Выстраиваем обработку персональных данных как контролируемый бизнес-процесс: уведомление Роскомнадзора, ОРД, согласия, поручения, матрицы доступа, контроль подрядчиков и подготовка к проверкам.
Вместо формального набора документов — прозрачная модель ответственности, маршрутов передачи данных, прав доступа и доказательной базы для регулятора.
Переводим требования 152-ФЗ в понятную систему управления рисками, документами, доступами, передачей данных и доказательствами выполнения требований.
Находим все точки сбора, хранения, передачи, доступа и удаления персональных данных.
Фиксируем нарушения до того, как их обнаружит Роскомнадзор, клиент или внутренний аудит.
Готовим регламенты, инструкции, согласия, поручения, матрицы доступа и журналы контроля.
Формируем комплект документов и контрольные артефакты, которые можно показать регулятору.
По ст. 3 152-ФЗ оператором является любая организация или ИП, которые самостоятельно собирают, хранят или используют персональные данные. Статус возникает автоматически — достаточно одной формы на сайте.
Если есть сотрудники, клиенты, сайт, CRM, метрика или подрядчики — требования 152-ФЗ уже применимы.
Любая форма обратной связи, подписка, регистрация — уже обработка ПДн. Яндекс.Метрика, счётчики посещаемости — тоже. Нужно информировать пользователей при входе и указывать метрическую программу в согласии.
Даже 1 сотрудник делает компанию оператором (СНИЛС, паспортные данные и иные документы). Согласие на передачу ПДн работников третьим лицам — только в письменной форме.
CRM с данными клиентов, email-рассылки и программы лояльности — под 152-ФЗ. Для рекламных рассылок необходимо отдельное согласие, а ПДн граждан РФ должны храниться на серверах в России.
Состояние здоровья — специальные категории ПДн. Утечка таких данных: штраф от 10 до 15 млн руб. Требуется письменное согласие + строгий контроль РКН.
Имя, телефон, адрес доставки — персональные данные. Карта лояльности требует отдельного согласия. Хранить можно только столько, сколько нужно для цели. После — уничтожить в течение 30 дней.
ГИС — расширенные требования: аттестация, сертифицированные СЗИ, обязательное обезличивание данных по методам РКН.
важные контрольные точки для операторов ПДн
По данным проверок РКН, эти нарушения встречаются у большинства операторов — от малого бизнеса до крупных компаний. Проверьте себя по каждому пункту.
Многие операторы начинают обрабатывать ПДн, не подав уведомление через pd.rkn.gov.ru. Типичная ошибка — убеждённость, что «мы маленькая компания». Уведомление обязательно для всех, кроме случаев неавтоматизированной обработки.
Политика имеется, но не актуализируется или содержит общие фразы без конкретных целей и сроков. По п.2 ч.1 ст.18.1 152-ФЗ документ должен быть на каждой странице сбора данных и отражать реальную деятельность оператора.
«Я согласен с политикой конфиденциальности» — самая распространённая ошибка. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным, оформлено отдельно от иных документов. Для рекламных рассылок — отдельное согласие.
Использование иностранных CRM, облачных провайдеров (AWS, Google Cloud, Salesforce, HubSpot) без локальной копии базы — прямое нарушение ч.5 ст.18 152-ФЗ. Все операции записи, хранения, накопления ПДн граждан РФ должны выполняться на серверах в России.
При обнаружении факта неправомерной передачи ПДн многие операторы «тихо разбираются» внутри. По ч.3.1 ст.21 152-ФЗ необходимо уведомить РКН в течение 24 часов (первичное сообщение), а в течение 72 часов — предоставить результаты расследования.
Подключение колл-центра, IT-аутсорсера, бухгалтерского сервиса без договора поручения по ч.3 ст.6 152-ФЗ. NDA или обычный договор оказания услуг этот вопрос не закрывает. В поручении должны быть явно прописаны перечень ПДн, цели, операции и обязанность конфиденциальности.
Яндекс.Метрика, Google Analytics подключены, а пользователи не уведомляются при входе. Google Analytics дополнительно квалифицируется как трансграничная передача ПДн — требуется уведомление в РКН по ст.12 152-ФЗ за 10 рабочих дней до начала передачи.
Актуальные санкции для юридических лиц в редакции от 09.04.2026 г.
| Статья | Нарушение | ЮЛ впервые | ЮЛ повторно / рецидив |
|---|---|---|---|
| Нарушения при обработке персональных данных — ст.13.11 КоАП | |||
| ч.1 ст.13.11 | Неправомерная обработка / несовместимая с целью сбора | 150–300 тыс. руб. | 300–500 тыс. руб. |
| ч.2 ст.13.11 | Обработка без письменного согласия или нарушение его состава | 300–700 тыс. руб. | 1–1,5 млн руб. |
| ч.3 ст.13.11 | Не опубликована Политика обработки ПДн | 30–60 тыс. руб. | — |
| ч.4 ст.13.11 | Не предоставлена субъекту информация об обработке его ПДн | 40–80 тыс. руб. | — |
| ч.5 ст.13.11 | Невыполнение требования об уточнении, блокировании или уничтожении ПДн | 50–90 тыс. руб. | 300–500 тыс. руб. |
| Нарушения требований локализации данных — ст.13.11 КоАП | |||
| ч.8 ст.13.11 | Хранение ПДн граждан РФ на серверах за пределами РФ | 1–6 млн руб. | 6–18 млн руб. |
| Нарушения порядка уведомления Роскомнадзора — ст.13.11 КоАП | |||
| ч.10 ст.13.11 | Не подано или просрочено уведомление в РКН о намерении обрабатывать ПДн | 100–300 тыс. руб. | — |
| ч.11 ст.13.11 | Оператор не уведомил РКН об утечке ПДн в установленный срок | 1–3 млн руб. | — |
| Ответственность за утечки персональных данных — ст.13.11 КоАП | |||
| ч.12 ст.13.11 | Утечка ПДн: 1–10 тыс. субъектов и/или 10–100 тыс. идентификаторов | 3–5 млн руб. | — |
| ч.13 ст.13.11 | Утечка ПДн: 10–100 тыс. субъектов и/или 100 тыс.–1 млн идентификаторов | 5–10 млн руб. | — |
| ч.14 ст.13.11 | Утечка ПДн: более 100 тыс. субъектов и/или более 1 млн идентификаторов | 10–15 млн руб. | — |
| ч.15 ст.13.11 | Повторная утечка (чч.12–14) — рецидив | 1–3% выручки, от 20 до 500 млн руб. | — |
| ч.16 ст.13.11 | Утечка специальных категорий ПДн (здоровье, судимость и др.) | 10–15 млн руб. | — |
| ч.17 ст.13.11 | Утечка биометрических персональных данных | 15–20 млн руб. | — |
| ч.18 ст.13.11 | Повторная утечка (чч.16–17) — рецидив по спец./биометрии | 1–3% выручки, от 25 до 500 млн руб. | — |
| Уголовная ответственность — ст.272.1 УК РФ | |||
| ч.1 ст.272.1 УК РФ | Незаконные оборот, хранение, передача ПДн, полученных незаконным путём | Лишение свободы до 4 лет | — |
| ч.2 ст.272.1 УК РФ | То же в отношении ПДн несовершеннолетних, спецкатегорий или биометрии | Лишение свободы до 5 лет + штраф до 700 тыс. | — |
| ч.4 ст.272.1 УК РФ | То же с трансграничной передачей ПДн за рубеж | Лишение свободы до 8 лет + штраф до 2 млн | — |
| ч.5 ст.272.1 УК РФ | Тяжкие последствия или организованная группа | Лишение свободы до 10 лет + штраф до 3 млн | — |
Примечание: уголовная ответственность устанавливается судом независимо от административной.
