152-ФЗ и персональные данные в бизнес-системах: что должен знать руководитель

Вы собираете заявки на сайте, храните контакты клиентов в CRM, ведёте учёт сотрудников в 1С или в облачном HR. Всё это — обработка персональных данных. Закон 152-ФЗ «О персональных данных» касается практически любого бизнеса в России. Игнорировать его нельзя: штрафы выросли, проверки Роскомнадзора участились, а репутационные риски при утечке сложно переоценить.

В этой статье разберём, что именно требует 152-ФЗ от компании, которая обрабатывает данные в своих системах — CRM, облаке, интеграциях. Не юридическая консультация, а практический обзор: с чего начать, какие типичные ошибки допускают и когда имеет смысл привлекать партнёров по разработке и инфраструктуре. Если вы уже читали наш материал про кибербезопасность для бизнеса, 152-ФЗ — один из регуляторных столпов, о котором там говорилось; здесь сосредоточимся именно на персональных данных и бизнес-системах.

Кого касается 152-ФЗ и что считается персональными данными

Оператор персональных данных — тот, кто определяет цели и способы обработки. Если ваша компания сама решает, зачем и как хранит ФИО, телефон, email, данные паспорта или сотрудников, вы оператор. Исключений по размеру бизнеса нет: и ИП, и крупная компания подпадают под закон, как только начинают обрабатывать ПДн.

Что относится к персональным данным:

  • ФИО, дата и место рождения
  • Паспортные данные, СНИЛС, ИНН
  • Адрес, телефон, email
  • Данные о здоровье, биометрия (при их обработке)
  • Данные о трудовой деятельности, образовании
  • Cookie, IP-адрес, идентификаторы устройств (в определённых случаях)

То есть любая CRM с контактами клиентов, форма на сайте с именем и телефоном, база сотрудников, записи звонков с клиентами — это обработка ПДн. Вопрос не «касается ли нас закон», а «как мы ему соответствуем».

Уведомление Роскомнадзора: нужно ли вам

Раньше уведомлять Роскомнадзор об обработке ПДн были обязаны почти все. С 2022 года уведомление требуется только в случаях, перечисленных в законе. В частности, уведомлять нужно, если вы:

  • обрабатываете ПДн в целях профессиональной деятельности (например, адвокаты, нотариусы);
  • обрабатываете данные, допуск к которым ограничен (например, специальные категории);
  • обрабатываете ПДн в рамках согласия, данного для определённой цели, и при этом не подпадаете под исключения.

Во многих типичных бизнес-сценариях (клиентская база для продаж и поддержки, данные сотрудников для кадрового учёта, заявки с сайта) уведомление может не требоваться — при условии, что есть согласие субъекта или другой законный базис и соблюдены требования по защите. Но однозначно сказать «вам не нужно уведомлять» может только юрист с учётом вашей конкретной деятельности.

Практический совет: зафиксировать перечень целей и способов обработки, потом уточнить у специалиста, попадаете ли вы под обязанность уведомления. Так вы не окажетесь в ситуации, когда проверка выявит отсутствие уведомления там, где оно обязательно.

Если сомневаетесь — лучше уведомить. Процедура уведомления не сложная: заполняется форма на сайте Роскомнадзора (личный кабинет оператора ПДн), указываются цели и способы обработки, сведения о мерах защиты. Подача электронная, госпошлина не предусмотрена. По времени это обычно один-два часа на подготовку данных и заполнение, дальше — только актуализация при изменении целей обработки. При таком раскладе вы не зависите от тонкостей трактовки «обязаны вы или нет»: уведомили — и можете не переживать за этот пункт при проверке.

Согласие на обработку персональных данных

Для обработки ПДн нужен законный базис. Чаще всего в бизнесе используют согласие субъекта данных. Оно должно быть конкретным, информированным и по возможности документированным.

Что должно быть в согласии (в общем виде):

  • Цели обработки (например: рассылка, исполнение договора, кадровый учёт)
  • Перечень действий с данными (сбор, хранение, передача и т.д.)
  • Перечень данных (ФИО, телефон, email…)
  • Срок действия согласия или условие его прекращения
  • Подпись субъекта (или электронный аналог при онлайн-сборе)

Типичная ошибка — длинная «простыня» в подвале сайта с галочкой «Я согласен с политикой конфиденциальности». Так тоже делают, но лучше, когда для заявки или подписки есть отдельное явное согласие на обработку указанных данных в указанных целях. Если данные собираются через форму на сайте, в CRM, при записи звонков (как в сценариях с голосовыми технологиями и распознаванием речи) — согласие и политика должны быть оформлены до старта пилота. Иначе риски по 152-ФЗ и репутации.

Есть случаи, когда согласие не нужно: исполнение договора с субъектом, законная обязанность оператора, защита жизни и т.д. Но для маркетинга, рассылок, «улучшения сервиса» и подобного согласие, как правило, необходимо.

Политика конфиденциальности и документирование

Оператор обязан обеспечить конфиденциальность ПДн и документировать меры защиты. На практике это означает:

  • **Политика в отношении персональных данных** (или раздел в политике конфиденциальности): какие данные собираете, зачем, как храните, кому передаёте, какие права у субъекта. Документ должен быть доступен до сбора данных (ссылка на сайте, при регистрации, в договоре).
  • **Меры защиты:** регламенты доступа, разграничение прав в системах, шифрование при необходимости, антивирус, резервное копирование. Объём зависит от категорий данных и рисков. Для типовой CRM и заявок с сайта — базовый набор; для данных о здоровье или массовой обработки — серьёзнее.
  • **Локальные акты:** приказ о назначении ответственного за обработку ПДн, перечень лиц, имеющих доступ, журналы (если ведёте). Это не «бумажка ради проверки», а основа для того, чтобы при утечке или проверке можно было показать, что вы осознанно выстроили процесс.

Если системы вам разрабатывает или сопровождает партнёр, важно зафиксировать в договоре: кто оператор, кто обрабатывает данные по поручению (если передаёте данные подрядчику), какие меры защиты применяются. Выбор ИТ-партнёра для проектов, где обрабатываются ПДн, должен учитывать и комплаенс: партнёр должен понимать 152-ФЗ и уметь проектировать системы с учётом требований к хранению и доступу.

Хранение и инфраструктура: свои сервера, облако, дата-центры

152-ФЗ не запрещает хранить персональные данные в облаке или в дата-центре. Но вы остаётесь ответственным оператором: нужно убедиться, что хостинг-провайдер или подрядчик по разработке ИТ-систем обеспечивает надлежащую защиту и что это закреплено договором. Требование о локализации хранения персональных данных граждан РФ по-прежнему действует: данные должны храниться на территории России (есть исключения, но для большинства бизнес-кейсов локализация обязательна).

Практически это значит:

  • Если используете облачный сервис — проверьте, что данные хранятся в РФ и в договоре прописаны обязательства по 152-ФЗ.
  • Если разворачиваете системы на своей инфраструктуре или в дата-центре партнёра — убедитесь, что физическое и логическое хранение соответствует вашей политике и регламентам.
  • При интеграциях (CRM ↔ 1С, сайт ↔ CRM, голосовые записи в CRM) данные могут проходить через несколько систем; важно понимать, где они хранятся и кто за какой участок отвечает.

Инвестиции в инфраструктуру и безопасность — часть планирования ИТ-бюджета: заложите расходы на защиту ПДн и на возможный аудит или доработку систем под регуляторику.

Типичные ошибки при работе с ПДн в бизнес-системах

1. Сбор данных «про запас» без цели. Собрали телефон, email, дату рождения, а обрабатываем только для рассылки. Лишние данные увеличивают риски и объём обязанностей. Собирайте только то, что реально нужно для заявленных целей.

2. Нет явного согласия или политики. Форма на сайте без ссылки на политику конфиденциальности, галочка «согласен с офертой» вместо отдельного согласия на обработку ПДн. При проверке или жалобе это первое, на что смотрят.

3. Передача данных подрядчикам без оформления. Передали базу в колл-центр, в маркетинговое агентство или в облачный сервис без договора поручения и описания мер защиты. Юридически вы по-прежнему оператор, но цепочка ответственности размыта.

4. Нет разграничения доступа в CRM и других системах. Все менеджеры видят все контакты, админы имеют полный доступ без логирования. При утечке сложно понять источник; при проверке — сложно доказать соблюдение требований к конфиденциальности.

5. Забыли про записи звонков и голос. Если записываете разговоры с клиентами (для качества, аналитики, распознавания речи) — голосовая запись и её транскрипт тоже могут относиться к ПДн. Согласие и политика должны это учитывать.

6. «Мы маленькие, нас не проверят.» Роскомнадзор проводит и плановые, и внеплановые проверки; поводом может стать жалоба клиента или утечка. Штрафы для юрлиц по 152-ФЗ достигают сотен тысяч рублей; плюс блокировка сайта при повторных нарушениях. Соответствие выгоднее, чем надежда на то, что «пронесёт».

Когда привлекать юриста и ИТ-партнёра

Юрист нужен, чтобы: определить, нужно ли уведомление Роскомнадзора; подготовить или проверить политику конфиденциальности и форму согласия; оценить риски при новых способах обработки (например, биометрия, профилирование).

ИТ-партнёр — когда вы внедряете или дорабатываете системы, в которых обрабатываются ПДн: CRM, интеграции, облако, дашборды с персональными данными. Партнёр должен уметь спроектировать хранение, доступ и логирование так, чтобы это соответствовало вашей политике и 152-ФЗ. Если инфраструктура сложная или вы храните чувствительные категории данных, разумно привлечь сторону с экспертизой и в разработке, и в инфраструктуре и безопасности.

Кратко: чек-лист по 152-ФЗ для бизнес-систем

  • Определить, какие ПДн вы обрабатываете и с какой целью.
  • Оформить политику конфиденциальности и согласие (или иной законный базис).
  • Уточнить у юриста, нужно ли уведомление Роскомнадзора.
  • Назначить ответственного за обработку ПДн, зафиксировать в локальных актах.
  • Обеспечить меры защиты: доступ по ролям, резервные копии, защита от утечек.
  • Проверить локализацию хранения (данные граждан РФ — в РФ).
  • При передаче данных подрядчикам — договор и описание мер защиты.
  • При записи звонков и использовании голосовых технологий — включить в политику и согласие.

152-ФЗ не требует от вас идеальной системы в первый день. Требует осознанного подхода: знаете, что обрабатываете, зачем, как защищаете и где храните. Постепенно закрывайте пробелы — и вы снизите и регуляторные, и репутационные риски.

Читайте также