152-ФЗ — базовый закон, который регулирует обработку персональных данных в России. Он касается не только крупных корпораций, но и интернет-магазинов, SaaS-сервисов, клиник, онлайн-школ, HR-платформ и любых компаний, которые собирают данные клиентов, сотрудников или пользователей.
Что считается персональными данными
- ФИО
- телефон, email
- паспортные данные
- адрес
- IP-адрес, cookie, геолокация — если по ним можно идентифицировать человека
- фото, голос, биометрия
Кто обязан соблюдать 152-ФЗ
Оператор персональных данных — любая организация или ИП, которые собирают, хранят, используют, передают или удаляют ПДн. Даже форма обратной связи на сайте уже делает компанию оператором.
Основные требования 152-ФЗ
- Обрабатывать данные только на законных основаниях
- Собирать ПДн под конкретную и понятную цель
- Не запрашивать лишние данные
- Получать согласие, если нет иного правового основания
- Обеспечивать актуальность и точность данных
- Удалять или обезличивать данные, когда цель достигнута
- По запросу пользователя сообщать, какие данные хранятся и зачем
Что нужно для защиты персональных данных
Закон требует не просто “не допускать утечек”, а выстроить систему защиты.
Минимум, который обычно нужен:
- политика обработки персональных данных
- согласия на обработку ПДн
- назначение ответственного за ПДн
- разграничение прав доступа
- антивирус, пароли, MFA, резервное копирование
- защита серверов, рабочих станций, почты и CRM
- журналирование действий и контроль инцидентов
- обучение сотрудников правилами работы с ПДн
Технические меры защиты
Если говорить по-практически, компании чаще всего внедряют:
- шифрование каналов передачи данных
- контроль доступа по ролям
- DLP/антивирус/EDR
- защиту веб-приложений и API
- сегментацию сети
- мониторинг событий ИБ
- регулярный аудит уязвимостей
Что важно для сайта
- разместить политику конфиденциальности
- добавить чекбокс согласия в формы
- объяснить цели сбора данных
- не ставить заранее отмеченные галочки
- контролировать, какие данные уходят в аналитику, CRM и сторонние сервисы
Локализация персональных данных
Для многих компаний критичный момент — первичная запись, систематизация, накопление и хранение персональных данных граждан РФ должны происходить с использованием баз данных на территории России. Это особенно важно для зарубежных SaaS и облачных сервисов. ☁️
Что грозит за нарушения
- штрафы
- предписания Роскомнадзора
- блокировки процессов обработки
- репутационные потери после утечки
- претензии со стороны клиентов и партнеров
Главный вывод
152-ФЗ — это не формальность и не “бумажка для сайта”. Это требования к процессам, инфраструктуре и ответственности бизнеса. Компании, которые выстраивают защиту ПДн системно, снижают риски штрафов, утечек и сбоев в работе. 🛡️
👀 Ниже — мягкая рекомендация: стоит посмотреть подборку каналов про IT, где регулярно разбирают ИБ, инфраструктуру, compliance и практику внедрения таких требований.