SEO-корпус
Требования 152-ФЗ к оператору персональных данных в 2026 году
Компания собирает анкеты сотрудников, ведёт базу клиентов, хранит резюме соискателей и принимает заявки через сайт. Формально это уже обработка персональных данных, а сама организация это оператор. Вопрос, который чаще всего задают на консультации, звучит так. Что конкретно нужно сделать, чтобы при проверке Роскомнадзора не получить предписание и штраф. Закон 152-ФЗ не даёт одной кнопки. Он распределяет обязанности по нескольким статьям, и каждая из них закрывает свой участок риска.
Разберём требования по трём опорным нормам. Статья 18.1 описывает организационный каркас, статья 19 отвечает за безопасность, статья 22 за публичную сторону, то есть за уведомление уполномоченного органа. Вместе они дают рабочий чек-лист, по которому юрист проверяет компанию перед приходом инспектора.
Организационные меры по статье 18.1
Часть 1 статьи 18.1 закона 152-ФЗ обязывает оператора принимать меры, необходимые и достаточные для выполнения обязанностей по закону. Важная деталь, оператор самостоятельно определяет состав и перечень этих мер, если иное прямо не предусмотрено законом. Это значит, что готового универсального набора нет, но закон называет ориентиры.
Первый ориентир, назначение ответственного за организацию обработки персональных данных. Эта обязанность адресована оператору, который является юридическим лицом. На практике издаётся приказ, в котором конкретный сотрудник наделяется функцией контроля за соблюдением закона внутри компании.
Второй ориентир, издание документов, определяющих политику оператора в отношении обработки персональных данных, и локальных актов. Закон в пункте 2 части 1 описывает, что эти акты должны определять для каждой цели обработки категории и перечень обрабатываемых данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения данных при достижении целей или при наступлении иных законных оснований. Отдельно закон запрещает включать в такие документы положения, ограничивающие права субъектов или возлагающие на оператора не предусмотренные законом обязанности. То есть политика это не формальная отписка, а карта всех потоков данных в организации.
Третий ориентир, применение правовых, организационных и технических мер по обеспечению безопасности данных по статье 19. Четвёртый, внутренний контроль и аудит соответствия обработки требованиям закона и собственным локальным актам. Пятый, оценка вреда, который может быть причинён субъектам при нарушении закона, по требованиям уполномоченного органа. Шестой, ознакомление работников, которые непосредственно обрабатывают данные, с положениями законодательства и внутренними документами, либо их обучение.
Часть 2 статьи 18.1 добавляет публичную обязанность. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу о политике обработки. Если сбор данных идёт через интернет, политику нужно опубликовать в той же сети, в том числе на страницах сайта, через которые собираются данные. Часть 4 закрывает цикл. По запросу уполномоченного органа оператор обязан представить эти документы и локальные акты либо иным образом подтвердить, что меры приняты.
Безопасность данных по статье 19
Статья 19 переводит организационные обязанности в плоскость защиты. Часть 1 формулирует цель. Оператор обязан принимать правовые, организационные и технические меры или обеспечивать их принятие для защиты данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
Часть 2 раскрывает, чем достигается безопасность. Это определение угроз безопасности при обработке в информационных системах, применение организационных и технических мер, обеспечивающих установленные Правительством уровни защищённости, применение прошедших оценку соответствия средств защиты информации, оценка эффективности мер до ввода системы в эксплуатацию, учёт машинных носителей, обнаружение фактов несанкционированного доступа, восстановление модифицированных или уничтоженных данных, установление правил доступа с регистрацией всех действий и контроль за принятыми мерами.
Часть 12 статьи 19 добавляет обязанность взаимодействия с государственной системой обнаружения и ликвидации последствий компьютерных атак, включая информирование о компьютерных инцидентах, повлёкших неправомерную передачу данных. Это требование особенно чувствительно для тех, кто хранит большие массивы клиентских данных, поскольку реакция на утечку теперь часть штатного процесса, а не аврал.
Уведомление Роскомнадзора по статье 22
Часть 1 статьи 22 устанавливает базовое правило. Оператор до начала обработки обязан уведомить уполномоченный орган о своём намерении осуществлять обработку, кроме случаев из части 2. После реформы 2022 года большинство прежних исключений утратило силу с 1 сентября 2022 года. Сейчас среди исключений остались, в частности, данные в государственных информационных системах, созданных для защиты безопасности государства и общественного порядка, обработка исключительно без средств автоматизации и случаи, связанные с транспортной безопасностью.
Часть 3 перечисляет, какие сведения должно содержать уведомление. Среди них наименование и адрес оператора, цель обработки, описание мер по статьям 18.1 и 19, сведения об ответственном лице с контактами, дата начала обработки, срок или условие прекращения, сведения о трансграничной передаче и о месте нахождения базы данных граждан России. Часть 3.1 требует для каждой цели указывать категории данных, категории субъектов, правовое основание, перечень действий и способы обработки.
Часть 4 даёт уполномоченному органу тридцать дней с даты поступления уведомления на внесение сведений в реестр операторов. Сведения реестра, кроме данных о средствах безопасности, общедоступны.
На что смотрит суд и проверяющий
Практика показывает, что инспектор проверяет не идеологию, а наличие документов и их соответствие реальным процессам. Слабое место большинства компаний это разрыв между текстом политики и фактической обработкой. В политике написано одно, а отдел кадров и маркетинг работают по другому. Второе слабое место отсутствие приказа об ответственном лице. Третье формальная политика, в которой нет привязки целей к категориям данных и срокам хранения, чего прямо требует пункт 2 части 1 статьи 18.1.
Частые ошибки
Компании путают согласие субъекта и политику обработки, считая, что галочка на сайте закрывает все обязанности. Это разные вещи. Согласие основание обработки, политика организационный документ оператора. Другая ошибка убеждение, что малый бизнес освобождён от уведомления. После 2022 года перечень исключений в части 2 статьи 22 сузился, и большинство коммерческих операторов обязаны уведомлять Роскомнадзор. Третья ошибка отсутствие публикации политики на сайте, через который идёт сбор данных, хотя часть 2 статьи 18.1 этого прямо требует.
Цена ошибки заметна. Невыполнение обязанности по уведомлению образует состав по части 10 статьи 13.11 КоАП со штрафом для юридических лиц от ста тысяч до трёхсот тысяч рублей. Отсутствие опубликованной политики это часть 3 той же статьи.
Частые вопросы
Нужно ли уведомлять Роскомнадзор, если данные обрабатываются только на бумаге. Часть 2 статьи 22 относит к исключениям обработку исключительно без средств автоматизации. Если же хоть один процесс идёт в электронной системе, исключение не применяется.
Кто должен быть назначен ответственным за организацию обработки. Пункт 1 части 1 статьи 18.1 адресует эту обязанность оператору, являющемуся юридическим лицом. Назначение оформляется внутренним актом, ответственным выступает конкретный работник.
Обязательно ли публиковать политику в интернете. Часть 2 статьи 18.1 требует обеспечить неограниченный доступ к документу, а при сборе данных через интернет опубликовать политику в той же сети, в том числе на страницах сайта сбора.
Подготовка комплекта документов оператора это работа на стыке права и процессов компании. Если нужен аудит готовности и пакет локальных актов под реальные потоки данных, разумно обратиться за услугой по персональным данным и обсудить детали через контакты.