152-ФЗ: что компания должна делать с персональными данными
152-ФЗ «О персональных данных» — базовый закон, который регулирует, как компании работают с информацией о людях: сотрудниках, клиентах, контрагентах. Его действие распространяется практически на любой бизнес — даже на ИП с одним сотрудником.
Зачем это нужно бизнесу
Многие предприниматели до сих пор считают, что 152-ФЗ касается только банков и крупных компаний. Это не так. Если у вас есть хотя бы один сотрудник — вы обрабатываете его персональные данные (ФИО, паспорт, СНИЛС, ИНН, адрес). Если у вас есть клиенты — физические лица — вы обрабатываете их ПДн. Если вы собираете заявки через сайт — собираете контактные данные. Всё это регулируется 152-ФЗ.
С 2022–2025 годов внимание к 152-ФЗ резко выросло. Утечки крупных российских компаний привели к ужесточению закона, штрафы за утечки выросли, а Роскомнадзор стал чаще выходить с проверками. При этом нарушения вскрываются не только при плановой проверке: после массовых утечек у конкурентов или после жалобы клиента может прийти внеплановая проверка.
Для бизнеса 152-ФЗ — это гигиена, без которой нельзя работать вдолгую. Технических затрат он требует не критичных, но без них компания висит на рисках штрафов, репутационных потерь и претензий клиентов.
Как это работает
Закон требует от компании-оператора ПДн (любого, кто их обрабатывает) выполнить несколько вещей. Перечислим основное — без претензии на юридическую полноту.
Организационные меры. Назначить ответственного за обработку ПДн. Разработать и утвердить пакет документов: политика обработки ПДн (публичная, на сайте), положение об обработке, согласия с субъектов ПДн, обязательства о неразглашении для сотрудников. Подать уведомление в Роскомнадзор о начале обработки (для большинства компаний обязательно). Поддерживать перечень обрабатываемых ПДн.
Технические меры. Закон не пишет «купите такой-то антивирус», но обязывает применять меры, соответствующие уровню защищённости обрабатываемых данных (УЗ-1, УЗ-2, УЗ-3, УЗ-4 — определяется по специальной методике в зависимости от категорий ПДн и числа субъектов). Чем выше уровень, тем строже требования. Базовый набор для большинства средних компаний (обычно УЗ-3) включает: средства антивирусной защиты, межсетевые экраны, средства защищённой передачи данных при работе вне офиса (Remote VPN с СКЗИ), контроль доступа, журналирование событий безопасности, средства защиты от несанкционированного доступа.
Хранение и обработка. ПДн граждан России должны храниться и обрабатываться (в части первичной записи и систематизации) на серверах в России — это требование о локализации. Передача данных за рубеж требует уведомления и согласия. Срок хранения — не дольше, чем нужно для целей обработки.
Реакция на инциденты. При утечке ПДн оператор обязан в установленный срок уведомить Роскомнадзор и пострадавших субъектов. Это требует наличия процесса реагирования: кто заметил, кто принимает решение, кто пишет уведомление.
Важно: финальное соответствие 152-ФЗ — это пересечение технической, организационной и юридической работы. Мы как IT-подрядчик закрываем техническую часть (СЗИ, журналирование, шифрование, защищённые каналы) и помогаем с организационной (регламенты по эксплуатации СЗИ). Полное юридическое соответствие, оформление документов и взаимодействие с Роскомнадзором лучше вести с привлечением профильного юриста или специализированной компании.
Когда нужно компании
- Любая компания, у которой есть штатные сотрудники (а это все);
- Любая компания, у которой есть клиенты-физлица (B2C);
- Интернет-магазины, сервисы записи онлайн, СМИ, образовательные платформы;
- Медицинские, образовательные, финансовые организации — особо чувствительные категории ПДн;
- Компании, обрабатывающие ПДн как обработчик по поручению других компаний (call-центры, HR-агентства, аутсорсинг бухгалтерии);
- Любая компания, у которой уже была проверка или жалоба — нужно подтягивать соответствие.
Что включает наша услуга
- Аудит текущего состояния: какие ПДн обрабатываются, где хранятся, какие СЗИ есть, что соответствует требованиям, а что нет;
- Определение уровня защищённости и модели угроз — базовый документ для дальнейших технических решений;
- Подбор и внедрение технических средств защиты (антивирус, межсетевой экран, защищённый VPN, средства контроля доступа), сертифицированных ФСТЭК и ФСБ там, где это требуется;
- Настройка журналирования и хранения логов согласно требованиям;
- Помощь с организационной частью: шаблоны политик, регламентов, согласий — с пометкой, что финальная редакция должна быть проверена юристом;
- Подключение к NOC: 24/7 мониторинг инцидентов, журналирование событий ИБ, разбор и эскалация при инцидентах.
Связанные термины
- 187-ФЗ КИИ: критическая информационная инфраструктура — отдельный закон для критической инфраструктуры, требования жёстче
- Корпоративный антивирус (управление) — антивирус — обязательная мера для большинства уровней защищённости
- Remote-access VPN: удалённый доступ сотрудников — работа с ПДн вне офиса возможна только через сертифицированный VPN с СКЗИ
- PKI, ЭП и МЧД: корпоративная инфраструктура электронных подписей — СКЗИ и сертификаты — техническая основа защищённого обмена
- Ежеквартальный ИБ-аудит: регулярные проверки безопасности — регулярная проверка состояния соответствия
Получить расчёт
Зайдите в калькулятор, отметьте чекбокс «152-ФЗ — соответствие», укажите количество рабочих мест и категорию обрабатываемых ПДн — получите ориентир по затратам на технические средства защиты. Финальная смета — после обследования и определения уровня защищённости.
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП