Главная Вики Безопасность

152-ФЗ: что компания должна делать с персональными данными

152-ФЗ «О персональных данных» — базовый закон, который регулирует, как компании работают с информацией о людях: сотрудниках, клиентах, контрагентах. Его действие распространяется практически на любой бизнес — даже на ИП с одним сотрудником.

Зачем это нужно бизнесу

Многие предприниматели до сих пор считают, что 152-ФЗ касается только банков и крупных компаний. Это не так. Если у вас есть хотя бы один сотрудник — вы обрабатываете его персональные данные (ФИО, паспорт, СНИЛС, ИНН, адрес). Если у вас есть клиенты — физические лица — вы обрабатываете их ПДн. Если вы собираете заявки через сайт — собираете контактные данные. Всё это регулируется 152-ФЗ.

С 2022–2025 годов внимание к 152-ФЗ резко выросло. Утечки крупных российских компаний привели к ужесточению закона, штрафы за утечки выросли, а Роскомнадзор стал чаще выходить с проверками. При этом нарушения вскрываются не только при плановой проверке: после массовых утечек у конкурентов или после жалобы клиента может прийти внеплановая проверка.

Для бизнеса 152-ФЗ — это гигиена, без которой нельзя работать вдолгую. Технических затрат он требует не критичных, но без них компания висит на рисках штрафов, репутационных потерь и претензий клиентов.

Как это работает

Закон требует от компании-оператора ПДн (любого, кто их обрабатывает) выполнить несколько вещей. Перечислим основное — без претензии на юридическую полноту.

Организационные меры. Назначить ответственного за обработку ПДн. Разработать и утвердить пакет документов: политика обработки ПДн (публичная, на сайте), положение об обработке, согласия с субъектов ПДн, обязательства о неразглашении для сотрудников. Подать уведомление в Роскомнадзор о начале обработки (для большинства компаний обязательно). Поддерживать перечень обрабатываемых ПДн.

Технические меры. Закон не пишет «купите такой-то антивирус», но обязывает применять меры, соответствующие уровню защищённости обрабатываемых данных (УЗ-1, УЗ-2, УЗ-3, УЗ-4 — определяется по специальной методике в зависимости от категорий ПДн и числа субъектов). Чем выше уровень, тем строже требования. Базовый набор для большинства средних компаний (обычно УЗ-3) включает: средства антивирусной защиты, межсетевые экраны, средства защищённой передачи данных при работе вне офиса (Remote VPN с СКЗИ), контроль доступа, журналирование событий безопасности, средства защиты от несанкционированного доступа.

Хранение и обработка. ПДн граждан России должны храниться и обрабатываться (в части первичной записи и систематизации) на серверах в России — это требование о локализации. Передача данных за рубеж требует уведомления и согласия. Срок хранения — не дольше, чем нужно для целей обработки.

Реакция на инциденты. При утечке ПДн оператор обязан в установленный срок уведомить Роскомнадзор и пострадавших субъектов. Это требует наличия процесса реагирования: кто заметил, кто принимает решение, кто пишет уведомление.

Важно: финальное соответствие 152-ФЗ — это пересечение технической, организационной и юридической работы. Мы как IT-подрядчик закрываем техническую часть (СЗИ, журналирование, шифрование, защищённые каналы) и помогаем с организационной (регламенты по эксплуатации СЗИ). Полное юридическое соответствие, оформление документов и взаимодействие с Роскомнадзором лучше вести с привлечением профильного юриста или специализированной компании.

Когда нужно компании

Что включает наша услуга

Связанные термины

Получить расчёт

Зайдите в калькулятор, отметьте чекбокс «152-ФЗ — соответствие», укажите количество рабочих мест и категорию обрабатываемых ПДн — получите ориентир по затратам на технические средства защиты. Финальная смета — после обследования и определения уровня защищённости.

Связанные термины
Расчёт стоимости

Хотите оценить стоимость под свою инфраструктуру?

Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).

Открыть калькулятор Получить КП