Что такое 152-ФЗ
Федеральный закон 152-ФЗ «О персональных данных» — основной российский закон, регулирующий обработку ПДн. Распространяется на всех, кто работает с данными граждан России: имя, телефон, email, адрес, паспорт и т.д.
Игнорировать нельзя — штрафы (с 2024 года ужесточены): за умышленную утечку — до 300 000 ₽ за случай, при крупных утечках — оборотные штрафы 1–3% от выручки.
Что считается персональными данными
- ФИО + номер телефона
- ФИО + email
- Паспортные данные
- ИНН, СНИЛС
- Адрес проживания
- Биометрия (фото лица)
Если у вас в Битрикс24 есть карточки клиентов — у вас точно есть ПДн.
Главные требования закона
1. Согласие на обработку. Клиент должен явно согласиться. Чек-бокс на сайте, отдельный документ.
2. Цель обработки. Зачем собираете данные — должно быть указано. Например, «для оформления заказа», «для рассылки».
3. Минимальный объём. Не собирать лишнее. Если вам для рассылки нужен только email — не запрашивайте паспорт.
4. Локализация. Базы с ПДн россиян должны храниться на серверах в РФ.
5. Уведомление Роскомнадзора. Большинство компаний обязаны зарегистрироваться как оператор ПДн.
6. Защита. Технические и организационные меры защиты.
Битрикс24: соответствие 152-ФЗ
Битрикс24 в облачной версии (cloud.bitrix24.ru) — серверы в РФ, локализация выполнена. Это плюс.
Что нужно настроить со своей стороны:
- Согласие на обработку при заполнении любых форм
- Политика конфиденциальности на сайте + ссылка во всех формах
- 2FA для сотрудников, имеющих доступ к ПДн
- Регламент работы с ПДн
- Регламент уничтожения по запросу клиента
Шаг 1: Регистрация в Роскомнадзоре
Через сайт rkn.gov.ru — заявление на включение в реестр операторов. Бесплатно, занимает 30 рабочих дней.
Освобождение от регистрации — есть в статье 22, но условия узкие.
Шаг 2: Документы внутри компании
- Политика обработки ПДн (публикуется на сайте)
- Положение о работе с ПДн (внутренний документ)
- Согласия на обработку (форма для клиентов)
- Журнал учёта обращений субъектов
- Приказ о назначении ответственного за обработку
Шаг 3: Технические меры
- Доступ к ПДн — только сотрудникам по необходимости
- Логирование действий с ПДн
- Шифрование при передаче (HTTPS на сайте)
- Регулярные бэкапы на защищённые хранилища
- 2FA
Шаг 4: Согласие на сайте
Каждая форма (заявка, подписка, форма обратной связи) должна иметь:
- Чек-бокс «Согласен с обработкой» (по умолчанию НЕ отмечен)
- Ссылку на политику
Шаг 5: Право клиента
Клиент имеет право:
- Узнать, какие его данные у вас хранятся
- Запросить корректировку
- Запросить удаление
- Запросить отзыв согласия
Реакция на запрос — в течение 30 дней. У вас должна быть процедура.
Главные ошибки
- Не зарегистрированы в РКН.
- На сайте нет политики или согласия.
- Чек-бокс согласия отмечен по умолчанию (нарушение).
- Сотрудники имеют доступ ко всем ПДн без необходимости.
- Базы хранятся за границей (например, в Mailchimp без копии в РФ).
Сколько стоит привести в порядок
Базовый комплект (документы + регистрация + настройка чек-боксов + регламент): 60 000–150 000 ₽. Срок 4–8 недель.
Полное приведение к 152-ФЗ для среднего бизнеса (включая обучение, тех. меры, аудит): 200 000–600 000 ₽.
Рассчитать → Записаться на разбор →
FAQ
Что будет, если игнорировать?
Штрафы при первой проверке РКН — от 60 тыс. ₽. При утечке — до 15 млн ₽ + оборотные.
Можно ли использовать сервисы рассылок (Mailchimp и т.п.)?
Российские (UniSender, SendPulse, Mindbox) — можно. Зарубежные — рискованно из-за локализации.