Почему важно соблюдать 152-ФЗ, даже если у вас нет DPO

Каждый бизнес, работающий с персональными данными – от крупной компании до индивидуального предпринимателя – обязан соблюдать требования Федерального закона № 152-ФЗ «О персональных данных».

Даже если у вас нет выделенного специалиста по защите данных, это не освобождает от обязанностей, предписанных законодательством. 152-ФЗ распространяется на все организации, обрабатывающие персональные данные: коммерческие фирмы, ИП, госорганы, сайты и т.д.

Ч. 1 ст. 3 152-ФЗ определяет персональные данные довольно широко – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). На практике сюда попадают:

• ФИО,

• номер телефона,

• адрес электронной почты,

• паспортные данные,

• сведения о семье, здоровье,

• любые данные, позволяющие идентифицировать человека.

А так как практически любой бизнес хранит подобного рода данные о сотрудниках или клиентах, компания подпадает под действие 152-ФЗ.

Обязан ли оператор назначать ответственного за ПДн

Ст. 22.1 152-ФЗ обязывает каждого оператора назначить ответственное лицо за организацию обработки персональных данных или, как он именуется в зарубежной практике, data protection officer (DPO). А.И. Савельев в Комментарии к Федеральному закону «О персональных данных» отмечает, что каких-либо требований к квалификации такого лица законом не предусмотрено: нередко на данную позицию назначают менеджера по персоналу, так как трудовая функция этого специалиста предполагает непосредственное взаимодействие с личными делами и персональными данными работников организации.

В случае отсутствия в штате оператора подходящих работников функции лица, ответственного за организацию обработки персональных данных, руководитель организации должен возложить соответствующим приказом на самого себя. Также возможно указание и юридического лица, например отдельной компании в рамках группы лиц или специализированной консалтинговой компании, в качестве лица, ответственного за обработку персональных данных (Семинар Роскомнадзора 26 ноября 2020 г.).

Однако, стоит отметить, что оптимальным вариантом будет привлечение к такой должности лица, имеющего глубокие знания как в области персональных данных, так и в сфере информационной безопасности.

Почему отсутствие DPO не снижает ответственность

В случае, если такого специалиста в компании нет, требования 152-ФЗ тем не менее необходимо соблюдать, поскольку за некоторые нарушения в этой сфере предусмотрена и административная, и уголовная ответственность.

Административная ответственность предусмотрена ст. 13.11 КоАП РФ и включает множество составов: от отсутствия политики конфиденциальности на сайте оператора до невыполнения требований субъекта или Роскомнадзора. Зачастую санкцией за нарушения, предусмотренные ст. 13.11, является административный штраф. Размеры таких штрафов зависят от состава правонарушения и субъекта, совершившего общественно вредное деяние, и варьируются, например, для юридических лиц от 6 тысяч рублей до 1-3% совокупного размера суммы выручки, полученной от реализации компанией всех товаров (работ, услуг) за календарный год, но не менее 25 млн рублей.

Привлечение к уголовной ответственности предусматривается за совершение более серьезных нарушений в области персональных данных. Например, незаконное собирание или распространение сведений о частной жизни без согласия лица квалифицируется по ст. 137 УК РФ. С декабря 2024 года введена новая статья 272.1 УК РФ, специально направленная на борьбу с утечками и незаконным оборотом персональных данных в цифровой сфере. Она криминализует незаконную обработку компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки. Максимальной санкцией по этой статье является лишение свободы до 10 лет со штрафом в размере до 3 млн руб.

Судебная практика: проверяют не только крупный бизнес

Современная практика показывает, что от ответственности не застрахован никто: ни малый бизнес, ни мировые IT-гиганты.

Так, в 2021 году за несоблюдение требования локализации данных (хранения персональных данных россиян на серверах в РФ) были привлечены к ответственности компании-иностранные соцсети. Таганский районный суд Москвы признал Snapchat виновным по ч. 8 ст. 13.11 КоАП и назначил штраф. В том же году суд оштрафовал WhatsApp, Facebook и др. Однако в большинстве случаев под удар попадает отечественный бизнес: от банков до школ и интернет-магазинов. В 2025 году арбитражные суды за полгода рассмотрели 46 дел о нарушениях при обработке ПДн. Интересно, что ~79% компаний сумели отделаться предупреждением вместо штрафа.

Со временем анализ такой судебной практики выявил топ-причин, по которым бизнес привлекают к ответственности. Среди частых ошибок:

• не уведомили Роскомнадзор о начале обработки ПД (то, о чем многие просто не знают),

• проигнорировали запрос субъекта о его данных (гражданин запросил – компания не ответила),

• не удалили данные по отзыву согласия, разглашение персональных данных без оснований (например, публикация чужих данных в интернете, мессенджерах),

• отсутствие или некорректная политика обработки ПД на сайте.

В относительно недавнем времени, появились дела за использование трекинговых скриптов (как Яндекс.Метрика) без согласия пользователей.

Эти примеры показывают, что даже относительно мелкие упущения (как неподготовленная документация или молчание на запрос) могут стать поводом для штрафа.

В целом судебная практика последних лет дает важный вывод: регулятор стал активнее и строже. За первые 5 месяцев 2025 года Роскомнадзор провел 16 расследований утечек, подтвердил 15 случаев и передал материалы в суд. Контролирующие органы теперь обладают правом проводить административные расследования в сфере ПДн и настроены “доводить дела до штрафов”. Любая жалоба пользователя или сотрудника может запустить проверку, поэтому важно не только соблюдать закон формально, но и выстраивать лояльность.

Особые требования и разъяснения регуляторов

Помимо самого закона, бизнес должен ориентироваться на подзаконные акты и разъяснения надзорных органов – прежде всего Роскомнадзора и ФСТЭК. Эти документы конкретизируют, как именно выполнять требования 152-ФЗ на практике.

РКН регулярно издает приказы, методические рекомендации и письма. Например, РКН утвердил требования к содержанию политики обработки данных, к форме согласия и пр. Один из свежих документов – Приказ Роскомнадзора № 140 от 19.06.2025. Он вводит новые требования к обезличиванию персональных данных и методы их обезличивания.

С 1 сентября 2025 года этот приказ обяжет операторов использовать только проверенные средства и ПО для обезличивания, вести учет действий по обезличиванию, не хранить вместе исходные ПД и уже обезличенные данные и т.д. Фактически, этим приказом Роскомнадзор обновил правила, действовавшие с 2013 года (приказ № 996), и повысил планку требований к анонимизации данных.

Также РКН выпустил приказ № 253 (24.12.2021) с формой чек-листа для проверок, новые порядки трансграничной передачи данных (с 1 марта 2023) и другие акты. Все они обязательны к исполнению. Невыполнение таких разъясненных требований (например, отсутствие политики на сайте, несоответствие методов обезличивания) рассматривается как нарушение закона.

Кроме приказов, Роскомнадзор публикует письма с разъяснениями, семинары и дни открытых дверей, где затрагивает проблемные вопросы в сфере персональных данных. Например, в разъяснениях РКН подчеркивается обязанность назначить ответственное лицо за ПДн и недопустимость возложения этой роли на нескольких человек сразу.

На семинаре Роскомнадзора от 26 ноября 2020 г. также рассматривались спорные вопросы в части назначения ответственного за обработку персональных данных. Рекомендуется отслеживать такие разъяснения, семинары, вебинары на сайте РКН или консультироваться с юристами, чтобы быть в курсе актуальной позиции регулятора.

Техническая защита данных: требования ФСТЭК

ФСТЭК России отвечает за техническую защиту информации, в том числе ПДн. Она тоже устанавливает обязательные требования. Ключевой документ – Приказ ФСТЭК № 21 от 18.02.2013 (с изменениями 2020 г.), утвердивший состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах. Проще говоря, этот приказ расшифровывает ст. 19 152-ФЗ о мерах безопасности. В нем перечислены конкретные меры: разграничение доступа, антивирусная защита, резервирование, шифрование, контроль окружения, реагирование на инциденты и т.д. – всего порядка 20 мер безопасности.

Выполнение этих мер зависит от уровня защищенности ПДн (класса системы по Постановлению Правительства № 1119) и проверяется при аудитах. Если компания не реализовала нужные меры (например, не ограничен доступ к файлам с ПД или не используются сертифицированные СЗИ там, где надо), это выявится при проверке ФСТЭК или РКН. Были случаи, когда организации штрафовали именно за техническую непрослеживаемость или неисполнение приказа ФСТЭК (хотя формально ответственность прописана в КоАП общими словами про “несоблюдение требований к защите ПД”).

В сфере персональных данных действует ряд подзаконных актов. Например:

• Постановление Правительства РФ № 1119 (01.11.2012) о требованиях к защитным мерам (устанавливает уровни защищенности),

• Приказ ФСБ № 378 (2014) о криптографической защите ПД,

• приказы Минцифры о методах обезличивания (проект 2024/2025 гг., связанный с упомянутым приказом РКН),

• отраслевые положения (в банковской сфере, медицине – свои нормативы защиты данных пациентов, банковской тайны и т.д.).

Все эти документы в совокупности образуют режим регулирования персональных данных. И даже в случае отсутствия в компании ответственного за организацию обработки данных, оператор обязан соблюдать требования как 152-ФЗ, так и других документов в этой сфере.

Рекомендации для соблюдения 152-ФЗ

В целях соблюдения закона о персональных данных рекомендуем компаниям, у которых нет собственного DPO, придерживаться следующих правил:

Назначьте ответственного и проведите аудит

1. Необходимо формально назначить ответственного за организацию обработки ПДн (приказом по компании или дополнительным соглашением к должностной инструкции).

1. Проведите внутренний аудит обработки данных: определите, какие персональные данные вы собираете и храните, на каком основании (трудовой договор, согласие клиента, требования закона и т.п.), какие операции с ними выполняете, кто имеет к ним доступ.

1. Проверьте, все ли необходимые документы оформлены: политика конфиденциальности, согласия, уведомления и т.п..

1. Сверьте фактическую практику с требованиями закона. Иногда обнаруживается, что отдел маркетинга собирает лишние данные без согласия, или отдел кадров хранит старые копии паспортов без основания. Выявленные несоответствия сразу исправьте.

Уведомьте Роскомнадзор, если требуется

По закону оператор обязан подать уведомление в Роскомнадзор об обработке персональных данных до начала такой обработки (за некоторыми исключениями). Многие небольшие фирмы об этом не знают.

Проверьте зарегистрированы ли вы в Реестре операторов персональных данных на сайте РКН. Если нет – подайте уведомление онлайн. За отсутствие уведомления сейчас предусмотрены крупные штрафы (с 30 мая 2025 г. для юрлиц по ч. 10 ст. 13.11 КоАП – от 100 тыс. до 300 тыс. руб.). Этот шаг особенно важен: он показывает, что вы действуете открыто и законно.

Приведите ИТ-инфраструктуру в соответствие требованиям безопасности

По итогам аудита убедитесь, что реализованы все меры защиты из ст. 19 152-ФЗ и приказа ФСТЭК № 21.

• Например, ограничьте доступ к папкам с персональными данными (только уполномоченным лицам), используйте антивирус и межсетевой экран, настройте резервное копирование баз данных, шифруйте передачи конфиденциальных сведений.

• Если у вас интернет-сервис, убедитесь, что данные пользователей хранятся на серверах в РФ (требование локализации, ст. 18 ФЗ-152) и что сайт работает по HTTPS.

• Настройте журналирование действий с ПД (лог-файлы). Это пригодится при проверке.

• Рекомендуется провести тестирование уязвимостей: убедиться, что нет открытого доступа извне к персональным данным. При необходимости привлечь сторонних экспертов по кибербезопасности. Помните, что оператор самостоятельно отвечает за безопасность данных. Даже если вы пользуетесь облачными сервисами или аутсорсом, ответственность перед законом на вас.

Подготовьте персонал

• Проведите обучение сотрудников, которые работают с персональными данными. Они должны знать хотя бы базовые правила: что можно делать с данными, а что запрещено, как отвечать на запросы субъектов, как реагировать на инциденты. Закон требует, чтобы работники были ознакомлены с положениями законодательства о ПДн под роспись.

• Соберите подписи под приказом или отдельно лист ознакомления.

• Разъясните, что разглашение данных или потеря ноутбука с базой – не просто внутренняя проблема, а нарушение закона.

• Включите в должностные инструкции ответственность за соблюдение конфиденциальности.

Разработайте план реагирования на инциденты

Даже при хорошей защите никто не застрахован от инцидента – утечки, взлома или банальной отправки клиентской базы “не тому адресату”.

Заранее определите порядок действий: кого уведомлять внутри компании, как будете расследовать, кому поручено общение с пострадавшими и с Роскомнадзором.

С августа 2022 года введена обязанность сообщать в Роскомнадзор об инцидентах с персональными данными (утечках) в сжатые сроки – не позднее 24 часов для предварительного уведомления, 72 часов – для подробного отчета (аналогично требованиям GDPR).

Поэтому имейте готовый регламент: как только стало известно об утечке, сразу оценивайте масштаб, информируйте руководство и РКН. Такой проактивный подход может смягчить ответственность.

Отслеживайте изменения законодательства

Закон о персональных данных постоянно обновляется. Например, в 2022–2023 гг. вводились изменения по биометрии, в 2024 – по трансграничной передаче и ответственности, в 2025 – новые штрафы и требования по обезличиванию.

Роскомнадзор публикует новости об изменениях. Желательно подписаться на обновления, читать профильные СМИ или блоги юристов. Как вариант – привлечь внешнего консультанта или компанию, специализирующуюся на защите данных.

Эксперты помогут провести аудит и выстроить систему защиты “под ключ”. Да, это расходы, но несопоставимые с рисками многомиллионных штрафов или приостановки деятельности.

В условиях ужесточения требований специалисты настоятельно рекомендуют привлекать компетентных экспертов на любой стадии работы с ПДн. Это инвестиция в безопасность бизнеса.

Ключевой вывод

Отсутствие штатного DPO не освобождает от требований закона. Российское законодательство о персональных данных обязывает всех операторов соблюдать ряд правил, и контролирующие органы все строже следят за их выполнением.

Практика показывает, что даже малая фирма может стать объектом проверки, по жалобе или в рамках рейдового надзора. В то же время добросовестное отношение к данным клиентов и сотрудников не только защищает от штрафов, но и повышает репутацию компании.

В эпоху цифровой экономики доверие клиентов и партнеров напрямую зависит от того, как вы обращаетесь с их персональными данными. Соблюдение 152-ФЗ – это не бюрократическая нагрузка, а элемент ответственного бизнеса. Если вы еще не озаботились этим вопросом, сейчас самое время начать действовать на опережение. Помните, что в деле защиты данных лучше превентивные меры, чем последующее устранение нарушений по предписанию Роскомнадзора.

* Корпорация Meta, владеющая WhatsApp и Facebook, признана экстремистской организацией и запрещена на территории Российской Федерации.