Закон о защите персональных данных 152-ФЗ в 2025 году: полный анализ, новые штрафы, практические рекомендации для бизнеса от компании «Прогрессив ОС»

Закон о защите персональных данных в России (152-ФЗ): глубокий анализ, новые штрафы 2025 и практические рекомендации

В 2025 году закон о персональных данных становится жёстче: штрафы увеличиваются, а требования к бизнесу ужесточаются. Эта статья — ваш полный навигатор по 152-ФЗ. Разберём, что именно меняется, какие угрозы несёт несоблюдение закона и как бизнесу подготовиться. Практические чек-листы, свежая правоприменительная практика и конкретные рекомендации экспертов “Прогрессив ОС” помогут защитить ваши данные, репутацию и бюджет.

В современном цифровом мире персональные данные стали одним из самых ценных активов. Компании собирают, обрабатывают и хранят огромные объемы информации о своих клиентах, сотрудниках и партнерах. Однако вместе с этим возрастают и риски, связанные с утечкой, неправомерным использованием или потерей этих данных. В России основным документом, регулирующим эту сферу, является Федеральный закон № 152-ФЗ "О персональных данных". Несоблюдение его требований может обернуться для бизнеса серьезными последствиями, включая многомиллионные штрафы по закону о персональных данных, репутационные потери и даже уголовную ответственность.

Особенно актуальной тема защиты ПДн становится в свете постоянных изменений в законодательстве. Закон о персональных данных 2025 год несет новые вызовы для операторов: значительно ужесточается ответственность, вводятся новые требования к обработке и защите информации. Разобраться во всех нюансах фз закона о персональных данных и обеспечить его полное соблюдение – задача не из легких, но крайне важная для любого бизнеса, работающего в России.

Цель этой статьи – предоставить вам исчерпывающую информацию о законе 152 о персональных данных. Мы проведем глубокий анализ его основных положений, детально рассмотрим требования ключевых статей, таких как статья 19 закона о персональных данных и федеральный закон о персональных данных 18.1, разберем виды ответственности за нарушения и подробно остановимся на грядущих изменениях. Кроме того, вы найдете здесь практические рекомендации и чек-листы, которые помогут вашей организации привести свою деятельность в полное соответствие с законом о персональных данных 152 фз. А эксперты компании "Прогрессив ОС" готовы оказать всестороннюю поддержку на этом пути.

Раздел 2: Что такое персональные данные и кто такой оператор?

Чтобы эффективно работать в рамках закона 152 о персональных данных, необходимо четко понимать его ключевые определения. От этого зависит, какие именно данные в вашей компании подпадают под его действие и какие обязательства на вас как на оператора возлагаются.

Основные понятия закона 152-ФЗ

Федеральный закон "О персональных данных" (152-ФЗ) в статье 3 дает следующие определения:

  • Персональные данные (ПДн)– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
    • Проще говоря, это любые сведения, по которым можно идентифицировать конкретного человека или которые с ним связаны. Это не только очевидные ФИО и паспортные данные, но и многое другое.
  • Обработка персональных данных– любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
    • Даже если вы просто собираете email-адреса для рассылки или храните анкеты сотрудников – вы уже осуществляете обработку ПДн.
  • Оператор персональных данных– государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
    • Практически любая компания или индивидуальный предприниматель, имеющие сотрудников или клиентов – физических лиц, являются операторами ПДн.
  • Субъект персональных данных– физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
    • Это ваши клиенты, сотрудники, посетители сайта, оставившие свои данные, и т.д.
  • Трансграничная передача персональных данных– передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
    • Использование многих зарубежных сервисов (например, облачных хранилищ, CRM, аналитических систем, если их серверы находятся за пределами РФ) может рассматриваться как трансграничная передача.
  • Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Примеры ПДн, с которыми сталкивается бизнес

На практике бизнес ежедневно имеет дело с самыми разнообразными категориями персональных данных. Вот лишь некоторые из них:

  • Общедоступные ПДн:
    • Фамилия, имя, отчество (ФИО).
    • Контактные данные: номер телефона, адрес электронной почты, почтовый адрес.
    • Данные из профилей в социальных сетях (если субъект сам сделал их доступными неограниченному кругу лиц).
  • Специальные категории ПДн(требуют особого подхода к обработке и защите):
    • Сведения о состоянии здоровья (например, в рамках ДМС для сотрудников или при оказании медицинских услуг).
    • Данные о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни.
  • Биометрические ПДн(сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн):
    • Фотографии (если используются для установления личности, например, в системах контроля доступа).
    • Отпечатки пальцев, образцы голоса, изображения радужной оболочки глаза.
  • Иные категории ПДн:
    • Паспортные данные.
    • Данные водительского удостоверения.
    • ИНН, СНИЛС.
    • Сведения об образовании, профессии, опыте работы (например, из резюме кандидатов).
    • Данные о семейном положении, детях (например, для кадрового учета).
    • Платежная информация (номера банковских карт, история транзакций – здесь важно разграничивать с банковской тайной и другими видами защищаемой информации).
    • IP-адреса, данные cookie, геолокация (если они позволяют идентифицировать пользователя или связаны с его другими ПДн).
    • Записи видеонаблюдения (если по ним можно идентифицировать человека).

Понимание того, какие именно данные вы собираете и обрабатываете, является первым шагом к выстраиванию системы их защиты в соответствии с законом о персональных данных 152 фз.

Кто является оператором ПДн и какие обязанности это накладывает?

Как уже отмечалось, оператором персональных данных может быть практически любая организация или ИП. Если ваша компания:

  • Имеет наемных сотрудников (вы обрабатываете их ПДн для кадрового учета, расчета зарплаты и т.д.).
  • Продает товары или оказывает услуги физическим лицам (вы собираете их контактные данные, адреса доставки, историю покупок).
  • Ведет клиентскую базу в CRM-системе.
  • Собирает email-адреса для маркетинговых рассылок через форму на сайте.
  • Использует системы веб-аналитики, собирающие данные о посетителях сайта.
  • Проводит анкетирование или опросы клиентов.
  • Осуществляет видеонаблюдение с возможностью идентификации лиц.

...то вы определенно являетесь оператором ПДн и на вас в полной мере распространяются требования федерального закона о персональных данных.

Статус оператора накладывает ряд серьезных обязанностей, которые мы подробно рассмотрим в следующих разделах. Невыполнение этих обязанностей влечет за собой риски, в том числе существенные штрафы по закону о персональных данных.

Если вы сомневаетесь, какие из собираемых вами данных относятся к персональным, или не уверены в полноте выполнения обязанностей оператора, специалисты "Прогрессив ОС" готовы провести аудит ваших процессов и предоставить подробные консультации. Мы поможем вам разобраться в хитросплетениях закона о персональных данных и минимизировать риски.

Раздел 3: Ключевые требования Федерального закона № 152-ФЗ

Федеральный закон о персональных данных (152-ФЗ) устанавливает не только определения, но и фундаментальные правила игры для всех операторов. Понимание и соблюдение этих требований – основа законной и безопасной работы с информацией о гражданах.

Принципы обработки ПДн (Статья 5 152-ФЗ)

Статья 5 закона 152 о персональных данных закладывает базовые принципы, на которых должна строиться любая обработка ПДн. Нарушение этих принципов само по себе может стать основанием для претензий со стороны Роскомнадзора и субъектов данных.

  1. Законность и справедливость: Обработка ПДн должна осуществляться на законной и справедливой основе. Нельзя собирать и использовать данные в нарушение действующего законодательства или обманным путем.
  2. Ограничение конкретными, заранее определенными и законными целями:Вы должны четко определить, для чего собираете ПДн, еще до начала их сбора. Эти цели должны быть законными и конкретными. Не допускается обработка ПДн, несовместимая с целями сбора.
    • Пример: Если вы собираете email для новостной рассылки, вы не можете без дополнительного согласия использовать эти адреса для передачи третьим лицам в рекламных целях.
  3. Недопустимость объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
    • Пример: Базу данных клиентов для программы лояльности нельзя просто так объединить с базой данных соискателей на вакансии, если цели их обработки изначально были разными.
  4. Обработка только тех ПДн, которые отвечают целям их обработки: Собирайте только те данные, которые действительно необходимы для достижения заявленных целей. Избыточный сбор данных не допускается (принцип минимизации данных).
  5. Соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки: Объем собираемых данных не должен быть чрезмерным по отношению к целям.
  6. Точность, достаточность, актуальность: Оператор обязан обеспечивать точность ПДн, их достаточность для целей обработки и, при необходимости, актуальность. Вы должны принимать меры по удалению или уточнению неполных или неточных данных.
  7. Хранение ПДн не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом, договором. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Условия обработки ПДн (Статья 6 152-ФЗ)

Закон о персональных данных 152 фз в статье 6 определяет условия, при которых обработка ПДн является легитимной. Ключевым условием чаще всего выступает согласие субъекта, но есть и исключения.

Обработка ПДн допускается в следующих случаях:

  1. С согласия субъекта персональных данных на обработку его ПДн. Это наиболее распространенное основание. Согласие должно быть конкретным, информированным и сознательным. Оно может быть дано в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом (например, для специальных и биометрических ПДн часто требуется письменная форма).
  2. Для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
    • Пример: Работодатель обрабатывает ПДн сотрудников для выполнения требований Трудового кодекса РФ.
  3. Для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством РФ об исполнительном производстве.
  4. Для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.
    • Пример: Интернет-магазин обрабатывает данные покупателя для доставки заказа.
  5. Для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно.
  6. Для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.
  7. Обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (общедоступные персональные данные).
  8. Обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Оператор может поручить обработку ПДн другому лицу с согласия субъекта ПДн (если иное не предусмотрено законом) на основании заключаемого с этим лицом договора (поручение оператора). При этом ответственность перед субъектом ПДн за действия указанного лица несет оператор, а лицо, осуществляющее обработку по поручению, несет ответственность перед оператором.

Права субъектов ПДн (Глава 3 152-ФЗ)

Фз закон о персональных данных наделяет граждан (субъектов ПДн) широким спектром прав в отношении их информации:

  • Право на получение информации, касающейся обработки его ПДн (статья 14): Субъект вправе знать, кто и зачем обрабатывает его данные, какие именно данные, каковы сроки обработки, каковы юридические основания и т.д. Оператор обязан предоставить эту информацию в доступной форме.
  • Право на доступ к своим персональным данным: Субъект имеет право ознакомиться со своими ПДн, которые обрабатывает оператор.
  • Право требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  • Право на отзыв согласия на обработку ПДн (если обработка велась на основании согласия).
  • Право на обжалование действий или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
  • Право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Обязанности оператора ПДн (общий обзор)

Помимо соблюдения принципов и условий обработки, оператор несет множество других обязанностей, которые мы будем подробнее рассматривать в следующих разделах, особенно касаясь статьи 19 закона о персональных данных и федерального закона о персональных данных 18.1. В общем виде, оператор обязан:

  • Определять цели и правовые основания обработки ПДн.
  • Получать согласия субъектов в установленных случаях и в надлежащей форме.
  • Уведомлять Роскомнадзор о намерении осуществлять обработку ПДн (за некоторыми исключениями).
  • Опубликовывать или иным образом обеспечивать неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн.
  • Принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
  • Назначать лицо, ответственное за организацию обработки ПДн (в установленных случаях).
  • Издавать локальные нормативные акты, определяющие политику и процедуры обработки и защиты ПДн.
  • Осуществлять внутренний контроль соответствия обработки ПДн требованиям законодательства.
  • Ознакамливать работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства и локальными актами.
  • Реагировать на обращения и запросы субъектов ПДн и их представителей, а также Роскомнадзора.
  • Обеспечивать локализацию баз данных граждан РФ на территории России.
  • Уведомлять Роскомнадзор об утечках ПДн.

Соблюдение этих ключевых требований закона о персональных данных – это не просто формальность, а насущная необходимость для любого бизнеса, стремящегося работать легально и строить доверительные отношения со своими клиентами и сотрудниками. Компания "Прогрессив ОС" предлагает свою экспертизу для анализа ваших текущих процессов обработки ПДн и приведения их в соответствие с законодательством.

Раздел 4: Уведомление Роскомнадзора (статья 18.1 152-ФЗ)

Одним из важных организационных мероприятий, предусмотренных федеральным законом о персональных данных 18.1 (конкретно, речь идет о статье 22, а статья 18.1 ФЗ-152 описывает общие меры, направленные на обеспечение выполнения оператором обязанностей, включая обязанность по уведомлению), является информирование уполномоченного органа по защите прав субъектов персональных данных – Роскомнадзора – о своем намерении осуществлять обработку ПДн. Это требование направлено на создание реестра операторов и обеспечение государственного контроля в сфере защиты ПДн.

Когда и как нужно уведомлять Роскомнадзор об обработке ПДн?

Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. Уведомление подается в территориальный орган Роскомнадзора по месту нахождения (регистрации) оператора.

Форма уведомления и порядок его представления утверждены Приказом Роскомнадзора от 28.10.2022 № 180. Уведомление может быть направлено:

  • В виде бумажного документа.
  • В форме электронного документа, подписанного усиленной квалифицированной электронной подписью, через портал Роскомнадзора (pd.rkn.gov.ru).
  • Через портал Госуслуг.

Уведомление должно содержать следующие сведения (согласно ч. 3 ст. 22 ФЗ-152):

  1. Наименование (фамилия, имя, отчество), адрес оператора.
  2. Цели обработки персональных данных.
  3. Категории персональных данных.
  4. Категории субъектов, персональные данные которых обрабатываются.
  5. Правовое основание обработки персональных данных.
  6. Перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных.
  7. Описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.
  8. Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.
  9. Дата начала обработки персональных данных.
  10. Срок или условие прекращения обработки персональных данных.
  11. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки.
  12. Сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации.
  13. Сведения об обеспечении безопасности персональных данных в соответствии с установленными требованиями к защите персональных данных (с указанием уровня защищенности).

Роскомнадзор в течение 30 дней с даты поступления уведомления вносит сведения об операторе в реестр операторов, осуществляющих обработку персональных данных, если представленные сведения соответствуют требованиям.

Оператор также обязан уведомлять Роскомнадзор об изменениях в ранее представленных сведениях (в течение 15 рабочих дней с даты возникновения таких изменений) и о прекращении обработки ПДн (в течение 10 рабочих дней).

Исключения, когда уведомление не требуется

Ранее закон 152 о персональных данных содержал довольно обширный список случаев, когда оператор мог обрабатывать ПДн без уведомления Роскомнадзора. Однако с 1 сентября 2022 года этот перечень был существенно сокращен.

На сегодняшний день (май 2025 года) согласно ч. 2 ст. 22 ФЗ-152, оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

  1. Включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.
  2. В случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации.
  3. Обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Таким образом, большинство компаний и ИП теперь обязаны подавать уведомление в Роскомнадзор.

Ответственность за непредоставление уведомления

Непредставление или несвоевременное представление в Роскомнадзор уведомления об обработке ПДн, либо представление уведомления, содержащего недостоверные сведения, является административным правонарушением.

С 30 мая 2025 года, с вступлением в силу изменений в КоАП РФ (согласно Федеральному закону от 30.11.2024 № 420-ФЗ), за это нарушение предусмотрены следующие штрафы по закону о персональных данных (новая часть статьи 13.11 КоАП РФ, касающаяся именно неуведомления или нарушения порядка уведомления):

  • Для граждан: от 5 000 до 10 000 рублей.
  • Для должностных лиц: от 30 000 до 50 000 рублей.
  • Для юридических лиц: от 100 000 до 300 000 рублей.

Как видите, закон о персональных данных штрафы за это, казалось бы, формальное упущение, устанавливает весьма ощутимые.


Вы не уверены, нужно ли вашей компании подавать уведомление в Роскомнадзор? Заполняли уведомление давно и не знаете, актуальны ли сведения? Опасаетесь допустить ошибку при заполнении?

Специалисты компании "Прогрессив ОС" готовы оказать вам всестороннюю поддержку:

  • Проанализируем вашу деятельность и определим необходимость подачи уведомления.
  • Поможем корректно заполнить и подать уведомление об обработке персональных данных, а также уведомления об изменениях сведений или о прекращении обработки.
  • Проконсультируем по всем вопросам, связанным с взаимодействием с Роскомнадзором в рамках фз закона о персональных данных.

Не рискуйте получить штраф – доверьте эту задачу профессионалам! Свяжитесь с нами для консультации.


Раздел 5: Меры по обеспечению безопасности персональных данных (статья 19 152-ФЗ)

Одной из ключевых обязанностей оператора, установленной законом о персональных данных 152 фз, является обеспечение безопасности обрабатываемой информации. Статья 19 закона о персональных данных подробно регламентирует, какие правовые, организационные и технические меры оператор обязан принимать для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

Требования к организационным и техническим мерам защиты ПДн

Согласно статье 19 152-ФЗ, оператор при обработке ПДн обязан принимать следующие меры:

  1. Определение угроз безопасности ПДн при их обработке в информационных системах персональных данных (ИСПДн).
  2. Применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн.
  3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (СЗИ).
  4. Оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.
  5. Учет машинных носителей ПДн.
  6. Обнаружение фактов несанкционированного доступа (НСД) к ПДн и принятие мер, включая меры по предупреждению и ликвидации последствий такого доступа.
  7. Восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним.
  8. Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.
  9. Контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.
  10. Взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.

Конкретный состав и содержание мер определяются оператором в соответствии с требованиями, установленными подзаконными актами, в первую очередь:

  • Постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
  • Приказом ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
  • Приказом ФСБ России от 10.07.2014 № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

Определение уровня защищенности ПДн

Постановление Правительства РФ № 1119 устанавливает четыре уровня защищенности персональных данных (УЗ). Уровень защищенности определяется в зависимости от:

  • Типа актуальных угроз безопасности ПДн:
    • Угрозы 1-го типа: связаны с наличием недекларированных (недокументированных) возможностей в системном программном обеспечении, используемом в ИСПДн.
    • Угрозы 2-го типа: связаны с наличием недекларированных возможностей в прикладном программном обеспечении, используемом в ИСПДн.
    • Угрозы 3-го типа: не связаны с наличием недекларированных возможностей в системном и прикладном программном обеспечении.
  • Категории обрабатываемых ПДн:
    • Специальные (касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни).
    • Биометрические.
    • Общедоступные.
    • Иные (не относящиеся к вышеперечисленным).
  • Количества субъектов ПДн, данные которых обрабатываются в ИСПДн (более 100 000 или менее 100 000).
  • Того, является ли оператор государственным/муниципальным органом или нет.

В зависимости от сочетания этих факторов определяется требуемый уровень защищенности (от УЗ-4 – самый низкий, до УЗ-1 – самый высокий). Для каждого уровня защищенности Приказ ФСТЭК № 21 и Приказ ФСБ № 378 устанавливают конкретный набор организационных и технических мер, которые оператор обязан реализовать.

Определение актуальных угроз и корректное определение УЗ является критически важным этапом, так как от этого зависит объем и стоимость внедряемых мер защиты. Ошибка на этом этапе может привести либо к недостаточной защите данных, либо к необоснованным затратам.

Разработка внутренней документации

Важной частью выполнения требований статьи 19 закона о персональных данных и федерального закона о персональных данных 18.1 является разработка и внедрение комплекта внутренних организационно-распорядительных документов (ОРД). К таким документам относятся:

  • Политика оператора в отношении обработки персональных данных (должна быть опубликована или обеспечен неограниченный доступ к ней).
  • Положение об обработке и защите персональных данных.
  • Приказ о назначении лица, ответственного за организацию обработки персональных данных.
  • Перечень должностей сотрудников, имеющих доступ к ПДн.
  • Инструкции для сотрудников, осуществляющих обработку ПДн.
  • Формы согласий на обработку ПДн (для различных целей и категорий субъектов).
  • Формы уведомлений субъектов ПДн (например, об утечке).
  • Модель угроз безопасности персональных данных.
  • Акт определения уровня защищенности ПДн.
  • Техническое задание на создание (модернизацию) системы защиты персональных данных.
  • План мероприятий по обеспечению защиты ПДн.
  • Регламенты резервного копирования, восстановления ПДн.
  • Порядок действий при обнаружении инцидентов безопасности.
  • Журналы учета (обращений субъектов, машинных носителей ПДн, инцидентов, инструктажей и т.д.).

Этот перечень не является исчерпывающим и может варьироваться в зависимости от специфики деятельности оператора и уровня защищенности его ИСПДн.

Технические средства защиты информации (СЗИ)

Помимо организационных мер и документации, федеральный закон о персональных данных требует применения технических СЗИ. Выбор конкретных средств зависит от модели угроз и определенного уровня защищенности. К ним могут относиться:

  • Средства антивирусной защиты.
  • Межсетевые экраны (Firewalls).
  • Системы обнаружения и предотвращения вторжений (IDS/IPS).
  • Средства криптографической защиты информации (СКЗИ) для шифрования данных при хранении и передаче.
  • Средства защиты от несанкционированного доступа к информации.
  • Системы резервного копирования и восстановления данных.
  • Средства контроля доступа и управления учетными записями.
  • Средства анализа защищенности.

Важно, чтобы используемые СЗИ были сертифицированы ФСТЭК России или ФСБ России (для СКЗИ) на соответствие требованиям безопасности информации.


Обеспечение безопасности персональных данных – это комплексная задача, требующая как юридических знаний, так и глубокой технической экспертизы. Неправильный выбор мер защиты или неполная их реализация могут привести не только к утечкам данных и штрафам по закону о персональных данных, но и к серьезному репутационному ущербу.

Компания "Прогрессив ОС"  предлагает полный спектр услуг по приведению вашей системы защиты ПДн в соответствие с требованиями закона 152 о персональных данных и подзаконных актов:

  • Проведение аудита ИСПДн, определение актуальных угроз и необходимого уровня защищенности.
  • Разработка полного комплекта организационно-распорядительной документации, адаптированной под ваши бизнес-процессы.
  • Подбор, поставка, настройка и внедрение сертифицированных средств защиты информации (СЗИ и СКЗИ).
  • Аттестация ИСПДн по требованиям безопасности информации (при необходимости).
  • Консультационная поддержка на всех этапах.

Доверьте защиту ваших данных профессионалам "Прогрессив ОС" и будьте уверены в соответствии вашей деятельности статье 19 закона о персональных данных!


Ответственность за нарушение ФЗ

Раздел 6: Ответственность за нарушения законодательства о персональных данных

Нарушение требований закона о персональных данных 152 фз и связанных с ним нормативных актов может повлечь за собой серьезные санкции для операторов. Законодательство предусматривает несколько видов ответственности: административную, уголовную, гражданско-правовую и дисциплинарную. Особое внимание стоит уделить административным штрафам по закону о персональных данных, размеры которых постоянно растут, и предстоящим изменениям в законе о персональных данных 2025 год.

Административная ответственность (статья 13.11 КоАП РФ)

Основным инструментом привлечения к ответственности за нарушения в области ПДн является статья 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ). Эта статья содержит целый ряд составов правонарушений, и важно отметить, что Федеральным законом от 30.11.2024 № 420-ФЗ в нее внесены существенные изменения, которые вступают в силу с 30 мая 2025 года. Эти изменения значительно ужесточают ответственность, вводят новые составы и оборотные штрафы за повторные утечки данных.

Рассмотрим основные составы правонарушений по ст. 13.11 КоАП РФ с учетом грядущих изменений:

  1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка, несовместимая с целями сбора ПДн (за исключением случаев, предусмотренных ч. 2 ст. 13.11, если эти действия не содержат уголовно наказуемого деяния):

    • Для граждан: от 10 000 до 15 000 руб.
    • Для должностных лиц: от 100 000 до 300 000 руб.
    • Для юридических лиц: от 300 000 до 700 000 руб.
    • Повторное совершение: для граждан – от 20 000 до 30 000 руб.; для должностных лиц – от 500 000 до 800 000 руб.; для юрлиц – от 1 млн до 1,5 млн руб.
  2. Обработка персональных данных без согласия в письменной форме субъекта ПДн на обработку его ПДн в случаях, когда такое согласие должно быть получено в соответствии с законодательством, если эти действия не содержат уголовно наказуемого деяния, либо обработка ПДн с нарушением установленных законодательством требований к составу сведений, включаемых в такое согласие:

    • Для граждан: от 15 000 до 25 000 руб.
    • Для должностных лиц: от 100 000 до 300 000 руб.
    • Для юридических лиц: от 300 000 до 700 000 руб.
    • Повторное совершение: для граждан – от 30 000 до 50 000 руб.; для должностных лиц – от 500 000 до 1 млн руб. или дисквалификация до 1 года; для юрлиц – от 1 млн до 2 млн руб.
  3. Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему его политику в отношении обработки ПДн, или к сведениям о реализуемых требованиях к защите ПДн:

    • Для граждан: от 5 000 до 10 000 руб.
    • Для должностных лиц: от 20 000 до 40 000 руб.
    • Для юридических лиц: от 50 000 до 100 000 руб.
  4. Невыполнение оператором обязанности по предоставлению субъекту ПДн информации, касающейся обработки его ПДн:

    • Для граждан: от 5 000 до 10 000 руб.
    • Для должностных лиц: от 30 000 до 50 000 руб.
    • Для юридических лиц: от 60 000 до 120 000 руб.
  5. Невыполнение оператором в установленный срок требования субъекта ПДн или его представителя либо Роскомнадзора об уточнении ПДн, их блокировании или уничтожении в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки:

    • Для граждан: от 10 000 до 15 000 руб.
    • Для должностных лиц: от 50 000 до 100 000 руб.
    • Для юридических лиц: от 100 000 до 300 000 руб.
  6. Невыполнение оператором при обработке ПДн без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к ПДн, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПДн, при отсутствии признаков уголовно наказуемого деяния:

    • Для граждан: от 10 000 до 20 000 руб.
    • Для должностных лиц: от 80 000 до 200 000 руб.
    • Для юридических лиц: от 200 000 до 400 000 руб.
  7. Невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения ПДн граждан РФ с использованием баз данных, находящихся на территории РФ (требование о локализации):

    • Для граждан: от 50 000 до 100 000 руб.
    • Для должностных лиц: от 200 000 до 500 000 руб.
    • Для юридических лиц: от 1 млн до 6 млн руб.
    • Повторное совершение: для граждан – от 100 000 до 200 000 руб.; для должностных лиц – от 500 000 до 1 млн руб.; для юрлиц – от 6 млн до 18 млн руб.

Новые составы и штрафы с 30 мая 2025 года (ФЗ № 420-ФЗ):

  • Непредставление или несвоевременное представление уведомления в Роскомнадзоро намерении осуществлять обработку ПДн, либо представление уведомления, содержащего недостоверные сведения:
    • Для граждан: от 5 000 до 10 000 руб.
    • Для должностных лиц: от 30 000 до 50 000 руб.
    • Для юридических лиц: от 100 000 до 300 000 руб.
  • Невыполнение оператором обязанности по уведомлению Роскомнадзора об инциденте (утечке) ПДнв установленные сроки и порядке:
    • Неуведомление в течение 24 часов о факте инцидента: для должностных лиц – от 50 000 до 100 000 руб.; для юрлиц – от 200 000 до 400 000 руб.
    • Неуведомление в течение 72 часов о результатах внутреннего расследования: для должностных лиц – от 100 000 до 200 000 руб.; для юрлиц – от 400 000 до 800 000 руб.
  • Нарушение, повлекшее неправомерную передачу (предоставление, распространение, доступ) ПДн (утечку):
    • Если утечка коснулась от 1 тыс. до 10 тыс. субъектов: для должностных лиц – от 200 000 до 400 000 руб.; для юрлиц – от 3 млн до 5 млн руб.
    • Если утечка коснулась от 10 тыс. до 100 тыс. субъектов: для должностных лиц – от 400 000 до 600 000 руб.; для юрлиц – от 5 млн до 10 млн руб.
    • Если утечка коснулась более 100 тыс. субъектов: для должностных лиц – от 600 000 до 800 000 руб.; для юрлиц – от 10 млн до 15 млн руб.
  • Повторное совершение правонарушения, повлекшего утечку ПДн:
    • Для юридических лиц: оборотный штраф от 0,1% до 3% совокупного размера суммы выручки от реализации всех товаров (работ, услуг) за календарный год, предшествующий году, в котором было выявлено правонарушение, но не менее 15 млн руб. и не более 500 млн руб.
    • Если утечка содержит специальные категории ПДн, биометрические ПДн или ПДн несовершеннолетних, и это повторное нарушение: оборотный штраф от 0,1% до 3% выручки, но не менее 20 млн руб. и не более 500 млн руб.

Важно также отметить, что с 30 мая 2025 года отменяется возможность уплаты штрафов по статье 13.11 КоАП РФ в размере 50% при быстрой оплате.

Протоколы об административных правонарушениях по ст. 13.11 КоАП РФ составляют должностные лица Роскомнадзора. Дела рассматривают судьи.

Уголовная ответственность

В некоторых случаях нарушения в сфере персональных данных могут повлечь и уголовную ответственность. Основные статьи Уголовного кодекса РФ (УК РФ), которые могут быть применимы:

  • Статья 137 УК РФ (Нарушение неприкосновенности частной жизни):
    • Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.
    • Санкции: штраф до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до 1 года, либо принудительные работы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо арест на срок до 4 месяцев, либо лишение свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.
    • Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются более строго (штраф от 100 000 до 300 000 руб., лишение свободы до 4 лет и др.).
  • Статья 272 УК РФ (Неправомерный доступ к компьютерной информации):
    • Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации.
    • Санкции: штраф до 200 000 руб., либо исправительные работы до 1 года, либо ограничение свободы до 2 лет, либо принудительные работы до 2 лет, либо лишение свободы на тот же срок.
    • Более тяжкие последствия или совершение преступления группой лиц, с использованием служебного положения или в отношении критической информационной инфраструктуры РФ влекут более суровое наказание (вплоть до 7 лет лишения свободы).

Уголовная ответственность наступает при наличии всех признаков состава преступления, включая общественную опасность деяния и вину нарушителя.

Дисциплинарная и гражданско-правовая ответственность

  • Дисциплинарная ответственность: Работники, виновные в нарушении правил обработки и защиты ПДн, установленных у оператора, могут быть привлечены к дисциплинарной ответственности в соответствии с Трудовым кодексом РФ (ст. 90, 192 ТК РФ) – замечание, выговор, увольнение по соответствующим основаниям (например, за разглашение охраняемой законом тайны (включая персональные данные), ставшей известной работнику в связи с исполнением им трудовых обязанностей).
  • Гражданско-правовая ответственность: Субъект ПДн, чьи права были нарушены, вправе требовать от оператора возмещения убытков и компенсации морального вреда (ст. 17, 24 закона 152 о персональных данных, ст. 151, 1099-1101 Гражданского кодекса РФ). Размер компенсации морального вреда определяется судом и не зависит от размера возмещения имущественного вреда.

Как видно, федеральный закон о персональных данных и сопутствующее законодательство устанавливают многоуровневую и весьма суровую систему ответственности. Игнорирование требований может обойтись бизнесу очень дорого.


Не доводите ситуацию до штрафов по закону о персональных данных и других неприятных последствий! Компания "Прогрессив ОС" предлагает комплексные решения для минимизации рисков:

  • Проведение аудита ваших процессов обработки ПДн на соответствие актуальным требованиям законодательства, включая закон о персональных данных 2025 год.
  • Разработка рекомендаций по устранению выявленных несоответствий.
  • Помощь в подготовке к проверкам Роскомнадзора.
  • Если проблемы уже возникли, и вам грозят санкции – наши эксперты окажут квалифицированную юридическую и техническую поддержку для защиты ваших интересов.

Работайте на опережение вместе с "Прогрессив ОС"! Свяжитесь с нами для получения консультации.


Раздел 7: Закон о персональных данных в 2025 году: чего ожидать?

Законодательство в сфере персональных данных в России динамично развивается, и закон о персональных данных 2025 год несет операторам целый ряд значительных нововведений. Важно не только знать текущие требования закона 152 о персональных данных, но и быть готовыми к будущим изменениям, чтобы своевременно адаптировать свои бизнес-процессы и избежать серьезных штрафов по закону о персональных данных.

Ключевые изменения в 2025 году связаны в основном с двумя федеральными законами:

  1. Федеральный закон от 30.11.2024 № 420-ФЗ – вносит поправки в Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), значительно ужесточая ответственность за нарушения в области персональных данных. Вступает в силу с 30 мая 2025 года.
  2. Федеральный закон от 28.02.2025 № 23-ФЗ – вносит изменения непосредственно в Федеральный закон "О персональных данных" (152-ФЗ) и ряд других законодательных актов. Основные положения вступают в силу с 1 июля 2025 года, но некоторые нормы могут иметь иные сроки.

Рассмотрим подробнее, чего ожидать операторам.

1. Резкое ужесточение административных штрафов (ФЗ № 420-ФЗ)

Это, пожалуй, самое обсуждаемое и значимое изменение для бизнеса. Как мы уже подробно рассматривали в Разделе 6, с 30 мая 2025 года:

  • Существенно вырастут размеры штрафов практически по всем составам статьи 13.11 КоАП РФ.
  • Появятся новые составы правонарушений:
    • За неуведомление Роскомнадзора о начале обработки ПДн.
    • За неуведомление Роскомнадзора об утечке ПДн в установленные сроки (отдельно за неуведомление о факте инцидента в течение 24 часов и о результатах расследования в течение 72 часов).
  • Вводятся дифференцированные штрафы за утечки ПДн в зависимости от количества пострадавших субъектов (от 1 тыс. до 10 тыс., от 10 тыс. до 100 тыс., свыше 100 тыс. субъектов).
  • Вводятся оборотные штрафы за повторные утечки ПДн: от 0,1% до 3% годовой выручки компании, но не менее 15 млн руб. (или 20 млн руб. при утечке специальных, биометрических ПДн или данных несовершеннолетних) и не более 500 млн руб.
  • Отменяется 50% скидка при быстрой уплате штрафов по ст. 13.11 КоАП РФ.

Эти меры делают финансовые риски при несоблюдении фз закона о персональных данных колоссальными, особенно для крупного и среднего бизнеса. Цена ошибки многократно возрастает.

2. Изменения в самом ФЗ-152 "О персональных данных" (ФЗ № 23-ФЗ)

Этот закон также вносит важные коррективы в правила игры:

  • Уточнение требований к локализации баз данных (новая редакция ч. 5 ст. 18 ФЗ-152, с 01.07.2025): Детализируются обязанности оператора по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории России. Хотя само требование о локализации действует давно, его формулировки и правоприменительная практика продолжают развиваться.
  • Особенности обработки ПДн отдельных категорий лиц (новые части в ст. 6 и ст. 19 ФЗ-152): Закон вводит специфические нормы, касающиеся обработки и защиты персональных данных отдельных категорий физических лиц, с учетом особенностей, установленных профильными федеральными законами (например, это может затрагивать ПДн сотрудников силовых ведомств, судей и т.д.). Для большинства коммерческих операторов эти изменения могут не иметь прямого влияния, но важно отслеживать, не попадают ли их специфические случаи обработки под действие новых норм.

3. Другие ожидаемые и обсуждаемые изменения

Помимо уже принятых законов, в сфере регулирования персональных данных постоянно обсуждаются и прорабатываются новые инициативы. Некоторые из них, упомянутые в аналитических материалах (например, в статье от esphere.ru, хотя там были ссылки на НПА 2024 года, что требует уточнения актуальных дат и статуса этих инициатив на май 2025 года):

  • Специальные формы согласия на обработку ПДн в ЕСИА и ЕБС: Упоминалось Распоряжение Правительства от 09.04.2024 № 856-р, утверждающее унифицированные формы согласия для использования в Единой системе идентификации и аутентификации (ЕСИА) и Единой биометрической системе (ЕБС). Если ваша компания интегрирована с этими системами, необходимо использовать утвержденные формы.
  • Дополнительные меры для снижения риска утечки ПДн и чрезмерной обработки: Обсуждались инициативы по минимизации избыточной обработки ПДн и запрете включения согласия на обработку ПДн в состав других документов (например, в текст основного договора), чтобы такое согласие было действительно свободным и информированным.
  • Обязанность по передаче обезличенных сведений в ГИС: Упоминался Федеральный закон от 08.08.2024 № 233-ФЗ, который якобы вводит с 1 сентября (вероятно, 2025 года, требует проверки) обязанность операторов передавать обезличенные данные по запросу Минцифры в некую государственную информационную систему. Состав данных, порядок и сроки должны определяться Правительством. Эта норма, если она вступит в силу в таком виде, потребует от операторов разработки процедур обезличивания и взаимодействия с ГИС.
  • Требования к обработке cookie-файлов: Хотя прямого специального регулирования cookie в ФЗ-152 нет, Роскомнадзор и суды все чаще относят cookie (особенно те, что позволяют идентифицировать пользователя или связать его с другими ПДн) к персональным данным. Ожидается, что практика и, возможно, законодательство будут ужесточаться в части получения явного согласия на использование cookie, предоставления пользователю выбора типов cookie и обеспечения их обработки в соответствии с общими требованиями закона о персональных данных 152 фз, включая локализацию.

Как бизнесу подготовиться к нововведениям?

Учитывая масштаб грядущих изменений, особенно в части штрафов по закону о персональных данных, бизнесу необходимо предпринять проактивные шаги:

  1. Провести полный аудит текущих процессов обработки ПДн на соответствие не только действующей редакции закона 152 о персональных данных, но и с учетом нововведений 2025 года.
  2. Обновить комплект внутренней документации: политику обработки ПДн, согласия, положения, инструкции, модель угроз (с учетом новых видов угроз и ответственности за утечки).
  3. Пересмотреть технические меры защиты: оценить их адекватность новым рискам, особенно в части предотвращения утечек и обеспечения локализации.
  4. Обучить сотрудников: донести до них информацию о новых требованиях и ответственности.
  5. Разработать и протестировать планы реагирования на инциденты, включая порядок уведомления Роскомнадзора об утечках.
  6. Особое внимание уделить вопросу локализации баз данных граждан РФ.
  7. Проверить порядок получения и оформления согласий на обработку ПДн, включая использование cookie.

Изменения в законе о персональных данных 2025 год требуют от бизнеса повышенного внимания и оперативной реакции. Незнание новых правил не освободит от многомиллионных штрафов.

Компания "Прогрессив ОС" внимательно отслеживает все законодательные новеллы в сфере защиты персональных данных. Мы готовы:

  • Провести для вас детальный анализ влияния новых требований на ваши бизнес-процессы.
  • Разработать дорожную карту по приведению вашей деятельности в соответствие с федеральным законом о персональных данных с учетом всех изменений 2025 года.
  • Обновить вашу документацию и помочь с внедрением необходимых организационных и технических мер.
  • Оказать консультационную поддержку по всем сложным вопросам, связанным с фз законом о персональных данных.

Не ждите вступления в силу драконовских штрафов – подготовьтесь к изменениям заранее вместе с "Прогрессив ОС"!


Практические шаги для бизнеса по соблюдению 152-ФЗ (чек-лист/ToDo)

Раздел 8: Практические шаги для бизнеса по соблюдению 152-ФЗ (чек-лист/ToDo)

Соблюдение закона о персональных данных 152 фз – это не разовое мероприятие, а постоянный процесс, требующий внимания и ресурсов. Чтобы помочь вашему бизнесу систематизировать работу в этом направлении и минимизировать риски штрафов по закону о персональных данных, мы подготовили практический чек-лист. Он охватывает ключевые аспекты, на которые следует обратить внимание каждому оператору ПДн.

Чек-лист по приведению деятельности в соответствие с Федеральным законом № 152-ФЗ "О персональных данных":

  1. Провести аудит процессов обработки персональных данных:

    • [ ] Инвентаризация ПДн: Определите, какие персональные данные вы собираете, храните и обрабатываете (ФИО, контакты, паспортные данные, cookie, IP-адреса и т.д.).
    • [ ] Цели обработки: Для каждой категории ПДн четко сформулируйте цели их обработки. Убедитесь, что цели конкретны, законны и заранее определены.
    • [ ] Источники ПДн: Откуда вы получаете данные (напрямую от субъекта, от третьих лиц, из общедоступных источников)?
    • [ ] Способы обработки: Как вы обрабатываете ПДн (с использованием средств автоматизации, без них, смешанная обработка)?
    • [ ] Места хранения ПДн: Где физически и логически хранятся данные (серверы, компьютеры сотрудников, бумажные носители, облачные сервисы)? Обеспечена ли локализация баз данных граждан РФ на территории России?
    • [ ] Сроки хранения ПДн: Определены ли сроки хранения для каждой категории данных в соответствии с целями обработки и требованиями законодательства?
    • [ ] Передача ПДн: Кому и на каких основаниях вы передаете ПДн (внутри компании, подрядчикам, государственным органам, трансграничная передача)?
    • [ ] Оценка рисков: Проанализируйте возможные угрозы безопасности ПДн и потенциальный ущерб для субъектов в случае их реализации.
  2. Разработать и утвердить комплект организационно-распорядительной документации (ОРД):

    • [ ] Политика оператора в отношении обработки персональных данных (и обеспечить к ней неограниченный доступ, например, разместив на сайте).
    • [ ] Положение об обработке и защите персональных данных.
    • [ ] Приказ о назначении лица, ответственного за организацию обработки персональных данных.
    • [ ] Перечень должностей сотрудников, имеющих доступ к ПДн, и их должностные инструкции в части работы с ПДн.
    • [ ] Формы согласий на обработку ПДн (включая согласие на обработку ПДн, разрешенных для распространения, если применимо).
    • [ ] Модель угроз безопасности персональных данных.
    • [ ] Акт определения уровня защищенности ИСПДн.
    • [ ] План мероприятий по обеспечению защиты ПДн.
    • [ ] Другие необходимые документы (регламенты, инструкции, журналы учета).
  3. Назначить ответственного за организацию обработки персональных данных:

    • [ ] Издать приказ о назначении ответственного лица (или возложении этих обязанностей на существующего сотрудника/подразделение).
    • [ ] Определить его полномочия и обязанности в соответствии со статьей 22.1 152-ФЗ.
  4. Получить согласия на обработку ПДн (где необходимо):

    • [ ] Разработать корректные формы согласий, соответствующие требованиям закона 152 о персональных данных (конкретные, информированные, сознательные).
    • [ ] Обеспечить получение согласий до начала обработки ПДн (или убедиться в наличии иных законных оснований для обработки).
    • [ ] Организовать учет и хранение полученных согласий.
    • [ ] Предусмотреть процедуру отзыва согласия субъектом.
  5. Уведомить Роскомнадзор (если требуется):

    • [ ] Проверить, подпадает ли ваша деятельность под исключения, когда уведомление не требуется (с учетом их существенного сокращения).
    • [ ] Если уведомление необходимо, подготовить и подать его в Роскомнадзор до начала обработки ПДн по установленной форме.
    • [ ] Своевременно подавать уведомления об изменениях в ранее представленных сведениях или о прекращении обработки.
  6. Внедрить организационные и технические меры защиты (в соответствии со статьей 19 закона о персональных данных):

    • Организационные меры:
      • [ ] Режим безопасности помещений, где обрабатываются ПДн.
      • [ ] Разграничение прав доступа сотрудников к ПДн.
      • [ ] Учет машинных носителей ПДн.
      • [ ] Процедуры обнаружения и реагирования на инциденты безопасности.
      • [ ] Резервное копирование и восстановление ПДн.
    • Технические меры:
      • [ ] Использование сертифицированных средств защиты информации (антивирусы, межсетевые экраны, СКЗИ и т.д.) в соответствии с определенным уровнем защищенности.
      • [ ] Обеспечение безопасности сетей связи.
      • [ ] Защита от несанкционированного доступа.
      • [ ] Регистрация и учет действий с ПДн в ИСПДн.
  7. Обучить сотрудников:

    • [ ] Провести инструктажи и обучение для всех сотрудников, имеющих доступ к ПДн, по вопросам законодательства и внутренних правил обработки и защиты ПДн.
    • [ ] Ознакомить сотрудников с их ответственностью за нарушения.
    • [ ] Регулярно проводить повторное обучение и проверку знаний.
  8. Регулярно проводить проверки и актуализировать процессы:

    • [ ] Осуществлять внутренний контроль (аудит) соответствия обработки ПДн требованиям федерального закона о персональных данных и принятым локальным актам.
    • [ ] Периодически пересматривать и актуализировать ОРД, цели обработки, состав обрабатываемых ПДн.
    • [ ] Отслеживать изменения в законодательстве (особенно в части закона о персональных данных 2025 год) и своевременно вносить коррективы в свою деятельность.
    • [ ] Оценивать эффективность принимаемых мер защиты.

Этот чек-лист поможет вам наметить основные направления работы. Однако каждый бизнес уникален, и конкретный набор мероприятий может отличаться.


Приведение деятельности в полное соответствие с фз законом о персональных данных – сложная и многогранная задача. Она требует не только знания юридических тонкостей, но и понимания технических аспектов защиты информации, а также постоянного мониторинга изменений в законодательстве.

Компания "Прогрессив ОС" предлагает комплексное решение – от детального аудита ваших текущих процессов до разработки и внедрения "под ключ" всей системы обработки и защиты персональных данных, включая:

  • Проведение аудита и GAP-анализа на соответствие 152-ФЗ.
  • Разработку полного пакета необходимой документации.
  • Помощь в определении уровня защищенности и построении модели угроз.
  • Подбор, поставку и настройку технических средств защиты.
  • Подготовку и подачу уведомления в Роскомнадзор.
  • Обучение ваших сотрудников.
  • Дальнейшее консультационное сопровождение и поддержку при проверках.

С нами соблюдение закона о персональных данных 152 фз становится проще, надежнее и эффективнее. Мы поможем вам не только избежать штрафов по закону о персональных данных, но и построить систему, которая действительно защищает ценную информацию и укрепляет доверие ваших клиентов и партнеров. Обратитесь в "Прогрессив ОС" за индивидуальным планом действий!


Раздел 9: Почему стоит обратиться в "Прогрессив ОС"?

Выбор надежного партнера для приведения процессов обработки персональных данных в соответствие с законом 152 о персональных данных – это стратегическое решение, которое может сэкономить вашей компании не только деньги (избежав штрафов по закону о персональных данных), но и время, а также сохранить безупречную репутацию. Компания "Прогрессив ОС" обладает всеми необходимыми компетенциями и опытом, чтобы стать вашим проводником в сложном мире законодательства о ПДн.

Многолетний опыт и глубокая экспертиза в IT и информационной безопасности

"Прогрессив ОС" – это не просто консультанты. Мы – IT-компания с многолетним опытом работы на российском рынке. Наша команда объединяет высококвалифицированных юристов, специализирующихся на информационном праве, и сертифицированных технических специалистов в области информационной безопасности. Это позволяет нам подходить к задачам защиты персональных данных комплексно, учитывая как юридические требования, так и практические аспекты их технической реализации.

Наши ключевые преимущества:

  1. Комплексный подход: Мы не ограничиваемся разработкой документов или отдельными техническими решениями. "Прогрессив ОС" предлагает полный цикл услуг – от первоначального аудита и анализа рисков до внедрения системы защиты "под ключ" и ее последующего сопровождения. Мы разбираемся как в тонкостях федерального закона о персональных данных, так и в нюансах настройки средств защиты информации.
  2. Глубокие знания законодательства: Наши юристы постоянно отслеживают изменения в фз законе о персональных данных, разъяснения Роскомнадзора и судебную практику. Мы всегда в курсе актуальных требований, включая все нововведения закона о персональных данных 2025 год, и готовы адаптировать ваши процессы к ним.
  3. Практический опыт защиты данных: Мы не теоретики. Наши специалисты имеют богатый опыт построения систем защиты персональных данных для компаний различного масштаба и из разных отраслей. Мы знаем, какие решения действительно работают и как избежать типичных ошибок.
  4. Индивидуальный подход: Мы понимаем, что каждый бизнес уникален. Поэтому мы не предлагаем шаблонных решений. Все наши рекомендации и разрабатываемые документы адаптируются под специфику вашей деятельности, объемы обрабатываемых данных и существующую IT-инфраструктуру.
  5. Фокус на результат: Наша главная цель – не просто формально выполнить требования закона о персональных данных 152 фз, а создать реально работающую и эффективную систему защиты ПДн, которая минимизирует ваши риски и обеспечивает спокойствие.

Какие задачи поможет решить "Прогрессив ОС"?

  • Аудит на соответствие 152-ФЗ: Проведем всестороннюю оценку ваших текущих процессов обработки и защиты ПДн, выявим несоответствия и потенциальные риски.
  • Разработка полного комплекта документации: Подготовим все необходимые локальные нормативные акты (политики, положения, приказы, инструкции, модель угроз, техническое задание и т.д.) в соответствии с требованиями статьи 19 закона о персональных данных и федерального закона о персональных данных 18.1.
  • Внедрение организационных и технических мер защиты: Поможем определить необходимый уровень защищенности, подберем и внедрим сертифицированные средства защиты информации (СЗИ), настроим системы и обучим персонал.
  • Помощь с уведомлением Роскомнадзора: Проконсультируем по необходимости подачи уведомления, поможем корректно его заполнить и подать.
  • Консультации по всем вопросам 152-ФЗ: Разъясним сложные моменты законодательства, поможем разобраться в специфических ситуациях.
  • Сопровождение при проверках Роскомнадзора: Окажем экспертную поддержку на всех этапах взаимодействия с контролирующим органом.
  • Помощь в случае инцидентов и утечек ПДн: Поможем провести внутреннее расследование, правильно уведомить Роскомнадзор и минимизировать негативные последствия, включая риски получения оборотных штрафов по закону о персональных данных.
  • Приведение IT-инфраструктуры в соответствие с законом: Поможем с локализацией баз данных, настройкой безопасной обработки cookie и другими техническими аспектами.

Сотрудничество с "Прогрессив ОС" – это инвестиция в безопасность и стабильность вашего бизнеса. Мы поможем вам не только избежать санкций, но и повысить уровень доверия со стороны клиентов и партнеров, продемонстрировав ответственное отношение к защите их персональных данных.

Готовы обеспечить надежную защиту персональных данных в вашей компании?

Свяжитесь с нами для получения первичной консультации и индивидуального предложения. Эксперты "Прогрессив ОС" ответят на ваши вопросы и помогут разработать оптимальную стратегию соответствия требованиям закона о персональных данных.

Позвоните нам сейчас!

Не откладывайте заботу о защите персональных данных на потом – обратитесь к профессионалам уже сегодня!

Раздел 10: Заключение

Федеральный закон № 152-ФЗ "О персональных данных" – это не просто набор формальных правил, а важнейший элемент правового поля, в котором существует современный российский бизнес. Требования этого закона направлены на защиту одного из фундаментальных прав человека – права на неприкосновенность частной жизни и защиту своих персональных данных. Для компаний же соблюдение закона 152 о персональных данных становится не только юридической обязанностью, но и фактором конкурентоспособности, репутации и доверия со стороны клиентов, партнеров и сотрудников.

Как мы увидели в ходе нашего глубокого анализа, фз закон о персональных данных устанавливает комплексные требования к операторам на всех этапах работы с информацией: от определения целей и получения согласия до обеспечения многоуровневой системы безопасности и реагирования на инциденты. Особое внимание законодатель уделяет таким аспектам, как уведомление Роскомнадзора (требования к которому конкретизированы в рамках федерального закона о персональных данных 18.1) и принятие исчерпывающих мер защиты (детально описанных в статье 19 закона о персональных данных).

Ответственность за нарушения постоянно ужесточается. Грядущие изменения в законе о персональных данных 2025 год, особенно введение новых составов и колоссальных, в том числе оборотных, штрафов по закону о персональных данных, делают цену пренебрежения этими нормами непомерно высокой. Игнорирование требований может привести не только к финансовым потерям, но и к приостановке деятельности, уголовному преследованию должностных лиц и непоправимому ущербу для деловой репутации.

В этих условиях проактивный подход к защите персональных данных становится единственно верной стратегией. Это означает:

  • Постоянное отслеживание изменений в законодательстве.
  • Регулярный аудит и актуализацию внутренних процессов и документации.
  • Инвестиции в современные технические средства защиты.
  • Обучение и повышение осведомленности сотрудников.
  • Готовность к оперативному реагированию на инциденты и запросы субъектов.

Соблюдение закона о персональных данных 152 фз – это не бремя, а показатель зрелости и ответственности бизнеса. Компании, которые серьезно относятся к защите ПДн, демонстрируют уважение к своим клиентам и сотрудникам, укрепляют их лояльность и создают прочную основу для долгосрочного и успешного развития.

Путь к полному соответствию может показаться сложным, но он абсолютно необходим. И на этом пути вы не одиноки. Эксперты компании "Прогрессив ОС"  готовы предоставить вам всю необходимую поддержку – от консультаций и аудита до внедрения комплексной системы защиты персональных данных "под ключ".

Не ждите проверок и штрафов – действуйте на опережение! Обеспечьте надежную защиту персональных данных в вашей компании уже сегодня.