Что такое 152-ФЗ и кого он касается

Федеральный закон №152-ФЗ «О персональных данных» регулирует сбор, хранение, обработку и передачу персональных данных граждан России. Закон распространяется на любую организацию, которая работает с ПД — то есть практически на весь бизнес без исключений.

Персональные данные в широком смысле — это любая информация, которая позволяет идентифицировать человека. ФИО, email, номер телефона, фото, IP-адрес, а также их комбинации. Если ваши сотрудники переписываются в корпоративном мессенджере — эта переписка, имена пользователей и контактные данные тоже являются ПД.

Поправки 2022–2024 годов существенно ужесточили требования: увеличены штрафы, введена уголовная ответственность за отдельные нарушения, расширены полномочия Роскомнадзора.

Ключевые требования к обработке данных

С точки зрения корпоративного мессенджера, 152-ФЗ предъявляет несколько ключевых требований:

Локализация данных (ст. 18.1)

Персональные данные граждан России должны первично собираться и храниться на серверах, физически расположенных на территории РФ. Это ключевое требование. Если ваш мессенджер хранит переписку на зарубежных серверах — вы нарушаете закон.

Ограничение доступа и защита данных

Оператор ПД (то есть ваша компания) обязан обеспечить защиту данных от несанкционированного доступа, утечек и уничтожения. При использовании облачного мессенджера доступ к данным фактически имеет и сам провайдер.

Контроль над передачей третьим лицам

Передача ПД третьим сторонам — в том числе облачным провайдерам мессенджеров — требует либо согласия субъекта, либо соответствующего правового основания. На практике это означает, что использование иностранного облачного мессенджера без дополнительных правовых оснований — нарушение.

Документирование процессов

Компания должна иметь политику обработки ПД, приказ о назначении ответственного, перечень используемых информационных систем. Для каждой системы — включая мессенджер — должна быть техническая документация.

Почему популярные мессенджеры не подходят

Telegram

Серверы Telegram расположены в разных странах, включая Нидерланды, США и Сингапур. Обычные чаты хранятся в облаке Telegram в расшифрованном виде. Использование Telegram для корпоративных коммуникаций, содержащих ПД, прямо противоречит требованию о локализации.

WhatsApp

Принадлежит Meta — американской компании. Данные хранятся на серверах в США. Политика конфиденциальности Meta предусматривает возможность передачи данных третьим сторонам в рекламных целях. Для российских компаний — двойная проблема: и локализация, и GDPR-несовместимость.

Microsoft Teams / Slack

Корпоративные инструменты американских компаний. Данные хранятся в Azure/AWS-датацентрах, часть из которых — за пределами РФ. Даже при наличии европейских датацентров, данные технически доступны головной компании в юрисдикции США.

Важно: «зашифровано» не означает «соответствует 152-ФЗ». Закон требует физического хранения данных на российской территории, а не только их защиты.

Реальные риски и штрафы

Ответственность за нарушение 152-ФЗ после реформы 2022–2024 годов стала значительно серьёзнее:

  • Административный штраф для юрлиц — до 18 миллионов рублей за повторное нарушение
  • За утечку ПД 100 000+ человек — штраф до 500 млн рублей или 3% годовой выручки
  • Уголовная ответственность за умышленную незаконную передачу ПД — до 10 лет лишения свободы
  • Блокировка сервиса Роскомнадзором при систематических нарушениях
  • Репутационный ущерб при публичном рассмотрении дела

Роскомнадзор активизировал проверки после 2022 года. Под удар попадают не только крупные компании — в зоне риска любой бизнес, работающий с ПД сотрудников, клиентов или партнёров.

Как self-hosted мессенджер решает задачу

При использовании SecureChat, развёрнутого на сервере в России, вы получаете полный контроль над данными:

  • Локализация выполнена — данные физически хранятся там, где вы разместили сервер
  • Нет третьей стороны — ни разработчик, ни облачный провайдер не имеет доступа к переписке
  • Полный аудит — вы видите весь код (MIT license), можете провести security-аудит
  • Документируемость — можно составить полную техническую документацию системы
  • E2E шифрование — даже при физическом доступе к серверу содержимое сообщений не читается

Дополнительно: если к вам придут с требованием предоставить данные переписки — у вас есть время проконсультироваться с юристом. Никто не достанет ваши данные из облака по запросу в американскую компанию раньше, чем вы об этом узнаете.

А что с GDPR для международного бизнеса?

Если ваша компания работает с клиентами или сотрудниками из ЕС, одновременно нужно соответствовать GDPR. Требования пересекаются, но есть нюансы.

GDPR фокусируется не на физическом расположении серверов, а на правовых основаниях обработки и правах субъектов: праве на доступ к данным, праве на удаление («право быть забытым»), праве на переносимость данных.

Self-hosted мессенджер помогает с GDPR так же хорошо, как с 152-ФЗ:

  • Данные не передаются третьим сторонам без основания
  • Вы можете удалить данные пользователя по запросу — полностью и документально
  • Вы контролируете, где хранятся данные, и можете размещать их в ЕС-датацентре при необходимости
  • Нет «скрытой» обработки данных провайдером мессенджера

Чек-лист соответствия для компании

Проверьте, готова ли ваша компания к проверке Роскомнадзора в части корпоративных коммуникаций:

  • Мессенджер хранит данные в России. Есть документальное подтверждение — договор с хостинг-провайдером с указанием датацентра.
  • Нет неконтролируемой передачи ПД третьим лицам. Поставщик мессенджера не имеет доступа к данным переписки.
  • Система включена в перечень информационных систем ПД. Составлена и утверждена техническая документация.
  • Данные защищены от несанкционированного доступа. E2E шифрование, контроль доступа, логирование.
  • Есть процедура реагирования на утечку. При инциденте — уведомление Роскомнадзора в течение 24 часов.
  • Сотрудники проинструктированы. Политика работы с корпоративными коммуникациями доведена под подпись.