Зачем бизнесу беспокоиться о защите персональных данных клиентов

На первый взгляд Федеральный закон № 152-ФЗ «О персональных данных» действует уже почти двадцать лет, и многие компании привыкли относиться к нему как к формальной «обязательной политике на сайте». Но за последние два года регуляторная среда изменилась настолько, что без глубокого аудита соответствия риски сравнимы с налоговыми проверками: серьезные штрафы, блокировка сервисов и коллективные иски со стороны клиентов.

Что изменилось в 2024–2025

• Точка биометрии. Поправки 233-ФЗ от 8 августа 2024 г. закрепили новые правила для работы с биометрическими и иными «чувствительными» данными: запретили объединять их без отдельного основания и обязали компании уничтожать копии только сертифицированными средствами.
• Дорожающий «тариф на невнимательность». С 30 мая 2025 г. вступают в силу поправки к КоАП: базовый штраф за нарушение ст. 13.11 повышается до 150–300 тыс. ₽ для юрлиц, а за повторное — до 300–500 тыс. ₽. Появились отдельные составы за отсутствие уведомления в Роскомнадзор и утечки крупных массивов данных.
• Единые формы согласия. Правительственное распоряжение № 856-р обязывает операторов использовать унифицированный шаблон согласия на обработку ПДн, что автоматически делает устаревшими многие корпоративные бланки. 
• Жестче контроль регистрации. С того же 30 мая 2025 г. за «забытое» уведомление в РКН будут штрафовать по отдельной статье, а реестр операторов станет публичной точкой проверки контрагентов.

Что такое аудит 152-ФЗ в 2025 году

Аудит — это комплексная проверка того, насколько ваши процессы, контракты и ИТ-системы отвечают актуальным требованиям Закона о персональных данных и связанных с ним подзаконных актов. Он включает три взаимосвязанных блока:

1. Правовой анализ. Юристы изучают локальные акты, договора с клиентами и подрядчиками, публичные оферты и политики конфиденциальности. Важна не только «наличие бумаг», но и соответствие формулировок новым нормам: от расширенных целей обработки до специальных оснований для биометрии.
2. Организационный аудит. Проверяются роли и ответственности, обучение сотрудников, журнал инцидентов, порядок реагирования на запросы субъектов данных. Здесь выявляются практические пробелы: уволенный DPO, забытый журнал учета обращений, отсутствие регламента по уничтожению носителей.
3. Техническое обследование. Инвентаризация информационных систем, классификация баз данных, оценка защищенности (модель угроз, СЗИ, аттестация). Юристам важно зафиксировать, что заявленные меры действительно реализованы, иначе формальные политики не спасут от штрафа.

Как проходит проверка

Старт. Аудиторская команда собирает входные данные: опросы бизнес-подразделений, экспорт реестра ИС, копии договоров.

Полевая фаза. Эксперты проводят интервью, выборочно подают «тестовые» запросы на удаление, смотрят логи доступа и анализируют код веб-форм.

Квалификация нарушений. Каждое отклонение соотносят с конкретной нормой 152-ФЗ или КоАП и рассчитывают финансовый риск.

Отчет. В финале заказчик получает не только перечень нарушений, но и приоритизированную дорожную карту: что обязательно закрыть до прихода инспекции, что желательно поправить в течение квартала, а что можно включить в план развития ИБ.

Частые «ловушки», которые вскрывает аудит

• Политика ПДн обновлена два года назад и не содержит упоминания биометрии.
• Формы обратной связи запрашивают лишние поля («дата рождения», «серия паспорта»), которые не нужны для оказания услуги.
• Компания ведет маркетинг через зарубежный SaaS, но в документах нет основания для трансграничной передачи.
• Договоры с подрядчиками не разделяют роли «оператор» и «обработчик» и не описывают субподрядчиков.

Зачем бизнесу приглашать внешних юристов

Независимая команда замечает то, на что у внутренней «замылился глаз», приносит проверенные шаблоны документов и знает позицию Роскомнадзора по спорным вопросам. Практика показывает: после аудита средняя компания сокращает перечень собираемых данных на 10–15 %, а потенциальный штраф — вдвое.

Как выбрать подрядчика

• Ищите портфель проектов именно по 152-ФЗ; общий опыт в IT-праве недостаточен.
• Проверьте наличие судебной практики по персональным данным: юрист, который защищал клиентов в споре с РКН, лучше понимает, какие формулировки рабочие, а какие — пустые.
• Договоритесь о пост-аудитовой поддержке: регулятор может запросить прогресс-репорт, и важно, чтобы консультант помог закрывать «хвосты».

Поправки 2024–2025 гг. превратили работу с персональными данными из «бумажного» требования в высокорисковый комплаенс-процесс. Организациям, которые продолжают использовать устаревшие документы или доверяют случайным настройкам облачных сервисов, придется платить не только штрафы, но и репутационную цену. Профессиональный аудит позволяет заранее увидеть слабые места и построить защиту данных как конкурентное преимущество — еще до того, как об этом попросит инспектор Роскомнадзора или ваши собственные клиенты.