Аудит системы защиты персональных данных: соответствие 152-ФЗ
Лид. Роскомнадзор с 2023 года резко увеличил число плановых и внеплановых проверок операторов персональных данных. Штрафы за нарушение 152-ФЗ выросли кратно: за повторные утечки — до 500 млн рублей. Бизнес, не проводивший внутренний аудит системы защиты персональных данных, рискует не только санкциями, но и уголовной ответственностью должностных лиц. Эта статья — практическое руководство по проведению аудита, устранению типичных нарушений и выстраиванию защиты, соответствующей актуальным требованиям законодательства.
Правовая основа аудита: что проверяет Роскомнадзор и чем рискует оператор
Федеральный закон № 152-ФЗ «О персональных данных» устанавливает обязанности оператора на нескольких уровнях: организационном, техническом и правовом. Роскомнадзор при проверке оценивает соответствие по всем трём направлениям одновременно. Ключевые нормы, на которые опирается регулятор, — статьи 18.1 и 19 закона, закрепляющие обязанность принимать меры по обеспечению безопасности персональных данных.
Статья 18.1 152-ФЗ обязывает оператора разработать и утвердить локальные акты, назначить ответственного за организацию обработки, проводить внутренний контроль и оценку вреда субъектам. На практике Роскомнадзор запрашивает именно эти документы в первую очередь. Отсутствие приказа о назначении ответственного лица — одно из самых распространённых нарушений, фиксируемых при проверках малого и среднего бизнеса.
Статья 19 152-ФЗ требует применения технических и организационных мер защиты, соответствующих уровню угроз. Конкретизацию этих мер даёт Постановление Правительства РФ № 1119 от 01.11.2012, устанавливающее четыре уровня защищённости информационных систем персональных данных (ИСПДн). Приказ ФСТЭК России № 21 от 18.02.2013 определяет состав мер для каждого уровня. Несоответствие технических мер установленному уровню защищённости влечёт предписание об устранении нарушений и административный штраф по статье 13.11 КоАП РФ.
Санкции за нарушения 152-ФЗ после поправок 2023–2024 годов существенно ужесточились. За обработку персональных данных без согласия субъекта — штраф до 700 000 рублей для юридических лиц. За утечку данных более 100 000 субъектов — до 15 млн рублей, за повторную утечку — оборотный штраф до 3% годовой выручки, но не менее 15 млн рублей. Уголовная ответственность по статье 272 УК РФ грозит должностным лицам при доказанном умысле.
Чек-лист первичной диагностики: получите шаблон на info@vitvet.com — он охватывает 24 контрольных точки по организационным и техническим мерам.
Этапы проведения внутреннего аудита системы защиты персональных данных
Аудит соответствия 152-ФЗ структурно делится на четыре последовательных этапа: инвентаризация, правовой анализ, техническая оценка и формирование плана устранения нарушений. Каждый этап имеет собственный перечень артефактов и контрольных вопросов. Пропуск любого из них создаёт слепые зоны, которые регулятор обнаружит при проверке.
Этап 1 — инвентаризация данных и процессов. Необходимо составить реестр всех категорий персональных данных, которые обрабатывает организация: сотрудники, клиенты, контрагенты, посетители сайта. Для каждой категории фиксируется цель обработки, правовое основание (согласие, договор, закон), срок хранения и перечень лиц, имеющих доступ. Типичная ошибка — включение в реестр только «очевидных» баз данных и игнорирование CRM-систем, мессенджеров, облачных хранилищ и резервных копий.
Этап 2 — правовой анализ документации. Проверяется наличие и актуальность политики обработки персональных данных, форм согласий, договоров с операторами-поручителями (статья 6 152-ФЗ), уведомления Роскомнадзора о начале обработки. Согласие должно быть конкретным, информированным, сознательным и однозначным — это требование прямо следует из статьи 9 закона. Согласия, оформленные до 2022 года, нередко не соответствуют актуальным стандартам и требуют переработки.
Этап 3 — техническая оценка ИСПДн. Определяется класс информационной системы по Постановлению № 1119, оцениваются актуальные угрозы на основе модели угроз ФСТЭК, проверяется наличие средств защиты информации (СЗИ), сертифицированных ФСТЭК или ФСБ. Для государственных информационных систем и операторов, обрабатывающих специальные категории данных (здоровье, биометрия), требования к СЗИ существенно строже. Отсутствие актуальной модели угроз — нарушение, которое фиксируется при каждой второй проверке.
Этап 4 — формирование плана корректирующих мер. По итогам трёх предыдущих этапов составляется реестр нарушений с приоритизацией по риску и стоимостью устранения. Типичный бюджет на приведение среднего предприятия в соответствие — от 300 000 до 1,5 млн рублей в зависимости от числа ИСПДн и категорий данных. Срок реализации плана — 3–6 месяцев при наличии выделенного ресурса.
Типичные нарушения и практика Роскомнадзора: три сценария
Практика проверок Роскомнадзора за 2022–2024 годы позволяет выделить три типичных профиля нарушителей с разными наборами проблем и последствий.
Сценарий 1 — интернет-магазин с оборотом до 500 млн рублей. Компания собирает данные покупателей через сайт, передаёт их в службу доставки и CRM-систему на облачном сервере. Нарушения: форма согласия на сайте не соответствует статье 9 152-ФЗ (нет указания на цели и сроки), договор с оператором-поручителем (облачным провайдером) не содержит обязательных условий статьи 6, локализация данных на российских серверах не обеспечена. Предписание Роскомнадзора — устранить в течение 30 дней. Штраф — 150 000–300 000 рублей. Стоимость устранения — около 200 000 рублей.
Сценарий 2 — медицинская клиника. Обрабатываются специальные категории персональных данных (состояние здоровья) — статья 10 152-ФЗ. Требования к защите максимальные: уровень защищённости УЗ-3 или УЗ-2, обязательная сертификация СЗИ. Типичные нарушения: отсутствие модели угроз, использование несертифицированных антивирусных решений, передача данных пациентов в страховые компании без надлежащего правового основания. Риск — штраф до 700 000 рублей плюс предписание о приостановлении обработки.
Сценарий 3 — производственное предприятие с иностранными учредителями. Трансграничная передача персональных данных сотрудников в головной офис за рубеж. После поправок 2022 года статья 12 152-ФЗ требует уведомления Роскомнадзора о трансграничной передаче и получения разрешения для стран, не обеспечивающих адекватный уровень защиты. Нарушение этого требования — штраф до 1 млн рублей и риск блокировки передачи данных. Срок рассмотрения уведомления регулятором — до 10 рабочих дней.
Арбитражные суды при оспаривании предписаний Роскомнадзора учитывают наличие у оператора утверждённого плана устранения нарушений и факт его частичного исполнения. Это снижает риск применения максимальных санкций и позволяет добиться отсрочки исполнения предписания.
Организационные меры: документация, которую проверяют в первую очередь
Роскомнадзор при плановой проверке запрашивает стандартный пакет документов. Его отсутствие или несоответствие актуальным требованиям — основание для немедленного составления протокола об административном правонарушении ещё до анализа технических мер.
Обязательный минимум организационной документации включает: политику обработки персональных данных (публичную, размещённую на сайте), приказ о назначении ответственного за организацию обработки, перечень лиц, допущенных к обработке, инструкции по работе с персональными данными, регламент реагирования на инциденты и уведомления субъектов. Статья 18.1 152-ФЗ прямо называет эти документы как элементы системы внутреннего контроля.
Отдельного внимания требует уведомление Роскомнадзора о начале обработки персональных данных. Многие компании, зарегистрированные до 2006 года или прошедшие реорганизацию, не актуализировали уведомление. Подача уведомления осуществляется через портал pd.rkn.gov.ru, срок — до начала обработки. Изменения в уведомление вносятся в течение 10 рабочих дней с момента изменения сведений.
Договоры с операторами-поручителями — ещё одна зона риска. Статья 6 152-ФЗ требует, чтобы в договоре были прямо указаны перечень действий с данными, цели обработки, обязанность соблюдать конфиденциальность и обеспечивать безопасность. Типовые договоры с облачными провайдерами, маркетинговыми агентствами и аутсорсинговыми HR-компаниями, как правило, этим требованиям не отвечают.
Получите чек-лист документационного аудита — 18 позиций с образцами формулировок — на info@vitvet.com.
Технические меры защиты: уровни защищённости и требования ФСТЭК
Технический аудит — наиболее ресурсоёмкая часть работы. Он требует участия специалиста по информационной безопасности и юриста одновременно: первый оценивает фактическое состояние инфраструктуры, второй — соответствие нормативным требованиям.
Постановление Правительства № 1119 устанавливает четыре уровня защищённости ИСПДн. Уровень определяется исходя из типа субъектов (сотрудники или иные лица), категории данных (специальные, биометрические, общедоступные, иные) и числа субъектов (до 100 000 или более). Для большинства коммерческих организаций, обрабатывающих данные клиентов без специальных категорий, актуален УЗ-3 или УЗ-4. Медицинские, образовательные организации и финансовые институты, как правило, обязаны обеспечить УЗ-2 или УЗ-1.
Приказ ФСТЭК № 21 для каждого уровня защищённости определяет базовый набор мер: идентификация и аутентификация пользователей, управление доступом, защита машинных носителей, регистрация событий безопасности, антивирусная защита, обнаружение вторжений, контроль защищённости. Для УЗ-1 и УЗ-2 применяемые СЗИ должны иметь сертификат ФСТЭК не ниже 4-го класса защиты. Использование несертифицированных решений — нарушение, которое не устраняется ни организационными мерами, ни договорными конструкциями.
Отдельно следует учитывать требования к локализации данных. Статья 18 152-ФЗ обязывает хранить и первично обрабатывать персональные данные российских граждан на серверах, расположенных на территории РФ. Использование зарубежных облачных сервисов (AWS, Google Cloud, Microsoft Azure) без российского сегмента хранения — нарушение, за которое Роскомнадзор уже выносил предписания крупным платформам. Для бизнеса это означает необходимость аудита облачной инфраструктуры и при необходимости — миграции данных.
Реагирование на инциденты и уведомление об утечках: новые обязанности оператора
С сентября 2022 года операторы персональных данных обязаны уведомлять Роскомнадзор об инцидентах, связанных с утечкой данных. Порядок уведомления установлен Постановлением Правительства РФ № 1119 и приказами Роскомнадзора. Несоблюдение сроков уведомления — самостоятельное нарушение, влекущее штраф.
Первичное уведомление об инциденте направляется в Роскомнадзор через портал pd.rkn.gov.ru в течение 24 часов с момента обнаружения. В уведомлении указываются предполагаемые причины инцидента, перечень скомпрометированных данных и принятые меры. Уточнённое уведомление с результатами внутреннего расследования подаётся в течение 72 часов. Это требование аналогично европейскому стандарту GDPR, однако российская практика его применения пока формируется.
Внутренний регламент реагирования на инциденты должен быть разработан заблаговременно. Он включает: порядок обнаружения и классификации инцидента, цепочку уведомлений внутри организации, алгоритм взаимодействия с Роскомнадзором и ФСБ (при необходимости), порядок уведомления субъектов персональных данных. Отсутствие такого регламента при проверке после инцидента — отягчающее обстоятельство.
Практика показывает: компании, имеющие задокументированный план реагирования и доказавшие его применение, получают существенно меньшие санкции. Арбитражные суды при оспаривании штрафов учитывают добросовестность оператора как смягчающее обстоятельство. Инвестиции в разработку регламента (50 000–150 000 рублей) многократно окупаются при первом же инциденте.
Часто задаваемые вопросы
Нужно ли проводить аудит, если компания обрабатывает данные только своих сотрудников?
Да. Обработка персональных данных сотрудников — полноценная деятельность оператора по смыслу 152-ФЗ. Трудовой договор является правовым основанием для обработки данных, необходимых для его исполнения, но не освобождает от обязанностей по статьям 18.1 и 19 закона. Компания обязана разработать локальные акты, назначить ответственного, обеспечить технические меры защиты кадровых систем. Роскомнадзор проверяет работодателей наравне с другими операторами, и штрафы за нарушения в сфере кадрового делопроизводства фиксируются регулярно.
Как часто нужно проводить аудит системы защиты персональных данных?
Закон не устанавливает конкретной периодичности, однако статья 18.1 152-ФЗ требует проведения внутреннего контроля на регулярной основе. Рекомендуемая практика — полный аудит раз в год и экспресс-проверка при каждом существенном изменении: запуске нового продукта, смене IT-инфраструктуры, реорганизации, появлении новых категорий субъектов или данных. Роскомнадзор при проверке запрашивает документы, подтверждающие проведение внутреннего контроля, — их отсутствие само по себе является нарушением.
Можно ли передать функцию защиты персональных данных на аутсорсинг и снять с себя ответственность?
Нет. Статья 6 152-ФЗ допускает поручение обработки данных третьему лицу, однако ответственность перед субъектами персональных данных и регулятором остаётся у оператора. Договор с аутсорсинговой компанией или DPO-провайдером не освобождает от административной ответственности. Оператор несёт ответственность за действия поручителя как за свои собственные. Это означает, что выбор подрядчика, контроль его деятельности и аудит исполнения договора — обязанности самого оператора.
Заключение: аудит как инструмент управления правовым риском
Аудит системы защиты персональных данных — не разовое мероприятие, а непрерывный процесс управления правовым и репутационным риском. Законодательство в этой сфере продолжает ужесточаться: оборотные штрафы, уголовная ответственность и обязательное уведомление об утечках формируют новую реальность для каждого оператора. Компании, выстроившие систему соответствия 152-ФЗ заблаговременно, экономят на штрафах и сохраняют доверие клиентов.
Юридическая фирма «Ветров и партнёры» сопровождает аудиты систем защиты персональных данных для компаний различных отраслей, представляет интересы операторов при проверках Роскомнадзора и в арбитражных судах. Обратитесь за консультацией: info@vitvet.com.
Подписывайтесь на наш телеграм-канал.
Арсен Саркисян, юрист-аналитик. Разбираю судебную практику, нормы и тонкие места законодательства так, чтобы ими можно было пользоваться в работе, а не только цитировать. Пишу про споры, налоги, договоры и правоприменение - без воды, с выводами и алгоритмами действий. Считаю, что право должно быть инструментом, а не источником неопределённости. Так полезнее?
02.03.2026
В случае, если Ваш судебный спор или иной спор, договорная работа или любая другая форма деятельности касается вопросов, рассмотренных в данной или ином нашем материале, рекомендуем проверить и убедиться, что Ваша правовая позиция соответствует последним изменениям практики и законодательству.
Мы будем рады оказать Вам юридическую помощь по поводу минимизации юридических рисков и имеющимся возможностям. Мы постараемся найти решение, подходящее именно для Вас.
Звоните по телефону +7 (383) 310-38-76 или пишите на адрес info@vitvet.com.
