- Введение
- Чем грозят российскому бизнесу поправки в законе о персональных данных
- Как менеджеры паролей помогают соблюдать закон
- Практические рекомендации для бизнеса: чек-лист соответствия 152-ФЗ
- Заключение
Введение
Ещё пару лет назад тема защиты персональных данных чаще звучала в профессиональной среде юристов, специалистов по информационной безопасности и в крупных корпорациях. Но новые требования 152-ФЗ и Роскомнадзора сделали её топ-темой в 2025 году для всех, превратив в одну из ключевых вызовов для любого российского бизнеса.
С начала года вступили в силу значительно ужесточённые требования Роскомнадзора к хранению и защите персональных данных. Теперь утечка данных может стоить компании не символических 50–100 тысяч рублей, как это было ранее, а миллионы. В теме нам помог разобраться Аким Величко, сооснователь и CEO центра работы с персональными данными Агент 152.
«Сегодня в России мы видим переломный момент: тема персональных данных вышла за рамки узкопрофильных конференций и превратилась в ежедневную реальность любого предпринимателя. Даже владелец небольшой сети кафе или интернет-магазина теперь понимает: утечка это не "проблема больших", это угроза лично для него», — Аким Величко, CEO Агент 152
Хакеры стали действовать гораздо активнее, и их мишенью всё чаще становятся не только гиганты индустрии с миллиардными оборотами, но и малый и средний бизнес. У злоумышленников своя логика: атаковать мелкие компании зачастую проще, поскольку их системы обычно хуже защищены, сотрудники не так хорошо обучены основам цифровой гигиены, а последствия для бизнеса могут быть не менее разрушительными.
Чем грозят российскому бизнесу поправки в законе о персональных данных
Новая реальность в сфере персональных данных и поправки в 152-ФЗ несут для российского бизнеса целый комплекс рисков, включая возросшие штрафы за персональные данные. Что ожидать?
Утечка данных и удар по репутации
Если клиентская база попадёт в сеть, доверие к компании обрушится. Для малого бизнеса, который живёт за счёт повторных покупок и рекомендаций, это может означать фактический крах. Вернуть репутацию крайне сложно.
Финансовые потери и простой работы
Кибератака часто парализует процессы: интернет-магазин без CRM и платежей теряет выручку каждый день. Украденные данные используют для мошенничества — от кредитов на имена клиентов до поддельных договоров, что влечёт новые убытки и судебные риски.
Штрафы от государства
С 2025 года за утечку ПДн штрафы начинаются от 1,5 млн ₽. И это только часть проблемы — клиенты уходят, это влияет на репутацию и доверие, а бизнесу приходится тратить ресурсы на восстановление.
Как менеджеры паролей помогают соблюдать закон
Когда речь заходит о защите персональных данных, компании думают о сложных и дорогостоящих системах, серверах, шифровании, DLP-решениях. Всё это, безусловно, важно, но существует критическая уязвимость, о которой часто забывают: доступы, пароли и секреты, особенно в контексте защиты персональных данных. Именно с них начинается подавляющее большинство утечек.
Типичный сценарий: сотрудник использует один и тот же не всегда сложный пароль для корпоративной почты и своего личного аккаунта на каком-либо стороннем ресурсе. Этот ресурс подвергается атаке, база данных утекает в сеть, и хакеры, получив доступ к паролю, проверяют его в корпоративной системе — и вот они уже внутри вашей инфраструктуры.
«Надёжный доступ — это фундамент. Если ваши пароли лежат в Excel или пересылаются в Telegram, считайте, что они уже утекли. Менеджер паролей не роскошь, а минимальная гигиена, такой же базовый инструмент, как касса в магазине», — Аким Величко, CEO Агент 152
Менеджеры паролей с лицензиями ФСТЭК и ФСБ эффективно решают проблему защиты персональных данных, предлагая комплексный подход к управлению учётными данными, как это делает корпоративный менеджер паролей и секретов Пассворк:
- Генерирует уникальные и сложные пароли для каждого ресурса, исключая возможность использования одинаковых или легко подбираемых комбинаций
- Хранит пароли в зашифрованном виде, обеспечивая их безопасность даже в случае компрометации устройства
- Позволяет удобно управлять доступами внутри компании, сотрудники видят только необходимые для их работы пароли и типы сейфов
- Мгновенно отключает доступ у уволенного работника, предотвращая несанкционированный доступ к корпоративным ресурсам
Менеджеры паролей помогают выполнить ключевые требования закона: ограничение доступа к персональным данным, контроль действий сотрудников, предотвращение несанкционированного доступа и фиксацию всех операций в логах. Это снижает вероятность утечек и упрощает прохождение проверок Роскомнадзора: компания может показать, что доступы регулируются, пароли защищены, а процессы документированы. Пассворк — полноценная платформа для управления корпоративными данными, рассчитанная на реальные задачи и высокие требования к безопасности.
Практические рекомендации для бизнеса: чек-лист соответствия 152-ФЗ
Поправки в Федеральном законе № 152-ФЗ «О персональных данных» направлены на усиление защиты прав субъектов персональных данных и усиление контроля со стороны Роскомнадзора. В этих условиях бизнесу необходимо проактивно выстраивать систему защиты персональных данных.
«Теперь это минимальный набор требований для любой компании, работающей с персональными данными. В новой реальности — игнорирование грозит штрафами до 20 млн рублей, потерей репутации и даже уголовными сроками для должностных лиц», — Аким Величко, CEO Агент 152.
1. Разработать Политику обработки персональных данных в соответствии с 152-ФЗ. Это отдельный базовый документ, который обязателен для любой компании, работающей с ПДн. Политика показывает клиентам и Роскомнадзору, как именно вы собираете, храните и защищаете данные. Без неё невозможно пройти проверку или корректно взаимодействовать с пользователями. Политика должна содержать:
- Цели обработки персональных данных
- Состав обрабатываемых данных
- Категории субъектов персональных данных
- Перечень действий, совершаемых с данными
- Сроки и порядок хранения данных
- Условия передачи данных третьим лицам
- Применяемые меры защиты персональных данных
2. Определить правовое основание для обработки. Каждое действие с персональными данными должно иметь чёткое правовое основание, предусмотренное законом. Какие могут быть основания:
- Согласие субъекта. Должно быть добровольным, конкретным, информированным и сознательным. Важно правильно оформить согласие, указав цель обработки, перечень ПДн, список действий, срок хранения и круг третьих лиц. Неправильно оформленное согласие — прямой путь к штрафу.
- Исполнение требований законодательства. Например, ведение бухгалтерского учёта.
- Выполнение договора. Если субъект является стороной договора или выгодоприобретателем.
- Защита жизни и здоровья. В случаях, когда получение согласия невозможно.
3. Локализация баз данных. С 1 июля 2025 года Роскомнадзор запускает платформу автоматизированного мониторинга сайтов. Рекомендуется отказаться от иностранных облачных решений (Google Docs, Google Forms, Google Analytics) и перейти на локальные или проверенные российские аналоги, обеспечивающие соблюдение этого требования.
4. Cookie-файлы. Cookie-файлы относятся к персональным данным, поскольку они позволяют идентифицировать пользователя и отслеживать его поведение. Компаниям нужно:
- Указать использование cookie в Политике обработки персональных данных
- Внедрить на сайте баннер или отдельное уведомление с запросом согласия пользователя на использование cookie
- Чётко прописать цели использования cookie: аналитика, маркетинг, персонализация
5. Передача данных третьим лицам. Передача персональных данных третьим лицам допустима только при наличии законного правового основания и соответствующего документального оформления. Для этого необходимо:
- Проверить уровень информационной безопасности партнёра, которому передаются данные
- Получить согласие субъекта персональных данных на такую передачу или сослаться на другой законный вариант (например, исполнение договора)
- Заключить поручение на обработку персональных данных или включить соответствующие условия в договор с третьим лицом. Это поможет выполнить требования закона, снизить риски и частично снять ответственность с вашей компании
«Сегодня защищаться от утечек нужно не только ради бизнеса и клиентов, но и ради того, чтобы пережить проверку РКН. В реальности это два разных уровня защиты: первый — чтобы данные не утекли, второй — чтобы потом доказать регулятору, что вы сделали всё возможное», — Аким Величко, CEO Агент 152
С 30 мая 2025 года штрафы выросли до миллионов рублей: оплатить придётся от 3 до 15 млн, до 20 млн в тяжёлых случаях, введена уголовная ответственность должностных лиц. О факте утечки нужно сообщать в Роскомнадзор в течение 24 часов.
Заключение
Защита персональных данных это не формальность, а обязательное условие выживания бизнеса. Формальные документы больше не спасут, теперь Роскомнадзор проверяет реальные процессы. Чтобы избежать штрафов и рисков, нужно:
- привести в порядок сайт компании: обновить политику обработки ПДн, добавить баннер согласия на cookie, убрать запрещённые виджеты и скрипты, настроить корректный сбор данных
- обновить внутренние процедуры: регламенты обработки и порядок реагирования на инциденты, локализацию баз данных и хранение ПДн на серверах в РФ
- проводить обучение сотрудников и внутренние аудиты, обеспечивая их соответствие закону
Всё это поможет выявлять проблемы заранее, а готовый план реагирования на инциденты сократит время реакции при утечке. Если компания соблюдает 152-ФЗ и выполняет требования Роскомнадзора не только на словах, риск штрафов и репутационных потерь становится намного ниже.
Читайте также
Анастасия Лебедева
Илья Шелыгин
Илья Шелыгин
