Персональные данные: самый полный гайд на 2025 год

Штрафы до 500 млн рублей, внезапные проверки Роскомнадзора и угроза репутации — в 2025 году много рисков для бизнеса, работающего с персональными данными (ПДн).

Если вы нанимаете сотрудников, храните клиентские базы или используете CRM, вы считаетесь оператором и должны соблюдать ФЗ от 27.07.2006 № 152-ФЗ. Этот гайд поможет защитить вашу компанию от возможных претензий со стороны Роскомнадзора и понять, как правильно работать обрабатывать ПДн.

Кто попадает под действия закона о персональных данных

Согласно ст. 3 ФЗ № 152-ФЗ, оператор персональных данных — это юридическое лицо (ООО, АО, НКО и т.д.), индивидуальный предприниматель (ИП) или даже физическое лицо, которое самостоятельно или совместно с привлечением других лиц организует и (или) обрабатывает ПДн, а также определяет цели обработки ПДн, состав обрабатываемых данных и действия (операции), совершаемые с ними.

Проще говоря, оператор — это тот, кто:

• Принимает решение, зачем и какие данные собирать. Например, интернет-магазин решает собирать ФИО, адреса и телефоны покупателей для доставки товаров.

• Непосредственно проводит действия с этими данными: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение. Это и есть обработка ПДн в широком смысле.

Важно! Оператором считается и крупная корпорация, и небольшой бизнес, нанимающий сотрудников и ведущий клиентскую базу. Даже если у вас ИП с одним работником, вы — оператор.

Что еще стоит учитывать:

• Оператор определяет цели работы с ПДн — это ключевой критерий. Например, компания нанимает стороннее агентство для рассылки маркетинговых предложений своим клиентам. Она передает агентству список клиентов (ФИО, email). Здесь оператором остается компания, так как она определила цель обработки и состав данных. Агентство выступает как лицо, обрабатывающее данные по поручению оператора (ст. 6 ФЗ №152-ФЗ), и несет ответственность перед оператором по договору, но основная обязанность соблюдать ФЗ №152-ФЗ остается на компании-заказчике.

• Закон не распространяется на обработку ПДн физлицом исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов. Ваш личный адресный блокнот с телефонами друзей — не под регулированием ФЗ № 152-ФЗ. Но если вы, как физлицо, начнете систематически использовать эти данные для коммерческих рассылок, вы становитесь оператором персональных данных.

• Обязанности возникают автоматически. Как только оператор начинает работать с ПДн, на него возлагается весь комплекс обязанностей по ФЗ № 152-ФЗ: уведомление Роскомнадзора (если не попадает в список исключений), получение согласий от субъектов ПДн, обеспечение безопасности обработки персональных данных, назначение ответственного, разработка политики и локальных нормативных актов и т.д. (ст.ст. 18.1, 19, 22.1 ФЗ №152-ФЗ).

Какие данные считаются персональными

Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту ПДн):

• фамилия, имя, отчество (ФИО);

• дата и место рождения;

• адрес места жительства (постоянной или временной регистрации, а также фактического проживания);

• номер телефона;

• серия и номер паспорта;

• ИНН и СНИЛС;

• семейное, социальное, имущественное положение;

• образование, профессия;

• данные водительского удостоверения;

• сведения о трудовой деятельности.

Главный критерий — по ПДн должна быть возможность идентифицировать человека. Например, если вы просто узнаете имя потенциального клиента — это не ПДн. А вот сочетание имени и номера телефона уже считается персональными данными.

Есть еще отдельные категории ПДн — специальные и биометрические (ст. 10, ст. 11 ФЗ № 152-ФЗ). В первом случае подразумеваются сведения о состоянии здоровья, политических взглядах, расовой принадлежности, национальности и другая личная информация. Во втором — фотографии, отпечатки пальцев и остальные сведения, которые характеризуют особенности человека с биологической или физиологической точки зрения.

С такими ПДн нужно работать максимально осторожно. В обязательном порядке требуется согласие субъекта ПДн, если нет оснований для обработки без него — они предусмотрены ст. 6 ФЗ № 152-ФЗ. Например, если ПДн обрабатываются для исполнения судебного акта, защиты жизни и здоровья субъекта данных, и т.д.

Важно! ПДн должны совпадать с конкретными целями, для которых вы их обрабатываете. Если они вам нужны для продвижения товаров и услуг на рынке, вы можете взять ФИО, номер телефона и email, а вот запрашивать для этого ИНН или СНИЛС — нет.

Вы оператор персональных данных — порядок действий

Статус оператора ПДн обязывает соблюдать комплекс строгих правил по ФЗ №152-ФЗ. Для легальной работы с ПДн и минимизации риска штрафов необходимо выполнить следующие шаги:

• Определите правовое основание обработки (ст. 6 152-ФЗ). Личные данные человека нельзя использовать без его согласия, за исключением случаев, прямо предусмотренных законом. Прежде чем собирать данные, четко установите законное основание для каждой цели и субъекта. Например, согласие субъекта, исполнение судебного акта и т.д.

• Назначьте ответственного за работу с ПДн. Им может быть руководитель организации, юрист, специалист отдела кадров или иной сотрудник. Назначение оформляется приказом. Для ответственного нужна инструкция, регламентирующая его обязанности.

• Разработайте документы для организации работы с ПДн и их защиты. Точный перечень зависит от особенностей вашего бизнеса и ряда других факторов. Количество таких документов может достигать 60 наименований.

• Обеспечьте соблюдение требований к обеспечению безопасности персональных данных. Это комплекс юридических, организационных и технических мер для защиты данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения (ст. 19 ФЗ №152-ФЗ). Все меры должны соответствовать постановлению Правительства № 1119, приказу ФСТЭК от 01. 02. 2013 г. № 17.

Ключевые аспекты безопасности:

• ограничение доступа к персональным данным: физическая защита помещений (турникеты, сейфы), разграничение прав доступа к персональным данным сотрудников в информационных системах (пароли, учетные записи);

• применение средств защиты информации (антивирусы, шифрование, межсетевые экраны) — сертифицированных ФСТЭК/ФСБ при обработке в госинформационных системах или при обработке, требующей защиты;

• регулярное обучение сотрудников, работающих с ПДн;

• учет машинных носителей ПДн;

• обнаружение и реагирование на инциденты (утечки).

Доступ к персональным данным внутри организации должен предоставляться только тем сотрудникам, которым это необходимо для выполнения их трудовых (служебных) обязанностей (ст. 5, ст. 19 152-ФЗ).

Важно! Когда все будет организовано, подайте в Роскомнадзор уведомление об обработке персональных данных. Это нужно сделать еще до того, как приступите к их сбору. Если не уведомить надзорный орган, вас могут оштрафовать на крупную сумму.

Как правильно подать уведомление о начале обработки персональных данных в Роскомнадзор

Заполнить и подать уведомление можно на сайте РКН. Если вы просто скачаете образец в интернете, у вас его не примут. При необходимости вы можете внести сведения в онлайн-форму, а затем распечатать документ и представить в территориальное отделение ведомства лично или отправить почтой.

Подписать уведомление о намерении осуществлять обработку персональных данных можно:

• с помощью УКЭП;

• через Госуслуги.

В последнем случае аккаунт руководителя должен быть привязан к учетной записи организации.

Примечание: Роскомнадзор рассмотрит уведомление в течение 30 дней с момента получения документа, по результатам компанию или ИП внесут в реестр операторов. Проверить, добавили ли туда вашу организацию, можно на сайте ведомства. Достаточно указать наименование компании или ИНН.

Какие документы необходимы организации для работы с персональными данными

В первую очередь вам нужно оформить ряд документов в отношении обработки ПДн. В них указываются цели обработки персональных данных, порядок работы с ними, ответственное лицо и иные сведения:

• Политика обработки ПДн.

• Положения: об обработке персональных данных сотрудников, об обработке и защите ПДн иных лиц, о порядке обезличивания данных; о комиссии по безопасности персональных данных, о парольной защите, о порядке уничтожения персональных данных, об организации видеонаблюдения, об ответственности работников.

• Приказы: о назначении ответственного за обработку ПДн, о создании комиссии по уничтожению ПДн, об утверждении комиссии по безопасности ПДн, об утверждении локальных нормативных актов, об утверждении перечня должностей с доступом к ПДн, об утверждении политики обработки ПДн, об утверждении списка помещений для обработки ПДн.

• Правила: оборудования помещений для обработки ПДн, оценки вреда субъектам ПДн, рассмотрения обращений субъектов ПДн.

• Инструкции: администратора информационной безопасности, ответственного за обработку персональных данных; по применению антивирусных средств, работе с машинными носителями, учету лиц с доступом к персональным данным, физической охране и контролю доступа; для работников ИС персональных данных, проведению инструктажа работников.

• Акты: о выявлении нарушений, об уничтожении ПДн, оценки вреда.

• Журналы: учета лиц, допущенных к ПДн, учета машинных носителей, учета нештатных ситуаций, учета прохождения первичного инструктажа, учета средств защиты.

• Матрица доступа к ИСПДн.

• Должностные инструкции сотрудников, которые работают с ПДн.

• Соглашения о неразглашении данных.

• Шаблоны согласий на обработку персональных данных.

• Договоры с третьими лицами, обрабатывающими ПДн по поручению оператора.

Также у операторов должны быть документы о защите ПДн. Их список зависит от способа обработки данных. Если вы используете средства автоматизации и храните данные в электронных базах, понадобится перечень информационных систем (ИС), приказ о вводе ИС в эксплуатацию, акт классификации ИС, инструкция по организации парольной защиты, Положение о проведении внутреннего контроля, а также схема рабочих мест, на которых осуществляется обработка. Но это не окончательный перечень — в зависимости от особенностей работы с ПДн в вашей компании он может быть дополнен.

Как правильно обрабатывать персональные данные

Предприниматели часто допускают ошибки в работе с персональными данными. В 2025 году нарушения ФЗ № 152-ФЗ — прямой путь к претензиям от РКН. Если вы не готовы к внезапной проверке Роскомнадзора, вы уже в группе риска.

Разберемся подробнее, как работать с ПДн, когда нужно согласие от субъекта и что делать, если он потребовал, чтобы сведения о нем были уничтожены.

Запросите согласие

Оно требуется в большинстве случаев, за исключением оснований, перечисленных в ст. 6 ФЗ №152-ФЗ. Например, если данные вам нужны для маркетинговых целей, согласие обязательно. Без него можно работать с ними, когда выгодоприобретателем по договору выступает сам субъект, обработка нужна для защиты его жизни и здоровья или профессиональной деятельности журналиста, и в ряде других ситуаций.

Вовремя прекратите обработку ПДн

Вы обязаны прекратить работу с ПДн субъекта при достижении целей, для которых они собирались изначально, или при отзыве согласия. Также нужно уничтожить данные в течение 30 дней.

Учтите: субъект ПДн вправе потребовать прекратить работу с его данными в любой момент. Оператор обязан сделать это в течение 10 рабочих дней. При наличии оснований срок можно продлить еще на 5 рабочих дней, уведомив об этом субъекта.

Правильно уничтожайте данные

Уничтожение персональных данных (ПДн) — это не просто удаление файла или стирание записи. Это юридически значимый процесс, который должен гарантировать невозможность восстановления информации. Порядок действий оператора регламентирован ФЗ № 152-ФЗ и детализирован приказом Роскомнадзора от 28.10.2022 № 179.

Если ПДн хранились на бумаге, выберите подходящий метод уничтожения — шредирование или сжигание. На электронных носителях — демонтаж, дробление. Для безвозвратного удаления данных в ИС используйте встроенные или специализированные средства СУБД и ОС для физического стирания с дисков, криптографическое уничтожение, деперсонализацию.

Важно! Для уничтожения персональных данных создается комиссия. В результате оформляется акт и выгрузка из ИС, эти документы хранятся минимум три года. Они могут понадобиться при возможных проверках компании Роскомнадзором.

Уведомите Роскомнадзор об изменениях

Если поменялись любые сведения, которые внесены в реестр операторов — например, ответственный за работу с ПДн, название организации, категории субъектов или обрабатываемых данных, — об этом необходимо уведомить Роскомнадзор не позднее 15 числа месяца, следующего за месяцем таких изменений.

Уведомление тоже можно подать на сайте ведомства через Госуслуги или подписав УКЭП.

Примечание: также уведомлять Роскомнадзор нужно при трансграничной передаче или прекращении обработки ПДн по причине ликвидации компании или закрытии ИП.

Особенности обработки ПДн на сайте

Требования к работе с ПДн в 2025 году ужесточились, особенно это касается владельцев сайтов. Роскомнадзор регулярно мониторит такие ресурсы с помощью ИИ, что позволяет оперативно выявлять все нарушения.

Вот что нужно знать:

• Для сбора сведений о пользователях используйте только сервисы с базами в РФ. Проведите технический аудит, чтобы удостовериться, что в коде не осталось «хвостиков» иностранных сервисов, использование которых нужно согласовывать с РКН — подавать уведомление о трансграничной передаче.

• Разместите на сайте Политику обработки ПДн, добавьте ссылку на нее в футер, опубликуйте Политику конфиденциальности, предупреждайте пользователей о сборе данных под каждой формой для сбора. Разработайте согласие на обработку персональных данных и дайте пользователю ознакомиться с ним. Автоматическое проставление «галочки» о согласии — это нарушение.

• Обязательно предупреждайте новых пользователей о том, что собираете cookie. Такие файлы тоже считаются ПДн.

Штрафы за нарушения ФЗ № 152-ФЗ

Санкции за нарушения правил обработки персональных данных с 30 мая 2025 года стали строже — в ст. 13.11 КоАП внесены существенные изменения. Так, если вы не подадите в РКН уведомление о начале обработки, вас могут оштрафовать на сумму до 300 000 рублей. Такой же штраф предусмотрен и в случае, если обработка не совпадает с целями, для которых собраны ПДн.

За что еще и на какую сумму могут оштрафовать оператора:

• Работа с ПДн без согласия субъекта, если оно обязательно по закону — до 700 000, при повторном нарушении — до 1,5 млн рублей.

• Отсутствие Политики обработки на сайте — до 60 000 рублей.

• Непредоставление субъекту сведений, которые касаются работы с его данными — до 80 000 рублей.

• Невыполнение требований субъекта о блокировании, уничтожении или уточнении ПДн — до 90 000, повторное нарушение — до 500 000 рублей.

• Несоблюдение требований к защите ПДн, если это повлекло неправомерную передачу (утечку) — до 15 млн рублей, за повторное нарушение могут оштрафовать на сумму до 500 млн рублей.

Чтобы снизить риск получения штрафов в 2025 году, закажите правовой и технический аудит у профессионалов. Оплатив услугу сейчас, вы сэкономите миллионы в будущем и сможете спокойно работать с персональными данными, не боясь крупных штрафов.

Источник - https://www.klerk.ru/blogs/fedresurs/652327/#chapter-kto-popadaet-pod-deystviya-zakona-o-personalnyh-dannyh