Чеклист по 152-ФЗ для бизнеса 2026

Чеклист по 152-ФЗ для бизнеса в 2026 году - это структурированный перечень обязательных требований Федерального закона «О персональных данных», нарушение которых влечёт административную ответственность по статье 13.11 КоАП РФ. Штрафы по этой статье достигают 500 000 рублей за один состав, а Роскомнадзор вправе проводить внеплановые проверки без предупреждения. По состоянию на май 2026 года требования к операторам персональных данных существенно ужесточились: введена обязательная локализация, расширены основания для уведомления регулятора, а санкции за повторные нарушения удвоены.

Большинство компаний формально выполняют требования закона - размещают политику конфиденциальности и берут согласия на сайте. Однако Роскомнадзор при проверке смотрит на десятки параметров: от содержания внутренних приказов до технических мер защиты и сроков уведомления об утечках. Этот материал - практический чеклист для собственника и директора, который позволяет самостоятельно оценить соответствие бизнеса требованиям 152-ФЗ и статьи 13.11 КоАП РФ до прихода проверяющих.

Что проверяет Роскомнадзор по статье 13.11 КоАП РФ

Роскомнадзор при проверке операторов персональных данных руководствуется статьёй 13.11 КоАП РФ, которая содержит девять самостоятельных составов нарушений. Каждый состав - отдельный штраф. Это означает, что за одну проверку компания может получить несколько постановлений одновременно, и общая сумма санкций способна превысить 2 млн рублей.

Ключевые составы, которые выявляются чаще всего: обработка персональных данных без законного основания (часть 1), отсутствие или ненадлежащее содержание политики конфиденциальности (часть 3), непредоставление субъекту информации об обработке его данных (часть 4), нарушение требований к локализации данных граждан РФ на российских серверах (часть 8), а также непринятие мер по уничтожению данных после достижения цели обработки (часть 5).

Проверки бывают плановыми и внеплановыми. Внеплановые назначаются по жалобам субъектов персональных данных - и это самый частый триггер. По данным Роскомнадзора, в 2024-2025 годах число жалоб физических лиц выросло более чем в два раза по сравнению с 2022 годом. Средний размер штрафа по итогам проверки для малого и среднего бизнеса составляет 150-300 тыс. рублей, для крупных операторов - от 500 тыс. рублей.

Неочевидный риск: проверяющие запрашивают не только документы, но и технические журналы доступа к базам данных, настройки CRM-систем и переписку с подрядчиками, которым передаются данные. Отсутствие договора поручения обработки с каждым таким подрядчиком - самостоятельный состав нарушения.

Как провести аудит документов оператора персональных данных?

Аудит документации оператора персональных данных охватывает четыре обязательных блока: организационные документы, согласия субъектов, политику конфиденциальности и договоры с третьими лицами. Отсутствие хотя бы одного блока образует состав нарушения по статье 13.11 КоАП РФ с штрафом от 30 000 до 500 000 рублей в зависимости от части статьи.

Организационные документы включают: приказ о назначении ответственного за организацию обработки персональных данных (статья 18.1 152-ФЗ), перечень обрабатываемых персональных данных с указанием категорий субъектов и целей обработки, внутренние регламенты и инструкции для сотрудников, имеющих доступ к данным. Типичная ошибка - приказ есть, но перечень данных в нём не конкретизирован: указано «персональные данные сотрудников» без детализации состава.

Согласия субъектов должны соответствовать требованиям статьи 9 152-ФЗ: содержать наименование оператора, цель обработки, перечень данных, срок действия и порядок отзыва. Согласие на сайте через чекбокс «Я согласен с политикой» без раскрытия этих сведений не соответствует закону. Для биометрических данных и специальных категорий (здоровье, национальность) требуется письменное согласие на бумаге или с квалифицированной электронной подписью.

Договоры с подрядчиками - зона повышенного риска. Каждая компания, которой вы передаёте данные клиентов (колл-центр, CRM-провайдер, маркетинговое агентство, бухгалтерский аутсорсинг), должна быть оформлена как поручение обработки по статье 6 152-ФЗ. В договоре обязательно указываются перечень действий, цели, обязанность соблюдать конфиденциальность и право оператора проводить проверки подрядчика.

Для подготовки к проверке соберите следующий пакет документов:

• Приказ о назначении ответственного за обработку персональных данных с актуальной датой.
• Перечень обрабатываемых персональных данных по каждой категории субъектов (сотрудники, клиенты, контрагенты).
• Актуальная политика конфиденциальности, размещённая на сайте и датированная не позднее последнего изменения процессов обработки.
• Образцы согласий субъектов с подтверждением их получения (журналы, скриншоты, базы данных).
• Договоры поручения обработки со всеми подрядчиками, получающими данные.

Пропуск срока уведомления Роскомнадзора об утечке персональных данных - один из самых дорогостоящих рисков. По статье 21 152-ФЗ оператор обязан уведомить регулятора в течение 24 часов с момента обнаружения инцидента, а в течение 72 часов - направить расширенное уведомление с результатами внутреннего расследования. Нарушение этих сроков образует самостоятельный состав по части 1.1 статьи 13.11 КоАП РФ.

Описанный порядок документирования применим к типовым ситуациям. Конкретный бизнес может обрабатывать данные в нескольких системах, передавать их за рубеж или работать с чувствительными категориями - каждый из этих факторов добавляет требования.

Какие технические меры защиты персональных данных обязательны в 2026 году?

Технические и организационные меры защиты персональных данных определяются уровнем защищённости информационной системы (УЗ 1-4) по постановлению Правительства РФ от 01.11.2012 № 1119. Для большинства коммерческих компаний актуален уровень УЗ-3 или УЗ-4, который требует применения сертифицированных средств защиты информации, разграничения доступа и ведения журналов событий.

Минимальный обязательный набор технических мер для УЗ-3 включает: антивирусную защиту с актуальными базами, межсетевой экран, шифрование данных при передаче по открытым каналам, двухфакторную аутентификацию для администраторов систем, резервное копирование с хранением копий на изолированных носителях. Использование несертифицированных средств защиты при обработке данных в государственных информационных системах образует отдельный состав нарушения.

Многие недооценивают требования к трансграничной передаче данных. Если компания использует зарубежные CRM, облачные хранилища или аналитические сервисы (Google Analytics, Salesforce, HubSpot), она осуществляет трансграничную передачу данных граждан РФ. По статье 12 152-ФЗ до начала такой передачи необходимо уведомить Роскомнадзор и убедиться, что страна-получатель обеспечивает адекватный уровень защиты. Нарушение этого требования - часть 2.1 статьи 13.11 КоАП РФ, штраф до 500 000 рублей.

Локализация данных граждан РФ - требование статьи 18.1 152-ФЗ, действующее с 2015 года, но активно применяемое с 2022 года. Первичный сбор и хранение данных должны осуществляться на серверах, физически расположенных в России. Зеркалирование на зарубежные серверы допустимо, но основная база должна находиться в РФ. Роскомнадзор проверяет это через запросы к операторам дата-центров и технический анализ инфраструктуры.

Как правильно оформить политику конфиденциальности и согласия на сайте?

Политика конфиденциальности должна быть доступна на каждой странице сайта, где собираются данные пользователей, - это прямое требование части 2 статьи 18.1 152-ФЗ. Ссылка на политику размещается в форме сбора данных до момента её заполнения, а не после. Отсутствие ссылки или её размещение в футере без привязки к форме - нарушение части 3 статьи 13.11 КоАП РФ, штраф для юридического лица от 60 000 до 100 000 рублей.

Содержание политики конфиденциальности должно включать: полное наименование и реквизиты оператора, перечень обрабатываемых данных с указанием категорий субъектов, цели обработки по каждой категории данных, правовые основания обработки (согласие, договор, закон), сроки хранения, порядок передачи третьим лицам, права субъектов и порядок их реализации, контакты ответственного лица. Политика, скопированная с другого сайта без адаптации, не соответствует требованиям - проверяющие это видят по несоответствию реквизитов и перечня данных фактической деятельности компании.

Согласие через чекбокс на сайте должно быть активным: пользователь сам ставит галочку, предзаполненный чекбокс не считается согласием. Текст рядом с чекбоксом должен содержать ссылку на политику и указание на конкретную цель - «Согласен на обработку персональных данных в целях получения новостной рассылки». Одно общее согласие «на все цели» при наличии нескольких несвязанных целей обработки не соответствует принципу конкретности из статьи 5 152-ФЗ.

Срок хранения согласий - отдельный вопрос. Оператор обязан хранить доказательства получения согласия в течение всего срока обработки данных плюс три года после её прекращения. Для сайтов это означает необходимость технической фиксации факта согласия с привязкой к конкретному пользователю, дате и версии политики конфиденциальности, действовавшей на момент согласия.

Если вы уже получали замечания от Роскомнадзора или прошли проверку с предписаниями, но не уверены в полноте устранения нарушений - это повышенный риск. Повторное нарушение по той же части статьи 13.11 КоАП РФ влечёт удвоенный штраф.

Чеклист по 152-ФЗ: полный перечень требований для самопроверки

Полный чеклист соответствия 152-ФЗ охватывает пять блоков: организационные меры, документация, согласия и уведомления, технические меры и работа с третьими лицами. Прохождение по каждому блоку позволяет выявить нарушения до проверки Роскомнадзора и оценить риск штрафов по конкретным частям статьи 13.11 КоАП РФ.

Блок 1. Организационные меры. Назначен ответственный за организацию обработки персональных данных (статья 18.1 152-ФЗ). Утверждён перечень лиц, допущенных к обработке данных. Проводится периодический инструктаж сотрудников. Установлен режим конфиденциальности и подписаны соглашения о неразглашении с персоналом.

Блок 2. Документация. Разработана и актуализирована политика конфиденциальности. Утверждены внутренние регламенты обработки данных. Ведётся реестр обрабатываемых персональных данных. Направлено уведомление в Роскомнадзор о начале обработки (статья 22 152-ФЗ) - если компания не подпадает под исключения. Определены сроки хранения по каждой категории данных.

Блок 3. Согласия и права субъектов. Согласия соответствуют требованиям статьи 9 152-ФЗ по содержанию. Обеспечена возможность отзыва согласия. Установлен порядок ответа на запросы субъектов (срок - 30 дней по статье 20 152-ФЗ). Данные уничтожаются в течение 30 дней после достижения цели обработки или отзыва согласия.

Блок 4. Технические меры. Определён уровень защищённости информационной системы. Применяются сертифицированные средства защиты информации. Ведутся журналы доступа к персональным данным. Обеспечено шифрование при передаче данных. Настроено резервное копирование.

Блок 5. Третьи лица и трансграничная передача. Заключены договоры поручения обработки со всеми подрядчиками. Направлено уведомление в Роскомнадзор о трансграничной передаче (если применимо). Первичное хранение данных граждан РФ осуществляется на российских серверах.

Скачайте PDF-версию этого чеклиста - он адаптирован для самостоятельной проверки и содержит ссылки на конкретные нормы 152-ФЗ и части статьи 13.11 КоАП РФ по каждому пункту. Заполните форму ниже, и мы пришлём файл на указанный email.

Что грозит бизнесу за нарушение 152-ФЗ в 2026 году?

Санкции по статье 13.11 КоАП РФ в 2026 году дифференцированы по девяти составам. Максимальный штраф для юридического лица - 500 000 рублей за один состав. При повторном нарушении в течение года размер штрафа удваивается. Должностные лица несут ответственность отдельно - до 100 000 рублей за состав.

Наиболее частые составы и размеры штрафов для юридических лиц: обработка данных без законного основания (часть 1) - от 60 000 до 100 000 рублей; нарушение требований к содержанию согласия (часть 2) - от 30 000 до 150 000 рублей; отсутствие или ненадлежащая политика конфиденциальности (часть 3) - от 60 000 до 100 000 рублей; нарушение требований к локализации (часть 8) - от 100 000 до 300 000 рублей; нарушение требований к трансграничной передаче (часть 2.1) - от 100 000 до 500 000 рублей.

Помимо штрафов, Роскомнадзор вправе выдать предписание об устранении нарушений с конкретным сроком. Неисполнение предписания - самостоятельный состав по статье 19.5 КоАП РФ с штрафом до 500 000 рублей. В случае масштабных утечек данных регулятор направляет материалы в прокуратуру для рассмотрения вопроса об уголовной ответственности по статье 272 УК РФ.

Типичное заблуждение: многие считают, что малый бизнес проверяют редко. Роскомнадзор проводит проверки по жалобам физических лиц вне зависимости от размера компании. Один недовольный клиент или бывший сотрудник, направивший жалобу, запускает внеплановую проверку - и отсутствие документации по 152-ФЗ у небольшой компании обходится так же дорого, как у крупного оператора.

Частые вопросы

1. Нужно ли уведомлять Роскомнадзор, если компания обрабатывает только данные своих сотрудников?

Обработка персональных данных исключительно в целях трудовых отношений освобождает оператора от обязанности направлять уведомление в Роскомнадзор - это прямое исключение из пункта 1 части 2 статьи 22 Федерального закона № 152-ФЗ. Однако это исключение не освобождает от остальных требований закона: политика конфиденциальности, внутренние регламенты, технические меры защиты и согласия при обработке специальных категорий данных (например, медицинских справок) остаются обязательными.

2. Что считается утечкой персональных данных и когда нужно уведомлять регулятора?

Утечка персональных данных - это несанкционированный доступ к данным, их распространение, изменение или уничтожение. Оператор обязан уведомить Роскомнадзор в течение 24 часов с момента обнаружения инцидента (первичное уведомление) и в течение 72 часов направить расширенное уведомление с результатами внутреннего расследования - это требование статьи 21 Федерального закона № 152-ФЗ. Уведомление направляется через портал Роскомнадзора в электронном виде. Нарушение сроков - самостоятельный состав нарушения.

3. Можно ли использовать Google Analytics и другие зарубежные сервисы аналитики?

Использование зарубежных аналитических сервисов, которые собирают данные посетителей сайта, является трансграничной передачей персональных данных и требует уведомления Роскомнадзора до начала такой передачи по статье 12 Федерального закона № 152-ФЗ. Кроме того, необходимо убедиться, что страна-получатель обеспечивает адекватный уровень защиты, либо получить отдельное согласие субъекта на передачу данных в конкретную страну. Без выполнения этих условий использование таких сервисов образует нарушение части 2.1 статьи 13.11 КоАП РФ.

4. Какой срок хранения персональных данных клиентов установлен законом?

Единого универсального срока хранения персональных данных клиентов Федеральный закон № 152-ФЗ не устанавливает - срок определяется целью обработки и требованиями отраслевого законодательства. Данные должны храниться не дольше, чем необходимо для достижения цели обработки (статья 5 Федерального закона № 152-ФЗ). После достижения цели или отзыва согласия оператор обязан уничтожить данные в течение 30 дней. Для бухгалтерских документов с персональными данными действует срок хранения по Налоговому кодексу РФ - не менее 5 лет.

5. Нужна ли отдельная политика конфиденциальности для мобильного приложения?

Мобильное приложение, собирающее персональные данные пользователей, требует отдельной политики конфиденциальности или явной адаптации существующей политики с указанием особенностей обработки данных через приложение - в том числе геолокации, push-уведомлений, данных устройства. Это требование вытекает из части 2 статьи 18.1 Федерального закона № 152-ФЗ. Ссылка на политику должна быть доступна в магазине приложений (App Store, Google Play) и внутри самого приложения до начала сбора данных.

Соответствие требованиям 152-ФЗ - не разовая задача, а постоянный процесс. Законодательство о персональных данных меняется: в 2022-2024 годах были введены требования об уведомлении об утечках, ужесточена ответственность за трансграничную передачу, расширены полномочия Роскомнадзора. Компании, которые выстроили систему работы с персональными данными, а не просто разместили политику на сайте, проходят проверки без штрафов.

«Ветров и партнёры» сопровождают бизнес в спорах с Роскомнадзором, разрабатывают пакеты документации по 152-ФЗ и представляют интересы операторов при оспаривании постановлений по статье 13.11 КоАП РФ. Практика охватывает компании разного масштаба - от небольших интернет-магазинов до крупных операторов с миллионными базами данных.