152-ФЗ простыми словами: что нужно знать бизнесу в 2026 году — ПдПро
ПдПро
Основы
1 мин чтения·

152-ФЗ простыми словами: что нужно знать бизнесу в 2026 году

152-ФЗ простыми словами: что нужно знать бизнесу в 2026 году
152-ФЗ простыми словами: что нужно знать бизнесу в 2026 году

Если у вас есть база клиентов хотя бы из 500 человек с именами и телефонами — вы уже оператор персональных данных по закону. Это значит: обязательный пакет документов, ответственность за утечки и штрафы от 10 тысяч до 500 миллионов рублей при повторном нарушении. Причём ИП с одним сотрудником и ООО со штатом 200 человек несут одинаковую ответственность. Разбираем, что именно требует закон и как не попасть под санкции.

Зачем этот закон существует

Закон № 152-ФЗ «О персональных данных» принят в 2006 году. Его цель — защитить граждан от незаконного использования их личной информации: утечек, продажи баз, нежелательных звонков, дискриминации.

С момента принятия закон несколько раз ужесточался. Самые значимые этапы:

  • 2022 год (266-ФЗ) — введено обязательное уведомление об утечках (24 и 72 часа), реформированы правила трансграничной передачи данных.
  • 30 мая 2025 года (420-ФЗ от 30.11.2024) — вступили в силу кардинально увеличенные штрафы по ст. 13.11 КоАП, введён оборотный штраф до 500 млн рублей за повторные утечки. Это главное и самое свежее ужесточение.
  • 1 июля 2025 года (23-ФЗ от 28.02.2025) — введён прямой запрет на обработку персональных данных граждан России с использованием баз данных, расположенных за рубежом.
  • 1 сентября 2025 года (156-ФЗ от 24.06.2025) — согласие на обработку ПД должно оформляться отдельным документом, а не включаться в договор или другой документ.

Что такое персональные данные

По ст. 3 152-ФЗ персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Важно: не только «паспортные данные», а любые сведения, по которым можно установить личность — в том числе косвенно.

Примеры персональных данных

Очевидные:

  • Фамилия, имя, отчество
  • Дата рождения
  • Паспортные данные
  • СНИЛС, ИНН физлица
  • Домашний адрес

Менее очевидные:

  • Номер телефона
  • Адрес email
  • IP-адрес (в сочетании с другими данными)
  • Фотография человека
  • Геолокация

Специальные категории (повышенная защита):

  • Состояние здоровья
  • Расовая принадлежность
  • Политические взгляды
  • Религиозные убеждения
  • Судимости
  • Биометрия (отпечатки пальцев, голос, лицо)

Специальные категории обрабатывать без явного письменного согласия или особых оснований нельзя.

Что НЕ является персональными данными

  • Данные о юридических лицах (ИНН организации, название компании)
  • Обезличенная статистика, по которой нельзя установить личность
  • Общедоступная агрегированная информация

Кто такой оператор персональных данных

По ст. 3 152-ФЗ оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПД, а также определяет цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Проще: если вы решаете, зачем собирать данные, какие именно и что с ними делать — вы оператор.

Кто является оператором в бизнесе

Бизнес Почему оператор
Интернет-магазин Собирает данные покупателей для оформления заказов
Кафе или ресторан Ведёт программу лояльности, принимает бронирования
ИП-фрилансер Работает с клиентами-физлицами по договорам
Салон красоты Хранит базу клиентов с контактами и историей визитов
Любой работодатель Обрабатывает данные сотрудников
Школа, детский центр Собирает данные учеников и их родителей

Важно: оператором является и ИП, и ООО, и НКО. Размер бизнеса значения не имеет. ИП с базой клиентов 500 человек несёт такую же ответственность, как и крупная компания — риск штрафа за обработку без согласия составляет до 700 000 рублей (ч. 2 ст. 13.11 КоАП).

Что такое обработка персональных данных

Обработка — это практически любое действие с данными:

  • Сбор (заполнение формы)
  • Запись (внесение в CRM)
  • Хранение (файл на сервере)
  • Уточнение (редактирование)
  • Извлечение (выгрузка отчёта)
  • Использование (отправка письма)
  • Передача (отправка данных партнёру)
  • Уничтожение (удаление из базы)

Если хотя бы одно из этих действий происходит — это обработка, и закон применяется.

Основные принципы 152-ФЗ

Закон строится на нескольких принципах, которые должны соблюдаться при любой обработке:

1. Законность и справедливость Данные обрабатываются только при наличии законного основания (договор, согласие, закон).

2. Ограничение целей Данные собираются для конкретной цели и не используются для других целей без нового основания.

3. Минимизация данных Собирайте только те данные, которые реально нужны для заявленной цели. Нельзя требовать паспорт для записи на стрижку.

4. Точность Данные должны быть актуальными. Устаревшие или неверные данные нужно исправлять или удалять.

5. Ограничение хранения Данные нельзя хранить дольше, чем нужно для достижения цели.

6. Безопасность Оператор обязан принимать меры для защиты данных от утечек, несанкционированного доступа, уничтожения.

Основные обязанности оператора

До начала обработки

  • Уведомить Роскомнадзор (если деятельность подпадает под обязательное уведомление)
  • Разработать политику обработки ПД и разместить её публично
  • Назначить ответственного за организацию обработки ПД

В процессе обработки

  • Получать согласие субъектов там, где оно требуется
  • Соблюдать принцип локализации: хранить данные россиян на серверах в России (подробнее — ниже)
  • Реагировать на запросы субъектов (доступ, исправление, удаление) в установленные сроки
  • Не передавать данные третьим лицам без оснований

При утечке

  • В течение 24 часов уведомить Роскомнадзор о факте утечки
  • В течение 72 часов — сообщить о результатах внутреннего расследования
  • Принять меры по устранению последствий

Сроки реакции на запросы субъектов

Тип запроса Срок ответа
Запрос о наличии и составе ПД (ст. 14 ч. 3) 10 рабочих дней
Запрос на исправление неверных данных 7 рабочих дней
Запрос на удаление данных 10 рабочих дней
Прекращение обработки после отзыва согласия (ст. 21) 30 дней
Жалоба в Роскомнадзор Регулятор рассматривает до 30 дней

Срок ответа на запрос субъекта — 10 рабочих дней, не 30. Это важно: 30 дней — это срок прекращения обработки после отзыва согласия (ст. 21), а не срок ответа на запрос.

Локализация данных: зачем хранить данные в России

Статья 18 152-ФЗ требует, чтобы при сборе персональных данных граждан России первичная запись происходила в базах на территории России.

С 1 июля 2025 года (23-ФЗ от 28.02.2025) действует прямой запрет на обработку персональных данных граждан РФ с использованием баз данных, находящихся за рубежом. Это не означает, что данные нельзя передавать за рубеж — но хранить и обрабатывать их нужно в российских базах.

На практике это означает: облачные сервисы, CRM, базы данных должны иметь серверы в России или использоваться через российских провайдеров.

За нарушение локализации Роскомнадзор блокирует сервисы — именно так были заблокированы LinkedIn и ряд других платформ.

Какие документы нужны бизнесу

Минимальный пакет для любого оператора:

  1. Политика обработки персональных данных (публичная — на сайте или в офисе)
  2. Положение об обработке ПД (внутренний регламент)
  3. Приказ о назначении ответственного
  4. Согласия (отдельным документом — с 01.09.2025 по 156-ФЗ)
  5. Регламент реагирования на запросы субъектов
  6. Регламент реагирования на утечки

Для бизнеса с сотрудниками дополнительно: 7. Документы по кадровому обороту ПД

Без политики — уже штраф: ч. 3 ст. 13.11 КоАП, для ИП 10–20 тыс. руб., для юрлица 30–60 тыс. руб. А это нарушение, которое РКН выявляет автоматически — простым открытием вашего сайта.

Полный комплект из 38 документов за ~10 минут — это ПдПро. Вы отвечаете на вопросы о своём бизнесе, система определяет, какие именно документы вам нужны, и генерирует готовые шаблоны. Тариф на 6 месяцев — 2 990 руб., бессрочный — 4 990 руб. Это дешевле одной консультации юриста и точно быстрее.

Сформировать пакет документов на /wizard

Кто проверяет и штрафует

Роскомнадзор (РКН) — основной регулятор. Проводит:

  • Плановые проверки (по графику, публикуется заранее)
  • Внеплановые проверки (по жалобам субъектов)
  • Автоматический мониторинг сайтов

ФСБ — проверяет средства криптозащиты при обработке специальных категорий ПД.

ФСТЭК — лицензирование и проверка технических средств защиты информации.

Штрафы в 2026 году

С 30 мая 2025 года действуют санкции по обновлённой ст. 13.11 КоАП (420-ФЗ от 30.11.2024). Ниже — ключевые составы для коммерческих операторов.

Нарушение Статья ИП Юрлицо
Нет публичной политики ПД ч. 3 10–20 тыс. 30–60 тыс.
Обработка без письменного согласия ч. 2 300–700 тыс. 300–700 тыс.
Нарушение локализации (хранение за рубежом) ч. 8 1–6 млн 1–6 млн
Неуведомление РКН об утечке ч. 11 1–3 млн 1–3 млн
Утечка 1–10 тыс. субъектов ч. 12 3–5 млн 3–5 млн
Утечка 10–100 тыс. субъектов ч. 13 5–10 млн 5–10 млн
Утечка более 100 тыс. субъектов ч. 14 10–15 млн 10–15 млн
Повторная утечка (ч. 12–14) ч. 15 не менее 20 млн 1–3% выручки, 20–500 млн

Примечания:

  • Для ч. 1.1 и ч. 8–18 ИП несут ответственность как юридические лица (Примечание 1 к ст. 13.11).
  • Скидка 50% при оплате штрафов по ст. 13.11 не применяется — исключена для всех составов.
  • Дополнительно: 421-ФЗ от 12.12.2023 ввёл уголовную ответственность за незаконное распространение ПД.

Подробная таблица штрафов — в статье Штрафы за нарушение 152-ФЗ в 2026 году.

Типичные заблуждения о 152-ФЗ

«Я маленький ИП, меня это не касается» Закон не делает исключений по размеру. ИП с одним сотрудником и CRM с базой клиентов — оператор со штрафами до 700 000 рублей за обработку без согласия.

«Раз клиент сам заполнил форму — согласие уже есть» Не всегда. Форма должна содержать корректный текст согласия. С 01.09.2025 согласие должно быть отдельным документом (156-ФЗ), а не частью договора или другой формы.

«Я не передаю данные третьим лицам, значит всё ок» Нарушения могут быть и без передачи: отсутствие политики, нет ответственного лица, данные хранятся дольше нужного.

«Мы используем иностранный сервис, он сам отвечает за безопасность» Ответственность перед субъектами и Роскомнадзором несёте вы как оператор, а не ваш SaaS-провайдер. И с 01.07.2025 использование иностранных баз данных для хранения ПД граждан России напрямую запрещено.

«30 дней — срок ответа на запрос клиента» Нет. По ст. 14 ч. 3 152-ФЗ на запрос о составе обрабатываемых данных нужно ответить за 10 рабочих дней. 30 дней — это срок прекращения обработки после отзыва согласия.

С чего начать приведение бизнеса в соответствие

  1. Проведите инвентаризацию: какие данные вы собираете, откуда, где храните, кому передаёте
  2. Определите правовые основания для каждого вида обработки
  3. Разработайте комплект документов
  4. Проверьте, что данные хранятся только на российских серверах
  5. Настройте технические меры защиты
  6. Обучите сотрудников
  7. Уведомьте Роскомнадзор (если требуется)
  8. Настройте процесс обработки запросов субъектов с соблюдением срока 10 рабочих дней

Не знаете, с каких документов начать? ПдПро задаст вам 15 вопросов о вашем бизнесе и автоматически определит нужный комплект — до 38 документов. Готовые шаблоны, соответствующие актуальным требованиям, за 10 минут. Тариф на 6 месяцев — 2 990 руб., бессрочный — 4 990 руб.

Начать на pd-pro.ru/wizard

Нужны документы по 152-ФЗ?

Проверьте свой бизнес бесплатно — узнайте какие документы нужны

Мы используем cookie для работы сервиса и аналитики. Подробнее