Replyo
Блог · Compliance

152-ФЗ на практике: что нужно знать SaaS-стартапу в 2026

Локализация данных, уведомления РКН, штрафы до 15 млн ₽, обязательный DPA. Реалистичный compliance-путь для bootstrap.

2025–2026 — года серьёзного пересмотра 152-ФЗ. Штрафы выросли в 200 раз, добавилось требование локализации, согласие на обработку теперь должно быть отдельным документом. Если ваш SaaS работает с аудиторией РФ — вы оператор ПДн по определению.

Что изменилось

Локализация (с 01.07.2025)

Первичный сбор, запись и хранение ПДн граждан РФ должны происходить в базах на территории РФ. Это делает «стартовый» стек Vercel (US) + Supabase (US) серой зоной. Решение: Yandex Cloud / VK Cloud для первичной записи, с возможной репликацией за границу при согласии.

Отдельное согласие (с 01.09.2025)

Согласие на обработку ПДн должно быть отдельным документом — нельзя смешивать с офертой или Политикой. Чек-бокс «Принимаю условия и согласие на ПДн» в одном клике больше не засчитывается.

Штрафы (с 30.05.2025)

  • Обработка без согласия: 300–700K ₽ (повторно до 1.5M ₽)
  • Утечка 10K–100K субъектов: 5–10M ₽
  • Утечка более 100K: 10–15M ₽
  • Повторная утечка: 1–3% годовой выручки

Для bootstrap-стартапа с ARR 10M ₽ — один инцидент может съесть 3-месячную выручку. Асимметрия риска стала такой, что compliance — не бюрократия, а выживание.

Минимум для запуска

  1. ИП / ООО на УСН 6% «Доходы»
  2. Уведомление в РКН через pd.rkn.gov.ru до первого пользователя (штраф за пропуск 100-300K ₽)
  3. Пакет документов: Политика, Согласие, Согласие на трансгранничку, Оферта, Cookie-policy
  4. DPA с клиентами-бизнесами — обязательно
  5. Внутренние документы: приказ об ответственном за ПДн, перечень ПДн, положение

Трансграничная передача

Если используете зарубежные AI-API — передача ПДн за границу. Нужно отдельное согласие с явным указанием. Альтернатива: российский AI-провайдер + зарубежный fallback только на обезличенных данных.

Практический путь

Для MVP: Vercel + Supabase в EU + согласие на трансгранничку + отдельные документы. При 50+ платящих — миграция на Yandex Cloud. Полностью compliant путь с первого дня стоит ~15-25K ₽/мес инфраструктуры + 50-150K ₽ за юриста разово.

Как Replyo проходит 152-ФЗ — разобрано в Trust Center. Черновики всех документов — в разделе legal.

Бот на вашем сайте — за 30 секунд.

Вставьте URL на главной странице. 14 дней бесплатно, без карты, удаляется одним кликом.

Начать бесплатноЖивая демонстрация

Без карты · 152-ФЗ · Данные в РФ