Question 1

Кто обязан соблюдать 152-ФЗ?

Accepted Answer

Федеральный закон № 152-ФЗ «О персональных данных» распространяется на все организации и индивидуальных предпринимателей, которые собирают, хранят или обрабатывают персональные данные. Если вы ведёте кадровый учёт, принимаете заявки от клиентов через сайт, храните контакты контрагентов или используете CRM-систему — вы являетесь оператором персональных данных. Согласно ст. 22 закона, оператор обязан уведомить Роскомнадзор о начале обработки ПДн и обеспечить их защиту в соответствии с установленными требованиями. Наши специалисты помогут определить ваш статус оператора и подготовить все необходимые документы.

Question 2

Нужно ли подавать уведомление в Роскомнадзор?

Accepted Answer

Да, в большинстве случаев оператор персональных данных обязан подать уведомление об обработке ПДн в территориальное управление Роскомнадзора. Исключения предусмотрены ч. 2 ст. 22 Федерального закона 152-ФЗ — например, когда обрабатываются только данные сотрудников в рамках трудового законодательства. Однако эти исключения трактуются регулятором крайне узко, и на практике большинство компаний подпадают под обязанность уведомления. С 2025 года за отсутствие уведомления предусмотрен штраф до 300 000 рублей для юридических лиц. Мы поможем корректно заполнить и подать уведомление в Роскомнадзор.

Question 3

Какие штрафы за нарушение закона о персональных данных?

Accepted Answer

С 2025 года штрафы за нарушение 152-ФЗ значительно ужесточены. За утечку персональных данных предусмотрены штрафы до 18 млн рублей для юридических лиц (ст. 13.11 КоАП РФ). За повторные нарушения введены оборотные штрафы — до 3% годовой выручки компании. Отсутствие уведомления оператора в Роскомнадзоре грозит штрафом до 300 000 рублей, а обработка ПДн без надлежащего согласия субъекта — до 700 000 рублей. Кроме того, ст. 137 УК РФ предусматривает уголовную ответственность за незаконный сбор и распространение сведений о частной жизни. Мы поможем провести аудит текущего состояния и устранить нарушения до проверки.

Question 4

Какие документы нужны для соответствия 152-ФЗ?

Accepted Answer

Минимальный комплект документов включает: политику обработки персональных данных, согласия субъектов на обработку ПДн, приказ о назначении ответственного за организацию обработки, уведомление в Роскомнадзор. Полный комплект для среднего бизнеса составляет 15–20 документов: модель угроз безопасности ПДн, акт оценки вреда субъектам, положение об обработке ПДн, регламенты реагирования на инциденты, журналы учёта и другие организационно-распорядительные документы. Точный перечень зависит от объёма и категорий обрабатываемых данных, а также от уровня защищённости информационной системы. Наш тариф «Базовый» включает разработку полного комплекта документов под ключ.

Question 5

Как быстро Роскомнадзор проводит проверку?

Accepted Answer

Плановая проверка Роскомнадзора длится до 20 рабочих дней и проводится по утверждённому ежегодному плану, который публикуется на сайте регулятора. Внеплановая проверка может быть инициирована по жалобе субъекта персональных данных или по факту утечки — в этом случае предварительное уведомление оператора не требуется. С 2025 года Роскомнадзор активно проводит мониторинг сайтов на наличие политики обработки ПДн и корректность форм сбора согласий. Рекомендуем заранее провести аудит и подготовиться к возможной проверке — это существенно снижает риски получения штрафов и предписаний.

Question 6

Что такое трансграничная передача персональных данных?

Accepted Answer

Трансграничная передача — это передача персональных данных на территорию иностранного государства (ст. 12 закона 152-ФЗ). Если вы используете зарубежные облачные сервисы, CRM-системы с серверами за рубежом или передаёте данные иностранным контрагентам, вы осуществляете трансграничную передачу. С 1 марта 2023 года оператор обязан уведомить Роскомнадзор о намерении осуществлять такую передачу и дождаться решения регулятора. Передача в страны, не обеспечивающие адекватную защиту ПДн, требует дополнительных правовых оснований — письменного согласия субъекта или договорных гарантий. Мы поможем оценить правомерность трансграничной передачи и оформить необходимые документы.

Question 7

Можно ли отозвать согласие на обработку персональных данных?

Accepted Answer

Да, субъект персональных данных имеет право отозвать ранее данное согласие на обработку (ч. 2 ст. 9 закона 152-ФЗ). Оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней с момента получения отзыва, если нет иных правовых оснований для продолжения обработки (например, исполнение договора или требования законодательства). Важно, чтобы в вашей организации был утверждённый регламент обработки запросов субъектов, включая процедуру отзыва согласия. Отсутствие такого регламента является нарушением и может повлечь штрафные санкции при проверке Роскомнадзора.

Question 8

Где должны храниться базы персональных данных россиян?

Accepted Answer

Согласно ч. 5 ст. 18 закона 152-ФЗ, при сборе персональных данных граждан Российской Федерации оператор обязан обеспечить запись, систематизацию, накопление, хранение и уточнение ПДн с использованием баз данных, находящихся на территории России. Это требование о локализации данных действует с 2015 года и касается всех операторов, включая иностранные компании, работающие с российскими пользователями. Нарушение этого требования грозит блокировкой сайта Роскомнадзором и штрафами до 18 млн рублей. Мы поможем провести инвентаризацию информационных систем и обеспечить локализацию хранения ПДн.

Question 9

Что будет, если не заниматься информационной безопасностью?

Accepted Answer

Игнорирование требований информационной безопасности создаёт комплекс рисков для бизнеса. Юридические: штрафы от Роскомнадзора до 18 млн рублей, предписания ФСТЭК, уголовная ответственность по ст. 137 и 274.1 УК РФ. Финансовые: прямые убытки от утечек данных (средняя стоимость утечки в России — более 5 млн рублей по данным исследований), потеря клиентов, судебные иски от субъектов ПДн. Репутационные: потеря доверия клиентов и партнёров, проблемы с участием в тендерах, негативные упоминания в СМИ. Чем раньше вы начнёте выстраивать систему защиты, тем ниже стоимость приведения в соответствие и тем меньше рисков для бизнеса.

Question 10

Есть ли у вашей компании необходимые лицензии?

Accepted Answer

Да, наша компания имеет все необходимые лицензии для оказания полного спектра услуг в области информационной безопасности. Мы являемся лицензиатом ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ), имеем лицензию ФСТЭК на проведение работ по аттестации объектов информатизации и лицензию ФСБ России на работы с криптографическими средствами защиты. Наличие лицензий подтверждает соответствие нашей компании строгим требованиям регуляторов к кадровому составу, материально-техническому оснащению и системе менеджмента качества.

Question 11

Можно ли получить бесплатную консультацию?

Accepted Answer

Да, первая консультация — бесплатная, продолжительностью 30 минут. Консультацию проводит профильный эксперт, а не менеджер по продажам. В ходе консультации мы: оценим текущее состояние вашей системы защиты персональных данных, определим ключевые риски и потенциальные нарушения, предложим оптимальный план приведения в соответствие с учётом вашего бюджета и сроков. Вы также можете пройти бесплатный экспресс-аудит на нашем сайте — это онлайн-анкета из 15 вопросов, по результатам которой вы получите отчёт с предварительной оценкой уровня соответствия.

Question 12

Как выбрать подрядчика по информационной безопасности?

Accepted Answer

При выборе подрядчика рекомендуем обратить внимание на следующие критерии: наличие лицензий ФСТЭК и ФСБ (проверяется на сайте регулятора), опыт работы в вашей отрасли (требования для медицины, финансов и промышленности существенно различаются), отзывы и кейсы реальных клиентов, прозрачность ценообразования и фиксация сроков в договоре, готовность подписать NDA и нести ответственность за качество. Избегайте компаний, которые обещают «закрыть 152-ФЗ за один день» — качественная работа по приведению в соответствие требует времени и экспертизы. Мы готовы предоставить рекомендации от наших клиентов и провести бесплатную консультацию для оценки ваших потребностей.

Question 13

В чём разница между лицензиатом ФСТЭК и системным интегратором?

Accepted Answer

Лицензиат ФСТЭК — это компания, получившая лицензию регулятора на конкретные виды деятельности: техническую защиту конфиденциальной информации (ТЗКИ) и/или аттестацию объектов информатизации. Лицензия подтверждает наличие квалифицированных специалистов, методик и оборудования. Системный интегратор — более широкое понятие, это компания, которая проектирует и внедряет комплексные IT-решения, но может не иметь лицензий на работы в области защиты информации. Для работ по аттестации, разработке моделей угроз и внедрению сертифицированных СЗИ необходимо привлекать именно лицензиата ФСТЭК. Наша компания совмещает обе роли: мы и лицензиат, и интегратор с практическим опытом внедрения.

Комплаенс и стандарты

Для кого эта услуга

Международные компании

Банки и финтех

E-commerce

IT-компании

Что включено

Как мы работаем

Gap-анализ

Дорожная карта

Внедрение

Внутренний аудит

Сертификация

Что вы получите

Сертификат ISO 27001

Заключение PCI DSS

СУИБ и документация

Конкурентное преимущество

Частые вопросы

Получите бесплатную
консультацию эксперта