ФЗ-152 с 1 сентября 2025: что должно быть у ООО, ИП и АО и как это показать на сайте

Кто обязан соблюдать и что считается персональными данными

Оператором персональных данных является любой бизнес, который получает и хранит данные людей: ФИО, телефон, e-mail, адрес, данные сотрудников, записи звонков, фото/видео, IP-адреса, cookie-идентификаторы, поведенческие метрики и т. д.
С 01.09.2025 особый акцент на отдельных согласиях и на прозрачности: пользователь должен ясно понимать, какие данные и зачем вы берёте, и иметь возможность отказаться.

Базовый комплект документов (ядро комплаенса)

Что должно лежать «в папке оператора» у всех (ООО, ИП, АО)

• Политика обработки ПДн (актуальная версия).
  
• Реестр операций/целей обработки (что, чьи данные, зачем, срок хранения, правовое основание).
  
• Формы согласий: базовая обработка; маркетинг/реклама; публикация данных (распространение); трансграничная передача; специальные категории/биометрия.
  
• Порядок работы с запросами субъектов (доступ, исправление, удаление, отзыв согласия).
  
• Журналы/реестры: выдача доступов, инциденты ИБ, учёт согласий (в т. ч. электронных), запросы субъектов.
  
• Договоры/поручения с обработчиками (CRM, колтрекинг, хостинг, аналитика): кто что делает и как защищает.
  
• Меры защиты: организационные правила (доступы, пароли, обучение), технические меры (резервное копирование, шифрование каналов, антивирус, журналирование)
  

Дополнительно для юрлиц (ООО/АО)

• Приказ о назначении ответственного за ПДн + его функции.
  
• Локальные акты: положение о ПДн, инструкция сотрудникам, порядок уничтожения носителей, перечень ИСПДн, перечень лиц с доступом, регламент реагирования на инциденты.
  

Что обычно достаточно ИП (минимальный пакет)

• Политика ПДн.
  
• Формы согласий по сценариям.
  
• Реестр операций/целей.
  
• Упрощённые журналы (согласия, запросы, инциденты).
  
• Договоры с подрядчиками и меры защиты, исходя из масштаба.
  

Документы на сайте и как их показывать

Что обязательно разместить

• Политика ПДн — отдельная страница; ссылка видна на каждой странице (обычно в футере).
  
• Контакты оператора и ответственного (в самой политике или рядом): юр. адрес/ИНН/ОГРН (для юрлиц), e-mail для обращений по ПДн.
  
• Меры защиты в общем виде (короткий раздел в политике: шифрование каналов, резервные копии, ограничение доступа и т. д.).
  

Что рекомендуется добавить

• Политика cookie (простым языком, таблицей перечислить cookie/пиксели).
  
• Cookie-баннер при первом визите: «Принять всё / Отклонить всё / Настроить», до согласия — блокировать необязательные скрипты.
  
• Центр настроек cookie (кнопка «Настройки cookie» в футере): пользователь может поменять выбор и отозвать согласие.
  
• Онлайн-формы согласий (для аналитики/маркетинга/публикации) с логированием даты/версии текста.
  

Как оформлять согласия с 01.09.2025

Главное правило: согласие — отдельный документ/шаг, а не пункт в договоре, оферте или анкете. Под каждую самостоятельную цель — своё согласие.

• Форма: бумажная с подписью или электронная (логируется акцепт, время, версия текста, идентификатор пользователя).
  
• Содержание (чётко и конкретно): кто оператор; цель; какие данные; что будете делать (действия/способы); кому передаёте; срок; как отозвать.
  
• Специальные категории/биометрия: как правило, нужно письменное согласие.
  
• Распространение (публикация): отдельное согласие на размещение в открытом доступе (например, отзыв с именем и фото).
  
• Трансграничная передача: отдельный блок/согласие, если данные уходят за пределы РФ и нет иных законных оснований.
  
• Маркетинг/реклама: отдельная галочка/форма; без согласия — только сервисные сообщения по договору.
  

Что публиковать на сайте: краткая матрица

Разделяем цели и согласия: практические сценарии

Различия по организационно-правовой форме

Что сделать для сайта: чек-лист внедрения

1. Поставить видимую ссылку «Политика ПДн» + при необходимости «Политика cookie» на всех страницах (футер).
   
2. Включить cookie-баннер: до согласия блокировать аналитические/маркетинговые скрипты; дать кнопки «Принять/Отклонить/Настроить».
   
3. Сделать центр настроек: постоянная ссылка; хранить/обновлять метки согласий; при отзыве — останавливать трекинг.
   
4. Переписать формы: убрать «зашитые» согласия из оферт, анкет и договоров; вынести согласия отдельными шагами/документами.
   
5. Логировать согласия: дата/время, версия текста, выбранные категории, user-agent/IP/ID; хранить доказуемо.
   
6. Обновить политику: добавить цели, основания, сроки, список получателей и меры защиты простым языком.
   
7. Проверить подрядчиков: добавить к договорам поручение обработки, требования защиты, субподрядчиков, локацию серверов (локализация в РФ).
   
8. Подать/актуализировать уведомление в реестре операторов (если требуется).
   

Роли и ответственность: сотрудники, подрядчики, доступы

• Сотрудники: допуск к ПДн — по необходимости; ознакомление с политикой/инструкциями; NDA/ответственность; обучение раз в 12 месяцев.
  
• Подрядчики-обработчики: заключить поручение на обработку ПДн с конкретными мерами защиты и запретом на использование вне поручения.
  
• Доступы и хранение: принцип минимально необходимого доступа, журналирование, резервное копирование, шифрование в каналах, хранение на серверах в РФ.
  
• Сроки хранения и уничтожение: по каждой цели определить срок; по окончании — обезличивание/уничтожение с актом (для бумаги — комиссия/акт, для ИТ — процедура wipe-удаления).
  

Таблица: типичные сроки хранения (ориентиры)

Важно: конкретные сроки определяются вашей целью и законом, приведены общие практики.

Штрафы: на что реально «ловят»

Суммы ориентировочные; фактические пределы зависят от состава нарушения и редакции КоАП.