Какие данные о клиентах мы храним и как это соответствует 152-ФЗ – защита персональных данных

Время чтения - 6 мин.
Дата публикации 03.07.2026

Когда вы запускаете сайт с личными кабинетами, вы неизбежно собираете персональные данные клиентов: ФИО, телефон, адрес, email. Иногда — паспортные данные, ИНН, скан документов. С этим связана ответственность по закону 152-ФЗ «О персональных данных». Штрафы за утечку или неправильное хранение — до 500 тыс. руб для юрлиц, а в некоторых случаях — уголовная ответственность.

Многие предприниматели думают, что 152-ФЗ — это «что-то для больших корпораций». Но это не так. Любой сайт, который собирает имя и телефон, подпадает под закон. Разница только в том, как вы обрабатываете данные. В Falcon Space мы спроектировали систему так, чтобы соблюдение 152-ФЗ не было головной болью. Расскажу, что нужно знать и как мы помогаем клиентам не нарушать закон.

Какие данные считаются персональными

По закону, персональные данные — это любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Практически всё, что вы храните в личном кабинете, является персональными данными:

  • Имя, фамилия, отчество.
  • Номер телефона, email.
  • Адрес проживания.
  • Паспортные данные, ИНН, СНИЛС.
  • Фотографии (если на них можно идентифицировать человека).
  • Данные о заказах (что купил, сколько заплатил) — тоже персональные, потому что привязываются к клиенту.

Если ваш сайт собирает любую из этих категорий, вы становитесь оператором персональных данных. И должны выполнять требования закона.

Что нужно сделать, чтобы не получить штраф (минимум)

Для малого бизнеса требования не такие жёсткие, как для крупных компаний, но базовый минимум обязателен:

1. Получить согласие на обработку данных.
При регистрации пользователь должен поставить галочку «Я согласен на обработку персональных данных». Без этой галочки вы не имеете права хранить его данные. Важно: согласие должно быть конкретным — вы не можете использовать данные для рассылки рекламы, если в согласии сказано только «для регистрации». Лучше сделать два согласия: одно для регистрации (обязательное), второе для маркетинга (опциональное).

В Falcon Space эта галочка есть в форме регистрации по умолчанию. Вы можете отредактировать текст согласия под себя.

2. Разместить политику обработки персональных данных (Privacy Policy).
Это документ на сайте, где вы описываете: какие данные собираете, зачем, как храните, кому передаёте (например, платёжной системе), как пользователь может их удалить. Политику нужно разместить в открытом доступе (в подвале сайта).

Мы даём клиентам шаблон политики, который можно адаптировать под свой проект.

3. Хранить данные на серверах в России.
Согласно закону, базы данных с персональными данными российских граждан должны находиться на территории РФ. Если вы используете зарубежный хостинг (AWS в США, Google Cloud в Европе), вы нарушаете закон. Штрафы — до 6 млн руб.

В Falcon Space мы рекомендуем хостинг у российских провайдеров (reg.ru, beget, timeweb). Либо облачные платформы (Яндекс.Облако, Selectel), у которых сервера в РФ. Мы не размещаем данные за границей.

4. Ограничить доступ к данным сотрудников.
Менеджер должен видеть только те данные, которые ему нужны для работы. Например, для обработки заказа нужны имя, телефон и адрес, но не нужен СНИЛС. Настройте роли в Falcon Space так, чтобы каждый сотрудник видел только необходимое. Это снизит риск утечки из-за человеческого фактора.

5. Обеспечить техническую защиту.
Это включает: шифрование каналов связи (HTTPS), защиту от SQL-инъекций и XSS (в Falcon Space это есть), антивирус на сервере, регулярные бэкапы, разграничение прав доступа к базе данных. Если вы пользуетесь нашим хостингом (под ключ), мы это настраиваем. Если сами — проконтролируйте.

Что ещё часто спрашивают про 152-ФЗ

Нужно ли уведомлять Роскомнадзор?
Для большинства малых и средних компаний — нет. Уведомление требуется, если вы обрабатываете данные специальных категорий (раса, политика, религия, биометрия), или если вас более 100 сотрудников, или если вы передаёте данные за границу. В типовом случае (регистрация на сайте, заказы) — уведомление не требуется. Но лучше уточнить у юриста.

Нужно ли назначать ответственного за обработку данных?
Если обработка данных — основной вид деятельности (например, вы — call-центр), то нужно назначить ответственного. Если же сайт с личными кабинетами — вспомогательная функция, то ответственность может лежать на владельце бизнеса. Формально, лучше назначить (можно себя). Штрафа за отсутствие ответственного нет, но при проверке могут попросить.

Что будет, если данные украдут?
Вы обязаны уведомить Роскомнадзор и клиентов об утечке в течение 24 часов. Штраф для юрлиц — от 60 до 100 тыс. руб за факт утечки. Если утечка произошла по вашей вине (дырявый сервер, пароль admin), штраф может быть до 500 тыс. руб. Также клиенты могут подать на вас в суд. Поэтому защита данных — это ещё и защита репутации.

Можно ли передавать данные партнёрам (например, сервису доставки)?
Да, если у вас есть согласие клиента на передачу. В политике обработки укажите всех партнёров. С партнёрами нужно заключить договор, где они обязуются соблюдать конфиденциальность.

Как удалить данные клиента по его требованию?
Клиент имеет право потребовать удалить все свои персональные данные. В Falcon Space есть административная функция «Удалить аккаунт» — она очищает все записи пользователя (или обезличивает). Обязательно добавьте такую возможность в личный кабинет (кнопка «Удалить аккаунт»).

Как Falcon Space помогает соблюдать 152-ФЗ

Платформа спроектирована с учётом российских требований к защите данных:

  • Все данные хранятся на вашем сервере, который вы можете разместить в РФ. Мы не забираем данные к себе.
  • Шифрование трафика (HTTPS) включено по умолчанию (требуется сертификат).
  • Защита от SQL-инъекций и XSS — встроенная (через параметризованные запросы и экранирование вывода).
  • Ролевая модель позволяет ограничить доступ сотрудников.
  • Логирование действий — кто и когда смотрел данные.
  • Возможность удалить аккаунт клиента по запросу.

Мы также предоставляем клиентам чек-лист для самопроверки на соответствие 152-ФЗ (по запросу в чате).

Реальный кейс: как мы помогли клиенту не получить штраф

Один из клиентов (сервис доставки) хранил паспортные данные водителей в открытом виде в базе, доступ к которой имел любой сотрудник. Мы провели аудит, обнаружили нарушение. Рекомендовали:

  • Перевести базу на российский хостинг (было за границей).
  • Создать отдельную роль для бухгалтера (только он видит паспорта).
  • Закрыть доступ к базе из интернета (оставить только через приложение).
  • Добавить политику обработки персональных данных на сайт.

Всё сделали за 2 недели. Клиент избежал потенциального штрафа, который мог составить до 500 тыс. руб. Стоимость доработок — 80 тыс. руб. Окупилось страховкой от штрафа.

Не пренебрегайте 152-ФЗ. Штрафы растут с каждым годом. Лучше потратить 1-2 дня на настройку политики и прав, чем потом платить миллионы.

Насколько полезной была статья?
Falcon Space, автор блога

Автор статьи - Руслан Раянов

Cоздатель платформы Falcon Space
Запрос расчета стоимости веб-проекта на базе Falcon Space
Если видео Youtube плохо грузится, то попробуйте найти видео в ВК видео на канале Falcon Space
Сайт использует Cookie, Яндекс Метрику. Используя сайт, вы соглашаетесь с правилами сайта. См. Правила конфиденциальности и Правила использования сайта OK