152-ФЗ и персональные данные: чек-лист соответствия 2026

С 2025 года штрафы по 152-ФЗ выросли кратно: за утечку свыше 100 тыс записей — до 15 млн ₽, за повторную утечку — до 3% оборота. Разберём минимальный набор документов и мер.

Документы, которые должны быть

• Политика обработки персональных данных (публичная, в футере сайта).
• Положение об обработке и защите ПДн (внутренний документ).
• Реестр обработки ПДн и реестр поручений.
• Приказ о назначении ответственного за ПДн.
• Согласия субъектов — отдельные для каждой цели (маркетинг, трудоустройство, клиентский договор).
• Инструкции по обработке и по действиям при инцидентах.

Технические меры

По приказам ФСТЭК №21 и №17 — защита в соответствии с уровнем защищённости (УЗ 1–4). Для большинства сайтов и CRM — УЗ-3 или УЗ-4. Меры: шифрование, разграничение доступа, журналы, антивирус, защита периметра.

Локализация данных

Первичный сбор и хранение ПДн граждан РФ — только в дата-центрах на территории России. Это касается CRM, почтовых систем, SaaS-аналитики, чат-ботов, трекеров поддержки. Google Analytics, HubSpot, Mailchimp — запрещены для обработки ПДн граждан РФ.

Уведомление Роскомнадзора

1. Определить цели обработки и категории субъектов.
2. Подать уведомление через портал pd.rkn.gov.ru (ЭП ФЛ / ЮЛ).
3. Поддерживать актуальность при изменении — обновлять в течение 10 рабочих дней.