Нововведения в 152-ФЗ: как подготовиться к проверкам Роскомнадзора

12 августа я выступал на вебинаре по новшествам 152-ФЗ, где подробно рассказал о том, как подготовить пакет документов, регламентирующих работу с персональными данными, и организовать технические меры защиты в 1С: настроить сервер и базу данных, подобрать антивирус, устранить уязвимости и др.

В этом материале я расскажу, как изменились требования закона о защите персональных данных и без каких технических мер безопасности не обойтись ИТ-специалисту, ответственному за работу с ПДн. Рассмотрим, какие шаги нужно предпринять, чтобы защитить информацию: от настройки серверов и антивирусов до резервного копирования и мониторинга ИСПДн.

Что изменилось в законе о защите персональных данных

30 мая 2025 года вступили в силу поправки к КоАП, которые коснулись нарушений федерального закона № 152-ФЗ «О персональных данных». Штрафы существенно увеличились, появились новые критерии ответственности у организаций. Одно из ключевых нововведений – индивидуальные предприниматели несут такую же ответственность за нарушения, как и юридические лица. А требование о представлении уведомления о начале обработки ПДн распространилось также на самозанятых (п.2 ст.3 152-ФЗ).

Существенно выросли штрафные санкции за нарушения 152-го закона и неподачу уведомления в Реестр операторов ПДн Роскомнадзора. Рассмотрим основные виды нарушений и штрафы за них.

Неправильная обработка ПДн

С 30 мая 2025 года в КоАП также ранжируют штрафы за утечку ПДн в зависимости от количества пострадавших человек.

Штрафы за утечку персональных данных

В перечне наказаний за нарушения в 2025 году появилась и уголовная ответственность. Если от ваших ошибок пострадали жизнь и здоровье других людей, можно отправиться на исправительные работы или получить реальный срок.

Какие компании обязаны соблюдать 152-ФЗ

Рассмотрим, какие рабочие процессы в вашей компании могут привлечь внимание надзорных органов. Проверьте, что из перечисленного относится к вашей организации:

• Вы ищете и нанимаете сотрудников, заключаете договоры, отчитываетесь перед ФНС и СФР.
• Вы собираете данные клиентов для бонусных систем, заключения договоров и выполнения заказов.
• На вашем сайте есть форма обратной связи с полями: ФИО, телефон, e-mail.

Если хоть один из пунктов актуален для вашей компании, значит, вы попадаете под действие закона. В зоне риска находятся все организации, которые обрабатывают ПДн, включая ИП и самозанятых. Если индивидуальный предприниматель работает по патентной системе, без наемных сотрудников, на него также распространяется действие закона.

Исключение: если вы обрабатываете данные клиентов исключительно на бумажных носителях, регистрироваться в качестве оператора ПДн в РКН не нужно. Но это не освобождает вас от необходимости защищать личную информацию.

Если вы, к примеру, программист в статусе самозанятого и в вашем смартфоне есть номера телефонов клиентов/заказчиков, значит, вы уже ведете обработку ПДн и, следовательно, обязаны подавать уведомление в РКН и нести полную ответственность в соответствии с законом.

Технические меры защиты

Это совокупность физических и технических мер, с помощью которых организована защита персональных данных в организации.

Расскажу подробнее, что относится к техническим мерам и на что обратить внимание в первую очередь.

1. Подготовка сервера: рассмотреть и выбрать варианты серверных компоновок; изучить, какие серверы 1С бывают и какой набор вам подойдет; выбрать операционную систему.
2. Физическая защита сервера: ограничить доступ к серверному помещению, установить сигнализацию и видеонаблюдение и т.д., чтобы исключить физическое проникновение злоумышленника. Базовый уровень защиты, с которого стоит начать.
3. Аудит информационной безопасности: комплексный процесс, позволяющий оценить уровень безопасности вашей ИСПДн. Он позволяет выявить слабые места, риски и несоответствия нормативным требованиям, а также сформировать рекомендации для повышения эффективности системы ИБ.
4. Настройка межсетевых экранов: системы, которая фильтрует входящий и исходящий сетевой трафик для защиты от несанкционированного доступа и сетевых угроз. Создание правил для входящего/исходящего подключения и настройка профилей безопасности.
5. Настройка антивирусов: обеспечить защиту данных в реальном времени и регулярное обновление антивирусных баз на всех компьютерах. 
6. Устранение уязвимостей: начиная от недостаточной защиты ОС и заканчивая ошибками в коде ПО. Инструментами для управления уязвимостями может служить Microsoft Defender или Kaspersky Security Center. Важно поддерживать программное обеспечение сервера в актуальном состоянии.
7. Выбор и защита баз данных: файловая БД для небольших компаний и клиент-серверная БД для значительных объемов данных и большого числа пользователей. В рамках защиты следует обеспечить целостность и доступность системы, управление учетными записями и разрешениями.
8. Защита от несанкционированного доступа: можно использовать технические, организационные и криптографические подходы, направленные на предотвращение неправомерного доступа к данным.
9. Система резервного копирования: делать резервные копии всей информации нужно регулярно! Также они не должны быть на тех же серверах и дисках, где размещено основное хранилище информации.
   Если у вас файловая БД в 1С, можно использовать как встроенные средства программы (для типовых конфигураций), так и ручное копирование файла базы данных, а также выгрузку информационной базы через конфигуратор. При клиент-серверной организации стоит использовать средства резервного копирования СУБД.
10. Мониторинг работы сервера и ИСПДн: средства мониторинга и журналирования событий безопасности – критически важные инструменты для защиты корпоративных данных – включают в себя системы, предназначенные для сбора, агрегации, анализа и реагирования на события.
    Делятся на два вида: системы, которые отслеживают неправомерные действия и сообщают об этом администратору, и сервисы, которые помимо мониторинга и информирования умеют сами блокировать злоумышленника.
11. Защита ИСПДн при удаленной работе: подключение к сторонним сервисам в 1С значительно расширяет возможности платформы, повышает эффективность работы, но для этого важно обеспечить контроль доступа, аутентификацию, сетевую безопасность, защиту серверной инфраструктуры, каналов связи и безопасность внешнего кода.

Пять рекомендаций операторам ПДн

Готовить объемный пакет документов и организовывать многоуровневую техническую защиту, если вы самозанятый или ИП с небольшим оборотом и  количеством сотрудников, дорого и затратно по времени. Но соблюдать закон нужно, и вот «кандидатский минимум» того, что вы точно должны сделать для защиты персональных данных.

1. Зарегистрироваться в РКН в качестве оператора.
2. Назначить ответственного за обработку ПДн.
3. Проверить свои сайты и привести их в соответствие требованиям 152-ФЗ.
4. Разработать Политику обработки персональных данных.
5. Составить Согласие на обработку персональных данных.

Роскомнадзор начал проверки бизнеса

С 1 сентября вступили в силу обновленные требования закона о персональных данных. Роскомнадзор уже проверяет сайты организаций и направляет первые предписания.

Как понять, есть ли на вашем сайте ошибки, на что стоит обратить внимание и как привести внутренние процессы по работе с ПДн в соответствие закону, я подробно и на примерах сайтов реальных компаний расскажу на закрытом вебинаре, который состоится 19 ноября в 16:00 (мск).

Вебинар будет полезен сотрудникам предприятий, ИП и самозанятым, кто является оператором персональных данных. Если вы:

• нанимаете сотрудников, заключаете договоры, заполняете формы Т-2;
• собираете данные клиентов для оформления заказов или договоров, работаете с юридическими лицами;
• ведете базу клиентов в CRM или используете инструменты аналитики, например, Яндекс.Метрику;
• на сайте компании есть форма обратной связи с полями ФИО, телефон, e-mail – 

рекомендую зарегистрироваться. Если присутствовать онлайн не получится, то вам направят запись.