Важные изменения в 152-ФЗ: руководство для IT-бизнеса

В современном цифровом мире защита персональных данных стала важнейшей задачей для всех компаний, работающих в сфере информационных технологий. Закон «О персональных данных» (152-ФЗ), действующий в России с 2006 года, регулирует процессы обработки личной информации пользователей и всё активнее влияет на повседневную работу бизнеса.

Особое значение он имеет для IT-компаний, поскольку работа с данными — зачастую их основная функция. Независимо от того, разрабатываете ли вы мобильное приложение, управляете веб-сервисом или поддерживаете CRM-систему для клиентов, вы обязаны соблюдать требования закона и обеспечивать безопасность данных. В противном случае компания рискует столкнуться с крупными штрафами, блокировкой ресурсов или репутационными потерями.

Этот материал для «Кода Дурова» подготовила Камила Мухамеджанова, менеджер по развитию продукта «1ОПД».

Чтобы понимать масштабы задачи, важно правильно трактовать ключевые понятия.

Под персональными данными понимается любая информация, позволяющая прямо или косвенно идентифицировать человека: от ФИО, адреса и телефона до IP-адреса и данных о действиях пользователя в сети.

Обработка — это любые действия с этими данными: сбор, хранение, изменение, использование, передача, уничтожение.

При этом статус оператора приобретают любые физические и юридические лица, организующие и (или) осуществляющие обработку персональных данных, а также определяющие:

Цели обработки персональных данных;
Состав персональных данных, подлежащих обработке;
Действия (операции), совершаемые с персональными данными.

Обзор 152-ФЗ и его основные положения

В 2006 году был принят Федеральный закон № 152-ФЗ «О персональных данных». Именно он стал основным документом, регулирующим правила обработки и защиты ПДн в России. Закон определил, кто и как должен работать с персональными данными, какие меры защиты применять, кто несёт за это ответственность.

Контролирующими органами были назначены:

Роскомнадзор — отвечает за проверку организационных мер;
ФСТЭК и ФСБ — контролируют технические меры защиты.

Самим компаниям закон предписал:

Назначить ответственного за обработку ПДн;
Разработать и утвердить внутренние документы по обработке ПДн;
Внести себя в реестр операторов ПДн.

Цель закона — создать правовые механизмы, которые бы ограничивали необоснованный сбор и использование личной информации граждан.

Основные положения включают следующие принципы:

Ограниченность целей — обработка должна вестись только для конкретных и законных целей.
Минимизация данных — нельзя собирать избыточные данные.
Согласие субъекта — обработка требует информированного согласия или иного правового основания.
Ограничение срока хранения — после достижения цели ПДн подлежат удалению.
Обеспечение безопасности данных — организация должна применять достаточные меры защиты.

152-ФЗ постоянно дорабатывается и дополняется, отражая новые технологические реалии и усиливая требования к компаниям. Сейчас это один из важнейших законов для любого бизнеса, который работает с данными своих клиентов, особенно в сфере IT.

Последние изменения и ужесточения, риски для компаний

В последние годы регулирование в сфере ПДн значительно ужесточилось. Роскомнадзор усилил контроль за соблюдением 152-ФЗ: с 30 мая этого года вступили в силу изменения в ст. 13.11 КоАП, предусматривающие появление новых составов нарушений и кратное увеличение размеров штрафов.

Введены требования по локализации персональных данных граждан России на серверах внутри страны. С июля 2025 будет действовать новая редакция п. 5 ст. 18 152-ФЗ, которая вводит прямой запрет на сбор и обработку персональных данных с использованием баз данных где-либо за пределами Российской Федерации. С учётом формулировки данные требования коснутся и обработчиков ПДн по поручению оператора.

Для IT-компаний эти изменения несут серьёзные риски: финансовые (до нескольких миллионов рублей штрафа за один эпизод) и репутационные (потеря доверия клиентов и партнёров).

Основные законодательные изменения в сравнении с ранее существовавшим регулированием:

Основные требования 152-ФЗ для IT-компаний. Особенности работы с ПДн в IT-компаниях и в IT-департаментах

IT-сфера по своей природе тесно связана с обработкой больших массивов данных, включая персональные. Разработка сайтов, веб-приложений, SaaS-сервисов, мобильных приложений, систем автоматизации бизнеса — всё это предполагает, что сотрудники и системы компании обрабатывают ПДн пользователей или сотрудников.

Важной особенностью является обширный технический стэк, с которым взаимодействует компания: серверы, базы данных, облачные хранилища, API-интеграции. Это значительно усложняет задачи контроля, мониторинга и защиты данных.

Примеры и кейсы из IT-практики

Примеры того, как 152-ФЗ влияет на деятельность компаний:

Веб-сервисы: обязаны уведомлять пользователей о сборе данных, получать согласие на обработку, внедрять механизмы отзыва согласия и удаления данных по запросу.
Мобильные приложения: при работе с геолокацией или доступом к контактам обязаны получать явное согласие пользователя.
Разработка корпоративных систем: необходимо определять правовые основания для обработки данных сотрудников, разрабатывать внутренние регламенты по работе с ПДн.

Влияние на бизнес-процессы внутри IT-департамента

152-ФЗ требует перестройки внутренних процессов. Необходимо:

Определить перечень обрабатываемых данных.
Назначить ответственных за защиту данных.
Разработать и внедрить политику обработки ПДн.
Организовать регулярный мониторинг соблюдения требований закона.

Эти меры влияют на скорость запуска новых продуктов, планирование архитектуры сервисов и требуют выделения дополнительных ресурсов на compliance-задачи, однако значительно нивелируют риски несоблюдения требований 152-ФЗ.

Как IT-компаниям подготовиться к соблюдению 152-ФЗ

Для IT-компаний выполнение требований 152-ФЗ — это не просто разовая задача, а постоянный процесс. Причём важно понимать: защита персональных данных — это не только про «галочку» для проверяющих органов, но и про доверие пользователей и партнёров. Компании, которые серьёзно относятся к безопасности данных, выигрывают в репутации и устойчивости бизнеса. Как же выстроить процесс так, чтобы соответствовать закону и минимизировать риски?

Проведите аудит текущих процессов

Первый шаг — разобраться, какие персональные данные вы обрабатываете, на каких этапах и с помощью каких инструментов. Для этого стоит провести комплексный аудит процессов обработки ПДн:

Определить, какие ПДн собираются;
Понять правовые основания для обработки (согласие, договор);
Проверить, где и как хранятся данные;
Установить, кто имеет к ним доступ;
Оценить риски и уязвимости текущей ИТ-инфраструктуры.

По итогам аудита вы сможете понять, насколько текущие процессы соответствуют требованиям закона и где есть пробелы. Это поможет грамотно спланировать следующие шаги.

Внедрение систем управления данными и безопасности

После того как вы увидели картину происходящего, важно выстроить систему управления данными:

Чётко определить роли и зоны ответственности сотрудников, которые работают с персональными данными;
Настроить автоматизированные системы мониторинга и контроля доступа;
Применять шифрование, бэкапы, резервные хранилища;
Регулярно проверять уязвимости в ПО и сетевой инфраструктуре;
Документировать процедуры — чтобы при проверке можно было показать не только сами меры, но и то, что процесс их применения зафиксирован и управляем.

Особое внимание стоит уделить локализации данных и учёту специфики гибридных и облачных архитектур.

Не стоит забывать о ведении реестра операторов ПДн и своевременном внесении в него всех актуальных изменений.

Обучение сотрудников по вопросам защиты персональных данных

Даже при самых современных системах защиты «человеческий фактор» остаётся одним из главных источников риска. Поэтому важнейшая часть подготовки — обучение сотрудников. Все, кто так или иначе работает с персональными данными, должны знать:

Что считается персональными данными;
Какие действия с ними допустимы, а какие — нет;
Как действовать при инцидентах (утечках, попытках несанкционированного доступа и т. д.).

Лучше всего делать это не разово, а регулярно: обновлять знания при изменении законодательства или при появлении новых угроз.

Будущее регулирования персональных данных в России. Возможные изменения в законодательстве и их влияние на бизнес

В ближайшие годы ожидается продолжение ужесточения регулирования. Среди перспективных инициатив:

Введение запрета на включение согласия на обработку персональных данных с 2025 года в состав других документов, подписываемых субъектом.
Усиление требований по локализации обработки ПДн.

Для бизнеса это означает необходимость гибкой юридической и технической модели, которая сможет адаптироваться к изменениям в законе.

Российский 152-ФЗ всё больше заимствует подходы европейского GDPR.

Например:

Принцип прозрачности;
Обязанность уведомления о нарушениях;
Штрафы, зависящие от оборота компании.

IT-компаниям, работающим на международных рынках, важно гармонизировать свои процессы и с 152-ФЗ, и с зарубежными стандартами, чтобы избежать конфликтов юрисдикций.

Прогнозы о развитии правового регулирования в сфере защиты данных

Прогнозы однозначны: регулирование будет становиться всё более строгим. Ожидается усиление внимания к контролю над обработкой данных во избежание утечек персональных данных, случаи которых значительно участились за последние несколько лет.

IT-компании, заранее внедрившие лучшие практики, окажутся в более выгодной позиции по сравнению с конкурентами.

Заключение

Соблюдение 152-ФЗ сегодня — это уже не просто «обязательная формальность», а необходимый элемент устойчивого развития бизнеса. В условиях усиливающегося регулирования и цифровизации экономики грамотный подход к защите персональных данных помогает компаниям минимизировать риски, укрепить доверие клиентов и партнеров и создать основу для стабильного роста.

Для IT-компаний, чья работа напрямую связана с данными, особенно важно не откладывать меры по приведению своих процессов в соответствие с законом. Чем раньше будет проведён аудит, внедрены необходимые процедуры и обучен персонал, тем проще и дешевле окажется последующая адаптация к новым требованиям законодательства.