Чек-лист «Успеть до Нового года» для предпринимателя
ЭкспертизаЗаконодательство
12 декабря 2025 г.
30 мая 2025 года вступили в силу обновления к 152-ФЗ — теперь несоблюдение закона оборачивается не формальностью, а реальными миллионами штрафов и блокировками. Если у вас есть сайт, CRM, клиентская база или даже просто Excel с именами — вы обязаны зарегистрироваться как оператор персональных данных.
Почему сейчас об этом говорят все?
152-ФЗ существует с 2006 года. Но за последние 2 года он стал совсем другим:
Изменяется каждые 3–6 месяцев
Поправки 420-ФЗ и 421-ФЗ (вступили в силу с 30.05.2025) — самые жёсткие за всю историю
Введена уголовная ответственность за «серые» базы
Штрафы выросли в десятки раз и теперь могут достигать миллионов
"Теперь регистрация в Роскомнадзоре — это не «бюрократия ради галочки», а реальная защита вашего бизнеса от проблем, которые могут стоить компании репутации, клиентов и выручки."
Что грозит бизнесу за несоблюдение 152-ФЗ
Нарушение | Было раньше | Стало с 30.05.2025 |
|---|---|---|
Нет регистрации в реестре РКН | Предупреждение / ≤ 5 тыс | 100–300 тыс. ₽ (ЮЛ) |
Утечка данных > 1000 субъектов | 50–150 тыс. ₽ | 5–15 млн ₽ + 1–3% выручки |
Неуведомление об инциденте в 72 ч | 3–5 тыс. ₽ | 1–3 млн ₽ |
Иностранная аналитика (Google, Meta) | — | до 6 млн ₽ |
Cookie-баннер без кнопки «Отказаться» | — | до 300 тыс. ₽ |
"⚠️ Больше нет «предупреждений» — теперь санкции начинаются с шестизначных сумм."
Александр Рыжов
Директор по правовым вопросам, управляющий партнёр, Рыжов и партнёры
Кто обязан зарегистрироваться
Закон говорит просто: оператором считается «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн и определяющие её цели и способы» . То есть важен не размер бизнеса, а сам факт, что вы собираете, храните или передаёте данные людей.
Категория | Типичные действия, создающие обязанность |
|---|---|
Юридические лица (коммерческие и НКО) | Кадровый учёт сотрудников, CRM-системы, клиентские базы, программы лояльности, формы обратной связи на сайте |
Индивидуальные предприниматели | Ведение базы поставщиков и контрагентов, онлайн-магазин, email-рассылки, курьерская доставка с адресами клиентов |
Самозанятые | Сайт с формой заявки или отзывом, чат-бот, ведение клиентской таблицы в смартфоне, консультирование по здоровью/питанию и т. д. |
Физлица-фрилансеры | Администрирование чужих сайтов, таргет-реклама с выгрузкой клиентских баз, приём заказов через мессенджер |
Исключения? Их всего три
На практике чисто «бумажный» режим встречается крайне редко: достаточно завести WhatsApp-чат с жильцами или бухгалтерскую программу — и льгота исчезает.
Обработка исключительно без автоматизации — полностью бумажные реестры, никаких файлов, сканов, e-mail и отчётности в электронном виде .
Участие в государственных ИС ПДн, созданных для обеспечения безопасности государства или правопорядка .
Организации транспортной безопасности, обеспечивающие устойчивую работу ТК РФ .
Чек-лист: вы — оператор персональных данных, если...
№ | Вопрос | Да | Нет |
|---|---|---|---|
1 | У вас есть сайт с формой обратной связи или используются cookie | ||
2 | Вы ведёте базу клиентов, соискателей, партнёров | ||
3 | Вы используете CRM, мессенджеры, облачные хранилища или сервисы | ||
4 | Храните хотя бы один контакт (email или номер телефона клиента/сотрудника) | ||
5 | Делаете e-mail или SMS-рассылки, уведомления, доставку | ||
6 | Получаете обращения через соцсети (Instagram, ВКонтакте, Telegram и др.) |
"Хотя бы один «да» — и вы обязаны быть в реестре операторов."
Александр Рыжов
Директор по правовым вопросам, управляющий партнёр, Рыжов и партнёры
Что нужно сделать прямо сейчас
В дальнейшем обновляйте данные при любых изменениях целей, способов обработки, ответственных или мест хранения
Проверить, есть ли вы в реестре РКН: https://pd.rkn.gov.ru
Подать уведомление по новой форме (после 01.02.2023)
Подготовить пакет документов (политика, приказы, согласия)
Привести сайт в порядок: локализация, куки-баннер, чекбоксы
Назначить ответственного за ПДн
Настроить технические меры защиты: антивирус, firewall, бэкапы
Обучить сотрудников
Разработать план на случай утечки: 72 часа на уведомление
Пример: как это выглядит на практике
Компания B2B с 12 сотрудниками:⚠️ Риски:Что сделали:
CRM → amoCRM
Сайт на Tilda, подключена Google Analytics
Заявки поступают через форму, телефоны — в WhatsApp
Штраф за отсутствие регистрации: 300 тыс. ₽
Утечка базы = 5–15 млн ₽
Использование Google → +6 млн ₽
Подали уведомление
Убрали GA и перешли на Метрику
Настроили бэкапы, обновили антивирус
Назначили ответственного и провели обучение
"Затраты: ≈ 50 тыс. ₽ на аудит + внедрение. Экономия — миллионы."
Александр Рыжов
Директор по правовым вопросам, управляющий партнёр, Рыжов и партнёры
Обязанности оператора персональных данных: краткий обзор практических требований
1. Уведомление Роскомнадзора — и его постоянная актуализация
Первичное уведомление подаётся только по новой форме (действует с 01.02.2023)
При любом изменении целей, категорий данных, ответственных лиц или адресов хранилищ оператор обязан подать корректирующее уведомление не позднее 15-го числа месяца, следующего за изменениями
Контактное лицо для связи с РКН указывается в уведомлении и обновляется при кадровых перестановках
2. Локальная нормативная база (ЛНА) — “документальный скелет”
Что должно быть | Минимальное содержание | Где пригодится |
|---|---|---|
Политика обработки ПДн | цели, категории субъектов, перечень данных, сроки хранения, порядок уничтожения, сведения о куки/метриках | Публикуется на сайте; инспектор сверяет её с уведомлением |
Приказы и регламенты | назначение ответственного, перечень баз данных, порядок доступа, ввод ИСПДн в эксплуатацию, комиссия по уничтожению ПДн и т.д. | Запрашиваются при проверке; смягчают штраф при инциденте |
Согласия субъектов | раздельно под каждую цель (обработка, передача, рассылка, распространение) | Хранятся как доказательство законности действий |
Акты оценки вреда и уровня защищённости | анализ потенциального ущерба и выбор класса защиты ИСПДн | Обязательны для любой ИСПДн; служат обоснованием технических мер |
"Лайфхак: политика и уведомление должны «зеркалить» друг друга; три расхождения — и РКН автоматически относит оператора к группе повышенного риска."
Александр Рыжов
Директор по правовым вопросам, управляющий партнёр, Рыжов и партнёры
3. Технические и организационные меры
Антивирус, межсетевой экран, контроль доступа, шифрование, резервное копирование. Затраты на ИБ рекомендуется планировать не ниже 0,1 % выручки в год; счета и акты об оплате хранятся как смягчающее обстоятельство
Регулярный аудит: внутренний контроль по утверждённому плану, журналы проверок, устранение уязвимостей
Обучение персонала: инструктаж о том, какие данные можно собирать, как их хранить, что делать при инциденте; факт обучения фиксируется в журналах
4. План реагирования на инциденты (72-часовой таймер)
Фиксация события и первичная локализация.
Уведомление РКН в течение 72 ч через личный кабинет; одновременно информируются затронутые субъекты ПДн.
Внутреннее расследование с итоговым актом: причины, объём утечки, предпринятые меры.
Корректирующие действия: усиление защиты, обновление ЛНА, повторное обучение сотрудников.
5. Назначение ответственного (DPO по-русски)
Для ИП это может быть сам владелец; для компании — любой сотрудник с административным ресурсом.
Должностная инструкция включает контроль соответствия 152-ФЗ, ведение реестра баз данных, взаимодействие с РКН и субъектами.
Ответственный указывается в приказе и в уведомлении; смена человека → корректировка обоих документов.
Первичное уведомление подаётся только по новой форме (действует с 01.02.2023)
При любом изменении целей, категорий данных, ответственных лиц или адресов хранилищ оператор обязан подать корректирующее уведомление не позднее 15-го числа месяца, следующего за изменениями.
Контактное лицо для связи с РКН указывается в уведомлении и обновляется при кадровых перестановках.
"Суть: регистрация в реестре — лишь «паспорт» оператора. Настоящая обязанность — наладить живой цикл: документировать процессы, защищать данные, обучать команду и быть готовым за 72 ч. доказать РКН, что вы держите ситуацию под контролем."
Александр Рыжов
Директор по правовым вопросам, управляющий партнёр, Рыжов и партнёры
Как подготовить бизнес к регистрации в Роскомнадзоре
Процесс сдаётся «под ключ» только тогда, когда внутри уже наведен порядок. Ниже — рабочая дорожная карта, которой пользуются консультанты при запуске проекта соответствия 152-ФЗ.
1. Назначьте ответственного и сформируйте мини-команду
Издайте приказ о назначении лица, курирующего обработку ПДн (для ИП это может быть сам владелец).
Определите, кто поможет: ИТ-специалист (инвентаризация систем), юрист/HR (документы), маркетолог (сайт, рассылки).
Внесите Ф. И. О., телефон, e-mail ответственного в будущем уведомлении. При любой замене человека — подавайте корректировку до 15-го числа следующего месяца.
2. Составьте «карту данных»
Цели — зачем нужны ПДн (кадровый учёт, маркетинг, доставка, обслуживание клиентов и т. д.).
Субъекты — сотрудники, клиенты, подписчики, поставщики.
Категории данных — Ф. И. О., телефоны, адреса, cookie, метрики и т. д.
Системы — CRM, 1С, Google Sheets, почта, чат-боты, складские программы.
Хранилища — локальные серверы, облачные ЦОД, ноутбуки, смартфоны.
"Результат фиксируется в таблице (Excel или Miro) — она станет основой для политики и уведомления."
Александр Рыжов
Директор по правовым вопросам, управляющий партнёр, Рыжов и партнёры
3. Проведите инвентаризацию сайта и внешних сервисов
Проверяем, где физически размещён сервер (только РФ).
Выявляем все счётчики, cookie, формы и CAPTCHА.
Убираем зарубежные аналитические сервисы (Google Analytics, reCAPTCHA) во избежание штрафа до 6 млн ₽.
Делаем чек-боксы согласия необязательными по умолчанию; ссылки на политику и согласия — рабочими.
4. Оцените вред субъектам и уровень защищённости
Градация РКН: до 1000, 1 000–100 000, >100 000 субъектов.
Итог оформляется Актом оценки вреда + Актом определения уровня защищённости ИСПДн.
На базе акта выбираются классы СЗИ (антивирус, DLP, шифрование).
5. Подготовьте комплект локальных нормативных актов
Блок | Ключевые документы (минимум) |
|---|---|
Организационный | Приказ о назначении ответственного; Приказ о перечне баз ПДн; Политика обработки ПДн |
Операционный | Положение о доступе; Журнал учёта обращений субъектов; Регламент внутреннего контроля |
Инцидент-менеджмент | План реагирования (72 ч); Шаблон уведомления в РКН; Бланк акта расследования |
"Документы утверждаются директором/ИП и синхронизируются с данными в уведомлении; расхождения ≥ 3 автоматически повышают риск-профиль компании."
Александр Рыжов
Директор по правовым вопросам, управляющий партнёр, Рыжов и партнёры
6. Проверьте технические меры защиты
Антивирус и актуальные патчи на всех рабочих станциях.
Межсетевой экран/IPS на периметре.
Резервное копирование баз на отдельный носитель или облако.
Ограничение прав доступа по принципу «минимально необходимого».
Документальное подтверждение инвестиций ≥ 0,1 % оборота — весомый аргумент при проверке.
7. Организуйте обучение персонала
Минимум раз в год — вводный и повторный инструктаж (фиксируется в журнале).
Темы: какие данные собирать, как хранить, что делать при подозрении на утечку.
Зафиксируйте факт обучения: подписи в ведомости или протоколе.
8. Сформируйте уведомление для РКН
Используйте актуальную форму (после 01.02.2023).
Впишите все цели, базы, защитные меры и данные об ответственном.
Проверьте, чтобы каждая цель имела отражение в политике и ЛНА.
9. Подайте уведомление и сохраните подтверждения
Каналы: портал Госуслуг (КЭП руководителя) или личный кабинет pd.rkn.gov.ru.
Сохраните квитанцию о приёме и номер реестровой записи.
Добавьте запись в календарь: ежегодный аудит + проверка актуальности целей и баз.
10. Настройте «петлю возврата»
Раз в квартал: мини-ревизия целей и систем.
При любом изменении — корректируем ЛНА ➜ вносим правки в уведомление (до 15-го числа следующего месяца).
Зафиксируйте цикл в регламенте внутреннего контроля, чтобы процесс не зависел от смены сотрудников.
"Итог: грамотно подготовившись, вы подаёте уведомление лишь тогда, когда все процессы, документы и техника уже «строем». Такой подход экономит деньги (нет повторных уведомлений и штрафов за расхождения) и время команды, а главное — формирует устойчивую систему защиты персональных данных вместо разовой «галочки»."
Александр Рыжов
Директор по правовым вопросам, управляющий партнёр, Рыжов и партнёры
Частые ошибки компаний при работе с персональными данными и как их избежать
№ | Типовая ошибка (симптом) | Почему опасно | Как исправить |
|---|---|---|---|
1 | «Поставили галочку и забыли» — подано уведомление, но пакет ЛНА не разработан | Инспектор запросит приказы, журналы и акты; отсутствие документов = штраф по ч. 1 ст. 13.11 (до 300 000 ₽) | Разработайте политику, приказы, акты оценки вреда и внутренний контроль до подачи уведомления или сразу после — данные ЛНА должны «зеркалить» реестр |
2 | Уведомление подано по старой форме (до 01.02.2023) | В новой форме выделены цели обработки; старая запись считается неполной → предписание и штраф | Проверьте запись в реестре: если видите поля «информационные системы», подайте корректировку с указанием целей и ответственного |
3 | Не обновляете уведомление при смене целей, ответственных, адресов баз | Закон даёт 15 дней на корректировку; просрочка = 100–300 тыс. ₽ | Добавьте напоминание: каждое изменение процессов ➜ корректировка уведомления до 15-го числа следующего месяца |
4 | Согласия «всё-в-одном»: одна форма на обработку, передачу и рассылку | РКН расценивает как отсутствие нужных правовых оснований | Делите согласия по целям: обработка, рассылка, передача 3-м лицам, распространение |
5 | Google Analytics / reCAPTCHA или Gmail в рабочих процессах | Трансграничная передача без оснований → штраф до 6 млн ₽ | Переходите на отечественные аналоги: Яндекс Метрика, VK Капча, Ru-CDN, Mail/Yandex почта |
6 | Cookie-баннер лишь информирует, но нет кнопки «Отказаться», чек-боксы в формах предустановлены | Нарушение принципа добровольности согласия → 60 000–300 000 ₽ | Сделайте баннер с двумя равнозначными опциями; чек-боксы по умолчанию пустые |
7 | Политика на сайте не совпадает с уведомлением (> 3 расхождений) | Автоматический «красный флаг» — компания попадает в группу повышенного риска | Сверяйте цели, категории данных, способы обработки каждый квартал; обновляйте обе версии синхронно |
8 | Храните «лишние» данные: сканы паспортов, даты рождения контрагентов | Утечка = больший объём → больший штраф; нет минимизации | Проведите инвентаризацию и удалите данные, не влияющие на бизнес-процесс |
9 | Базы «живут» без приказа: Excel-файлы на рабочих столах, неучтённые папки в облаке | Инспектор расценивает как незаконную обработку | Утвердите приказ о перечне баз ПДн и матрицу доступа; незакрытые файлы либо легализуйте, либо уничтожьте |
10 | Нет журнала обучения сотрудников | Сотрудник-нарушитель = «организационная бездействие» оператора | Введите ежегодный инструктаж, фиксируйте подписи и даты; приложите план обучения к ЛНА |
"Совет: используйте этот список как «живую» доску контроля — проставьте статусы, назначьте ответственных и дедлайны. После закрытия всех 10 пунктов риск штрафа падает в разы."
Александр Рыжов
Директор по правовым вопросам, управляющий партнёр, Рыжов и партнёры
Практические рекомендации, сервисы и инструменты для соблюдения 152-ФЗ
1. Бесплатные официальные источники
Портал Госуслуг (gosuslugi.ru) — подача первичного или корректирующего уведомления с КЭП руководителя.
pd.rkn.gov.ru — реестр операторов, форма уведомления об инциденте, методички РКН и ответы на FAQ.
КонсультантПлюс / Гарант — актуальные тексты КоАП, 152-ФЗ, приказа Минцифры № 180 и чек-листов РКН.
1С:Лекторий — восемь бесплатных двухчасовых лекций юристов-практиков (осень 2024 + обновления)
2. Специализированные конструкторы документов (онлайн-сервисы)
Критерий выбора | Почему важен | Что есть в практике |
|---|---|---|
Автоматическое построение ЛНА на основе опросника | Экономит время и снижает риск пропустить документ | Сервисы формируют политику, приказы, акты оценки вреда, матрицу доступа |
Экспорт уведомления в РКН прямо из интерфейса | Исключает ручные ошибки при копировании полей | Поддерживается большинством современных платформ |
Конструктор согласий под разные цели | Закон требует отдельное согласие на обработку, передачу, рассылку, распространение | — |
Проверка сайта на куки / метрики | Позволяет быстро выявить «запрещённый» зарубежный код | Отчёт указывает скрипты Google, Meta и др. |
Поддержка обновлений | Закон меняется каждые 6–12 мес; нужен авто-апдейт форм и шаблонов | Проверяйте SLA и политику обновлений у вендора |
"Совет: прежде чем покупать, запросите демо-доступ и проверьте:"
Александр Рыжов
Директор по правовым вопросам, управляющий партнёр, Рыжов и партнёры
Есть ли экспорт всех документов в .docx для хранения офлайн.
Можно ли пригласить стороннего юриста для ревью.
Шифруется ли хранение данных клиента в сервисе (TLS + ГОСТ).
3. Инструменты экспресс-аудита сайта
DevTools → Network (Chrome/Edge/Firefox) — мгновенно показывает все сторонние домены и cookie.
Lighthouse или webhint — прогон через CLI-скрипт выявляет отсутствие cookie-баннера, «битые» ссылки на политику, устаревший TLS.
SubDPA Scanner (open-source) — ищет зарубежные JS-библиотеки, iFrame платёжных систем, шрифты Google Fonts.
Парсер WHOIS/IP (например, whois-service.ru) — подтверждает, что сервер физически находится в РФ.
4. Базовый набор технических средств защиты
Задача | Пример решения (отечественные аналоги) | Минимум для SMB |
|---|---|---|
Антивирус + EDR | Касперский, Dr.Web, DallasLock | 1 сервер + 10 ПК |
Межсетевой экран | Континент ТП, С-Терра | Аппаратный шлюз + IDS |
DLP / контроль утечек | Код Безопасности, InfoWatch | Аудит почты и USB |
Резервное копирование | Veeam, pVBK (российский форк) | Off-site копия 1 раз в 24 ч |
"Финансирование: РКН публично рекомендует тратить не менее 0,1 % годовой выручки на ИБ; акты приёмки-передачи служат смягчающим фактором при штрафах."
Александр Рыжов
Директор по правовым вопросам, управляющий партнёр, Рыжов и партнёры
5. Мини-план автоматизации «на год вперёд»
Q1–Q2 (кварталы): выбор и внедрение конструктора документов; выпуск ЛНА; подача уведомления.
Q3: подключение DLP/EDR, автоматизация резервного копирования, обучение персонала.
Q4: внутренний аудит, корректировка уведомления, пен-тест сайта, обновление актов оценки вреда.
"Главное: используйте бесплатные госресурсы, опирайтесь на открытые шаблоны и при необходимости подключайте юристов или SaaS-сервисы, чтобы закрыть «бумажную» часть. Техническую защиту и мониторинг сайта можно начать с open-source-инструментов, постепенно переходя на промышленные решения."
Александр Рыжов
Директор по правовым вопросам, управляющий партнёр, Рыжов и партнёры
Заключение: делаем соблюдение 152-ФЗ конкурентным преимуществом
Последние поправки вывели персональные данные из «юридической мелочи» в зону стратегического риска. Штрафы теперь исчисляются миллионами и привязаны к выручке, а любая жалоба клиента автоматически запускает проверку.Но в этом есть и плюс: компании, которые системно защищают данные, выигрывают у конкурентов — им доверяют партнёры, инвесторы и клиенты.Самая дорогая ошибка — откладывать. Штрафы растут быстрее, чем бюджет «на потом», а репутационные потери не компенсирует ни одна страховка.
Регистрация в РКН — только начало. Без живых процессов (ЛНА + техзащита + обучение) уведомление превращается в «флажок» для инспектора.
Сайт — витрина комплаенса. Баннер cookie, российский хостинг, раздельные согласия и отказ от иностранных метрик защищают от штрафа 60 000–6 000 000 ₽.
72 часа на инцидент. Назначьте ответственного, держите шаблоны уведомлений и журналы расследований — это снижает санкции в разы.
0,1 % оборота на ИБ — инвестиция, а не расход. Документально подтверждённые траты смягчают наказание и повышают устойчивость бизнеса.
Ваши следующие шаги
Проверьте: есть ли ваша компания в реестре операторов ПДн и совпадает ли уведомление с действительностью.
Соберите «карту данных»: цели → субъекты → системы → хранилища.
Подготовьте пакет ЛНА и синхронизируйте его с политикой и сайтом.
Запланируйте аудит сайта и техническую доработку (локализация, куки-баннер, замена западных сервисов).
Организуйте регулярный контроль: квартальный самоаудит + годовое обучение персонала.
Соблюдение 152-ФЗ — не разовая кампания, а элемент культуры компании. Чем раньше вы встроите его в процессы, тем надёжнее защитите бизнес и репутацию.