Find My Articles
Blog

152-ФЗ о персональных данных: требования, штрафы и чек-лист для бизнеса в 2026 году

Право
152-ФЗ о персональных данных: требования, штрафы и чек-лист для бизнеса в 2026 году
Deborah McPeake 0 Comments

Вы собираете номера телефонов клиентов? Запрашиваете e-mail для рассылки? Даже если у вас маленькая компания или вы работаете как ИП, вы уже подпадаете под действие Федерального закона № 152-ФЗ «О персональных данных», который является основным нормативным актом, регулирующим сбор, хранение и использование личной информации граждан России.. Игнорирование этого закона - верный путь к огромным штрафам от Роскомнадзора, федерального органа исполнительной власти, осуществляющего надзор за соблюдением законодательства в области связи, информационных технологий и персональных данных..

Многие предприниматели думают, что закон касается только крупных корпораций. Это опасное заблуждение. С 2025 года контроль ужесточился, а штрафы стали реальными финансовыми угрозами для малого бизнеса. Разберемся, что именно требует закон, какие документы нужно подготовить и как не потерять деньги из-за ошибки в оформлении согласия.

Что считается персональными данными?

Закон дает широкое определение: это любая информация, которая позволяет идентифицировать конкретного человека. Не обязательно знать его паспортные данные. Достаточно комбинации имени, фамилии и города проживания.

  • Базовые данные: ФИО, дата рождения, адрес регистрации, номер телефона, электронная почта.
  • Идентификационные номера: ИНН, СНИЛС, серия и номер паспорта, водительское удостоверение.
  • Цифровые следы: IP-адрес, cookie-файлы, данные об устройстве (если они привязаны к пользователю), никнеймы в мессенджерах, если по ним можно найти реального человека.

Важно понимать: если вы можете связать эти данные с конкретным физическим лицом, вы являетесь оператором персональных данных, государственным органом, муниципальным органом, юридическим или физическим лицом, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных.. Оператор определяет цели обработки, состав данных и действия с ними.

Категории данных: чем опасны специальные сведения?

Не все данные одинаково защищены. Закон делит их на группы, и от этого зависят ваши обязанности.

Сравнение категорий персональных данных по требованиям 152-ФЗ
Тип данных Примеры Требования к обработке
Общие ФИО, телефон, email, адрес Требуется согласие субъекта (чаще всего). Стандартные меры защиты.
Специальные Расовая принадлежность, здоровье, политические взгляды, религия Строжайшие ограничения. Требуется письменное согласие или прямое указание других федеральных законов.
Биометрические Отпечатки пальцев, фото лица, голос, ДНК Наиболее строгий режим. Часто требуется отдельное письменное согласие и оценка рисков.
Обезличенные Агрегированная статистика, где нельзя восстановить личность Упрощенный режим. Регулируется законом № 233-ФЗ. Идеально для аналитики.

Особое внимание уделяется обезличенным данным, информации, которая не позволяет определить принадлежность персональных данных конкретному субъекту без использования дополнительной информации.. Поправки 2024-2025 годов расширили возможности работы с такими наборами данных, позволяя бизнесу использовать их для аналитики без строгих ограничений 152-ФЗ, но только при условии, что обратная идентификация невозможна.

Основания для обработки: когда согласие не нужно?

Главное правило: обработка должна иметь законное основание. Чаще всего это согласие человека. Но есть исключения, прописанные в статье 6 закона:

  • Исполнение договора, где субъект является стороной (например, покупка товара).
  • Исполнение договора, где субъект является выгодоприобретателем (например, доставка подарка другу).
  • Необходимость для заключения договора по запросу субъекта.
  • Обработка в целях правосудия или исполнения судебного акта.
  • Выполнение обязанностей, возложенных законом на оператора (например, передача данных в налоговую).

Если ни одно из этих условий не подходит, вам обязательно нужно получить согласие. Оно должно быть конкретным, информированным и сознательным. Галочка «Я согласен», которая скрывает длинный текст мелким шрифтом, может быть признана недействительной.

Антропоморфные контейнеры с данными разных категорий в мультяшном стиле

Права субъектов: чего ждут клиенты?

Человек, чьи данные вы обрабатываете, имеет ряд прав, которые вы обязаны уважать:

  1. Получить информацию: Кто вы? Зачем нужны данные? Как долго будете хранить? Куда передадите?
  2. Уточнить или исправить: Если данные неточны или устарели.
  3. Заблокировать или уничтожить: Если данные неполные, несвежие или получены незаконно.
  4. Отозвать согласие: В любой момент. После отзыва вы должны прекратить обработку и удалить данные, если нет иного законного основания для их хранения.

Вы должны создать простой механизм для реализации этих прав. Например, кнопку «Удалить мой аккаунт» на сайте или контактный email для запросов.

Штрафы и ответственность в 2026 году

Роскомнадзор перешел от формального контроля к реальному наказанию. Штрафы по КоАП РФ значительно выросли.

  • Нарушение порядка сбора и хранения: Штрафы для юридических лиц достигают миллионов рублей.
  • Неуведомление Роскомнадзора: С мая 2025 года действуют новые, более жесткие санкции за отсутствие уведомления до начала обработки.
  • Непредоставление информации по запросу субъекта: Отдельная статья штрафа.
  • Утечка данных: Помимо административных штрафов, возможны уголовные дела для ответственных лиц и иски от пострадавших граждан.

Помните: проверка может начаться после жалобы одного клиента или автоматического сканирования вашего сайта на наличие корректной политики конфиденциальности.

Паникующий офисный работник убегает от штрафов и утечек данных

Чек-лист: как привести компанию в соответствие с 152-ФЗ

Если вы еще не настроили процессы, действуйте по этому плану:

  1. Инвентаризация данных: Составьте реестр всех персональных данных, которые вы собираете, храните и передаете третьим лицам.
  2. Уведомление Роскомнадзора: Подайте уведомление через личный кабинет на сайте ведомства, если ваша деятельность не входит в перечень исключений.
  3. Документооборот: Разработайте и утвердите:
    • Политику в отношении обработки персональных данных (должна быть публичной на сайте).
    • Приказ о назначении ответственного за организацию обработки ПДн.
    • Локальные акты: инструкции по безопасности, регламенты доступа.
  4. Согласия: Перепроверьте формы согласия на сайте и в бумажных документах. Они должны четко указывать цели обработки и перечень данных.
  5. Техническая защита: Внедрите средства защиты информации (шифрование, антивирусы, разграничение прав доступа). Проведите оценку вреда.
  6. Обучение сотрудников: Все, кто имеет доступ к данным, должны подписать обязательства о неразглашении и пройти инструктаж.

FAQ: Частые вопросы по 152-ФЗ

Нужно ли уведомлять Роскомнадзор, если я ИП и работаю один?

Да, если вы обрабатываете персональные данные клиентов или сотрудников и не попадаете под исключения статьи 22 закона (например, обработка кадровых данных небольшого штата без передачи третьим лицам). Для большинства онлайн-бизнесов уведомление обязательно.

Можно ли использовать старые формы согласия?

С осторожностью. Требования к форме согласия ужесточились в 2022-2025 годах. Согласие должно быть конкретным, информированным и сознательным. Общие фразы вроде «для улучшения качества обслуживания» больше не проходят. Лучше обновить шаблоны.

Что делать, если клиент отозвал согласие?

Вы обязаны прекратить обработку и уничтожить данные в разумные сроки, если только вы не имеете другого законного основания для их хранения (например, необходимость для исполнения закона или судебного решения).

Нужна ли Политика конфиденциальности на сайте?

Обязательно. Она должна быть доступна по прямой ссылке, понятна посетителям и содержать информацию о целях обработки, составе данных, сроках хранения и правах субъектов.

Какие штрафы грозят за утечку данных?

Штрафы варьируются от десятков тысяч для должностных лиц до миллионов рублей для юридических организаций. Кроме того, возможно возбуждение уголовного дела, если утечка повлекла тяжкие последствия.

Deborah McPeake
Deborah McPeake

I am a legal writer and policy analyst focusing on civil rights, administrative law, and consumer protection. I turn complex legal issues into clear, practical guides for the public and professionals. I contribute to think tanks and legal blogs and consult on plain-language compliance. My work often bridges U.S. law with comparative perspectives.

Latest Posts
Прямое возмещение убытков по ОСАГО: когда и как обращаться в свою страховую

Прямое возмещение убытков по ОСАГО: когда и как обращаться в свою страховую

Прямое возмещение убытков по ОСАГО позволяет получить компенсацию от своей страховой после ДТП. Узнайте, когда это возможно, какие документы нужны и как избежать отказа.

Корпорация по ГК РФ: понятие, признаки и отличия от унитарных организаций

Корпорация по ГК РФ: понятие, признаки и отличия от унитарных организаций

Разбираем понятие корпорации по ст. 65.1 ГК РФ. Какие организации являются корпоративными, их 9 главных признаков и отличие от унитарных предприятий. Простой язык для понимания сложного закона.