от аудита и подготовки документов до настройки технических мер. Средний срок — 3–4 недели, после внедрения остаётся годовой регламент и план аудитов. Для существующих клиентов IT-аутсорсинга базовая защита уже включена в стоимость обслуживания.