Регламенты по 152-ФЗ: какие нужны и как внедрить, чтобы их реально соблюдали

Полное руководство для операторов персональных данных в России: от перечня обязательных документов до построения работающей системы контроля

Почему регламенты стали вопросом выживания бизнеса

До 2024 года многие компании воспринимали документацию по 152-ФЗ как формальность: "подписали бумаги — забыли". Регуляторное давление было низким, штрафы — смешными. Эпоха мягкого надзора закончилась.

С 30 мая 2025 года вступил в силу Федеральный закон № 420-ФЗ от 30.11.2024, который перевернул картину с ног на голову [7]. Статья 13.11 КоАП РФ пополнилась девятью новыми частями (ч. 10–18), введены оборотные штрафы и уголовная ответственность. Одновременно Роскомнадзор перешёл к автоматизированному мониторингу: нарушение теперь можно выявить без единого визита инспектора [5].

По данным InfoWatch, в 2023 году число утечек персональных данных выросло на 61,5% по сравнению с 2022-м, а объём утёкших записей достиг более 47 миллиардов — рост на 111,5% [8]. Роскомнадзор только за 2024 год зафиксировал 135 официально подтверждённых утечек [9].

В этих условиях внутренние регламенты перестали быть "бумагами для проверки". Они стали инструментом управления риском — и единственным доказательством добросовестности оператора в случае инцидента.

Эта статья адресована руководителям, юристам, специалистам по безопасности и DPO, которым нужно не просто сформировать пакет документов, но выстроить систему, которая реально работает.

Глава 1. Законодательная база: что изменилось и в чём суть требований

1.1 Ключевые НПА, которые определяют содержание регламентов

Работа с персональными данными в России регулируется многоуровневой системой нормативных актов. Понять, какие именно регламенты нужны, можно только разобравшись в этой пирамиде.

На вершине — Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" в актуальной редакции [10]. Последние значимые поправки вносились в 2022, 2023, 2024 и 2025 годах — закон перестал быть "стабильным": только в 2024–2025 гг. в него вносились изменения несколько раз [10].

Второй уровень — подзаконные акты, определяющие технические и организационные требования:

1. Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" — устанавливает 4 уровня защищённости ИСПДн и требования к каждому [11].
2. Приказ ФСТЭК России от 18.02.2013 № 21 — определяет конкретный состав организационных и технических мер безопасности, привязанных к уровню защищённости [12].
3. Приказ ФСБ России от 10.07.2014 № 378 — требования к криптографической защите персональных данных [13].
4. Приказ Роскомнадзора от 27.10.2022 № 178 — устанавливает порядок оценки вреда субъектам ПДн при возможных нарушениях, обязателен с 1 марта 2023 года [14].
5. Постановление Правительства РФ от 24.04.2025 № 538 и приказ Роскомнадзора от 19.06.2025 № 140 — новые требования к обезличиванию персональных данных, вступившие в силу 1 сентября 2025 года [15].

Третий уровень — требования к форме конкретных документов, включая унифицированные формы согласий (Распоряжение Правительства РФ от 09.04.2024 № 856-р) [16].

1.2 Ключевые изменения 2024–2025 годов, влияющие на состав регламентов

Ниже — изменения, которые потребовали переработки документации большинства операторов:

1. С 1 июля 2025 года — запрет передачи персональных данных на зарубежные сервисы до их первичного размещения в России. Использование Google Analytics, ряда иностранных SaaS и облаков без дополнительных мер стало нарушением [17].
2. С 1 сентября 2025 года — согласие на обработку ПДн только отдельным документом. Встраивание согласия в другие соглашения или политики — нарушение ст. 9 закона [4].
3. С 1 сентября 2025 года — новые требования к обезличиванию ПДн, введена ст. 13.1 152-ФЗ. Операторы обязаны по запросу регулятора передавать обезличенные массивы данных в государственные информационные системы [15].
4. С 30 мая 2025 года — радикально выросшие штрафы и оборотные санкции по Федеральному закону № 420-ФЗ [7].
5. С 11 декабря 2024 года — введена ст. 272.1 УК РФ об уголовной ответственности за незаконные действия с персональными данными [6].
6. С 1 января 2025 года — унифицированные формы согласий для биометрических систем (ЕСИА и ЕБС) на основании Распоряжения Правительства № 856-р [16].

Глава 2. Полный перечень обязательных регламентов и документов

2.1 Что проверяют в первую очередь

Роскомнадзор при проверках обращает внимание на три блока: наличие документов, их актуальность и доказательства фактического применения [2]. Рассмотрим, что входит в обязательный минимум.

По данным отраслевых экспертов, комплект документации по 152-ФЗ может включать более 60 документов [3]. Ниже — структурированный перечень, разбитый по смысловым блокам.

2.2 Блок 1: Организационно-правовые основы

Это фундамент всей системы — документы, которые устанавливают "кто за что отвечает" и на каком основании компания вообще обрабатывает персональные данные.

1. Приказ о назначении ответственного за организацию обработки персональных данных (основание — ст. 22.1 152-ФЗ). Без этого документа любая другая документация теряет смысл — должен быть конкретный человек с полномочиями и ответственностью.
2. Положение (или политика) в отношении обработки персональных данных — публичный документ, который должен быть размещён на сайте и доступен в офисе. Содержит: цели обработки, правовые основания, виды ПДн, сроки хранения, порядок передачи третьим лицам, права субъектов [18].
3. Уведомление в Роскомнадзор о намерении обрабатывать персональные данные (ст. 22 152-ФЗ). Подаётся до начала обработки. С 1 марта 2025 года действует обновлённая форма уведомления [19]. За неуведомление с 30 мая 2025 года — штраф для организаций от 100 тыс. до 300 тыс. рублей [7].
4. Перечень информационных систем персональных данных (ИСПДн) — реестр всех систем, в которых обрабатываются персональные данные (CRM, 1С, кадровые системы, почта, базы данных и т. д.).

2.3 Блок 2: Регламенты обработки персональных данных

Это оперативный слой документации — документы, которые описывают конкретные процессы.

1. Положение о порядке обработки и защиты персональных данных работников (сотрудников). Основание — ст. 87 ТК РФ и ст. 18.1 152-ФЗ [20]. Должно содержать: категории обрабатываемых данных, цели, порядок получения, хранения, передачи, уничтожения.
2. Положение о порядке обработки ПДн клиентов / контрагентов — аналогичный документ для внешних субъектов ПДн.
3. Регламент допуска работников к обработке персональных данных — описывает, кто, при каких условиях и в какие системы имеет доступ, как этот доступ предоставляется, изменяется и отзывается [21].
4. Приказ об утверждении перечня сотрудников, допущенных к работе с персональными данными [21].
5. Правила осуществления внутреннего контроля соответствия обработки ПДн требованиям закона (основание — ст. 18.1 152-ФЗ). Должны определять порядок проверок, их периодичность, ответственных.
6. Регламент реагирования на инциденты / утечки персональных данных — критически важный документ, без которого при инциденте компания не успеет выполнить требования об уведомлении РКН в течение 24 часов [22]. Должен включать: алгоритм обнаружения, схему эскалации, шаблоны уведомлений, порядок расследования.
7. Регламент уничтожения персональных данных — описывает порядок и сроки уничтожения ПДн при отзыве согласия, истечении срока хранения, достижении цели обработки.
8. Регламент обработки запросов субъектов персональных данных — описывает, как компания реагирует на запросы граждан о предоставлении, уточнении или удалении их данных.
9. Правила поручения обработки ПДн третьим лицам (ст. 6 152-ФЗ) — требования к договорам с подрядчиками, облачными провайдерами, CRM-системами и другими обработчиками.

2.4 Блок 3: Согласия и формы

1. Форма согласия на обработку персональных данных — с 1 сентября 2025 года обязательно отдельный документ [4]. Должна содержать: ФИО, паспортные данные субъекта; полное наименование оператора; цель обработки; перечень конкретных ПДн; перечень действий с ними; срок действия или условие прекращения.
2. Форма согласия на распространение персональных данных (если применимо) — оформляется отдельно от согласия на обработку.
3. Форма согласия на передачу ПДн третьим лицам.
4. Форма заявления субъекта об уточнении персональных данных (основание — ст. 14 152-ФЗ) [23].
5. Форма заявления об отзыве согласия на обработку ПДн.
6. Форма уведомления субъекта о начале обработки его ПДн (при необходимости).

2.5 Блок 4: Технические и защитные документы

1. Акт определения уровня защищённости ИСПДн (по ПП РФ № 1119) — фиксирует, к какому уровню защищённости (УЗ1–УЗ4) относится каждая информационная система [11].
2. Модель угроз безопасности персональных данных — анализ актуальных угроз для каждой ИСПДн с учётом Методики ФСТЭК (основание — п. 1 ч. 2 ст. 19 152-ФЗ) [23].
3. Технический паспорт ИСПДн — документ, описывающий состав и структуру информационной системы.
4. Акт оценки потенциального вреда субъектам ПДн (обязателен с 1 марта 2023 года на основании приказа РКН № 178 от 27.10.2022) [14].
5. Документация системы защиты персональных данных (СЗПДн) — в соответствии с требованиями приказа ФСТЭК № 21 [12].
6. Акт оценки эффективности реализованных мер безопасности — проводится не реже одного раза в три года [12].

2.6 Блок 5: Учётные журналы

1. Журнал учёта согласий на обработку персональных данных.
2. Журнал учёта запросов субъектов персональных данных.
3. Журнал учёта инцидентов (утечек) персональных данных.
4. Журнал уничтожения персональных данных (актов уничтожения).
5. Журнал учёта доступа к персональным данным / обращений к ИСПДн.

2.7 Блок 6: Кадровые документы

1. Обязательства о неразглашении персональных данных — подписываются каждым сотрудником, имеющим доступ к ПДн [21].
2. Дополнительные соглашения к трудовым договорам о допуске к персональным данным.
3. Программа (план) обучения сотрудников требованиям законодательства о ПДн.
4. Листы ознакомления сотрудников с внутренними регламентами и политиками.

Глава 3. Как читает документы Роскомнадзор: что считается нарушением

3.1 Самые распространённые нарушения

Публичные отчёты территориальных управлений Роскомнадзора показывают устойчивую картину типичных нарушений [24]. Наиболее частые из них:

1. Отсутствие политики обработки ПДн на сайте или её несоответствие требованиям ч. 1 ст. 18.1 152-ФЗ. По данным исследования компании Б-152 (анализ более 200 отчётов РКН), это нарушение составляет 30% от общего числа выявленных [25]. Роскомнадзор направил только за 2023 год более 4,6 тысячи требований об устранении нарушений в этой части [25].
2. Отсутствие уведомления в РКН о намерении обрабатывать ПДн — одно из самых массовых нарушений среди малого и среднего бизнеса [9].
3. Обработка персональных данных без согласия или с нарушением его формы — в том числе встраивание согласия в текст договоров или политик [4].
4. Неполные ответы на запросы субъектов ПДн или их игнорирование — второй по частоте встречаемости состав в судебной практике [26].
5. Несоответствие содержания ИСПДн заявленным в уведомлении данным — фиксируется как недостоверная информация [2].

3.2 Два "красных флага" для регулятора

По данным экспертов, занимающихся сопровождением проверок, у Роскомнадзора при аудите есть два ключевых сигнала [2]:

Первый — документы есть, но их не применяют. Организация предоставляет полный пакет ОРД, но при проверке выясняется: сотрудники с документами не ознакомлены под подпись, регламент доступа не соблюдается, журналы не ведутся. В таком случае документы не признаются мерой защиты, а нарушение квалифицируется как отсутствие организационных мер.

Второй — документы есть, но они не отражают реальные процессы. Частый случай: уведомление в РКН подано до запуска нового сервиса или расширения процессов, и сведения в нём устарели. С точки зрения регулятора это недостоверная информация [2].

3.3 Ответственность в 2025–2026 годах: новая реальность

С 30 мая 2025 года действует принципиально новая структура ответственности [7]:

1. Незаконная обработка персональных данных (ч. 1 ст. 13.11 КоАП): для организаций — от 150 тыс. до 300 тыс. рублей; при повторном нарушении выше.
2. Обработка без согласия (ч. 2 ст. 13.11): для организаций — от 300 тыс. до 500 тыс. рублей.
3. Неуведомление РКН о намерении обрабатывать ПДн (ч. 10 ст. 13.11): для организаций — от 100 тыс. до 300 тыс. рублей.
4. Неуведомление РКН об утечке (ч. 11 ст. 13.11): для организаций — от 1 млн до 3 млн рублей.
5. Утечка ПДн от 1 тыс. до 10 тыс. субъектов: для ИП и организаций — от 3 млн до 5 млн рублей.
6. Повторная утечка любой категории ПДн — оборотный штраф от 1% до 3% годовой выручки, но не менее 20 млн рублей и не более 500 млн рублей [7].
7. Уголовная ответственность по ст. 272.1 УК РФ (с 11 декабря 2024 года): штраф до 300 тыс. рублей или лишение свободы до 4 лет; при нарушениях в отношении несовершеннолетних или биометрии — до 5 лет [6].

При этом важно: закон прямо предусматривает возможность освобождения от ответственности или смягчения санкций, если компания приняла все предусмотренные законодательством меры для защиты информации (ч. 3, 4 ст. 2.1 КоАП). Это делает наличие работающих регламентов не просто формальностью, но реальным правовым инструментом защиты.

Глава 4. Как внедрить регламенты так, чтобы они реально работали

4.1 Главная ошибка: отделение документации от процессов

Большинство организаций идут по пути "нанять консультанта, получить папку документов, убрать в шкаф". Это работало, когда проверки были редкими, а штрафы — незначительными. Сегодня это — прямой путь к санкциям.

Ключевой принцип: регламент имеет юридическую силу только тогда, когда он: утверждён приказом, введён в действие датой; доведён до каждого сотрудника под личную подпись; соответствует тому, что реально происходит в системах и процессах [2].

Каждый из этих трёх условий равноценен. Нарушение любого из них обнуляет юридическую ценность документа.

4.2 Поэтапное внедрение: с чего начать

Этап 1: Инвентаризация и аудит текущего состояния

Прежде чем писать регламенты, нужно понять, что реально происходит. Это означает:

1. Составить карту источников персональных данных: какие системы обрабатывают ПДн (CRM, 1С, HR-система, почта, сайт, мессенджеры), какие категории данных где хранятся.
2. Определить типы субъектов ПДн: сотрудники, кандидаты, клиенты, партнёры, посетители сайта.
3. Выявить потоки данных: откуда данные поступают, куда передаются (в том числе третьим лицам, подрядчикам, в облачные сервисы).
4. Проверить актуальность действующих согласий, сроков хранения, уведомлений в РКН.

Этот этап часто выявляет "теневые" источники данных: Excel-таблицы с базами клиентов, неучтённые интеграции, устаревшие сервисы с доступом к данным.

Этап 2: Определение уровня защищённости и требований

На основе результатов аудита определяется уровень защищённости каждой ИСПДн по ПП РФ № 1119 [11]. Уровень определяет конкретный перечень технических мер по приказу ФСТЭК № 21 [12]. Составление модели угроз — не формальность: этот документ задаёт логику всей системы защиты.

Этап 3: Разработка и утверждение документации

При разработке нужно соблюдать несколько правил:

1. Документы должны описывать реальные процессы, а не идеальную картину. Если в компании нет DLP-системы — не нужно включать её в регламент как уже существующую.
2. Не копируйте шаблоны без адаптации. Шаблонные документы часто не проходят проверку именно потому, что описывают "абстрактную организацию".
3. Каждый документ должен быть утверждён приказом руководителя с датой.
4. Регламенты должны содержать конкретные имена должностей (не ФИО, которые меняются, а должности) и ссылки на конкретные системы.

Этап 4: Внедрение и ознакомление

1. Провести ознакомление всех сотрудников, имеющих доступ к ПДн, под личную подпись в листе ознакомления.
2. Провести обучение — не формальный инструктаж, а практическое разъяснение: что можно и нельзя делать с данными, как реагировать на подозрительные запросы, что делать при инциденте.
3. Настроить системы доступа в соответствии с регламентом: минимум привилегий, разграничение ролей, журналирование.
4. Протестировать регламент реагирования на инцидент: провести учебную тревогу, проверить, работают ли шаблоны уведомлений, знают ли ответственные свои действия.

Этап 5: Поддержание актуальности

Это самый недооценённый этап. Регламент устаревает каждый раз, когда:

1. Компания внедряет новый сервис, интеграцию или подрядчика.
2. Меняется организационная структура или список ответственных.
3. Изменяется законодательство.
4. Запускается новый продукт или канал сбора данных.

Согласно ст. 18.1 152-ФЗ, организация обязана проводить внутренние аудиты не реже одного раза в год [3]. На практике аудиты лучше проводить при каждом значимом изменении ИТ-ландшафта — не дожидаясь годового цикла.

4.3 Практический чек-лист готовности к проверке РКН

1. Уведомление в РКН подано и актуализировано (при изменении процессов).
2. Назначен ответственный за обработку ПДн — приказом с подписью.
3. Политика обработки ПДн размещена на сайте (не в подвале, а в доступном месте).
4. Согласия на обработку ПДн оформлены как отдельные документы (с сентября 2025 г.) и хранятся.
5. Все сотрудники с доступом к ПДн ознакомлены с регламентами под подпись.
6. Журналы учёта ведутся и актуальны.
7. Договоры с подрядчиками-обработчиками ПДн включают требования 152-ФЗ.
8. Регламент реагирования на инциденты утверждён, все ответственные знают свои действия.
9. Модель угроз разработана и актуализирована.
10. Внутренний аудит проводился в последние 12 месяцев.
11. Данные, срок хранения которых истёк, уничтожены с оформлением актов.
12. Трансграничная передача ПДн (если есть) согласована с РКН.

Глава 5. Типичные ошибки и как их избежать

5.1 Ошибка 1: шаблонные документы без адаптации

Частая история: юрист скачивает комплект документов из интернета, меняет название организации и утверждает. При проверке выясняется, что политика описывает несуществующие в компании процессы, а согласие не содержит перечня конкретных данных. Роскомнадзор фиксирует нарушение ч. 1 ст. 18.1 152-ФЗ.

Решение: Политика и регламенты должны описывать реальную деятельность. Перечень целей и категорий ПДн — конкретным, а не "иные персональные данные, необходимые для выполнения функций".

5.2 Ошибка 2: согласие, встроенное в другие документы

До 1 сентября 2025 года многие компании встраивали согласие на обработку ПДн в текст пользовательского соглашения или политику конфиденциальности. С этой даты такой подход прямо запрещён поправками в ст. 9 152-ФЗ [4]. Согласие, встроенное в другой документ, приравнивается к его отсутствию.

Решение: Пересмотреть все точки сбора данных (сайт, CRM, офисные формы) и обеспечить выдачу отдельного документа-согласия.

5.3 Ошибка 3: игнорирование изменений ИТ-ландшафта

Компания подала уведомление в РКН год назад, внедрила новую CRM и облачный сервис аналитики. Уведомление не обновлялось. При проверке — несоответствие заявленных сведений реальной обработке, что трактуется как недостоверная информация [2].

Решение: Ввести процедуру проверки актуальности документации при каждом внедрении новой системы или интеграции. Назначить ответственного за контроль изменений.

5.4 Ошибка 4: отсутствие регламента реагирования на инциденты

Это самая дорогостоящая ошибка в условиях новых штрафов. За неуведомление РКН об утечке в течение 24 часов — от 1 млн до 3 млн рублей [7]. При этом большинство организаций не имеют утверждённого алгоритма действий, и при инциденте теряют критическое время на согласование [2].

Решение: Разработать и протестировать регламент реагирования, включающий: алгоритм обнаружения и оценки инцидента; шаблон первичного уведомления в РКН (срок — 24 часа); план внутреннего расследования (срок — 72 часа для повторного уведомления) [22]; перечень ответственных с контактами; шаблоны уведомлений пострадавших субъектов.

5.5 Ошибка 5: формальное обучение сотрудников

Инструктаж "под роспись" без реального объяснения того, что делать с персональными данными, — это юридическая защита на бумаге, которая не предотвращает инциденты. По данным аналитиков, именно действия или бездействие сотрудников остаются одной из ведущих причин утечек.

Решение: Обучение должно быть практическим — с разбором конкретных ситуаций: "Что делать, если клиент просит удалить его данные?", "Как обращаться с данными при работе из дома?", "Что делать, если вы заметили подозрительный доступ к базе?".

5.6 Ошибка 6: использование иностранных сервисов без анализа передачи данных

С 1 июля 2025 года передача персональных данных на серверы иностранных компаний до их первичного размещения в России является нарушением [17]. Это касается Google Analytics, ряда рекламных пикселей, иностранных SaaS и облачных хранилищ, используемых как основное место обработки.

Решение: Провести аудит всех внешних сервисов, которым передаются данные пользователей; заменить на российские аналоги или обеспечить соблюдение требований трансграничной передачи.

Глава 6. Как превратить регламенты в непрерывный процесс

6.1 От папки документов к системе контроля

Переход от "комплекта бумаг" к реальному управлению ПДн требует изменения подхода на уровне организации.

Вместо единовременного проекта — непрерывный цикл: аудит → разработка/обновление документов → внедрение → контроль → повторный аудит. Это не разовая задача для юриста, а операционный процесс, требующий участия IT, HR, юридического отдела и руководства.

В крупных организациях эту роль выполняет DPO (Data Protection Officer) или ответственный за обработку ПДн по ст. 22.1 152-ФЗ. Его задача — не только следить за документами, но и отслеживать изменения ИТ-ландшафта, новые источники данных, изменения законодательства [27].

6.2 Технический контроль как часть системы

Организационные меры работают только в связке с техническими. Приказ ФСТЭК № 21 устанавливает 15 групп мер [12]:

1. Идентификация и аутентификация субъектов и объектов доступа.
2. Управление доступом субъектов к объектам.
3. Регистрация событий безопасности (журналирование).
4. Антивирусная защита.
5. Обнаружение и предотвращение вторжений.
6. Контроль (анализ) защищённости персональных данных.
7. Обеспечение целостности системы.
8. Обеспечение доступности данных.
9. Защита среды виртуализации.
10. Защита технических средств.
11. Защита информационной системы и каналов передачи данных.
12. Выявление инцидентов и реагирование на них.
13. Управление конфигурацией.
14. Резервное копирование и восстановление.
15. Обеспечение защиты при разработке.

Конкретный набор применяемых мер зависит от уровня защищённости ИСПДн. Оценка эффективности реализованных мер проводится не реже одного раза в три года [12].

6.3 Автоматизация контроля: карта персональных данных

Один из ключевых вызовов при реальном соблюдении 152-ФЗ — поддержание актуальной "карты ПДн": где именно в ИТ-системах хранятся персональные данные, кто их владелец, какие интеграции их передают, что изменилось с последнего аудита.

В крупных организациях с десятками систем ручной аудит занимает недели и устаревает к моменту окончания. Любое изменение — новое поле в базе данных, новый подрядчик, новая интеграция — способно создать незамеченный риск.

Именно эту проблему решает класс инструментов для автоматического обнаружения и инвентаризации персональных данных в корпоративных системах. Российская платформа Пятый фактор работает по принципу privacy-by-design: анализирует метаданные, структуру и агрегаты данных в БД, хранилищах, почте, AD/LDAP, CRM, 1С и API — без передачи и хранения сырых персональных данных. Это позволяет получить живую "карту ПДн" без риска создания нового источника утечки. Платформа обнаруживает новые поля, интеграции и источники данных в режиме реального времени, пока они не превратились в инцидент, сокращает время аудита с недель до часов и повышает готовность к проверке Роскомнадзора.

Глава 7. Тренды и будущее регулирования

7.1 Автоматизация надзора

Роскомнадзор получил полномочия на централизованный мониторинг веб-ресурсов операторов ПДн, включая анализ утечек в открытых и закрытых источниках и даркнете [5]. Нарушения выявляются автоматически — без обязательного визита инспектора. Это означает, что игнорирование требований больше не защищает надежда "до нас не доберутся".

7.2 Расширение контрольных органов

С 1 сентября 2025 года ФСБ получила расширенные полномочия в области мониторинга соблюдения мер безопасности при обработке ПДн операторами — в том числе в частных компаниях [28]. Ранее контроль со стороны ФСБ касался преимущественно государственных структур.

7.3 Отраслевое регулирование

Представители Роскомнадзора фиксируют тренд на переход от индивидуальных согласий к отраслевым стандартам [29]. Для разных сфер деятельности (медицина, образование, туризм, финансы) могут быть разработаны специализированные требования к составу и формам обработки ПДн. Этот процесс уже идёт: для биометрии, финансового сектора и государственных систем установлены специальные нормы.

7.4 Технологический суверенитет

Планируемые изменения в 152-ФЗ направлены на усиление технологической независимости операторов ПДн и снижение зависимости от иностранных технологий [15]. Это означает дополнительное давление на компании, использующие зарубежное ПО для обработки персональных данных.

Заключение: что делать прямо сейчас

Эпоха "бумажного соответствия" закончилась. Новые штрафы, уголовная ответственность и автоматизированный контроль Роскомнадзора означают, что разрыв между документами на бумаге и реальными процессами стал источником серьёзного юридического и финансового риска.

Три ключевых вывода этой статьи:

Первый. Наличие документов — необходимое, но недостаточное условие. Регламенты должны быть внедрены: доведены до сотрудников, соответствовать реальным процессам, поддерживаться в актуальном состоянии.

Второй. Система защиты ПДн — это процесс, а не проект. Нельзя сделать "внедрение" один раз и забыть. Любое изменение ИТ-ландшафта создаёт новые риски, и их нужно выявлять до того, как они превратятся в инцидент или нарушение.

Третий. Инвестиции в реальное соблюдение 152-ФЗ сейчас — это страховка от штрафов, которые могут исчисляться сотнями миллионов рублей и уголовным преследованием ответственных лиц.

Следующий шаг — провести честную инвентаризацию: знаете ли вы, где в ваших системах хранятся персональные данные, соответствуют ли ваши документы реальным процессам, готова ли команда к инциденту?

Источники

[1] КоАП РФ ст. 13.11, части 12–18 (ред. Федерального закона от 30.11.2024 № 420-ФЗ) — https://www.consultant.ru/document/cons_doc_LAW_34661/

[2] IC-Tech: Персональные данные 2026: изменения 2025 года и что срочно проверить — https://ic-tech.ru/blog/personalnye-dannye-2026-izmeneniya-2025-i-chto-srochno-proverit/

[3] IC-Tech: Перечень документов по 152-ФЗ для организации в 2025 году — https://ic-tech.ru/blog/knowledge-base/pdn-152fz-2025/

[4] Klerk.ru: Обработка персональных данных — новые требования с 01.07.2025 и 01.09.2025 — https://www.klerk.ru/blogs/fedresurs/658225/

[5] Business.ru: 152-ФЗ о персональных данных в 2025–2026 годах — https://www.business.ru/article/5705-152-fz-o-personalnyh-dannyh-gg

[6] BUH.1C: Штрафы за персональные данные с 30 мая 2025 года — https://buh.ru/articles/shtrafy-za-personalnye-dannye-s-30-maya-2025-goda-utechka-v-internet-neuvedomlenie-rkn-o-nachale-obr.html

[7] КонсультантПлюс: Федеральный закон от 30.11.2024 № 420-ФЗ — https://www.consultant.ru/legalnews/28492/

[8] USSC.ru: Ужесточение ответственности за нарушение 152-ФЗ — https://sec.ussc.ru/152fz (с данными InfoWatch 2023)

[9] Habr / МойСклад: Роскомнадзор ужесточил штрафы — https://habr.com/ru/companies/moysklad/articles/994568/

[10] КонсультантПлюс: Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (последняя редакция) — https://www.consultant.ru/document/cons_doc_LAW_61801/

[11] GARANT: Постановление Правительства РФ от 01.11.2012 № 1119 — https://base.garant.ru/70252506/

[12] КонсультантПлюс: Приказ ФСТЭК России от 18.02.2013 № 21 — https://www.consultant.ru/document/cons_doc_LAW_146520/

[13] Данные не найдены в открытом доступе для прямой ссылки на полный текст приказа ФСБ № 378; искать следует на официальном сайте ФСБ России или в правовых базах КонсультантПлюс/ГАРАНТ.

[14] Klerk.ru: Какие документы для работы с ПДн нужны организации в 2024 году — https://www.klerk.ru/blogs/fedresurs/589781/

[15] USSC.ru: Планируемые изменения Федерального закона № 152-ФЗ — https://sec.ussc.ru/152fz-changes

[16] Easydocs: Изменения в работе с персональными данными сотрудников в 2025 году — https://easydocs.ru/blog/tpost/ez6gejxx21-izmeneniya-v-rabote-s-personalnimi-danni

[17] Nubes: Персональные данные в 2025 году — новые правила для бизнеса — https://nubes.ru/blog/articles/personal-data-2025

[18] Legal-box: Документы по персональным данным в 2026 году — https://legal-box.ru/152fz-docs

[19] Alfa-kurs: Персональные данные — изменения на 2025 год — https://kurs.alfabank.ru/articles/personalnye-dannye-izmeneniya/

[20] Nalog-nalog.ru: Положение о персональных данных работников — образец 2025 — https://nalog-nalog.ru/personalnye_dannye/polozhenie_o_personal_nyh_dannyh_rabotnikov_-_obrazec/

[21] HR-director.ru: Обязательные документы по персональным данным в организации 2024 — https://www.hr-director.ru/article/68535-obyazatelnye-dokumenty-po-personalnym-dannym-v-organizatsii-2024

[22] Klerk.ru: Документы по персональным данным для каждого кадровика в 2025 — https://www.kdelo.ru/news/395042-dokumenty-po-personalnym-dannym-kotorye-ponadobyatsya-kajdomu-kadroviku-v-2024-godu

[23] Legal-box.ru: Документы по персональным данным в 2026 году (форма запроса) — https://legal-box.ru/152fz-docs

[24] Роскомнадзор по Ростовской области: Типовые нарушения — https://61.rkn.gov.ru/directions/p20035/

[25] ComNews: Российские сайты забыли про политики конфиденциальности — https://www.comnews.ru/content/231651/2024-02-20/2024-w08/1008/rossiyskie-sayty-zabyli-pro-politiki-konfidencialnosti

[26] Habr / InfoWatch: Персональные данные — что было в 2025 и что делать в 2026 — https://habr.com/ru/companies/infowatch/articles/989886/

[27] Easydocs: Персональные данные сотрудника — полный гайд 2024 — https://easydocs.ru/blog/tpost/u6jh8eckv1-personalnie-dannie-sotrudnika-polnii-gai

[28] Klerk.ru: Образец согласия на обработку ПДн с 1 сентября 2025 — https://www.klerk.ru/blogs/klerk/658594/

[29] Glavbukh.ru: Переоформите согласия по персданным в 2025 году — https://www.glavbukh.ru/art/391109-soglasie-na-obrabotku-i-rasprostranenie-personalnyh-dannyh-v-2025-godu-novaya-forma