UMSecurity24/7

Закон

152-ФЗ простыми словами: что бизнесу делать с персональными данными в 2026

10 июня 2026·11 мин чтения
152-ФЗ простыми словами: что бизнесу делать с персональными данными в 2026

Письмо из Роскомнадзора приходит обычно по электронке, сухим казённым языком: «В рамках планового контроля установлено, что в реестре операторов, осуществляющих обработку персональных данных, сведения о вашей организации отсутствуют». Дальше — предложение явиться, дать пояснения, и намёк на статью 19.7 КоАП. У одного нашего клиента, небольшой логистической компании, такое письмо прилетело через полгода после того, как они повесили четыре камеры на въезд и шлагбаум. Камеры — это уже обработка персональных данных. А они об этом не знали.

И знаете что? Большинство не знает. 152-ФЗ воспринимают как что-то для банков и айти-гигантов. На деле он накрывает любого, у кого есть отдел кадров, сайт с формой обратной связи или камера на проходной. То есть практически всех. Давайте разберём по-человечески: что это за зверь, кого он касается, и что реально надо сделать — без юридического тумана и без паники.

Что такое персональные данные на самом деле

Определение в законе нарочито широкое. Персональные данные — это любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). Ключевое слово — «косвенно». Не обязательно паспорт и СНИЛС.

ФИО — само собой. Но дальше начинается интересное:

  • Номер телефона и email — да, особенно в связке с именем.
  • IP-адрес и cookie-идентификаторы — Роскомнадзор и суды последовательно относят их к ПДн.
  • Геолокация, история заказов, данные о здоровье.
  • Изображение человека — лицо на видеозаписи или фото. Это прямо подтверждено и Верховным судом, и позицией регулятора.

Вот про последний пункт чаще всего забывают. Кадр с камеры, где видно лицо человека и можно его опознать, — это персональные данные. Запись с регистратора на парковке, где читается лицо водителя, — тоже. Поэтому видеонаблюдение и 152-ФЗ — близнецы-братья, хотя многие предприниматели их в голове даже не связывают. Мы про это подробно разбирали в материале о видеонаблюдении и персональных данных — если у вас есть хоть одна камера, прочитайте.

Отдельная каста — специальные категории: национальность, политические взгляды, религия, здоровье, интимная жизнь. И биометрические данные — те, что характеризуют физиологию и используются для установления личности. С ними режим жёстче, к биометрии вернёмся.

Оператор — это вы

Тут любят запутаться. Оператор персональных данных — это не какая-то лицензированная организация и не айтишник в углу офиса. Оператор — любое юрлицо, ИП, госорган или даже физлицо, которое организует и (или) осуществляет обработку ПДн и определяет цели этой обработки.

Принимаете на работу людей? У вас их паспорта, трудовые, банковские реквизиты для зарплаты — вы оператор. Собираете заявки через сайт? Оператор. Ведёте базу клиентов в CRM или просто в Excel? Тот же результат. Excel, кстати, тоже считается — закон не про «современные системы», он про сам факт обработки, хоть в тетрадке.

А обработка — это вообще почти любое действие: сбор, запись, хранение, уточнение, использование, передача, удаление. Даже просто хранить — уже обрабатывать. Так что отговорка «мы данные не используем, просто лежат» не работает в принципе.

Что бизнес обязан сделать: четыре кита

Если убрать воду, обязанностей оператора немного, и они логичные. Разберём по очереди.

1. Уведомить Роскомнадзор

Раньше существовал длинный список исключений, когда уведомлять было не нужно — например, если обрабатываешь данные только своих работников. С 1 сентября 2022 года эти послабления почти все убрали. Теперь по умолчанию уведомлять нужно практически всем операторам, включая тех, кто обрабатывает данные одних только сотрудников.

Уведомление подаётся через портал Роскомнадзора (есть форма на сайте и через Госуслуги), бесплатно, и по факту это анкета: кто вы, какие данные собираете, с какой целью, как защищаете, кому передаёте. Заполняется за вечер. За неподачу — штраф по статье 19.7 КоАП, небольшой, но это красный флаг для регулятора и повод для внеплановой проверки.

Честно — это самая дешёвая страховка из всех. Не подать уведомление и попасться потом на чём-то посерьёзнее — значит прийти в суд уже с пятном «даже в реестре не состоят».

2. Получить согласия

Обработка должна иметь законное основание. Согласие субъекта — самое распространённое, но не единственное (есть ещё исполнение договора, требование закона и т.д.). Где согласие реально нужно:

  • Форма на сайте — галочка о согласии на обработку ПДн рядом с кнопкой отправки. Не предзаполненная, человек ставит её сам.
  • Рассылки и реклама — отдельное согласие, по статье 18 закона «О рекламе» оно вообще обязательно для маркетинговых сообщений.
  • Передача данных третьим лицам, публикация — отдельные основания.

С 1 марта 2023 года согласие на обработку ПДн, разрешённых субъектом для распространения (то, что публикуется и доступно неограниченному кругу лиц), оформляется строго отдельно от прочих согласий — одной общей галочкой это не закрыть. Формулировки «нажимая кнопку, вы соглашаетесь со всем» суды всё чаще признают ничтожными: согласие должно быть конкретным, информированным и сознательным. Готовый разбор с рабочей формулировкой мы собрали в образце согласия на обработку ПДн — берите и адаптируйте под себя.

3. Опубликовать политику обработки ПДн

Статья 18.1 прямо требует: оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки персональных данных. На практике это та самая ссылка «Политика конфиденциальности» в подвале сайта.

И вот тут важный нюанс, на котором горят. Политика не должна быть скачанной у конкурента рыбой. Роскомнадзор при проверках сверяет, что написано в политике, с тем, что вы реально делаете. Написали «не передаём данные третьим лицам», а сами шлёте их в сервис рассылок и в облачную CRM — это несоответствие, и это нарушение. Документ должен описывать вашу настоящую обработку.

4. Локализовать данные в России

Это про 242-ФЗ — поправку 2015 года в 152-ФЗ. Суть: при сборе персональных данных граждан РФ оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение этих данных с использованием баз данных, находящихся на территории России.

Простыми словами — первичная база с ПДн россиян должна физически лежать на серверах в РФ. Можно дублировать за рубеж, но первоисточник — здесь. Именно за нарушение локализации в своё время заблокировали LinkedIn, а позже крупно штрафовали зарубежные сервисы. Для обычного бизнеса вывод простой: ваша CRM, хостинг сайта, бухгалтерия, система видеоаналитики — всё, что хранит ПДн, должно быть на российских серверах или в российском облаке.

Для видеоаналитики это, кстати, не формальность, а архитектурный принцип. Когда вы прогоняете лица или номера машин через распознавание, кадры и результаты — это ПДн, и гонять их в чужое облако за границу нельзя. Поэтому мы строим распознавание лиц и номеров как on-premise: модели крутятся на железе клиента или в российском ЦОДе, данные никуда не утекают за периметр. Это и про закон, и про импортозамещение — после ухода западных вендоров on-premise стал не идеологией, а необходимостью.

Биометрия и ЕБС — отдельная история

Вокруг биометрии в последние пару лет больше всего страшилок, и часть из них заслуженная. Разложим.

Биометрические персональные данные — это сведения о физиологических и биологических особенностях человека, на основании которых можно установить его личность, и которые оператор использует именно для идентификации. Лицо, отпечаток, голос, рисунок вен. Режим обработки строже: по общему правилу нужно письменное согласие, защита усиленная.

Ключевая развилка, которую путают все. Не всякое лицо в кадре — это биометрия в юридическом смысле.

  • Камера просто пишет видео, лица никто не сопоставляет с шаблонами — это обычные ПДн (изображение). Биометрической обработки тут нет.
  • Система сравнивает лицо с базой, чтобы установить или подтвердить личность (пустить через турникет «своих», найти конкретного человека) — вот это уже биометрическая обработка со всеми вытекающими.

Граница именно в цели: используете ли вы признаки для идентификации.

Дальше — ЕБС, Единая биометрическая система. С принятием 572-ФЗ (декабрь 2022) и переходными нормами 2023 года государство выстроило централизованный режим: коммерческие организации, которые собирают биометрию граждан, по общему правилу должны передавать её в государственную ЕБС, а самостоятельное хранение «своих» биометрических баз для идентификации серьёзно ограничено. Это сделано, чтобы биометрия не растекалась по сотням частных баз с непонятной защитой.

Что это значит для бизнеса на земле? Если вы хотите городить собственную систему «вход по лицу» с накоплением биометрических шаблонов сотрудников и клиентов — будьте готовы, что это зарегулированная зона, и кустарно её делать нельзя. А вот видеоаналитика для безопасности — фиксация событий, охрана периметра, поиск по приметам в рамках расследования инцидента — это другой, более мягкий режим, если вы не строите идентификационную биометрическую базу. На наших пилотах мы как раз чаще всего работаем во втором поле и явно разводим эти сценарии с клиентом на старте, чтобы не загнать его случайно в биометрический режим.

Оборотные штрафы: почему 2025 год всё изменил

Вот это — главная новость последних лет, и именно она заставила бизнес зашевелиться.

Долгое время штрафы по 152-ФЗ были смешными. Несколько десятков тысяч рублей за нарушение — крупная компания такое даже не замечала, дешевле было нарушать. Поэтому на закон откровенно забивали.

Федеральный закон № 420-ФЗ, вступивший в силу 30 мая 2025 года, перевернул стол. Он ввёл в КоАП дифференцированные и, главное, оборотные штрафы за утечки персональных данных (статья 13.11). Логика теперь такая:

  • За сам факт утечки — крупные фиксированные штрафы, которые для юрлиц измеряются миллионами рублей и растут в зависимости от объёма скомпрометированных данных (счёт идёт на тысячи и миллионы затронутых субъектов).
  • За повторную утечку — оборотный штраф: процент от совокупной годовой выручки компании. Это уже не «неприятно», это потенциально десятки и сотни миллионов.
  • Введена и уголовная ответственность (новая статья 272.1 УК РФ) за незаконные сбор, передачу, использование персональных данных — вплоть до лишения свободы за оборот ПДн, добытых неправомерно.

Плюс закон закрепил обязанность оператора уведомлять Роскомнадзор об инциденте (утечке) в сжатые сроки — в течение 24 часов сообщить о факте, и в течение 72 часов — о результатах внутреннего расследования. Спрятать утечку и тихо разрулить теперь стоит дороже, чем признаться.

Моё мнение? Это давно назрело. Прежние штрафы были индульгенцией. Но есть и перегиб: под оборотные санкции одинаково попадают и злостный сливщик баз, и небольшая компания, которую взломали, несмотря на разумные меры защиты. Поэтому теперь критично не просто «иметь бумажки», а реально защищать данные и фиксировать, что вы это делали. При проверке после инцидента наличие выстроенной защиты — ваш главный аргумент в пользу смягчения.

Как всё это касается видеонаблюдения и распознавания

Сведём в одну картину, потому что для нашей темы это узел.

Если у вас стоят камеры, вы автоматически:

  • Обрабатываете ПДн (изображения людей) — значит, вы оператор со всеми обязанностями выше.
  • Должны иметь основание для съёмки и информировать людей. Отсюда те самые таблички «Ведётся видеонаблюдение» — это не для красоты, это форма уведомления субъектов. В публичных и рабочих зонах съёмка в целях безопасности обычно правомерна и без отдельного согласия каждого, но информировать и иметь политику — обязательно.
  • Должны хранить записи на серверах в РФ (локализация) и защищать доступ к архиву.
  • Обязаны соблюдать срок хранения и принцип минимизации: храните ровно столько, сколько нужно для заявленной цели, а не «вечно на всякий случай».

Как только вы добавляете распознавание лиц для идентификации — поднимается планка до биометрического режима, и нужно крайне аккуратно смотреть на ЕБС и согласия. А вот распознавание автомобильных номеров в этом смысле проще: госномер сам по себе — это про машину, а не напрямую про человека, хотя в связке с владельцем тоже может стать ПДн. Поэтому ANPR-сценарии (контроль въезда, учёт транспорта) обычно несут меньше юридических рисков, чем лицевая идентификация. Разницу полезно понимать на этапе проектирования, а не после письма из РКН.

Практический чек-лист без занудства

Чтобы не утонуть, вот короткий маршрут. Пройдитесь по нему — закроете 90% рисков.

  1. Признайте, что вы оператор. Есть сотрудники, клиенты или камеры — вы попадаете под 152-ФЗ. Не ищите, как «не считаться».
  2. Подайте уведомление в Роскомнадзор. Через портал РКН или Госуслуги. Это бесплатно и закрывает базовую обязанность.
  3. Опубликуйте политику обработки ПДн на сайте, в подвале, открытой ссылкой. И сверьте, что она описывает вашу реальную обработку, а не скачана у соседа.
  4. Наведите порядок с согласиями. Не предзаполненные галочки, отдельное согласие на рекламу, конкретные формулировки. Возьмите рабочий шаблон, не сочиняйте с нуля.
  5. Проверьте локализацию. Где физически лежат ваши базы, CRM, хостинг, видеоархив? Если за границей — переносите в РФ.
  6. Назначьте ответственного за организацию обработки ПДн и оформите внутренние документы (приказы, перечень обрабатываемых данных, модель угроз). Для небольшой компании это пара документов, а не том.
  7. Защитите доступ. Пароли, разграничение прав, шифрование архивов, журналирование. В мире оборотных штрафов это уже не опция.
  8. Отдельно разберитесь с биометрией. Если планируете вход по лицу с базой шаблонов — это зарегулированная зона, ЕБС и усиленные согласия. Не делайте кустарно.
  9. Заведите план на случай утечки. Кто, кому и в какие сроки сообщает (24 и 72 часа), как фиксируется расследование. Лучше прописать заранее, чем сочинять в день инцидента.

Главное, что стоит унести из всего этого: 152-ФЗ перестал быть формальностью, за которую «ну максимум пожурят». С 2025 года цена ошибки выросла на порядки, и теперь дешевле сделать нормально, чем рисковать. Хорошая новость в том, что базовый комплект — уведомление, политика, согласия, локализация, защита — реально собрать за пару недель и спать спокойно. А если у вас именно видеонаблюдение и распознавание, и вы не хотите ломать голову, где хранятся лица и не утекают ли кадры за границу, — мы как раз внедряем видеоаналитику on-premise, на железе у вас или в российском ЦОДе, по 152-ФЗ и с пилотом от двух недель. Без облаков за рубежом и без сюрпризов от регулятора.

// связанные услуги

Видеоаналитика для бизнеса

Хотите так же на вашем объекте?

Покажем видеоаналитику на ваших камерах и рассчитаем окупаемость. Бесплатно.

Обсудить задачу

Ещё по теме

Закон

Табличка «Ведётся видеонаблюдение»: образец, где вешать и что требует закон

Обязательна ли табличка «Ведётся видеонаблюдение» по 152-ФЗ, что на ней писать, где и на какой высоте вешать. Готовый шаблон, ГОСТ Р 12.4.026 и разбор ошибок.

Закон

Положение о видеонаблюдении на предприятии: что прописать и образец структуры

Положение о видеонаблюдении на предприятии: зачем нужен локальный акт по 152-ФЗ и ТК РФ, что внутрь (цели, зоны, сроки, доступ), чего нельзя, готовая структура-образец.