Обновленный White Paper «Об обработке персональных данных» — редакция 2026 года
Бесплатное руководство по защите персональных данных: от требований 152-ФЗ до готовых шаблонов документов
Внимание! Документ актуализирован с учётом всех изменений 152-ФЗ, вступивших в силу с 1 сентября 2022 года (ФЗ № 266-ФЗ от 14.07.2022), с 1 марта 2023 года, а также поправок 2024–2025 годов, включая новые размеры штрафов и введение уголовной ответственности.
Что такое этот White Paper и зачем он вам нужен
Это практическое руководство по обработке персональных данных, написанное специалистами Cloud4Y. Не теория — конкретные шаги: что сделать, в какой последовательности, какие документы оформить и где риски.
152-ФЗ «О персональных данных» менялся четыре раза за три года. Появилась уголовная ответственность, штрафы выросли до оборотных, требования к локализации данных стали строже. Если вы работаете с персональными данными клиентов, сотрудников или пользователей — это нужно знать и учитывать сейчас.
Что изменилось в 152-ФЗ: прямые ответы на главные вопросы
- Какие новые требования 152-ФЗ для бизнеса появились с 2022 года?
С 1 сентября 2022 года (ФЗ № 266-ФЗ) вступил в силу расширенный пакет поправок. Закон приобрёл экстерриториальный характер: теперь он распространяется и на иностранных операторов, чьи сервисы направлены на граждан РФ.
Для российского бизнеса главное: обязанность уведомлять Роскомнадзор о каждой утечке персональных данных, сокращение сроков ответа на запросы субъектов, новые требования к содержанию согласия на обработку ПДн и к обращению с биометрическими данными.
- Что изменилось в 152-ФЗ с 2023 года?
С 1 марта 2023 года изменения в 152-ФЗ коснулись прежде всего сроков и процедур. Введены жёсткие дедлайны по инцидентам: 24 часа на первичное уведомление Роскомнадзора и ГосСОПКА, 72 часа на направление результатов расследования.
Появилось требование об обязательном подтверждении уничтожения ПДн по форме, утверждённой Приказом РКН от 28.10.2022 № 179, и обязательная оценка вреда субъектам при нарушении закона.
- Что изменилось в 152-ФЗ в 2025 году?
С 1 июля 2025 года (ФЗ № 23-ФЗ от 28.02.2025) требования к локализации стали строже. Первичная запись, накопление, хранение и уточнение персональных данных граждан РФ допускаются только на серверах, физически расположенных в России.
Использование зарубежных облаков, SaaS-сервисов и LLM-провайдеров возможно, но основная база данных должна оставаться в РФ. Это прямо затрагивает организации, использующие иностранные CRM, облачные хранилища и AI-сервисы.
Если вы обрабатываете персональные данные в облаке — убедитесь, что ваш провайдер соответствует требованиям локализации.
- Как избежать штрафов за утечку персональных данных в 2025–2026 году?
С 30 мая 2025 года вступили в силу новые размеры штрафов (ФЗ № 420-ФЗ от 30.11.2024). Чтобы не попасть под штраф, нужно выстроить три уровня защиты: правовой, организационный и технический. White Paper даёт пошаговую инструкцию по каждому.
- Какова ответственность за нарушение 152-ФЗ в 2026 году?
С 11 декабря 2024 года ответственность за нарушение 152-ФЗ вышла за рамки административного права. ФЗ № 421-ФЗ ввёл в Уголовный кодекс статью 272.1: незаконные сбор, хранение, передача и использование персональных данных наказываются лишением свободы до 10 лет при отягчающих обстоятельствах — корыстный мотив, данные несовершеннолетних, биометрия, трансграничная передача.
Что внутри: пошаговая инструкция по организации обработки ПДн
- Глава 1. Регуляторы и их роли. Кто за что отвечает: Роскомнадзор проверяет правовые основания, ФСТЭК — технические меры, ФСБ — криптографическую защиту. Как устроена риск-ориентированная система проверок.
- Глава 2. Структура законодательства и разбор 152-ФЗ. Полная карта нормативной базы: федеральные законы, постановления Правительства, приказы ФСТЭК и ФСБ. Принципы обработки ПДн по ст. 5, правовые основания по ст. 6, категории данных.
- Глава 3. Пошаговая инструкция по организации обработки ПДн. Семь последовательных этапов: назначение ответственного → инвентаризация → документы → уровень защищённости ИСПДн по ПП-1119 → меры по Приказу ФСТЭК № 21 → модель угроз → регистрация в реестре РКН.
- Глава 4. Ответственность и проверки. Полная таблица штрафов по ст. 13.11 КоАП РФ в редакции 2024–2025 гг., уголовная ответственность по ст. 272.1 УК РФ, периодичность плановых и основания для внеплановых проверок.
- Глава 5. Обработка ПДн как услуга. Практические рекомендации по защите ПДн при работе с внешними провайдерами: обязательные условия договора поручения, требования к локализации, разграничение ответственности. Отдельно — специфика работы с облачными сервисами, LLM и AI-провайдерами.
Укажите в форме ниже адрес Вашей электронной почты и мы бесплатно пришлем White Paper «Об обработке персональных данных» бесплатно
Приложения: готовые документы для скачивания
- 01 — Политика обработки ПДн. Публичный документ для сайта. Без него — штраф до 60 тыс. руб. и первый пункт в протоколе при проверке.
- 02 — Согласие на обработку ПДн. Три варианта: чекбокс для сайта, письменная форма, согласие на распространение (ст. 10.1). Пояснения: что нарушение и почему «галочка по умолчанию» недопустима.
- 03 — Организационно-распорядительные документы. Приказы, перечень допущенных лиц, обязательство о неразглашении.
- 04 — Акт уничтожения ПДн и журнал инцидентов. Формы по Приказу РКН № 179, карточка инцидента с метками 24/72 часа.
- 05 — Договор поручения обработки ПДн. Для любого внешнего обработчика: облако, SaaS, AI. Условие о локализации по ФЗ № 23-ФЗ, чек-лист из 10 пунктов.
- 06 — Калькулятор уровня защищённости ИСПДн. Четыре шага по ПП-1119, таблица УЗ и готовая форма акта.
- 07 — Реестр ИСПДн и матрица правовых оснований. Матрица «цель → основание → УЗ», типовой ответ на запрос субъекта.
Для кого этот документ
- Руководителям и менеджменту — понять риски и принимать взвешенные решения, не узнавая о проблемах из предписания регулятора.
- IT-директорам и разработчикам — требования 152-ФЗ для IT-специалистов разобраны в главах 3 и 5: инфраструктура, уровень защищённости, внешние провайдеры.
- Специалистам по информационной безопасности — актуальная нормативная карта, практические рекомендации, готовые шаблоны документов.
- HR-специалистам — основания для обработки данных сотрудников, сроки хранения кадровых документов, порядок уничтожения.
- Юристам и compliance-специалистам — разбор 152-ФЗ с учётом изменений 2022–2025 гг. Документ написан так, чтобы его одинаково понял и юрист, и технический специалист, и руководитель без профильного образования.
Получить White Paper и шаблоны документов бесплатно
Уже выстраиваете систему защиты ПДн и ищете аттестованную инфраструктуру? Облачные серверы Cloud4Y соответствуют требованиям ФЗ-152 и размещены в российских дата-центрах.
