Первый · ИТ · Альянс
Перейти к основному содержимому
К списку материалов
Кибербезопасность
27 февраля 2026 г. 8 мин чтения

152-ФЗ и персональные данные: чек-лист соответствия 2026

Полный чек-лист по 152-ФЗ для российского бизнеса в 2026 — с учётом поправок о штрафах до 15 млн ₽ и обязательной локализации.

152-ФЗ Роскомнадзор ПДн

С 2025 года штрафы по 152-ФЗ выросли кратно: за утечку свыше 100 тыс записей — до 15 млн ₽, за повторную утечку — до 3% оборота. Разберём минимальный набор документов и мер.

Документы, которые должны быть

  • Политика обработки персональных данных (публичная, в футере сайта).
  • Положение об обработке и защите ПДн (внутренний документ).
  • Реестр обработки ПДн и реестр поручений.
  • Приказ о назначении ответственного за ПДн.
  • Согласия субъектов — отдельные для каждой цели (маркетинг, трудоустройство, клиентский договор).
  • Инструкции по обработке и по действиям при инцидентах.

Технические меры

По приказам ФСТЭК №21 и №17 — защита в соответствии с уровнем защищённости (УЗ 1–4). Для большинства сайтов и CRM — УЗ-3 или УЗ-4. Меры: шифрование, разграничение доступа, журналы, антивирус, защита периметра.

Локализация данных

Первичный сбор и хранение ПДн граждан РФ — только в дата-центрах на территории России. Это касается CRM, почтовых систем, SaaS-аналитики, чат-ботов, трекеров поддержки. Google Analytics, HubSpot, Mailchimp — запрещены для обработки ПДн граждан РФ.

Уведомление Роскомнадзора

  1. Определить цели обработки и категории субъектов.
  2. Подать уведомление через портал pd.rkn.gov.ru (ЭП ФЛ / ЮЛ).
  3. Поддерживать актуальность при изменении — обновлять в течение 10 рабочих дней.

Частые вопросы

Нужно ли уведомление, если мы только собираем e-mail для рассылки?+

Да. Любая обработка ПДн (включая e-mail) требует уведомления Роскомнадзора и наличия согласия субъекта.

Можно ли использовать Google reCAPTCHA?+

Формально передача IP и токена в Google — трансграничная передача, требующая согласия. Практика — переходить на Yandex SmartCaptcha или hCaptcha on-premise.

Что такое СПД и когда он нужен?+

Соглашение о поручении обработки — заключается с любым подрядчиком, который обрабатывает ПДн по вашему поручению (хостинг, CRM, аналитика, маркетинг).

Нужна помощь по этой теме?

Обсудим задачу и предложим план за 24 часа. Работаем с компаниями из России и СНГ с 1999 года.