Экспертный блог 10 мин чтения

152-ФЗ: штрафуют за бумаги, а не за утечку

Многие уверены, что 152-ФЗ — про защиту от хакеров, и удивляются штрафу без всякой утечки. На практике наказывают за отсутствие бумаг и процедур. Разбираю, за что реально штрафуют, какие документы нужны и как навести порядок.

экспертное152-ФЗдокументыРКН
  • Главное заблуждение: бизнес считает, что 152-ФЗ — это про защиту от хакеров, а проверяют и штрафуют чаще за отсутствие документов и процедур.
  • Самые частые претензии — нет политики обработки персональных данных, нет согласий, не подано уведомление в Роскомнадзор, не назначен ответственный.
  • Штрафы за нарушения в сфере персональных данных за последние годы заметно выросли, а проверки стали системнее.
  • Привести дела в порядок можно за несколько недель: инвентаризация данных, комплект документов, уведомление в РКН, базовые меры защиты.
  • Это образовательный материал, а не юридическая консультация. Если нужен внешний взгляд, я помогаю провести аудит и собрать недостающие бумаги по 152-ФЗ.

Когда ко мне приходят с вопросом «у нас всё в порядке с 152-ФЗ?», почти всегда выясняется одно и то же: компания вложилась в антивирус, файрвол и резервные копии, но не может показать ни одной бумаги, которую первым делом спросит проверяющий. Бизнес путает две разные задачи — техническую защиту информации и юридическое оформление работы с персональными данными. От хакеров вы можете защититься идеально, но штраф прилетит не за это. Сразу оговорюсь: ниже мой практический опыт, а не юридическая консультация. Закон меняется, поэтому любые шаги сверяйте с актуальной редакцией 152-ФЗ и с профильным юристом.

Главное заблуждение про 152-ФЗ

В голове у большинства предпринимателей 152-ФЗ выглядит так: «есть закон, чтобы данные клиентов не утекли к мошенникам». Логика понятная, но она смещает фокус. Закон регулирует не то, насколько крепкий у вас сервер, а то, как именно вы обращаетесь с персональными данными: на каком основании их собираете, кому передаёте, сколько храните и можете ли это подтвердить документами.

Из этого следует неудобная правда. Можно не пережить ни одной утечки за всю историю компании и при этом получить претензию от регулятора. Проверяющего интересует не «вас взломали или нет», а «вы вообще имели право собирать эти данные и оформили ли это как положено». Утечка — отдельная и более тяжёлая история, но далеко не единственное и не самое частое основание для наказания.

Второй слой заблуждения — про размер бизнеса. Я постоянно слышу «мы маленькие, нас это не касается». Касается. Если вы собираете имена, телефоны, адреса, фотографии или хотя бы анкеты сотрудников — вы оператор персональных данных со всеми обязанностями. Размер влияет на объём мер, но не на сам факт, что закон к вам применим.

За что реально штрафуют чаще всего

Если убрать громкие истории про утечки, то повседневная практика проверок крутится вокруг нескольких простых вещей. Они скучные, их легко закрыть заранее — и именно поэтому их так часто упускают.

Нет уведомления в Роскомнадзор о намерении обрабатывать персональные данные. Это базовый шаг, с которого начинается легальная работа оператора. Многие компании годами обрабатывают данные клиентов и сотрудников, ни разу не подав уведомление, и не знают, что это требуется. Для проверяющего отсутствие уведомления — один из самых очевидных поводов.

Нет согласия на обработку или оно оформлено неправильно. Галочка «согласен» без понятного текста, согласие, спрятанное в подвале сайта, отсутствие отдельного согласия на рассылку или передачу третьим лицам — типичные претензии. Согласие должно быть конкретным, информированным и доказуемым: вы должны уметь показать, на что именно и когда согласился человек.

Нет политики обработки персональных данных или она недоступна. Закон требует опубликовать документ, описывающий, как вы работаете с данными. На сайте он должен находиться без квеста. Отсутствующая, скопированная у конкурента или противоречащая реальным процессам политика — сразу минус.

Не назначен ответственный за организацию обработки. Внутри компании должен быть человек с приказом о назначении. Без этого нет того, кто отвечает за процессы, и это видно по документам.

Данные собираются избыточно и хранятся вечно. Классика — анкета, где спрашивают втрое больше, чем нужно для услуги, и база, из которой никто ничего не удаляет. Принцип «собираем ровно столько, сколько нужно, и храним ровно столько, сколько обоснованно» нарушается почти везде.

Игнорирование обращений субъектов. Человек имеет право спросить, какие его данные у вас есть, и потребовать их удалить. Если на такие запросы никто не отвечает или нет регламента, это тоже нарушение.

Обратите внимание: ни один из этих пунктов не про хакеров. Это всё про порядок в бумагах и процессах. Именно поэтому я говорю клиентам, что комплаенс по 152-ФЗ — в первую очередь организационная, а не техническая работа. Отмечу и общий фон: ответственность за нарушения в сфере персональных данных в последние годы ужесточилась, штрафы выросли, а проверки стали системнее, поэтому подход «авось не заметят» становится всё дороже.

Какие документы должны быть

Когда я провожу аудит, я фактически прохожусь по чек-листу документов, которые оператор обязан иметь и уметь предъявить. Вот базовый набор, вокруг которого строится почти всё.

Уведомление в Роскомнадзор. Подтверждение, что вы заявили о себе как об операторе и что сведения о характере обработки актуальны. Если поменялись цели или категории данных, уведомление нужно обновлять.

Политика обработки персональных данных. Публичный документ, описывающий цели, основания, категории субъектов и данных, сроки и порядок обработки. Он должен соответствовать реальности, а не быть красивой ширмой.

Согласия субъектов. Формы согласий под каждую цель: обслуживание клиента, рассылки, передача партнёрам, обработка данных сотрудников. Важно, чтобы вы могли доказать факт получения согласия.

Приказ о назначении ответственного и внутренние положения. Документ о назначении ответственного, а также внутренние регламенты: положение об обработке и защите данных, перечень обрабатываемых данных, список лиц с доступом.

Документы по сотрудникам. Согласия работников, обязательства о неразглашении, регламент допуска к данным. Про сотрудников забывают чаще, чем про клиентов, хотя их данные вы обрабатываете каждый день.

Модель угроз и описание мер защиты. Здесь техническая и организационная части встречаются: нужно описать, какие угрозы вы считаете актуальными и какие меры принимаете. Это точка, где грамотно выстроенная кибербезопасность становится частью юридического комплаенса.

Журналы и регламенты реагирования. Порядок действий при запросах субъектов и при инцидентах. Понятный регламент на случай утечки сам по себе снижает риски и показывает, что процессы выстроены, а не существуют на словах.

Как привести в порядок

Хорошая новость в том, что навести порядок по 152-ФЗ — задача конечная и обозримая. Я обычно разбиваю её на несколько шагов, которые реально пройти за несколько недель, а не за год.

Шаг первый — инвентаризация данных. Сначала надо честно ответить, какие персональные данные вы собираете, где они лежат, кто имеет к ним доступ, кому вы их передаёте и зачем. Без этой карты любой комплект документов будет оторван от реальности. Чаще всего уже здесь вскрываются сюрпризы: лишние поля в анкетах, передача данных подрядчикам без оформления, базы в личных мессенджерах сотрудников.

Шаг второй — устранение избыточности. Прежде чем что-то описывать, стоит выкинуть лишнее. Уберите ненужные поля, прекратите хранить то, что давно потеряло смысл, ограничьте доступ. Чем меньше данных вы обрабатываете, тем проще и дешевле потом всё это защищать и документировать.

Шаг третий — комплект документов. На основе карты данных собирается политика, согласия, внутренние положения и приказы. Важно не скачивать шаблоны наугад, а подгонять формулировки под ваши реальные процессы. Документ, который противоречит тому, что вы делаете, хуже его отсутствия.

Шаг четвёртый — уведомление в Роскомнадзор. Когда понятно, что и зачем вы обрабатываете, подаётся уведомление с актуальными сведениями. Если оно уже было, его сверяют с текущим положением дел и при необходимости обновляют.

Шаг пятый — базовые меры защиты. Меры под вашу модель угроз: разграничение доступа, пароли и двухфакторная аутентификация, шифрование там, где нужно, резервные копии, договоры с подрядчиками. Здесь техническая защита наконец встаёт на своё место — как одно из требований, а не как единственная задача.

Если не хочется разбираться в этом самостоятельно, разумно начать с независимой оценки. Внешний аудит по требованиям Роскомнадзора покажет, какие бумаги и процедуры у вас отсутствуют, а более широкий ИТ-аудит заодно подсветит слабые места в инфраструктуре. Так вы не тратите силы на то, что и так в порядке, и точечно закрываете реальные пробелы.

Частые вопросы

Мы ИП без сайта, нас 152-ФЗ вообще касается?

Если вы собираете персональные данные клиентов или сотрудников в любом виде — анкеты, договоры, телефоны для записи — вы оператор персональных данных. Сайт тут вторичен. Объём требований у небольшого бизнеса меньше, но базовые обязанности остаются.

Если у нас был антивирус и защита, нас не оштрафуют?

Технические меры закрывают только часть требований. Штраф можно получить за отсутствие уведомления, политики, согласий или ответственного независимо от того, насколько хорошо защищён сервер. Это разные плоскости, и закрывать нужно обе.

Достаточно ли скачать шаблон политики и повесить на сайт?

Это лучше, чем ничего, но рискованно. Шаблон, не отражающий ваши процессы, легко вскрывается при проверке и может сыграть против вас. Документы должны соответствовать тому, что вы делаете на практике, поэтому шаблон — только заготовка.

Сколько времени занимает привести всё в порядок?

По моему опыту, для типичного малого и среднего бизнеса это несколько недель: основное время уходит на инвентаризацию данных и согласование формулировок. Сами документы и уведомление готовятся быстро, когда есть честная карта того, что и зачем вы обрабатываете.

Эта статья заменяет консультацию юриста?

Нет. Это образовательный материал, который помогает понять логику и приоритеты. Конкретные формулировки документов, актуальные требования и нюансы вашей отрасли сверяйте с действующей редакцией закона и с профильным юристом.

Выводы

Если вынести из этого текста одну мысль: 152-ФЗ — в первую очередь про порядок в документах и процессах, а уже потом про защиту от хакеров. Большинство претензий, которые я вижу на практике, не имеют отношения к утечкам. Они про отсутствие уведомления, политики, согласий и ответственного — то есть про вещи, которые закрываются спокойной системной работой, а не дорогим оборудованием.

Хорошая новость в том, что это управляемый риск. Инвентаризация данных, честный комплект документов, уведомление в Роскомнадзор и адекватные меры защиты — этого достаточно, чтобы перестать жить в режиме «авось не проверят». А на фоне того, что ответственность ужесточается и штрафы растут, привести бумаги в порядок заранее почти всегда дешевле, чем разбираться постфактум. Начните с инвентаризации и независимой оценки — и обязательно сверяйтесь с актуальным законом и юристом, потому что эта статья даёт ориентиры, но не заменяет профессиональную правовую помощь.

Услуги по теме

Как я работаю с бизнесом

  • IT-аудит и диагностика
  • Данные, миграции, единая база
  • ИИ под задачу: локально и приватно
  • Безопасность и 152-ФЗ
  • Прозрачно и по делу
Написать в Telegram

Бесплатно: чек-лист «Готов ли ваш бизнес к 152-ФЗ»

12 пунктов, которые проверяют готовность за час: данные, согласия, уведомление в РКН, локализация, защита. Отметьте, что уже сделано, и увидите дыры, за которые сейчас штрафуют.

Готовы обсудить вашу задачу?

Бесплатная консультация — разберём, как внедрить это в вашем бизнесе под ключ. Без форм, пишите напрямую.

Готовые решения под ключ 449 готовых IT-решений для бизнеса Автоматизация, боты, AI, 152-ФЗ и платформы · бесплатная консультация Смотреть каталог