Где компания незаметно становится оператором ПДн
152-ФЗ касается не только банков, медицины и государственных сервисов. Компания становится оператором персональных данных, когда сама определяет цели и способы обработки: принимает заявки на сайте, ведет CRM, собирает резюме, подключает личный кабинет, записывает звонки, хранит историю обращений, запускает рассылки, использует аналитику поведения или передает данные подрядчикам.
Поэтому страница полезна руководителям ИТ, ИБ, юридической функции, маркетинга, HR, e-commerce и продуктовых команд. Вопрос не в том, есть ли на сайте политика ПДн. Вопрос в том, совпадает ли эта политика с реальным маршрутом данных внутри компании.
Что должно стать понятным после проверки
Хорошая диагностика 152-ФЗ должна дать управленческую картину, а не только набор правок к документам. После проверки должно быть ясно, какие категории ПДн собираются, для каких целей, на каком основании, в каких системах они хранятся, кто имеет доступ, кому данные передаются, где есть трансграничная передача, как фиксируется согласие, как удаляются данные и как компания отвечает на обращения субъектов.
Данные и цели
Какие поля собираются в формах, CRM, HR, личных кабинетах, чатах, звонках, логах и аналитике, и зачем они действительно нужны бизнесу.
Системы и доступы
Где находятся данные: сайт, backend, CRM, 1С, сервис-деск, BI, почта, облака, резервные копии, тестовые среды и интеграции.
Документы и согласия
Политика обработки ПДн, формы согласий, уведомления, реестр процессов, роли оператора и обработчика, основания обработки и доказуемость согласия.
Контроль и эксплуатация
Сроки хранения, удаление, журналирование, права доступа, инциденты, заявки субъектов, ответственность владельцев и регулярная актуализация.
Почему это не только юридическая задача
Юристы могут подготовить корректные формулировки, но они не видят все технические маршруты: куда frontend отправляет заявку, что пишет backend в логи, кто читает CRM, какие данные уходят в рассылочный сервис, что попадает в BI, где лежат выгрузки Excel и какие поля используются в AI-ассистенте. ИТ и ИБ, в свою очередь, не всегда знают, какие цели обработки и сроки хранения должны быть зафиксированы в документах.
Практический контур 152-ФЗ появляется на стыке права, архитектуры, разработки, эксплуатации и информационной безопасности. РЕСТАРТ полезен именно в этом месте: мы переводим регуляторные требования в понятный backlog для сайта, backend, CRM, прав доступа, журналов, документов, процессов и вендорских средств защиты.
Как РЕСТАРТ собирает практический контур 152-ФЗ
| Слой | Что прорабатываем | Что получает заказчик |
|---|---|---|
| Правовой и процессный | Цели обработки, основания, согласия, уведомления, обращения субъектов, роли владельцев, регламенты хранения и удаления. | Документы и процессы, которые соответствуют фактической работе систем, а не живут отдельно от ИТ. |
| Архитектурный | Сайт, формы, API, CRM, HR, личные кабинеты, 1С, BI, интеграции, хранилища, тестовые среды и резервные копии. | Карта обработки данных и список точек, где нужно изменить логику, доступы, хранение или передачу данных. |
| Информационная безопасность | ИСПДн, модель угроз, уровни защищенности, СЗИ, СКЗИ, DLP, IAM/PAM, журналирование, мониторинг и реагирование на инциденты. | Понятный набор технических и организационных мер, который можно защищать перед ИБ, аудитом и руководством. |
| AI и данные | Использование ПДн в RAG, чат-ботах, аналитике, протоколировании, обучающих выборках, обезличивании и тестовых наборах. | Границы безопасного применения ИИ: какие данные можно использовать, как их маскировать, кто проверяет ответы и где остается human review. |
Когда по итогам обследования нужны технические меры, контур ПДн переходит в внедрение СЗИ: настройку доступов, журналов, endpoint-защиты, контроля конфигураций, защиты виртуализации и эксплуатационных регламентов.
Для ИСПДн endpoint-слой важен там, где операторы, администраторы и сервисные пользователи работают с персональными данными: РЕСТАРТ связывает защиту рабочих мест и серверов с правами доступа, журналами, DLP, SIEM и регламентами эксплуатации.
Карта обработки данных
Первый практический результат — карта обработки ПДн. Она показывает не только публичные формы, но и скрытые маршруты: webhook из сайта в CRM, почтовые уведомления менеджерам, экспорт лидов, интеграции с телефонией, HR-сервисы, вложения в заявках, внутренние чаты, логи приложений, резервные копии и тестовые среды.
Такая карта помогает бизнесу принимать решения без догадок: какие поля можно убрать, где нужна маскировка, какие доступы пересмотреть, какие обработчики указать в документах, какие процессы перевести в регламент и какие системы стоит вынести в отдельную ИСПДн.
Термины без тумана
ПДн
Персональные данные — информация, которая относится к прямо или косвенно определенному человеку: имя, телефон, email, должность, резюме, ID клиента, запись разговора, история обращений и другие связки признаков.
Оператор ПДн
Организация, которая определяет цели и способы обработки данных. Подрядчик, CRM-платформа или облачный сервис часто становятся обработчиками в контуре оператора.
ИСПДн
Информационная система персональных данных: сайт, CRM, HR-система, личный кабинет или иной ИТ-контур, где ПДн собираются, хранятся, изменяются, передаются или удаляются.
СЗИ и СКЗИ
Средства защиты информации и средства криптографической защиты информации: классы решений для разграничения доступа, шифрования, защиты каналов, контроля действий и выполнения регуляторных мер.
DLP, DBF/DAM
DLP снижает риск утечек через почту, файлы и каналы коммуникаций. DBF/DAM помогает контролировать доступ к базам данных, операции с таблицами и подозрительные запросы.
DSAR / запрос субъекта
Мировой термин DSAR означает запрос человека по поводу его данных. В российском контуре это процесс приема, проверки, исполнения и фиксации обращений субъекта ПДн.
Ориентиры российской и мировой практики
В российском контуре базовыми ориентирами остаются Федеральный закон №152-ФЗ «О персональных данных», портал Роскомнадзора по персональным данным, требования ФСТЭК к мерам защиты в ИСПДн, включая приказ ФСТЭК №21, а также отраслевые требования для банков, телекома, медицины, e-commerce и государственных систем.
Мировая практика помогает смотреть шире формального compliance. NIST Privacy Framework рассматривает privacy как управление рисками на уровне предприятия. ISO/IEC 27701 описывает систему управления privacy как расширение подхода ISO/IEC 27001. GDPR-подход важен для компаний с международными клиентами и трансграничными процессами. OWASP Top 10 Privacy Risks полезен для проверки web-приложений, личных кабинетов и клиентских сервисов.
Как ИИ помогает в контуре ПДн
ИИ не заменяет юриста, CISO или ответственного за обработку ПДн, но помогает быстрее увидеть то, что обычно теряется в больших контурах. AI-инструменты могут находить поля с ПДн в формах и документах, классифицировать выгрузки, сопоставлять политику с фактическими формами, искать противоречия в регламентах, подсвечивать рискованные логи, помогать с маскированием тестовых данных и готовить черновики контрольных вопросов для аудита.
Для корпоративного применения важно, чтобы такой ИИ работал внутри защищенного контура: с правами доступа, журналированием, ограничением источников, RAG по утвержденным документам, проверкой человеком и запретом на передачу чувствительных данных во внешние сервисы без отдельного решения. Тогда ИИ становится инструментом ускорения privacy-работы, а не новым источником неконтролируемой обработки.
Что получает бизнес
Меньше регуляторной неопределенности
Понятно, какие процессы уже закрыты, где есть риск, что нужно исправить быстро, а что можно включить в дорожную карту.
Быстрее запуск цифровых сервисов
Формы, личные кабинеты, CRM-интеграции, AI-сценарии и аналитика получают требования на старте, а не перед релизом.
Безопаснее данные для AI и BI
Появляются правила маскирования, доступа, журналирования и использования данных в аналитике, тестах и RAG-сценариях.
Понятная ответственность
У каждого процесса есть владелец, срок хранения, основание обработки, технические меры и маршрут ответа на обращение субъекта.
Первый шаг
Рационально начинать с диагностики на 10-15 рабочих дней. На этом этапе РЕСТАРТ смотрит сайт, формы, политику ПДн, согласия, CRM/HR/личные кабинеты, интеграции, backend-логи, роли доступа, хранение заявок, cookie/трекеры, AI-сценарии и передачу данных подрядчикам.
Результат первого этапа — карта обработки ПДн, реестр рисков, перечень необходимых документов и согласий, требования к frontend/backend, рекомендации по СЗИ, маскированию, доступам, хранению, удалению и порядку работы с обращениями субъектов.
Частые вопросы
Можно ли ограничиться политикой на сайте?
Нет, если реальные формы, CRM, рассылки, HR-процессы, личные кабинеты и интеграции работают иначе. Документ должен отражать фактическую обработку, иначе он создает ложное чувство контроля.
Чем ИСПДн отличается от обычной CRM?
CRM может быть частью ИСПДн, если в ней обрабатываются персональные данные. Тогда важны не только карточки клиентов, но и доступы, журналы, выгрузки, интеграции, резервные копии и регламенты эксплуатации.
Можно ли использовать персональные данные в AI?
Можно только после определения цели, основания, состава данных, места обработки, доступа, журналирования и мер защиты. Для многих сценариев нужны маскирование, обезличивание, RAG по утвержденным источникам и проверка человеком.
РЕСТАРТ дает юридическую гарантию соответствия 152-ФЗ?
Мы не обещаем «полное соответствие» без аудита конкретного контура. Наша роль — найти разрывы между документами, системами и процессами, подготовить практические требования и помочь внедрить их вместе с ИТ, ИБ и юристами заказчика.
Партнерские решения для защиты персональных данных
В проектах по 152-ФЗ РЕСТАРТ может собрать технологический контур из решений для защищенных рабочих мест и серверов, СКЗИ, межсетевого экранирования, DLP, DBF/DAM, маскирования, управления доступами и первичной проверки публичных параметров сайта. В зависимости от архитектуры применимы Код Безопасности, AXIOMA AI, Конфидент, ИнфоТЕКС, UserGate, ДАМАСК, Гарда, InDEED и Kaspersky.
Код Безопасности
регуляторные СЗИ, NGFW, VPN, endpoint, виртуализация
AXIOMA AI
152-ФЗ Check, AXIOMA LAW, AI-комплаенс и правовая аналитика
Конфидент
НСД, доверенная загрузка, ВИ, WAF, регуляторные проекты
ИнфоТЕКС
СКЗИ, VPN, криптошлюзы, HSM, PKI, КИИ
UserGate
NGFW, SUMMA, SIEM, LogAn, Client, SecaaS
ДАМАСК
маскирование, токенизация, динамическая защита данных
Гарда
DLP, DBF, Data Masking, NDR, WAF, Anti-DDoS
InDEED
Identity Security, IAM, PAM, ITDR, MFA, IdM
Kaspersky
endpoint, EDR/XDR, KATA, threat intelligence
Партнеры указаны как технологическая опора класса решений. Конкретный состав продуктов, версии, лицензии, сертификаты и условия поставки подтверждаются перед проектом.
Обсудим ваш контур
Опишите задачу, текущие системы, ограничения и ожидаемый результат. Мы предложим первый практичный шаг: диагностику, пилот, аудит, дорожную карту или проектную команду.
