Почему ФЗ-152 вообще касается VPN
Федеральный закон №152-ФЗ «О персональных данных» регулирует любую обработку ПДн — автоматизированную и неавтоматизированную, в электронном и бумажном виде. VPN — это канал, через который идёт трафик сотрудников к CRM, таск-трекерам, баг-трекерам, корпоративной почте, 1С и так далее. Любой из этих ресурсов содержит ПДн.
Из этого следуют три следствия:
- Место обработки должно быть в РФ (для большинства категорий ПДн).
- Журнал событий должен быть: кто, когда и какой ресурс открыл.
- Согласие субъекта на обработку — обязательная часть договорных отношений между работником и работодателем (ст. 86–89 ТК РФ).
Главная ошибка 2024–2026 годов — путать «наш VPN-провайдер зарегистрирован в РФ» с «ФЗ-152 соблюдён». Регистрация юрлица — это необходимое, но не достаточное условие.
Серверы в РФ — это условие, но не всё
Требование о локализации ПДн в РФ закреплено в ч. 5 ст. 18 ФЗ-152. Для VPN оно транслируется так: серверы, через которые идёт трафик, должны физически размещаться на территории РФ.
Что это значит на практике:
- Cloud-сервер провайдера. Если вендор держит серверы в РФ, требование соблюдается. Заказчик проверяет это по договору и по уведомлению Роскомнадзора о включении в реестр операторов ПДн.
- On-prem у заказчика. Серверы в ЦОДе заказчика или на его площадке в РФ — соответствует требованию по умолчанию.
- Гибрид. Часть серверов в РФ, часть — за рубежом (например, для филиала в Европе). Допустимо, если за рубежом не обрабатываются ПДн российских субъектов, либо это задокументировано отдельным регламентом.
Журнал аудита: что логировать и сколько хранить
Журнал аудита — обязательный элемент ИСПДн. Для VPN это означает логирование как минимум:
- Идентификатор сотрудника (логин, e-mail, табельный номер).
- Время подключения и отключения.
- IP-адрес, с которого выполнен вход.
- Список ресурсов, к которым были обращения (по домену или IP).
- Объём переданных данных.
- Срабатывания политик (попытка доступа к запрещённому ресурсу, kill-switch).
Хранение. Конкретного срока в ФЗ-152 нет — оператор сам определяет срок хранения, исходя из целей обработки. На практике:
- ФСТЭК в приказе №17 рекомендует хранение журналов событий ИБ не менее 30 дней для систем уровня УЗ-4.
- Корпоративные политики обычно ставят 90–365 дней, чтобы хватило на расследование инцидентов (по оценке экспертов Solar JSOC, расследование сложного инцидента занимает 30–90 дней).
- Экспорт в SIEM — крайне желателен для интеграции с SOC.
Согласие сотрудников и трудовой договор
В контексте ФЗ-152 и VPN логирование действий сотрудника — это обработка ПДн. Работодатель обязан либо получить согласие, либо обосновать обработку другой правовой нормой.
Обычно согласие на обработку ПДн фиксируется тремя способами:
- В трудовом договоре — отдельный пункт или приложение.
- В отдельном документе «Согласие на обработку ПДн» — подписывается при приёме и/или при изменении политики.
- Через политику обработки ПДн компании, опубликованную на корпоративном портале.
Если VPN логирует только технический журнал (события сети, без привязки к конкретному сотруднику) — формальной обязанности согласия нет, но юристы чаще рекомендуют формализовать, чтобы избежать споров с трудовой инспекцией.
Классификация ИСПДн
Постановление Правительства №1119 делит ИСПДн на 4 уровня защищённости (УЗ-1 до УЗ-4) в зависимости от категории обрабатываемых данных и количества субъектов. От уровня зависит набор технических и организационных мер.
- УЗ-1 (максимальный): специальные категории (здоровье, биометрия) или большой массив данных.
- УЗ-4 (минимальный): общедоступные или обезличенные данные.
Для VPN-сервиса это означает, что если через VPN ходят данные уровня УЗ-1 или УЗ-2, поставщик должен соответствовать требованиям ФСТЭК: контроль целостности, журнал событий ИБ, разграничение доступа администраторов, защита каналов связи.
Штрафы и реальная правоприменительная практика
По данным Роскомнадзора за 2024 год, сумма штрафов за нарушения в сфере ПДн составила ₽ 5,7 млрд. Для сравнения — в 2023 году сумма была заметно меньше; рост связан с оборотами штрафов за утечки.
Типичные санкции по статьям КоАП:
- Ст. 13.11 ч. 1 — обработка в случаях, не предусмотренных законом, или несовместимая с целями: штраф на юрлицо 30–50 тыс. ₽, повторно — до 1 млн ₽.
- Ст. 13.11 ч. 2 — обработка без письменного согласия: до 75 тыс. ₽ на юрлицо, повторно — до 1,5 млн ₽.
- Ст. 13.11 ч. 5 — неуведомление Роскомнадзора об обработке: до 75 тыс. ₽.
С 2025 года в России также действуют оборотные штрафы за утечки: до ₽ 500 млн за повторную утечку 100 000+ субъектов.
Точные данные по динамике штрафов за 2026 год появятся в годовом отчёте Роскомнадзора в 1 квартале 2027 года. По предварительной оценке, тренд — на ужесточение правоприменения.
Чек-лист соответствия ФЗ-152 для корпоративного VPN
- Договор с VPN-провайдером включает поручение на обработку ПДн.
- Серверы провайдера физически находятся в РФ — это зафиксировано в SLA или договоре.
- Юрлицо провайдера уведомило Роскомнадзор о включении в реестр операторов ПДн.
- Журнал аудита VPN-клиентов настраивается минимум на 30 дней.
- Журнал выгружается в SIEM или в SIEM-эквивалент.
- Согласие сотрудников на обработку ПДн получено и задокументировано.
- Политика обработки ПДн опубликована и подписана.
- Классификация ИСПДн по уровням УЗ выполнена.
- На критичные ИСПДн (УЗ-1, УЗ-2) аттестат соответствия оформлен.
- Список ресурсов, доступных через VPN, согласован с ИБ-командой.
- Контроль физического доступа к инфраструктуре VPN задокументирован.
- Процедура реагирования на инциденты с доступом через VPN прописана.
Что именно считается «обработкой ПДн» в контексте VPN
В ФЗ-152 «обработка» — это любое действие с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Для VPN значимы следующие операции:
- Запись — сохранение идентификатора сотрудника (логин, IP) в журнале подключения.
- Хранение — хранение этого журнала на сервере.
- Использование — применение журнала для расследования инцидентов или для отчётности.
- Передача — экспорт журнала в SIEM, передача в правоохранительные органы по запросу.
То есть даже если VPN-сервис не хранит «контент» (не снифает трафик), сам факт ведения журнала — это обработка ПДн. Отсюда требование согласия.
Что не считается обработкой ПДн
Полностью обезличенный технический журнал, в котором идентификатор сотрудника заменён хешем или рандомным ID, который нельзя сопоставить с конкретным человеком — формально не обработка. Но на практике даже хеш можно деанонимизировать, поэтому юристы относятся к такой конструкции скептически.
Что делать с филиалами в других странах
Общий принцип: для каждой категории ПДн определяется ведущая юрисдикция по ст. 12 ФЗ-152. Если в филиале работают иностранные сотрудники и их данные обрабатываются через VPN — обычно это нормально, если VPN-сервер физически в РФ. Если филиал хостит свои сервисы — нужно оценивать отдельно по каждому сервису.
Частая ошибка — считать, что VPN «автоматически» решает все вопросы с локализацией. На самом деле локализация — это про сервер, а VPN — это про канал. Они пересекаются, но не тождественны.
Документы, которые должны быть у оператора ПДн
- Политика обработки ПДн — опубликована на сайте, доступна сотрудникам и пользователям.
- Уведомление Роскомнадзора — подаётся до начала обработки, обновляется при изменении целей.
- Согласие на обработку — для каждой цели, для каждой категории субъектов.
- Положение о ПДн — внутренний документ с регламентами доступа, хранения, удаления.
- Аттестат соответствия ИСПДн — для ИСПДн уровня УЗ-1, УЗ-2.
- Журнал согласий и отзывов — фиксация, кто и когда дал согласие, кто и когда отозвал.
- Журнал инцидентов — все случаи утечек, попыток НСД, ошибок сотрудников.
Этот набор — базовый. У операторов ПДн с большими объёмами добавляются положения о трансграничной передаче, о видеонаблюдении, о DLP, о реакции на запросы субъектов.