Вы собираете заявки на сайте, храните контакты клиентов в CRM, ведёте учёт сотрудников в 1С или в облачном HR. Всё это — обработка персональных данных. Закон 152-ФЗ «О персональных данных» касается практически любого бизнеса в России. Игнорировать его нельзя: штрафы выросли, проверки Роскомнадзора участились, а репутационные риски при утечке сложно переоценить.
В этой статье разберём, что именно требует 152-ФЗ от компании, которая обрабатывает данные в своих системах — CRM, облаке, интеграциях. Не юридическая консультация, а практический обзор: с чего начать, какие типичные ошибки допускают и когда имеет смысл привлекать партнёров по разработке и инфраструктуре. Если вы уже читали наш материал про кибербезопасность для бизнеса, 152-ФЗ — один из регуляторных столпов, о котором там говорилось; здесь сосредоточимся именно на персональных данных и бизнес-системах.
Кого касается 152-ФЗ и что считается персональными данными
Оператор персональных данных — тот, кто определяет цели и способы обработки. Если ваша компания сама решает, зачем и как хранит ФИО, телефон, email, данные паспорта или сотрудников, вы оператор. Исключений по размеру бизнеса нет: и ИП, и крупная компания подпадают под закон, как только начинают обрабатывать ПДн.
Что относится к персональным данным:
- ФИО, дата и место рождения
- Паспортные данные, СНИЛС, ИНН
- Адрес, телефон, email
- Данные о здоровье, биометрия (при их обработке)
- Данные о трудовой деятельности, образовании
- Cookie, IP-адрес, идентификаторы устройств (в определённых случаях)
То есть любая CRM с контактами клиентов, форма на сайте с именем и телефоном, база сотрудников, записи звонков с клиентами — это обработка ПДн. Вопрос не «касается ли нас закон», а «как мы ему соответствуем».
Уведомление Роскомнадзора: нужно ли вам
Раньше уведомлять Роскомнадзор об обработке ПДн были обязаны почти все. С 2022 года уведомление требуется только в случаях, перечисленных в законе. В частности, уведомлять нужно, если вы:
- обрабатываете ПДн в целях профессиональной деятельности (например, адвокаты, нотариусы);
- обрабатываете данные, допуск к которым ограничен (например, специальные категории);
- обрабатываете ПДн в рамках согласия, данного для определённой цели, и при этом не подпадаете под исключения.
Во многих типичных бизнес-сценариях (клиентская база для продаж и поддержки, данные сотрудников для кадрового учёта, заявки с сайта) уведомление может не требоваться — при условии, что есть согласие субъекта или другой законный базис и соблюдены требования по защите. Но однозначно сказать «вам не нужно уведомлять» может только юрист с учётом вашей конкретной деятельности.
Практический совет: зафиксировать перечень целей и способов обработки, потом уточнить у специалиста, попадаете ли вы под обязанность уведомления. Так вы не окажетесь в ситуации, когда проверка выявит отсутствие уведомления там, где оно обязательно.
Если сомневаетесь — лучше уведомить. Процедура уведомления не сложная: заполняется форма на сайте Роскомнадзора (личный кабинет оператора ПДн), указываются цели и способы обработки, сведения о мерах защиты. Подача электронная, госпошлина не предусмотрена. По времени это обычно один-два часа на подготовку данных и заполнение, дальше — только актуализация при изменении целей обработки. При таком раскладе вы не зависите от тонкостей трактовки «обязаны вы или нет»: уведомили — и можете не переживать за этот пункт при проверке.
Согласие на обработку персональных данных
Для обработки ПДн нужен законный базис. Чаще всего в бизнесе используют согласие субъекта данных. Оно должно быть конкретным, информированным и по возможности документированным.
Что должно быть в согласии (в общем виде):
- Цели обработки (например: рассылка, исполнение договора, кадровый учёт)
- Перечень действий с данными (сбор, хранение, передача и т.д.)
- Перечень данных (ФИО, телефон, email…)
- Срок действия согласия или условие его прекращения
- Подпись субъекта (или электронный аналог при онлайн-сборе)
Типичная ошибка — длинная «простыня» в подвале сайта с галочкой «Я согласен с политикой конфиденциальности». Так тоже делают, но лучше, когда для заявки или подписки есть отдельное явное согласие на обработку указанных данных в указанных целях. Если данные собираются через форму на сайте, в CRM, при записи звонков (как в сценариях с голосовыми технологиями и распознаванием речи) — согласие и политика должны быть оформлены до старта пилота. Иначе риски по 152-ФЗ и репутации.
Есть случаи, когда согласие не нужно: исполнение договора с субъектом, законная обязанность оператора, защита жизни и т.д. Но для маркетинга, рассылок, «улучшения сервиса» и подобного согласие, как правило, необходимо.
Политика конфиденциальности и документирование
Оператор обязан обеспечить конфиденциальность ПДн и документировать меры защиты. На практике это означает:
- **Политика в отношении персональных данных** (или раздел в политике конфиденциальности): какие данные собираете, зачем, как храните, кому передаёте, какие права у субъекта. Документ должен быть доступен до сбора данных (ссылка на сайте, при регистрации, в договоре).
- **Меры защиты:** регламенты доступа, разграничение прав в системах, шифрование при необходимости, антивирус, резервное копирование. Объём зависит от категорий данных и рисков. Для типовой CRM и заявок с сайта — базовый набор; для данных о здоровье или массовой обработки — серьёзнее.
- **Локальные акты:** приказ о назначении ответственного за обработку ПДн, перечень лиц, имеющих доступ, журналы (если ведёте). Это не «бумажка ради проверки», а основа для того, чтобы при утечке или проверке можно было показать, что вы осознанно выстроили процесс.
Если системы вам разрабатывает или сопровождает партнёр, важно зафиксировать в договоре: кто оператор, кто обрабатывает данные по поручению (если передаёте данные подрядчику), какие меры защиты применяются. Выбор ИТ-партнёра для проектов, где обрабатываются ПДн, должен учитывать и комплаенс: партнёр должен понимать 152-ФЗ и уметь проектировать системы с учётом требований к хранению и доступу.
Хранение и инфраструктура: свои сервера, облако, дата-центры
152-ФЗ не запрещает хранить персональные данные в облаке или в дата-центре. Но вы остаётесь ответственным оператором: нужно убедиться, что хостинг-провайдер или подрядчик по разработке ИТ-систем обеспечивает надлежащую защиту и что это закреплено договором. Требование о локализации хранения персональных данных граждан РФ по-прежнему действует: данные должны храниться на территории России (есть исключения, но для большинства бизнес-кейсов локализация обязательна).
Практически это значит:
- Если используете облачный сервис — проверьте, что данные хранятся в РФ и в договоре прописаны обязательства по 152-ФЗ.
- Если разворачиваете системы на своей инфраструктуре или в дата-центре партнёра — убедитесь, что физическое и логическое хранение соответствует вашей политике и регламентам.
- При интеграциях (CRM ↔ 1С, сайт ↔ CRM, голосовые записи в CRM) данные могут проходить через несколько систем; важно понимать, где они хранятся и кто за какой участок отвечает.
Инвестиции в инфраструктуру и безопасность — часть планирования ИТ-бюджета: заложите расходы на защиту ПДн и на возможный аудит или доработку систем под регуляторику.
Типичные ошибки при работе с ПДн в бизнес-системах
1. Сбор данных «про запас» без цели. Собрали телефон, email, дату рождения, а обрабатываем только для рассылки. Лишние данные увеличивают риски и объём обязанностей. Собирайте только то, что реально нужно для заявленных целей.
2. Нет явного согласия или политики. Форма на сайте без ссылки на политику конфиденциальности, галочка «согласен с офертой» вместо отдельного согласия на обработку ПДн. При проверке или жалобе это первое, на что смотрят.
3. Передача данных подрядчикам без оформления. Передали базу в колл-центр, в маркетинговое агентство или в облачный сервис без договора поручения и описания мер защиты. Юридически вы по-прежнему оператор, но цепочка ответственности размыта.
4. Нет разграничения доступа в CRM и других системах. Все менеджеры видят все контакты, админы имеют полный доступ без логирования. При утечке сложно понять источник; при проверке — сложно доказать соблюдение требований к конфиденциальности.
5. Забыли про записи звонков и голос. Если записываете разговоры с клиентами (для качества, аналитики, распознавания речи) — голосовая запись и её транскрипт тоже могут относиться к ПДн. Согласие и политика должны это учитывать.
6. «Мы маленькие, нас не проверят.» Роскомнадзор проводит и плановые, и внеплановые проверки; поводом может стать жалоба клиента или утечка. Штрафы для юрлиц по 152-ФЗ достигают сотен тысяч рублей; плюс блокировка сайта при повторных нарушениях. Соответствие выгоднее, чем надежда на то, что «пронесёт».
Когда привлекать юриста и ИТ-партнёра
Юрист нужен, чтобы: определить, нужно ли уведомление Роскомнадзора; подготовить или проверить политику конфиденциальности и форму согласия; оценить риски при новых способах обработки (например, биометрия, профилирование).
ИТ-партнёр — когда вы внедряете или дорабатываете системы, в которых обрабатываются ПДн: CRM, интеграции, облако, дашборды с персональными данными. Партнёр должен уметь спроектировать хранение, доступ и логирование так, чтобы это соответствовало вашей политике и 152-ФЗ. Если инфраструктура сложная или вы храните чувствительные категории данных, разумно привлечь сторону с экспертизой и в разработке, и в инфраструктуре и безопасности.
Кратко: чек-лист по 152-ФЗ для бизнес-систем
- ☑Определить, какие ПДн вы обрабатываете и с какой целью.
- ☑Оформить политику конфиденциальности и согласие (или иной законный базис).
- ☑Уточнить у юриста, нужно ли уведомление Роскомнадзора.
- ☑Назначить ответственного за обработку ПДн, зафиксировать в локальных актах.
- ☑Обеспечить меры защиты: доступ по ролям, резервные копии, защита от утечек.
- ☑Проверить локализацию хранения (данные граждан РФ — в РФ).
- ☑При передаче данных подрядчикам — договор и описание мер защиты.
- ☑При записи звонков и использовании голосовых технологий — включить в политику и согласие.
152-ФЗ не требует от вас идеальной системы в первый день. Требует осознанного подхода: знаете, что обрабатываете, зачем, как защищаете и где храните. Постепенно закрывайте пробелы — и вы снизите и регуляторные, и репутационные риски.
Читайте также
Кибербезопасность для бизнеса в 2026 году
защита данных и инфраструктуры, регуляторные требования
Голосовые технологии и распознавание речи в бизнесе
запись и обработка персональных данных при внедрении голоса
Как выбрать ИТ-партнёра и не пожалеть через год
критерии выбора для проектов с обработкой ПДн
Планирование ИТ-бюджета на 2026 год
как заложить расходы на защиту и соответствие 152-ФЗ
Конструктор клиентских отношений: AI-решения для CRM
работа с данными клиентов в CRM