152-ФЗ для малого бизнеса: как не попасть на штраф до 15 млн рублей и закрыть базовые требования за один день
Если у бизнеса есть хотя бы один сотрудник, форма на сайте, база клиентов или контакты контрагентов в CRM, он уже обрабатывает персональные данные. Это значит, что на него распространяется 152-ФЗ. Игнорировать этот вопрос стало дороже: с мая 2025 года штрафы выросли кратно, а для части нарушений речь идет уже не о десятках тысяч, а о миллионах рублей.
Для малого бизнеса здесь главный практический вывод простой: закон не требует строить отдельную службу privacy или поднимать сложный compliance-контур. Он требует закрыть базовые вещи: понять, какие данные вы собираете, где они хранятся, на каком основании обрабатываются, что написано у вас на сайте и подано ли уведомление в Роскомнадзор.
Кого касается 152-ФЗ
Закон касается всех, кто собирает, хранит или передает персональные данные физических лиц. Под это попадают:
- компании с сотрудниками в штате;
- интернет-магазины с формой заказа;
- клиники, салоны, фитнес-клубы с клиентской базой;
- рестораны с программой лояльности;
- B2B-компании, которые хранят контакты контрагентов в CRM.
Короткий тест выглядит так: если у вас есть имя, телефон или email хотя бы одного человека, вы оператор персональных данных.
Что малый бизнес должен закрыть в первую очередь
Закон не требует от малого бизнеса отдельного отдела по защите данных. Базовых требований немного, но именно на них чаще всего и проваливаются.
Реестр операций с данными
На практике слабое место у малого бизнеса почти всегда одно и то же: нет нормального описания процессов обработки. А это как раз то, с чего обычно и начинают проверку.
Если у вас нет уверенности, что эти базовые вещи уже закрыты, логичнее сначала проверить текущую картину, а не собирать документы вслепую. Для этого есть понятная точка входа — разобрать ситуацию на практике с экспертами на консультации.
Чем грозят нарушения
До мая 2025 года многие воспринимали нарушения в этой сфере как управляемый риск: максимальный штраф для организации был сравнительно небольшим, и часть компаний просто откладывала вопрос. После роста санкций этот подход перестал работать.
Сейчас в статье уже есть главное, что нужно понимать бизнесу:
- отсутствие уведомления в РКН — до 500 000 ₽;
- нарушение порядка обработки данных — 150–300 тысяч рублей для организации;
- утечка персональных данных — от 3 до 15 миллионов рублей, в зависимости от объема;
- повторное нарушение — оборотный штраф: до 3% от годовой выручки или до 500 миллионов рублей.
Для небольшой компании с выручкой 30–50 миллионов рублей в год оборотный штраф в 3% — это уже чувствительный удар по экономике бизнеса.
К прямым расходам добавляются и косвенные последствия: публичная утечка, претензии со стороны клиентов, жалобы бывших сотрудников, потеря доверия партнеров. Для малого бизнеса это часто бьет не слабее, чем сам штраф.
Как закрыть вопрос: рабочий порядок действий
Если идти по шагам, а не пытаться сразу написать все документы разом, базовую часть реально собрать за один рабочий день.
Шаг 1. Понять, какие данные у вас вообще есть
Начинать стоит не с документов, а с инвентаризации. Посмотрите, где у вас есть персональные данные:
- CRM;
- бухгалтерия;
- корпоративная почта;
- таблицы;
- мессенджеры;
- сайт и формы на нем.
Нужен простой и понятный список: какие данные есть у сотрудников, клиентов, лидов, контрагентов и где они лежат.
Шаг 2. Собрать реестр обработки персональных данных
Это основной рабочий документ. В нем фиксируется:
- какие данные обрабатываются;
- для чего;
- на каком правовом основании;
- сколько времени они хранятся;
- кто имеет к ним доступ.
Здесь у малого бизнеса и начинаются основные проблемы, потому что непонятно, как это должно выглядеть в нормальном виде. Поэтому на практике удобнее отталкиваться от типовых процессов вроде приема на работу, работы с клиентами в CRM или рассылки по базе и уже потом подгонять их под свою модель.
Именно здесь Privacy Box закрывает самый неприятный участок работы: не дает собирать реестр с нуля в случайной таблице, а помогает собрать его на основе готовой логики процессов. Это снижает риск пропустить сайт, CRM, кадровый блок или передачу подрядчикам.
Шаг 3. Проверить сайт
Сайт почти всегда оказывается источником риска, даже когда бизнес считает, что “ничего особенного там нет”. Форма обратной связи, форма заказа, виджет звонка, чат-бот, счетчики аналитики — все это связано с обработкой данных.
Проверка здесь сводится к трем вопросам:
- есть ли политика конфиденциальности;
- есть ли согласие там, где оно нужно;
- совпадает ли текст на сайте с тем, что реально происходит в обработке.
Шаг 4. Подать уведомление в РКН
Когда реестр уже собран, уведомление подается заметно проще. По сути, вы переносите в форму те сведения, которые уже разобрали внутри компании. Если база готова, сам этап подачи действительно занимает немного времени.
Шаг 5. Дальше не бросать это в папку “разобрались и забыли”
Здесь бизнес часто ошибается. Логика закона не в том, чтобы один раз собрать комплект и больше к нему не возвращаться. Логика в том, чтобы состояние документов и процессов оставалось актуальным.
Появился новый процесс — добавили в реестр. Сменился подрядчик — обновили. Изменился срок хранения — поправили. Когда реестр ведется как живой документ, на это уходит минимум времени. Когда его каждый раз поднимают с нуля, задача снова превращается в большой и неприятный проект.
Для малого бизнеса это еще один аргумент в пользу сервиса, а не разовой ручной сборки. Privacy Box удобен именно там, где процессы меняются: он нужен не только для стартовой сборки, но и для поддержания актуального состояния. Узнать подробнее можно по ссылке.
Такие ситуации, типовые ошибки на сайте и провалы в базовых процессах регулярно разбираются на практических примерах в Telegram-канале компании Б-152.
Почему это обычно откладывают
Причины у малого бизнеса обычно одни и те же.
Первая — непонятно, с чего начинать. Со стороны задача выглядит как набор юридических формальностей, в которые без специалиста лучше не лезть. Поэтому вопрос откладывают до жалобы, проверки или инцидента.
Вторая — ощущение, что это касается в первую очередь крупных компаний, банков и медицины. Но если у бизнеса есть клиенты, сотрудники и сайт, масштаб не освобождает от статуса оператора. А жалоба со стороны клиента или бывшего сотрудника не зависит от размера компании.
Если не делать это вручную
Когда бизнес не хочет собирать все с нуля в таблицах и документах, ему нужен не “еще один шаблон из интернета”, а инструмент, который помогает пройти базовую часть по шагам.
Privacy Box — сервис для автоматизации соответствия 152-ФЗ. Он помогает собрать реестр обработки данных, проверить сайт, найти риски несоответствия и подготовить документы для РКН. Внутри есть 170+ готовых шаблонов процессов, поэтому не приходится каждый раз придумывать структуру самостоятельно.
В статье уже дан и прикладной ориентир по использованию: есть бесплатный тариф без ограничений по времени, до 30 процессов, кадровые и юридические шаблоны, сканер сайта и генерация документов. Для небольшой компании или ИП этого может хватить, чтобы закрыть базовый контур без длинного проекта.
Что в итоге
Для малого бизнеса 152-ФЗ давно перестал быть темой “на потом”. Если у компании есть сотрудники, клиенты, CRM и сайт, вопрос уже существует, даже если им никто еще не занимался.
Практически задача сводится к пяти вещам: понять, какие данные вы обрабатываете, собрать реестр, проверить сайт, подать уведомление в РКН и дальше держать это в актуальном состоянии. Без этого риск начинает измеряться уже не условными штрафами “на всякий случай”, а реальными деньгами и потерями для бизнеса.
Следующий разумный шаг здесь не в том, чтобы ждать жалобу или инцидент, а в том, чтобы быстро проверить свою текущую модель обработки и закрыть слабые места по факту. Для этого подойдет разбор ситуации с привязкой к вашим процессам.