Во-первых, действие закона распространяется на вас, если у вас производится хоть какая-то цифровая обработка клиентских данных или данных ваших штатных сотрудников (!), в т.ч. в документах на рабочем компьютере (!). Т.е. даже если вы ведёте простую табличку в excel, без использования сайта или CRM-системы, где хранятся заказы, важно понимать — вы уже являетесь оператором персональных данных.
Во-вторых, мы, как разработчики веб-сайтов, закрываем этот вопрос по своей части – т.е. добавляем уведомления и соглашения для посетителей ваших сайтов об обработке персональных данных, используем сервера для сайтов, которые локализованы в РФ, используем ПО, которое отвечает требованиям по сертификации ФСТЭК (и то, это работает, в случае если у вас установлены все свежие обновления). Но это ещё не полный набор для выполнения требований ФЗ 152.
Вот достаточный перечень:
1. Уведомить Роскомнадзор и попасть в РеестрПодать уведомление, если еще этого не сделали. Если ваша организация собирает любые персональные данные (ПД) сотрудников, клиентов, пользователей сайта — необходимо подать уведомление о начале обработки в Роскомнадзор.
Для этого необходимо заполнить форму на сайте https://pd.rkn.gov.ru/operators-registry/notification/form/ и отправить ее в электронном виде (через Госуслуги или с КЭП) или по почте. Срок внесения — 30 дней.
Также требуется в дальнейшем обновлять сведения, сообщать об изменениях (смена целей обработки, передача данных третьим лицам) в течение 10 рабочих дней.
Исключение: Обработка ведется только вручную, без использования компьютеров.
2. Подготовить локальную документацию
Роскомнадзор при проверке оценивает, соответствуют ли внутренние документы реальным процессам в компании. Обязательный минимум:
• Политика обработки персональных данных (должна быть опубликована на сайте).
• Приказ о назначении ответственного за организацию обработки ПД.
• Перечень персональных данных и лиц, имеющих к ним доступ.
• Положение об обработке и защите персональных данных (регламент для сотрудников).
3. Оформить согласия по новым правилам
С 1 сентября 2025 года действуют новые требования к согласиям:
Отдельный документ: Согласие нельзя включать в текст трудового договора, оферты или анкеты. Оно должно быть самостоятельным.
Конкретика: Согласие должно содержать четкие цели, перечень данных и срок действия.
Отдельно на распространение: если данные передаются третьим лицам (например, для рекламы или для обработки в облачной CRM), нужно получать отдельное, явно выраженное согласие.
4. Обеспечить локализацию данных (ст. 18 ФЗ-152)
Первичный сбор и хранение данных граждан РФ должны происходить на серверах, находящихся в России.
Если используются иностранные облачные сервисы, CRM или хостинги, их необходимо перенести на российские аналоги.
5. Принять технические и организационные меры (защита)
Разграничить доступ. Ограничить доступ сотрудников к ПД, назначив права доступа по принципу «только то, что необходимо для работы».
Использовать средства защиты. Применить сертифицированные ФСТЭК средства защиты информации (это в т.ч. и антивирусы на ваших рабочих компьютерах, межсетевые экраны).
Уничтожать данные. Своевременно уничтожать данные по достижении целей обработки или при отзыве согласия.
6. Реагировать на утечки
При обнаружении утечки данных организация обязана сообщить об этом в Роскомнадзор в течение 24 часов (вместе с результатами внутреннего расследования — в течение 72 часов).
