152-ФЗ: Гайд по подготовке компании к уведомлению Роскомнадзора как оператор персональных данных в 2025 году

Добрый день друзья! Подготовленный мной документ должен помочь вам пошагово понять процесс подготовки вашей компании и бизнеса к подаче уведомления в Роскомнадзор (РКН). В этом Гайде мы довольно подробно разберем каждый этап, который нужно знать, чтобы избежать штрафов и правильно организовать работу с персональными данными.

Данный документ поможет вам, но, по нашему мнению, для корректной подготовки нужно либо обратиться к профессиональным юристам, либо организовать все самостоятельно, но при помощи профессионалов! Если вам потребуется помощь для размещения на вашем сайте всех необходимых уведомлений и страниц, то команда Мульти Сайт всегда рядом и готова помочь.

Шаг 1. Определите, является ли ваша компания оператором персональных данных

Кто такой оператор?

Оператор персональных данных— это любая компания, ИП или физическое лицо, которые собирают, хранят, используют, обрабатывают и передают персональные данные других людей.

Под персональными данными понимается любая информация, позволяющая идентифицировать человека прямо или косвенно:

• ФИО;
• телефон, email;
• IP-адрес посетителя сайта;
• cookie-файлы;
• голосовые сообщения в мессенджерах;
• геолокационные метки;
• фотографии сотрудников и клиентов;
• информация из социальных сетей (например, Instagram, ВКонтакте и пр.).

Важный вопрос:

Является ли контакт из Нельзяграм или ВК персональными данными?

Ответ: Да, если вы получаете и храните контакты пользователей из соцсетей (например, имя, телефон, почту или другую идентифицирующую информацию) для использования в вашем бизнесе (запись на консультацию, доставка товара, рассылки и т.д.), то это персональные данные.

Что проверять?

• Какие именно данные вы получаете от клиентов или сотрудников?
• Где и как эти данные хранятся?
• Для каких целей вы их используете?
• Есть ли у вас формы на сайте, чат-боты, мессенджеры, email-рассылки?

Закон: п.2 ст.3 Федерального закона №152-ФЗ

Шаг 2. Проведите аудит персональных данных в вашей компании

Цель аудита:выяснить, какие персональные данные собирает компания и соответствует ли ваша деятельность закону.

Что нужно сделать:

• Составьте список всех источников сбора персональных данных (сайт, формы заявок, CRM, соцсети, email и т.д.)
• Проверьте, какие именно данные вы собираете и храните.
• Проверьте соответствие вашим целям сбора (зачем вы собираете данные?).
• Убедитесь, что вы не собираете лишние данные, которые вам не нужны.

Пример: если для регистрации клиента достаточно телефона и ФИО, то собирать дату рождения, паспорт или адрес необязательно.

Шаг 3. Подготовьте обязательные документы по 152-ФЗ

Вам потребуются следующие документы:

1. Политика конфиденциальности (политика обработки персональных данных)

Это публичный документ, обязательный для публикации на вашем сайте или в соцсетях. В нем нужно прописать:

• Какие данные вы собираете
• Зачем вы их собираете
• Как храните и защищаете
• Кому передаете

2. Согласие на обработку персональных данных
Должно быть получено от каждого человека, чьи данные вы собираете. Например, через специальный чек-бокс на сайте.

3. Приказ о назначении ответственного за обработку персональных данных
Обязательно наличие ответственного человека в компании.

4. Инструкция и регламенты для сотрудников
Четко пропишите правила работы с персональными данными, чтобы ваши сотрудники не допустили ошибок.

Подробнее о документах — на сайте Роскомнадзора.

Шаг 4. Техническая защита персональных данных

Вы обязаны обеспечить техническую защиту персональных данных. Минимальный набор требований:

• пароли и авторизация сотрудников для доступа к базам данных;
• антивирусная защита всех устройств;
• ограничение доступа к данным (только для тех, кому это необходимо);
• шифрование персональных данных (например, SSL на сайте);
• регулярные резервные копии данных;
• журналирование и отслеживание доступа к данным.

Это не просто рекомендации, а требования законодательства.

Шаг 5. Подача уведомления в Роскомнадзор

Вы обязаны уведомить РКН, если являетесь оператором персональных данных.

Что указывается в уведомлении:

• данные вашей компании (название, ИНН, адрес и т.д.);
• категории персональных данных, которые вы обрабатываете;
• цели обработки (например, исполнение договора, маркетинг и т.д.);
• описание мер, которые принимаются для защиты данных;
• информация об ответственном за обработку данных;
• информация о том, передаются ли данные третьим лицам (облака, email-рассылки и др.).

Подача происходит через специальную электронную форму на официальном сайте

Роскомнадзора: Форма подачи уведомления

Что будет, если не уведомить РКН и допустить нарушения?

С 30 мая 2025 года вступают в силу серьезные штрафы:

• за отсутствие уведомления или ошибки в уведомлении — от 150 до 300 тыс. руб.
• утечка персональных данных — от 3 до 15 млн руб.
• повторные нарушения или сокрытие утечек — до 3% от годового оборота компании.

Дополнительные советы предпринимателям

• Минимизируйте сбор данных: меньше данных — меньше рисков.
• Постоянно актуализируйте документы: меняйте политику и регламенты по мере изменения закона или ваших бизнес-процессов.
• Обучите сотрудников: регулярно напоминайте правила обработки персональных данных.

Полезные ссылки

• 152-ФЗ в КонсультантПлюс
• Роскомнадзор. Часто задаваемые вопросы
• Полезные материалы от Роскомнадзора для бизнеса

Теперь вы готовы к тому, чтобы грамотно и безопасно организовать работу с персональными данными и уведомить РКН. Следуйте гайду шаг за шагом и избегайте рисков и штрафов.

Если вам нужна дополнительная помощь, обращайтесь к профессиональным юристам по персональным данным.