Соответствие 152-ФЗ в Битрикс24: практический гайд

152-ФЗ «О персональных данных» — настоящая головная боль. Неправильная работа с ПДн = штраф до 18 млн руб за юрлицо. Разбираем, что нужно для соответствия в Битрикс24.

Шаг 1. Определите, есть ли у вас ПДн

ФИО, телефон, email, дата рождения, адрес — всё это ПДн. Если обрабатываете хотя бы одно поле — вы оператор ПДн и должны соблюдать 152-ФЗ.

Шаг 2. Уведомление Роскомнадзора

Подайте уведомление об обработке ПДн. Делается через Госуслуги. Бесплатно.

Шаг 3. Документы

• Политика обработки ПДн (обязательно на сайте)
• Согласия субъектов ПДн (храните минимум 3 года)
• Положение об обработке ПДн (внутренний документ)
• Приказ о назначении ответственного за ПДн
• Перечень мест хранения ПДн

Шаг 4. Технические меры

Модель угроз + технический паспорт ИСПДн. В Битрикс24: журналирование доступа, 2FA, шифрование бэкапов, сегментация сети.

Шаг 5. Хостинг в России

Облачный Битрикс24 хостится в РФ — соответствует. Для коробки — ЦОД в РФ, лучше с аттестацией ФСТЭК.

Шаг 6. Аттестация ИСПДн

Для К1 (медицина, банки) — обязательна. Для К3–К4 — добровольна, но сильно упрощает проверки.

Шаг 7. Трансграничная передача

Если передаёте ПДн за границу — отдельные требования и согласия.