152-ФЗ — базовый закон, который регулирует сбор, хранение, обработку и защиту персональных данных в России. Его должны учитывать не только крупные корпорации, но и интернет-магазины, SaaS-сервисы, HR-отделы, клиники, образовательные платформы и даже сайты с формой обратной связи.
Что считается персональными данными
- ФИО
- телефон
- адрес
- паспортные данные
- IP-адрес, cookie, геолокация — если по ним можно идентифицировать человека
Кто обязан соблюдать 152-ФЗ
Оператор персональных данных — любая организация, ИП или физлицо, которое собирает и использует данные пользователей, клиентов или сотрудников. Если у вас есть CRM, анкеты, формы регистрации, база рассылки или резюме кандидатов — вы уже оператор.
Главные требования закона
- Законное основание обработки
Нужна правовая база: согласие субъекта, исполнение договора, требования закона, трудовые отношения и другие основания. - Согласие на обработку
Оно должно быть конкретным, информированным и осознанным. Частая ошибка — скрывать согласие в длинной оферте без явного подтверждения. - Политика обработки персональных данных
На сайте должен быть публичный документ с описанием: какие данные собираются, зачем, как хранятся, кому передаются и как пользователь может отозвать согласие. - Локализация данных
При сборе персональных данных граждан РФ их первичная запись, систематизация и хранение должны происходить на территории России. - Защита данных
Оператор обязан принимать организационные и технические меры защиты: разграничение доступа, антивирусы, резервное копирование, аудит событий, шифрование при необходимости. - Минимизация данных
Нельзя собирать “на всякий случай”. Только те данные, которые действительно нужны для заявленной цели. - Сроки хранения и удаление
После достижения цели обработки данные нужно удалить или обезличить, если закон не требует иного хранения.
Что должно быть у бизнеса на практике
- политика конфиденциальности и обработки ПДн
- согласия на сайте, в формах и договорах
- реестр процессов обработки
- приказ о назначении ответственного
- регламенты доступа сотрудников
- договоры с подрядчиками, которые получают доступ к данным
- уведомление в Роскомнадзор — в ряде случаев обязательно
Типовые нарушения ⚠️
- форма собирает телефон, но нет согласия
- сайт использует зарубежные сервисы без оценки передачи данных
- нет политики на сайте
- доступ к базе есть у всех сотрудников
- данные хранятся бессрочно без оснований
- подрядчики работают с ПДн без договорных обязательств по защите
Какие риски при несоблюдении
- штрафы
- предписания Роскомнадзора
- блокировка процессов обработки
- репутационные потери
- утечки и судебные споры
Что проверить прямо сейчас ✅
- есть ли на сайте чекбокс согласия
- опубликована ли политика обработки ПДн
- хранится ли база пользователей в РФ
- ограничен ли доступ к данным
- понятно ли, зачем собирается каждый атрибут
- настроено ли удаление неактуальных данных
152-ФЗ — это уже не просто “бумажная формальность”, а обязательная часть IT-инфраструктуры и compliance-процессов. Для цифрового бизнеса соблюдение закона снижает риски, повышает доверие клиентов и помогает выстроить безопасную работу с данными 🛡️
Подборку полезных каналов про IT — от права и безопасности до инфраструктуры и разработки — стоит сохранить отдельно в закладки.