Почему ФЗ-152 вообще касается VPN

Федеральный закон №152-ФЗ «О персональных данных» регулирует любую обработку ПДн — автоматизированную и неавтоматизированную, в электронном и бумажном виде. VPN — это канал, через который идёт трафик сотрудников к CRM, таск-трекерам, баг-трекерам, корпоративной почте, 1С и так далее. Любой из этих ресурсов содержит ПДн.

Из этого следуют три следствия:

  1. Место обработки должно быть в РФ (для большинства категорий ПДн).
  2. Журнал событий должен быть: кто, когда и какой ресурс открыл.
  3. Согласие субъекта на обработку — обязательная часть договорных отношений между работником и работодателем (ст. 86–89 ТК РФ).

Главная ошибка 2024–2026 годов — путать «наш VPN-провайдер зарегистрирован в РФ» с «ФЗ-152 соблюдён». Регистрация юрлица — это необходимое, но не достаточное условие.

Серверы в РФ — это условие, но не всё

Требование о локализации ПДн в РФ закреплено в ч. 5 ст. 18 ФЗ-152. Для VPN оно транслируется так: серверы, через которые идёт трафик, должны физически размещаться на территории РФ.

Что это значит на практике:

Журнал аудита: что логировать и сколько хранить

Журнал аудита — обязательный элемент ИСПДн. Для VPN это означает логирование как минимум:

Хранение. Конкретного срока в ФЗ-152 нет — оператор сам определяет срок хранения, исходя из целей обработки. На практике:

В контексте ФЗ-152 и VPN логирование действий сотрудника — это обработка ПДн. Работодатель обязан либо получить согласие, либо обосновать обработку другой правовой нормой.

Обычно согласие на обработку ПДн фиксируется тремя способами:

  1. В трудовом договоре — отдельный пункт или приложение.
  2. В отдельном документе «Согласие на обработку ПДн» — подписывается при приёме и/или при изменении политики.
  3. Через политику обработки ПДн компании, опубликованную на корпоративном портале.

Если VPN логирует только технический журнал (события сети, без привязки к конкретному сотруднику) — формальной обязанности согласия нет, но юристы чаще рекомендуют формализовать, чтобы избежать споров с трудовой инспекцией.

Классификация ИСПДн

Постановление Правительства №1119 делит ИСПДн на 4 уровня защищённости (УЗ-1 до УЗ-4) в зависимости от категории обрабатываемых данных и количества субъектов. От уровня зависит набор технических и организационных мер.

Для VPN-сервиса это означает, что если через VPN ходят данные уровня УЗ-1 или УЗ-2, поставщик должен соответствовать требованиям ФСТЭК: контроль целостности, журнал событий ИБ, разграничение доступа администраторов, защита каналов связи.

Штрафы и реальная правоприменительная практика

По данным Роскомнадзора за 2024 год, сумма штрафов за нарушения в сфере ПДн составила ₽ 5,7 млрд. Для сравнения — в 2023 году сумма была заметно меньше; рост связан с оборотами штрафов за утечки.

Типичные санкции по статьям КоАП:

С 2025 года в России также действуют оборотные штрафы за утечки: до ₽ 500 млн за повторную утечку 100 000+ субъектов.

Точные данные по динамике штрафов за 2026 год появятся в годовом отчёте Роскомнадзора в 1 квартале 2027 года. По предварительной оценке, тренд — на ужесточение правоприменения.

Чек-лист соответствия ФЗ-152 для корпоративного VPN

  1. Договор с VPN-провайдером включает поручение на обработку ПДн.
  2. Серверы провайдера физически находятся в РФ — это зафиксировано в SLA или договоре.
  3. Юрлицо провайдера уведомило Роскомнадзор о включении в реестр операторов ПДн.
  4. Журнал аудита VPN-клиентов настраивается минимум на 30 дней.
  5. Журнал выгружается в SIEM или в SIEM-эквивалент.
  6. Согласие сотрудников на обработку ПДн получено и задокументировано.
  7. Политика обработки ПДн опубликована и подписана.
  8. Классификация ИСПДн по уровням УЗ выполнена.
  9. На критичные ИСПДн (УЗ-1, УЗ-2) аттестат соответствия оформлен.
  10. Список ресурсов, доступных через VPN, согласован с ИБ-командой.
  11. Контроль физического доступа к инфраструктуре VPN задокументирован.
  12. Процедура реагирования на инциденты с доступом через VPN прописана.

Что именно считается «обработкой ПДн» в контексте VPN

В ФЗ-152 «обработка» — это любое действие с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Для VPN значимы следующие операции:

То есть даже если VPN-сервис не хранит «контент» (не снифает трафик), сам факт ведения журнала — это обработка ПДн. Отсюда требование согласия.

Что не считается обработкой ПДн

Полностью обезличенный технический журнал, в котором идентификатор сотрудника заменён хешем или рандомным ID, который нельзя сопоставить с конкретным человеком — формально не обработка. Но на практике даже хеш можно деанонимизировать, поэтому юристы относятся к такой конструкции скептически.

Что делать с филиалами в других странах

Общий принцип: для каждой категории ПДн определяется ведущая юрисдикция по ст. 12 ФЗ-152. Если в филиале работают иностранные сотрудники и их данные обрабатываются через VPN — обычно это нормально, если VPN-сервер физически в РФ. Если филиал хостит свои сервисы — нужно оценивать отдельно по каждому сервису.

Частая ошибка — считать, что VPN «автоматически» решает все вопросы с локализацией. На самом деле локализация — это про сервер, а VPN — это про канал. Они пересекаются, но не тождественны.

Документы, которые должны быть у оператора ПДн

Этот набор — базовый. У операторов ПДн с большими объёмами добавляются положения о трансграничной передаче, о видеонаблюдении, о DLP, о реакции на запросы субъектов.

FAQ

Достаточно ли того, что VPN-провайдер зарегистрирован в РФ?
Нет. Регистрация юрлица на территории РФ — это необходимое, но не достаточное условие. Нужны: (1) договор и поручение на обработку ПДн между вашей организацией и провайдером, (2) физическое размещение серверов на территории РФ, (3) журнал аудита с настраиваемым сроком хранения, (4) классификация ИСПДн, согласие субъектов и внутренняя политика обработки ПДн.
Нужно ли получать согласие сотрудников на использование VPN?
Согласие на обработку ПДн обычно включается в трудовой договор или в отдельный документ по ст. 86–89 ТК РФ и ФЗ-152. Если VPN логирует действия сотрудника (подключения, объёмы трафика, посещённые ресурсы), это — обработка ПДн, и согласие нужно. Если только технический журнал без привязки к человеку — формальной обязанности согласия нет, но юристы чаще рекомендуют оформлять.
Что делать с филиалами за рубежом?
Зависит от категории ПДн. Общедоступные или обезличенные — допустимо без локализации. Биометрия, специальные категории, данные сотрудников — почти всегда требуют локализации в РФ. На практике для филиалов строят отдельный VPN-контур с серверами в соответствующей юрисдикции, а основной трафик ПДн — через российский сервер.