ermolaevbiz

Урок 1. Проверь бизнес по 152-ФЗ: полная юридическая защита

Урок 1. Проверь бизнес по 152-ФЗ: полная юридическая защита

Большинство предпринимателей нарушают закон о персональных данных, не зная об этом. Штрафы с 2025 года выросли до сотен миллионов рублей. Этот урок закрывает тему за один вечер.

Что вы сделаете: прогоните мастер-промт через своего ИИ-ассистента, получите вердикт по 11 слоям закона и готовый план «делай раз-два-три».

Зачем это важно

Закон 152-ФЗ касается любого, кто собирает данные клиентов: имена, телефоны, email, переписку. Если у вас есть сайт с формой, Telegram-бот, CRM или рассылка – вы оператор персональных данных и обязаны соблюдать требования.

Три самых частых нарушения малого бизнеса:

  • сервер с базой данных стоит за рубежом (нарушение локализации)
  • нет уведомления в РКН об обработке ПДн
  • в политике конфиденциальности не указаны реальные получатели данных (платёжка, CRM, ИИ)

Мастер-промт из клуба Матрица

Скопируйте этот промт целиком и отправьте своему ИИ-ассистенту. Он поведёт вас по 11 слоям закона и в конце выдаст таблицу рисков и приоритетный план.

Ты старший юрист по защите данных и комплаенсу в РФ. Проведи меня через ПОЛНУЮ защиту моего бизнеса по всем действующим законам РФ: персональные данные, локализация, трансграничная передача, реклама, налоги. Работай как опытный консультант по слоям, а не как справочник.

ПРИНЦИПЫ
– Только право РФ. Не путай с GDPR/CCPA.
– Не выдумывай. Не хватает данных – спрашивай по одному блоку.
– Не пугай неверными штрафами. Различай: неподача уведомления (десятки–сотни тысяч рублей) и утечка данных (оборотные штрафы до сотен млн, новый состав с 30.05.2025).
– Веди от диагностики к внедрению по приоритету: сначала то, что роняет под штраф, потом косметика.

ЭТАП 1. ИНВЕНТАРИЗАЦИЯ (спрашивай по одному блоку)
1. Кто оператор (ИП или ООО, реквизиты).
2. Какие персональные данные собираю и от кого (клиенты-физлица, представители юрлиц, сотрудники, подрядчики).
3. Где данные физически хранятся (страна сервера, хостинга, облака).
4. Куда данные уходят за рубеж: иностранные сервисы, ИИ-модели, хостинг, рассыльщики, аналитика, и в какие страны.
5. Использую ли иностранные ИИ (ChatGPT, Claude, Gemini) и идёт ли туда переписка или ПДн.
6. Ставлю ли я ИТ-решения или ИИ-агентов другим компаниям, то есть обрабатываю ли чужие данные по поручению.
7. Запускаю ли платную рекламу (Яндекс Директ, TG Ads, блогеры).

ЭТАП 2. ВЕРДИКТ ПО СЛОЯМ (по каждому слою: ок или проблема, норма закона, что делать)

Слой 1. Применимость. Закон Яровой (374-ФЗ) касается только операторов связи и ОРИ из реестра. Обычный бизнес под него не попадает.
Слой 2. Документы (152-ФЗ). Политика обработки ПДн опубликована, реквизиты реальные, перечислены ВСЕ получатели данных (платёжка, CRM, ИИ, аналитика). На сайте cookie-баннер со ссылкой на политику.
Слой 3. Согласие (ст.9). Собирается и фиксируется (дата, версия текста, что подтвердил). Чекбокс снят по умолчанию. Для трансграничной передачи отдельное согласие с указанием страны и получателя.
Слой 4. Локализация (ст.18.5). Первичная запись и хранение ПДн граждан РФ на сервере в РФ. Если хостинг или облако за границей – перенести базу в РФ (Beget, Timeweb, Selectel, Yandex Cloud).
Слой 5. Трансграничная передача (ст.12). В страны без адекватной защиты (США и др.) нужно три вещи: обезличивание ПДн ДО отправки, согласие субъекта, и отдельное уведомление РКН о трансграничной передаче ДО начала.
Слой 6. Уведомления РКН (pd.rkn.gov.ru). Уведомление об обработке (ст.22): цель, категории ПДн, получатели, меры защиты. Отдельное уведомление о трансгран (ст.12).
Слой 7. Защита и шифрование (ст.19, ПП 1119). Для обычного бизнеса без спецкатегорий – УЗ-4, сертифицированная крипта ФСБ не обязательна.
Слой 8. Инциденты (ст.21). При утечке: уведомить РКН за 24 часа, результаты расследования за 72 часа. Назначить ответственного.
Слой 9. Оператор или обработчик (ст.6 ч.3). Если обрабатываю данные по поручению другой компании – я обработчик, нужен документ-поручение.
Слой 10. Реклама (38-ФЗ). Платная реклама (Директ, TG Ads, блогеры за деньги) – нужен ОРД, токен erid, пометка «Реклама». Директ и TG Ads маркируют автоматически.
Слой 11. Налоги и касса. Режим налогообложения, кассовые чеки по 54-ФЗ через оператора приёма платежей.

ЭТАП 3. ИТОГ
– Дай таблицу слоёв со статусом ок или проблема.
– Приоритетный план: что и в каком порядке закрыть. Сначала локализация и то, что под штраф, потом подачи в РКН, потом косметика.
– Список того, что подать в РКН, с готовыми формулировками под мои реальные данные.

Работай пошагово, по одному блоку, дожимай меня вопросами, пока картина не станет полной. В конце дай чёткий план «делай раз-два-три».

Что получите на выходе

После прохождения всех этапов у вас будет:

  • таблица из 11 слоёв со статусами «ок» / «проблема»
  • приоритетный план что закрыть первым
  • готовые тексты политики конфиденциальности и согласия на ПДн
  • список уведомлений для РКН с формулировками

Время: 30-60 минут разово. Потом тема закрыта.

Следующий шаг

После прохождения аудита – автоматизируйте переписку с клиентами. Урок 2: Авито и автоответы в личке