Услуга 152‑ФЗ для бизнеса: аудит, документы и внедрение защиты персональных данных
Мы в СУАБ делаем 152‑ФЗ практичным: не «политика ради галочки», а понятная система, которая работает в реальности — сайт, формы, Битрикс24/CRM, 1С, телефония/записи звонков, мессенджеры и подрядчики.
Формат: экспресс‑аудит → «карта данных» → юридический пакет документов → внедрение организационных и технических мер → контрольная проверка. При необходимости — настройка прав доступа и дисциплины работы с данными прямо в Битрикс24. Если случится инцидент (утечка или подозрение на утечку), мы запускаем сценарий реагирования: сбор фактов, коммуникации и фиксацию мер через бизнес‑процесс в CRM, чтобы команда не действовала «на нервах» и не теряла время.
Что изменилось в 2025 году
С 30 мая 2025 года вступили в силу изменения, усиливающие ответственность за нарушения в сфере персональных данных. Появились крупные штрафы за утечки по «масштабу», а за повторные утечки возможны оборотные штрафы (процент от выручки). Также отдельно штрафуются нарушения по уведомлениям Роскомнадзора.
Суммы привязаны к количеству субъектов/идентификаторов.
Повторная утечка — риск оборотного штрафа.
Нужна готовность к уведомлениям и внутреннему расследованию.
Штрафы за персональные данные в 2025: коротко и по делу
Ниже — практическая выжимка по КоАП РФ (ст. 13.11). Точная квалификация зависит от обстоятельств, но для бизнеса эти цифры уже нельзя игнорировать.
| Нарушение | Ориентир штрафа для организации | Что обычно бывает в реальности |
|---|---|---|
| Не уведомили РКН о намерении обрабатывать ПД | 100 000 – 300 000 ₽ | «Мы думали, это только для больших» или «когда‑нибудь подадим». |
| Не уведомили РКН об утечке/инциденте | 1 000 000 – 3 000 000 ₽ | Утечку «потушили» внутри и забыли, а процедура уведомлений не подготовлена. |
| Утечка: 1 000–10 000 субъектов или 10 000–100 000 идентификаторов |
3 000 000 – 5 000 000 ₽ | Слив базы лидов/клиентов, общий доступ, выгрузка в Excel, уход сотрудника. |
| Утечка: 10 000–100 000 субъектов или 100 000–1 000 000 идентификаторов |
5 000 000 – 10 000 000 ₽ | Массовые выгрузки, неконтролируемые интеграции, «маркетинг всё подключил». |
| Утечка: более 100 000 субъектов или более 1 000 000 идентификаторов |
10 000 000 – 15 000 000 ₽ | Большие базы, где нет разграничения доступов, нет политики хранения/удаления. |
| Утечка специальных категорий ПД | 10 000 000 – 15 000 000 ₽ | HR‑сканы, мед.данные, чувствительные сведения без контроля доступа/хранения. |
| Утечка биометрических ПД | 15 000 000 – 20 000 000 ₽ | Биометрия — зона повышенного внимания; нужны отдельные меры и режимы. |
| Повторная утечка | 1–3% выручки за год (мин. 20 млн, макс. 500 млн ₽) | Если инциденты повторяются — это уже системный риск, и «отговорки» не работают. |
| Повторная утечка спец/био‑ПД | 1–3% выручки за год (мин. 25 млн, макс. 500 млн ₽) | Для чувствительных данных повторность ещё дороже. |
Отдельно: при уплате части штрафов в короткий срок возможна «скидка 50%», но не для всех составов (например, оборотные штрафы).
Утечка/инцидент: что важно подготовить заранее
Даже если вы уверены, что «нас не взломают», инциденты часто происходят иначе: сотрудник выгрузил базу, отправил файл не туда, подрядчик оставил открытый доступ, менеджер использовал личный мессенджер. Важно, чтобы у компании был план действий.
Процедура инцидента (внутри компании)
- кто фиксирует инцидент и кто принимает решение;
- как быстро блокируем доступ/сбрасываем токены/пароли;
- какие логи и факты собираем (CRM, сервер, интеграции, телефония);
- как проводим внутреннее расследование и меры предотвращения повторения.
Уведомления и коммуникации
- готовые шаблоны уведомлений и ответственные лица;
- регламент взаимодействия с подрядчиками (хостинг, разработчики, колл‑центр);
- юридическая оценка «что именно произошло» и какие данные затронуты.
В критический момент важно не «изобретать заново», а действовать по согласованному чек‑листу.
Что именно делает СУАБ в услуге по 152‑ФЗ
Юридический и организационный контур
- аудит обработки ПД и «карта данных» (источники → системы → передачи → сроки хранения);
- политика ПД, согласия, уведомления и тексты для сайта/форм;
- назначение ответственных, регламенты доступа/удаления/хранения/обучения;
- договоры/поручения с обработчиками (подрядчиками);
- сопровождение уведомления оператора и актуализации сведений.
Важно: документы и финальную юридическую оценку делает юрист под ваш профиль. Мы обеспечиваем структуру, полноту покрытия и «приземление» требований в процессы и ИТ.
Технический контур (особенно полезен при Битрикс24/1С)
- настройка ролей и прав доступа в Битрикс24, аудит критичных полей/доступов;
- политика хранения файлов: где храним, кто видит, как ограничиваем «общие папки»;
- интеграции (1С, телефония, мессенджеры, формы сайта) с минимизацией и логикой доступа;
- рекомендации по 2FA, резервным копиям, доступам администраторов и обновлениям;
- настройка бизнес‑процесса «Инцидент ПД» в Битрикс24: регистрация события, чек‑лист действий, автоматические задачи, уведомления ответственным, контроль сроков и протоколирование;
- регламент реагирования: какие логи и данные собирать, кого уведомлять, как фиксировать меры и результаты расследования.
Форматы работы
Мы не «продаём бумагу». Мы продаём снижение риска через документы + процессы + настройки. Ниже — типовые форматы. Итоговый объём зависит от вашей схемы обработки ПД.
Старт
- экспресс-аудит и карта потоков ПД;
- базовый пакет документов и тексты для сайта;
- чек‑лист приоритетных исправлений в CRM/доступах.
Под ключ
- полный пакет документов + договоры с обработчиками;
- внедрение регламентов и обучение ответственных;
- настройка доступа и «гигиены данных» в Битрикс24/интеграциях;
- план реагирования на инциденты и контрольная проверка.
FAQ: частые вопросы
Да. Если вы собираете контакты через сайт, ведёте клиентов в CRM, общаетесь в мессенджерах или записываете звонки — вы уже обрабатываете персональные данные.
Документы без процессов и контроля доступа не защищают от утечек. Поэтому мы всегда привязываем документы к реальным системам (CRM, телефония, мессенджеры, сайт) и ролям.
Сфокусироваться на трёх вещах: уведомления в РКН (оператор/инциденты), контроль доступа и дисциплина данных в CRM, договорная связка с подрядчиками.
Базовый контур часто закрывается за 2–4 недели. При сложных интеграциях и филиальной структуре сроки увеличиваются — план фиксируем по этапам.
Хотите понять риски и получить план закрытия 152‑ФЗ?
Оставьте заявку. Мы зададим 10–15 уточняющих вопросов (сайт, CRM, 1С, телефония, мессенджеры, подрядчики) и соберём для вас план работ: что закрываем документами, что — настройками, что — регламентами.
Нормативная база и ссылки
- Федеральный закон № 420‑ФЗ (официальная публикация)
- Роскомнадзор: уведомление оператора
- Роскомнадзор: уведомление об инцидентах
- КоАП РФ: ст. 13.11 (редакция)
Материал носит информационный характер и не является юридической консультацией. Для точной квалификации и пакета документов нужен анализ вашей схемы обработки ПД.
