Защита персональных данных по 152-ФЗ: от требований к работающей практике

Основу регулирования по-прежнему составляет Федеральный закон № 152-ФЗ «О персональных данных», но теперь его выполнение требует более глубокой проработки процессов.
За последний год появилось более 45 новых документов, касающихся ИБ, из них около 10 напрямую затрагивают защиту ПДн.

Главные из них: новые приказы Роскомнадзора № 1154 и № 140, регламентирующие порядок уничтожения персональных данных и требования к фиксированию всех действий оператора.

Фактически теперь регулятор ожидает, что компании буду:

• вести учёт жизненного цикла персональных данных — от сбора до уничтожения;
• документировать каждое действие и хранить доказательства его выполнения;
• обеспечивать контроль за тем, кто и как обрабатывает данные.

Эти требования делают защиту ПДн не просто юридическим вопросом, а инженерной задачей, которую невозможно решать без инструментов автоматизации.

Многие компании до сих пор ведут журналы обработки персональных данных в Excel или Word.

На практике это означает хаос: данные дублируются, меры защиты невозможно сопоставить с системами, а любые изменения требуют недель ручной работы.

Такой подход становится неприемлемым, потому что:

• возрастает количество регулируемых объектов;
• проверки требуют прозрачности и автоматических отчётов;
• количество связанных процессов (HR, IT, безопасность, юристы) делает ручное согласование неэффективным.

Решение — централизованная система, которая объединяет учёт, оценку соответствия и контроль выполнения мер в едином интерфейсе.

Платформа Securitm изначально создавалась для управления соответствием требованиям ИБ и защиты персональных данных.

Она позволяет описать все процессы обработки ПДн, сопоставить их с нормативными актами и построить систему контроля без лишних таблиц и документов.

Ключевые возможности:

• Compliance-модуль содержит базу из 180+ нормативных документов и позволяет автоматически оценивать выполнение требований.
• Риски — формирование риск-профилей и планов обработки, с визуализацией по подразделениям.
• Активы и процессы — создание реестров систем, обработчиков, носителей и бизнес-процессов, где фигурируют ПДн.
• Контроль защитных мер — отслеживание внедрения и актуальности мер, связанных с конкретными ИСПДн.
• Акты уничтожения — автоматическое формирование документов по новым правилам, контроль подписей и сроков хранения.
• Helpdesk и обращения субъектов — встроенная система учёта запросов граждан, фиксация ответов и сроков исполнения.

Благодаря этим инструментам компании могут не только пройти проверку, но и видеть картину целиком — какие данные где находятся, кто имеет к ним доступ и какие меры реально работают.

В новой нормативной логике жизненный цикл ПДн — это не просто схема, а обязательная модель, которую нужно описать и контролировать.

Она включает шесть этапов:

1. Сбор — определение оснований и уведомление субъектов.
2. Хранение — выбор площадки, классификация и контроль доступа.
3. Использование — регистрация всех операций обработки.
4. Передача — фиксация факта и правового основания для передачи.
5. Обезличивание — документирование методов и сроков.
6. Уничтожение — акт уничтожения, подтверждающий выполнение процедуры.

Securitm помогает пройти весь этот цикл последовательно, автоматически связывая действия с системами, пользователями и документами.

Приказы Роскомнадзора № 1154 и № 140 вводят новый уровень прозрачности для процессов уничтожения персональных данных.

Теперь необходимо не просто удалить записи, а зафиксировать факт уничтожения и подтвердить его документально.
Securitm реализует этот процесс через модуль «Акты уничтожения»:

• создаёт задачу ответственному сотруднику;
• фиксирует дату, причину и метод удаления;
• формирует документ с УКЭП-подписью;
• сохраняет отчёт в электронном архиве.

Таким образом, организация может в любой момент доказать, что процедура выполнена корректно.

От соответствия к зрелости: как выглядит зрелая система защиты ПДн

Эксперты подчёркивают: компании, которые внедряют автоматизацию, переходят от формального соответствия к управляемому процессу.

В зрелой модели:

• все ИСПДн описаны в едином каталоге;
• риски и меры связаны между собой;
• сотрудники получают задачи и уведомления в системе;
• руководство видит отчётность и уровень соответствия в реальном времени.

Это не просто «выполнение требований 152-ФЗ», а часть стратегии корпоративного управления безопасностью данных.

• В 2025 году уровень внимания к персональным данным достиг максимума.
• Проверки будут касаться не только фактов утечек, но и процедур: кто, когда и как документировал уничтожение данных.
• Компании, использующие автоматизированные решения, получают конкурентное преимущество — у них процессы прозрачны и подконтрольны.

Securitm и другие платформы этого класса позволяют перейти от ручного управления к системному контролю, где каждый шаг зафиксирован, а соответствие требованиям — не формальность, а часть ежедневной работы.

Что дальше
Тема персональных данных больше не ограничивается юристами и безопасниками.

Она становится зоной ответственности всей компании.

Задача ИБ-команд сегодня — не только обеспечить защиту, но и выстроить единое понимание, как данные живут внутри организации.

А автоматизация процессов по 152-ФЗ — это уже не опция, а необходимое условие устойчивости бизнеса.