В 2026 году требований к обработке персональных данных стало больше, а последствия ошибок — серьезнее: Роскомнадзор активнее проверяет операторов, а штрафы за нарушения 152-ФЗ и утечки данных выросли в разы. При этом у малого и среднего бизнеса редко есть отдельный специалист по информационной безопасности или защите ПДн. В статье разберем, как работает аутсорсинг защиты персональных данных, какие задачи можно передать внешним экспертам и как соблюдать требования 152-ФЗ без собственного ИБ-отдела.
Когда бизнесу нужен аутсорсинг защиты ПДн
Иногда компании вспоминают о 152-ФЗ только после запроса Роскомнадзора, жалобы клиента или утечки базы данных. Но защита персональных данных — это не только политика на сайте и шаблон согласия. Нужно контролировать доступы сотрудников, обновлять документы, проверять подрядчиков, следить за хранением данных и понимать, как действовать при инциденте.
Особенно сложно это небольшому бизнесу. Интернет-магазин хранит адреса доставки и телефоны клиентов, стоматология — медицинские данные, кадровое агентство — паспортные данные соискателей. Все они считаются операторами персональных данных и обязаны соблюдать требования 152-ФЗ.
Оценим процессы защиты персональных данных
Проверим бизнес-процессы, оргструктуру, документы, договорные отношения с подрядчиками, информационные системы и сервисы, технические меры, применяемые в компании.
Какие требования 152-ФЗ бизнес должен выполнять в 2026 году
Даже небольшой компании, которая, однако, становится оператором ПДн, необходимо:
- подать уведомление в Роскомнадзор об обработке персональных данных;
- назначить ответственного за обработку ПДн;
- опубликовать политику обработки персональных данных;
- оформить согласия на обработку данных;
- ограничить доступ сотрудников к базам;
- организовать внутренний контроль обработки персональных данных;
- обеспечить защиту данных в информационных системах.
При этом обязанность оператора не ограничивается подготовкой документов. В соответствии со статьей 19 Федерального закона № 152-ФЗ оператор обязан принимать необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных при их обработке.
На практике проблемы чаще возникают не из-за сложных атак, а из-за обычных рабочих сценариев. Менеджер выгрузил клиентскую базу и отправил подрядчику через личный мессенджер. Бывшему сотруднику забыли отключить учетную запись. HR-специалист хранит сканы паспортов в общей папке без разграничения доступов. Формально это уже нарушение требований к защите персональных данных.
Отдельный риск — внешние сервисы и подрядчики. CRM, облачная телефония, сервисы рассылок, бухгалтерские платформы и кадровые системы тоже участвуют в обработке ПДн. В зависимости от характера услуг подрядчик может выступать как лицо, осуществляющее обработку персональных данных по поручению оператора, либо как самостоятельный оператор персональных данных. От этого зависит порядок оформления договорных отношений, распределение обязанностей сторон и необходимость заключения договора поручения обработки персональных данных.
Штрафы, проверки и ответственность: почему малому бизнесу сложно справляться самостоятельно
В 2026 году защита персональных данных — совсем не «соблюдение формальностей» для малого бизнеса: ошибки в работе с ПДн могут обернуться штрафами, проверками и утечками данных.
Рассмотрим несколько распространенных нарушений:
| Нарушение | Что это означает на практике |
|---|---|
|
Нет уведомления Роскомнадзора |
Компания обрабатывает ПДн, но не состоит в реестре операторов |
|
Нет согласия на обработку данных |
Бизнес собирает данные без законного основания |
|
Доступы сотрудников не ограничены |
Любой сотрудник может скачать или скопировать базу |
|
Данные хранятся не в РФ |
Нарушены требования локализации ПДн |
Любое из них (а, возможно, и не одно) могут выявить проверки Роскомнадзора, которые сегодня затрагивают не только крупный бизнес. Поводом может стать жалоба клиента, публикация «утекшей» базы в открытом доступе, запрос субъекта персональных данных или информация об утечке от других ведомств. Во время проверки регулятор обычно смотрит не только документы, но и реальные процессы: кто имеет доступ к данным, как оформлены согласия, где хранятся базы и как компания контролирует подрядчиков.
За отдельные нарушения штрафы могут исчисляться сотнями тысяч и даже миллионами рублей. Например, отсутствие уведомления Роскомнадзора об обработке персональных данных грозит штрафами до 300 тысяч рублей для юридических лиц, а обработка данных без надлежащего согласия — до 1,5 млн рублей. Отдельно наказываются нарушения требований к локализации ПДн в РФ, несвоевременное уведомление об утечке и отсутствие необходимых мер защиты информации. При повторных нарушениях суммы становятся еще выше, а в случае крупных утечек штрафы для бизнеса могут достигать десятков и сотен миллионов рублей.
Однако проблема не только в штрафах за нарушение 152-ФЗ для ИП и ООО. После инцидента бизнесу приходится срочно разбираться, где именно хранятся персональные данные, кто имеет к ним доступ и какие процессы вообще существуют внутри компании. Если система изначально не выстроена, на восстановление контроля уходят недели.
Держать отдельного специалиста по ИБ ради выполнения требований 152-ФЗ могут не все компании. Поэтому бизнес все чаще передает эти задачи на аутсорсинг: внешний подрядчик помогает провести аудит соответствия, подготовить документы по персональным данным, организовать внутренний контроль и закрыть технические риски.
При этом ответственность оператора персональных данных никуда не исчезает. Например, если лицо, обрабатывающее персональные данные по поручению оператора, допустило нарушение или утечку, вопросы со стороны Роскомнадзора в первую очередь возникнут к оператору персональных данных. Поэтому оператору важно не только заключить договор, но и контролировать выполнение подрядчиком требований законодательства и условий поручени. Аутсорсер помогает выстроить систему защиты, но отвечать перед Роскомнадзором все равно будет сама компания. Поэтому важно выбирать подрядчика, который занимается не только документами, но и реальной организацией безопасной обработки данных.
Что входит в аутсорсинг защиты персональных данных
Аутсорсинг защиты персональных данных — это не только подготовка документов «для проверки». На практике внешний подрядчик обычно закрывает сразу три направления: аудит текущих процессов, организационные меры и техническую защиту данных.
Аудит обработки ПДн и уведомление Роскомнадзора
Работа обычно начинается с аудита: подрядчик разбирается, какие персональные данные собирает компания, где они хранятся, кто имеет к ним доступ и каким сервисам они передаются.
На этом этапе часто выясняется, что бизнес обрабатывает гораздо больше данных, чем кажется. Например, интернет-магазин хранит не только контакты клиентов, но и историю заказов, записи разговоров, переписку с поддержкой и данные сотрудников службы доставки. А стоматология — еще и медицинские сведения, которые относятся к специальным категориям персональных данных.
Во время аудита обычно проверяют:
- направлено ли уведомление Роскомнадзору об обработке персональных данных;
- есть ли компания в реестре операторов персональных данных;
- какие подрядчики участвуют в обработке ПДн;
- как организован доступ сотрудников к базам;
- где именно физически хранятся данные.
Отдельная проблема — «наследованные» процессы. К примеру, компания может годами пользоваться CRM или облачным сервисом, не проверяя, как именно там организована обработка ПДн и соответствует ли это требованиям закона.
Однако аудит процессов обработки ПДн не всегда позволяет оценить выполнение требований к защите ПДн в информационных системах. Поэтому для организаций, которые уже провели аудит по 152-ФЗ и подготовили комплект документов, может потребоваться отдельная проверка информационных систем персональных данных (ИСПДн). В рамках такого аудита оценивается реализация организационных и технических мер защиты, предусмотренных Постановлением Правительства РФ №1119 и Приказом ФСТЭК России №21.
Документы по персональным данным: что должно быть у компании
После аудита аутсорсер обычно помогает собрать комплект документов по персональным данным. Его состав зависит от конкретного бизнеса, но почти всегда нужны:
- политика обработки персональных данных;
- согласия на обработку ПДн;
- регламенты доступа сотрудников;
- приказы о назначении ответственных;
- договоры поручения обработки персональных данных с подрядчиками;
- документы по внутреннему контролю.
Если компания обрабатывает данные в ИСПДн, дополнительно могут потребоваться модель угроз безопасности персональных данных, акты уничтожения ПДн и документы по оценке мер защиты.
Здесь важно не количество бумаг, а их связь с реальными процессами. Например, политика может запрещать передачу клиентских баз через личные мессенджеры, но если сотрудники продолжают отправлять Excel-файлы в Telegram, при проверке Роскомнадзора это создаст вопросы уже к фактической организации защиты данных.
Технические меры и внутренний контроль
Документы сами по себе не защищают персональные данные. Поэтому аутсорсинг защиты ПДн обычно включает и технические меры: настройку доступов, базовую защиту рабочих мест, резервное копирование, аудит учетных записей и контроль действий сотрудников.
Например, может оказаться, что:
- уволенные сотрудники месяцами сохраняют доступ к CRM;
- вся бухгалтерия работает под одной учетной записью;
- клиентская база хранится в общей папке без ограничений;
- резервные копии никто не проверяет.
Для малого бизнеса такие проблемы особенно вероятны: вопросами информационной безопасности часто занимается системный администратор «по совместительству», а отдельного ответственного за безопасность данных просто нет.
Поэтому внешний подрядчик обычно помогает не только внедрить меры защиты, но и организовать внутренний контроль обработки персональных данных: определить ответственных, настроить регулярные проверки и выстроить понятный порядок работы с данными внутри компании.
Если в компании персональные данные обрабатываются в информационных системах, в состав работ также может входить аудит ИСПДн. Такая проверка позволяет определить, насколько реализованные меры защиты соответствуют требованиям законодательства и какие мероприятия необходимо выполнить для снижения рисков нарушений и утечек.
Чтобы понять, насколько защита данных в вашей компании соответствует требованиям законодательства, обратитесь в «Безопасность» от Контур.Эгиды.
Эксперт проведут аудит и дадут рекомендации по организации ИБ в вашей компании.
Особые случаи: биометрия, трансграничная передача и утечки ПДн
Некоторые категории данных и сценарии обработки требуют дополнительных мер защиты. Именно здесь у бизнеса чаще возникают ошибки — потому что стандартных шаблонов документов уже недостаточно.
Когда нужны дополнительные меры защиты
Отдельные требования действуют для биометрических персональных данных и трансграничной передачи информации.
К биометрическим персональным данным относятся сведения, которые характеризуют физиологические или биологические особенности человека и используются оператором для установления его личности. Например, фотография или запись голоса могут рассматриваться как биометрические персональные данные только в тех случаях, когда используются для идентификации или аутентификации человека.
В таких случаях компании потребуется:
- отдельное согласие на обработку данных;
- повышенные меры защиты;
- четко описанные цели обработки.
Похожие сложности возникают при трансграничной передаче персональных данных. Например, если CRM, почтовый сервис или корпоративный мессенджер используют зарубежную инфраструктуру, бизнесу важно понимать:
- в какую страну передаются данные;
- допускает ли это российское законодательство;
- где фактически хранятся базы;
- не нарушаются ли требования локализации ПДн в РФ.
Это не всегда означает нарушение, но требует отдельной проверки условий трансграничной передачи и локализации ПДн. На практике некоторые компании узнают о рисках в этой области только во время аудита.
Что делать при утечке персональных данных
Инцидент утечки персональных данных — это уже не исключительная ситуация, а сценарий, к которому бизнесу лучше готовиться заранее. Причиной может стать что угодно: фишинговое письмо, взлом учетной записи, ошибка сотрудника или подрядчик с плохо защищенным доступом. Например, менеджер выгрузил клиентскую базу на личный ноутбук, а устройство оказалось заражено вредоносным ПО.
В такой ситуации важно не пытаться «замять» проблему, а действовать по процедуре:
- Зафиксировать инцидент и ограничить дальнейший доступ к данным.
- Уведомить Роскомнадзор об инциденте в течение 24 часов с момента выявления инцидента, связанного с неправомерной передачей (предоставлением, распространением, доступом) ПДн.
- Определить, какие данные были затронуты.
- Провести внутреннее расследование.
- Повторно уведомить Роскомнадзор — уже о результатах расследования, это нужно сделать в течение 72 часов с момента выявления инцидента.
Именно поэтому аутсорсинг защиты персональных данных обычно включает не только документы и аудит, но и помощь в разработке регламентов реагирования на инциденты. Когда порядок действий определен заранее, бизнес теряет гораздо меньше времени во время реальной утечки.
Обучение сотрудников и сопровождение процессов
Даже хорошо подготовленные документы и настроенные средства защиты не помогут, если сотрудники не понимают, как работать с персональными данными в повседневных задачах. По этой причине многие утечки происходят не из-за сложных атак, а из-за обычной невнимательности: файл отправили не тому адресату, пароль сохранили в браузере общего компьютера, доступ бывшему сотруднику забыли отключить.
Почему документы сами по себе не защищают от штрафов
Одна из самых частых ошибок — воспринимать выполнение требований 152-ФЗ как разовый проект. Компания публикует политику обработки персональных данных, подписывает шаблонные согласия и считает, что вопрос закрыт.
В таком случае проблемы могут начаться позже, если:
- сотрудники продолжают передавать базы через личные мессенджеры;
- доступы выдаются «на всякий случай»;
- документы не обновляются после смены процессов или сервисов;
- никто не проверяет, как подрядчики работают с ПДн.
Например, компания внедрила CRM и подключила новый сервис рассылок, но не обновила уведомление Роскомнадзора и договоры поручения обработки персональных данных. Формально это уже нарушение — даже если утечки еще не произошло.
Поэтому защита ПДн — это не папка документов, а постоянная работа с процессами, доступами и сотрудниками.
Онлайн-обучение и регулярное сопровождение
После внедрения системы защиты бизнесу важно поддерживать ее в актуальном состоянии. Так, аутсорсинг может в том числе включать:
- обучение сотрудников защите персональных данных онлайн;
- обновление документов при изменении процессов;
- периодический аудит соответствия;
- проверку новых сервисов и подрядчиков;
- консультации при проверках и инцидентах.
Особенно это важно для компаний, где процессы быстро меняются. Например, интернет-магазин подключил новый сервис доставки, начал собирать дополнительные данные клиентов или перевел часть команды на удаленную работу. Все это влияет на обработку персональных данных и требует пересмотра мер защиты.
Регулярное сопровождение помогает не только поддерживать соответствие требованиям закона, но и вовремя замечать риски — до того, как они приведут к утечке или проверке Роскомнадзора по жалобе.
Как выбрать аутсорсера защиты ПДн
На рынке много компаний, которые предлагают «закрыть требования 152-ФЗ под ключ» за несколько дней. На практике же это может означать набор шаблонных документов без анализа реальных процессов бизнеса.
На что смотреть в договоре и составе услуг
Хороший подрядчик начинает не с шаблонов, а с аудита: выясняет, какие данные обрабатывает компания, где они хранятся, кто имеет к ним доступ и какие сервисы участвуют в обработке. Важно заранее уточнить:
- входит ли в услуги аудит текущих процессов;
- помогает ли подрядчик с уведомлением Роскомнадзора;
- проводится ли анализ подрядчиков и внешних сервисов;
- включает ли сопровождение обновление документов и консультации;
- помогает ли компания при инцидентах и проверках.
- проводит ли подрядчик аудит ИСПДн и оценку выполнения требований к защите персональных данных в информационных системах
Отдельно стоит обратить внимание на договор поручения обработки персональных данных с аутсорсером. В нем должны быть прописаны цели обработки, меры защиты, обязанности сторон и порядок работы с инцидентами.
Если подрядчик обещает «полное соответствие 152-ФЗ без участия заказчика», это повод насторожиться. Ответственность оператора персональных данных по закону все равно остается у бизнеса.
От чего зависит стоимость услуг
Цена аутсорсинга зависит не только от размера компании. Влияют и сами процессы обработки данных. Обычно стоимость аудита соответствия 152-ФЗ и сопровождения зависит от:
- количества информационных систем;
- числа сотрудников с доступом к ПДн;
- наличия подрядчиков и облачных сервисов;
- обработки специальных категорий данных;
- филиальной структуры;
- необходимости внедрения технических мер защиты.
Например, небольшой интернет-магазин и сеть медицинских клиник могут сильно отличаться по объему работ — и, соответственно, стоимость аудита для них будет разной, — даже если в обеих компаниях работает одинаковое количество сотрудников.
Помимо аудита процессов обработки персональных данных и аудита ИСПДн некоторые компании проводят дополнительные работы по оценке защищенности инфраструктуры. В зависимости от задач это может включать аудит информационной безопасности, направленный на выявление организационных и технических рисков, а также анализ защищенности и тестирование на проникновение (пентесты), позволяющие проверить возможность эксплуатации существующих уязвимостей.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.