152-ФЗ: 23 пункта перед запуском.

Этот чек-лист — 23 пункта в порядке важности. Он не заменяет юриста, но покажет что нужно закрыть обязательно, а что опционально. Штрафы актуальны на апрель 2026 (после пересмотра 30.05.2025 и 01.09.2025).

Блок A. Юридическая структура (пункты 1-4)

1. Зарегистрировать юрлицо / ИП

• Для большинства SaaS — ИП на УСН 6% «Доходы»
• Для B2B с крупным чеком — ООО на УСН или ОСН
• Цена пропуска: нельзя заключить DPA, принять ЮKassa, стать оператором ПДн
• [ ] Сделано

2. Открыть расчётный счёт

• Тинькофф / Сбер / Точка — типичные варианты для стартапов
• Тариф «стартовый», 0-590 ₽/мес
• Цена пропуска: нельзя принимать оплату легально
• [ ] Сделано

3. Подключить онлайн-кассу (ОФД)

• Атол, Эвотор, fiscal-cloud
• 15 000 ₽ разово + 3 000 ₽/год за ОФД
• Цена пропуска: штраф 30 000 ₽ за чек = ПДн-инцидент (чек содержит ПДн)
• [ ] Сделано

4. Зарегистрировать компанию в реестре операторов ПДн

• Через portal.rkn.gov.ru, бесплатно, 1-2 часа работы
• До первого сбора ПДн пользователя
• Цена пропуска: 100-300 тыс. ₽ штрафа
• [ ] Сделано

Блок B. Юридические документы (пункты 5-9)

5. Политика обработки ПДн

• Опубликована на сайте по постоянному URL
• Укажите конкретные категории данных, цели, сроки хранения
• Цена пропуска: 30-60 тыс. ₽ штрафа
• [ ] Сделано

6. Согласие на обработку ПДн (отдельный документ)

• С 01.09.2025 согласие — отдельный документ, не галочка в оферте
• Должно быть явное действие пользователя (чекбокс, не «продолжая, вы соглашаетесь»)
• Цена пропуска: 300-700 тыс. ₽ штрафа за нарушение
• [ ] Сделано

7. Согласие на трансграничную передачу

• Если используете хоть один зарубежный сервис (Anthropic / OpenAI / Stripe / MailChimp)
• Отдельный документ, отдельное согласие
• Цена пропуска: 100 тыс. ₽ за эпизод, 1% выручки при массовом
• [ ] Сделано

8. Оферта / договор

• Публичная оферта или кастомный договор
• Должна ссылаться на Политику и Согласие
• [ ] Сделано

9. Cookie-policy + cookie-баннер

• Баннер с явным opt-in для не-essential cookies
• Возможность отказа (не «ok-only» баннер)
• Цена пропуска: 15-30 тыс. ₽ + потенциально GDPR при иностранной аудитории
• [ ] Сделано

Блок C. UX consent (пункты 10-13)

10. Checkbox до сбора контакта

• Чекбокс «Соглашаюсь с обработкой ПДн» — не pre-checked
• Ссылка на Политику и Согласие
• Без галочки — форма не отправляется
• [ ] Сделано

11. Checkbox на trans-border отдельно

• Если передаёте данные за границу — второй чекбокс отдельно
• С явным упоминанием куда и какие данные
• [ ] Сделано

12. Журнал согласий

• Сохраняйте timestamp, IP, текст версии согласия
• Минимум 5 лет после завершения обработки
• [ ] Сделано

13. Механизм отзыва согласия

• Email + раздел в кабинете пользователя
• Срок исполнения: 30 дней с запроса
• Цена пропуска: индивидуальные иски + штрафы
• [ ] Сделано

Блок D. Инфраструктура (пункты 14-18)

14. Первичная запись ПДн — в РФ

• С 01.07.2025 — обязательно
• Yandex Cloud / VK Cloud / SberCloud
• Цена пропуска: 1-6 млн ₽ штрафа
• [ ] Сделано

15. Шифрование at-rest

• PostgreSQL TDE / file-level шифрование дисков
• Яндекс Managed PostgreSQL включает из коробки
• [ ] Сделано

16. Шифрование in-transit

• TLS 1.2+ для всех соединений
• Let's Encrypt / kcommerce-сертификаты — OK
• [ ] Сделано

17. Backup в РФ

• Резервные копии тоже на РФ-хостинге
• Отдельный инцидент: утечка из backup'а
• [ ] Сделано

18. Access log + аудит

• Логи доступа сотрудников к БД с ПДн
• Хранить 6 месяцев минимум
• [ ] Сделано

Блок E. Работа с поставщиками (пункты 19-21)

19. DPA со всеми суб-обработчиками

• Хостер, CRM, email-провайдер, AI-провайдер, платёжный шлюз
• Стандартная формулировка + приложение о технических мерах
• [ ] Сделано

20. Реестр суб-обработчиков

• Публичный список кому и что передаёте
• Должен быть в Политике или отдельным документом
• [ ] Сделано

21. Процедура уведомления клиентов при смене суб-обработчика

• Минимум 30 дней предупреждения (если предусмотрено DPA)
• Право клиента на расторжение договора
• [ ] Сделано

Блок F. Incident response (пункты 22-23)

22. Процедура реагирования на утечку

• Уведомление РКН за 24 часа с момента обнаружения
• Уведомление пользователей за 72 часа
• Письменный план: кто что делает (responsible, informed, escalation)
• Цена пропуска: при утечке 100K+ — штраф 10-15 млн ₽ + 1-3% годовой выручки при повторе
• [ ] Сделано

23. Ответственный за ПДн

• Приказ о назначении ответственного сотрудника (или самого ИП)
• Контакт на сайте (email для обращений субъектов)
• Срок ответа на запрос субъекта: 30 дней
• [ ] Сделано

Стоимость полного compliance-пакета

• Юрист на пакет документов: 50-150 тыс. ₽ разово
• Юрист на поддержку: 10-30 тыс. ₽/мес при активных обращениях
• Регистрация ИП + р/с + ОФД: 15-20 тыс. ₽ разово
• Хостинг в РФ: 1 500 — 15 000 ₽/мес
• Compliance-софт (vendor management): опциональный, от 3 000 ₽/мес

Итого MVP-launch: 70-180 тыс. ₽ разово + 3-20 тыс. ₽/мес. Против штрафа в 10-15 млн ₽ за первую утечку — дешёвая страховка.

Что делает Replyo для своих клиентов

• Первичная запись ПДн в Yandex.Cloud (Санкт-Петербург)
• PII-strip перед LLM — номера / email / ФИО не уходят в Anthropic
• Сhecklbox согласия встроен в Behavior-слой
• DPA с клиентами — стандартный шаблон + подписывается без переговоров
• Уведомление РКН о суб-обработчиках — публично в Политике Replyo

Подробнее про 152-ФЗ в медицине — блог, в EdTech — другой разбор. Trust Center с документами Replyo — /trust.