Главная » Предпринимателю »Ответственность предпринимателей за сохранность персональных данных в 2025 году
Ответственность предпринимателей за сохранность персональных данных в 2025 году
Статью подготовила Павлова Елена Геннадиевна, доцент кафедры «Макроэкономическое регулирование» Финансового университета при Правительстве РФ. Связаться с автором
С 30 мая 2025 года начал действовать Федеральный закон от 30.11.2024 № 420-ФЗ, ужесточающий административную ответственность за нарушения в сфере сохранности персональных данных.
В статье рассмотрим, как предпринимателю обеспечить сохранность персональных данных и какие последствия могут наступить при допущении нарушений.
Что изменилось
Штрафные санкции за нарушения выросли многократно. Например, максимальное финансовое наказание за незаконную обработку персональных данных для юридических лиц при повторном нарушении достигает 500 000 руб., что больше прежних штрафных пределов более, чем в полтора раза. Для должностных лиц верхняя граница санкций увеличилась в 4 раза, до 200 000 руб.
С 30 мая 2025 года операторы персональных данных отвечают за несвоевременное уведомление Роскомнадзора о фактах утечки этой информации. Если уведомление было предоставлено позднее, чем через 24 часа, оператору грозит штраф от 50 000 до 3 млн руб.
Также введены штрафы за неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных и за действия оператора, приведшие к нежелательному распространению персональной информации.
В новых условиях особое внимание контролирующих органов направлено на первых лиц организации - даже при формальном назначении лица, отвечающего за защиту данных, именно на руководителе лежит окончательная ответственность за соответствие процессов обработки персональной информации требованиям законодательства.
В ближайшей перспективе обсуждается введение уголовной ответственности за грубую халатность, породившую массовые утечки персональных данных.
Федеральный закон от 30.11.2024 № 420-ФЗ предусматривает ужесточение ответственности для ИП за нарушения, предусмотренные ч. 1.1 и 8–18 ст. 13.11 КоАП РФ. Теперь они будут нести такую же ответственность, как и юридические лица. Это означает, что в большинстве случаев штраф для ИП станет намного выше, чем раньше.
Новая редакция КоАП РФ также устанавливает перечень отягчающих обстоятельств, которые будут учитываться при назначении наказания за повторные правонарушения требований законодательства.
К таким обстоятельствам отнесены:
игнорирование требования уполномоченных органов прекратить противоправные действия — при условии, что нарушитель продолжал их допускать (п. 1 ч. 1 ст. 4.3 КоАП РФ).
повторность правонарушения — если лицо на момент совершения нового нарушения (или на момент вынесения решения по делу) уже привлекалось к административной ответственности по ч. 1–11 статьи 13.11 КоАП РФ или по статьям 13.6, 13.12 КоАП РФ.
При наличии этих обстоятельств предусмотрено назначение более строгого наказания.
Произошло значительное усиление контрольных функций надзорных органов. Так, Роскомнадзор получил расширенные полномочия для мониторинга и пресечения нарушений. В частности, ведомство вправе:
проводить внеплановые проверки бизнеса без предварительного уведомления;
требовать доступ к внутренним системам компаний для аудита;
оперативно блокировать онлайн-ресурсы, нарушающие требования защиты персональных данных.
Кроме прямых финансовых потерь в виде штрафов бизнесу грозят серьезные репутационные издержки. Сведения об операторах из реестра Роскомнадзора являются в основном публичными, поэтому нарушения по части обращения с персональными данными могут привести к оттоку клиентов и потере доверия к компании с точки зрения потенциального сотрудничества.
Кого касаются изменения
Оператором персональных данных может считаться практически любой бизнес - юридическое лицо, ИП принимающий на дому самозанятый мастер, который записывает имена и телефоны клиентов. Важен сам факт того, что бизнес собирает, хранит и использует личные данные людей: сотрудников, клиентов, контрагентов и т. д.
Персональными данными считается любая информация, которая соотносится только с конкретным человеком и позволяет идентифицировать его как личность - ФИО, адрес, телефон, дата рождения, информация о месте работы, паспортные данные.
Если:
у бизнеса есть сотрудники или исполнители-физические лица, работающие по договорам ГПХ;
он работает напрямую с клиентами и собирает их персональные данные в электронном виде (например, в таблице Excel или в программе 1С);
сохраняет контактную информацию клиентов или посетителей своих сайтов/соцсетей в специальных сервисах для рассылок;
получает адреса покупателей для доставки товаров;
обрабатывает данные физических лиц для исполнения договоров, организации мероприятий и т. д. —
он должны зарегистрировать этот факт в РКН — то есть подать уведомление.
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
Что должен делать оператор
Приведем основные обязанности каждого оператора персональных данных:
уведомлять Роскомнадзор о начале сбора/обработки данных до начала сбора или обработки;
составлять и обновлять политику обработки персональных данных;
собирать cookie только с согласия посетителя сайта — то есть добавить специальное поле для согласия;
хранить и обрабатывать собранные данные только на российских серверах;
использовать средства защиты данных — антивирусы и многое другое.
Подать уведомление в РКН можно тремя способами:
Заполнить шаблон уведомления на сайте РКН, распечатать его и отправить по почте в территориальный отдел РКН.
Заполнить уведомление на сайте РКН и подписать его усиленной квалифицированной электронной подписью.
Авторизоваться через «Госуслуги» и заполнить уведомление на сайте РКН.
Повторные уведомления в Роскомнадзор подаются, если поменялась любая информация, которую до этого сообщали в РКН. Например, произошла реорганизация компании, или закрыли ИП, или сменился человек, ответственный за обработку данных. Также, когда меняются цели, способы обработки данных, которые обрабатываются, количество, точнее, категории субъектов, чьи данные обрабатываются, и т. д.
Сообщить об утечке данных, если она уже была
Если произойдет утечка данных, в Роскомнадзор нужно будет сообщить о ней в течение 24 часов с момента обнаружения. В уведомлении указывают:
предполагаемые причины неправомерной передачи персональных данных;
какой ущерб был причинен правам людей, чьи данные утекли;
какие меры предпринял бизнес для устранения последствий инцидента;
контакты ответственного за взаимодействие с РКН по утечке.
Дальше ИП или компания обязаны провести внутреннее расследование причин и последствий ситуации. На это есть 72 часа с момента обнаружения утечки, а затем о результатах расследования тоже нужно сообщить в РКН.
Как не допустить утечек
Чтобы утечку не допустить, основные рекомендации специалистов такие.
Ограничить доступ к персональным данным внутри компании с помощью программ. Разрешить сотрудникам видеть только те данные, которые необходимы для работы. Тогда, если аккаунт сотрудника будет взломан, злоумышленник получит доступ к минимальному объему информации.
Защитить аккаунты сотрудников от взлома, насколько это возможно. Для этого необходимо использовать сложные пароли с заглавными и строчными буквами, цифрами и специальными символами. Для входа в аккаунт должна быть включена двухфакторная аутентификация — например, по коду из СМС. Зашифровать конфиденциальные данные, которые хранятся на дисках, и установить антивирусы на компьютеры компании.
Обучить персонал. Рассказать сотрудникам о распространенных мошеннических схемах, чтобы они могли распознавать угрозы и защищать информацию.
Навести порядок в процессах
Как работать с персональными данными клиентов и сотрудников
Рекомендуется перевести работу с персональными данными на российские сервисы и ПО, например на «Яндекс Метрику», MyTracker. Перейти на сервис рассылок, который принадлежит российской компании, например на Sendsay, RuSender.
Нужно настроить кнопки согласия на обработку данных на сайте, чтобы посетители могли четко выразить свое согласие. При этом галочки не должны проставляться автоматически, это должно быть личное действие пользователя. Важно показать и ссылку на политику обработки данных, принятую в компании (у ИП).
Добавить нужные документы - разработать и утвердить локальные акты о работе с персональными данными: например, политику обработки персональных данных, положение по организации обработки и обеспечению безопасности персональных данных, различные инструкции, правила, приказы, журналы учета и т. д. Точный перечень документов и их содержание зависят от бизнеса: какие персональные данные обрабатываются, в какой программе, кто имеет доступ к ним, кто отвечает за обработку персональных данных и пр.
Самые частые ошибки в документах такие: компании не указывают цели сбора персональных данных, объем обрабатываемых данных, категории субъектов, чьи данные обрабатывает оператор.
О трансграничной передаче данных
Бывают ситуации, когда компания или ИП не могут или не хотят перейти на российские сервисы для работы с клиентами или пользователями сайтов. В этом случае возникает риск дополнительно нарушить закон, так как, с точки зрения Роскомнадзора, происходит трансграничная передача персональных данных.
Порядок действий в такой ситуации следующий:
Оценить страну, в которую будут передаваться данные. На сайте РКН есть списки стран, которые, с точки зрения властей, обеспечивают и не обеспечивают «адекватную защиту» данных.
Отправить в Роскомнадзор уведомление о планируемой передаче данных.
РКН может запросить, как вы убедились в том, что ваш иностранный партнер эти данные надежно защищает. Ответить нужно в течение 10 рабочих дней.
Получить отдельное согласие РКН на трансграничную передачу данных.
Уведомление рассматривается в течение 10 дней, и дальше может быть вынесено решение о запрещении осуществлять трансграничную передачу или об ограничении в этой сфере. Если никакого ответа не последовало, значит, Роскомнадзор фактически разрешил ее осуществлять, и тогда можно использовать иностранные метрики спокойно.
Если запрет вынесен после передачи данных, по закону бизнес обязан обеспечить их удаление у иностранного получателя. Однако на практике российская сторона может только потребовать удаления, добиться исполнения требований практически нереально.
В общем случае достаточно одного уведомления в Роскомнадзор о трансграничной передаче данных. Повторно уведомлять при каждой передаче не требуется. Однако если у компании произойдут изменения, которые приводят к новым потокам данных за границу (например, передача данных в новые страны), уведомление нужно будет направить заново.
Все собранные сведения накапливаются. Специальные программы анализируют их на предмет выявления индикаторов риска — показателей, при достижении которых Роскомнадзор вправе провести внеплановую проверку. Весной 2025 года их четыре (Приказ Минцифры РФ от 15.11.2021 № 1187):
Индикатор риска 1 — 10 и более раз в течение года выявили несоответствие между информацией в жалобах граждан и ответах бизнеса на запросы Роскомнадзора.
Индикатор риска 2 — ведомство само нашло в течение года 10 и более случаев предоставления неограниченному кругу лиц доступа к базам персональных данных или распространения этих баз в интернете.
Индикатор риска 3 —найдено 3 и более несоответствий между информацией в уведомлении Роскомнадзора об обработке персональных данных и тем, что бизнес рассказывает о себе на своем официальном сайте.
Индикатор риска 4 — выявили в течение года 2 и более нарушений правил работы с рекомендательными технологиями.
Задача оператора персональных данных — отслеживать индикаторы риска в своей деятельности и избегать их. Иначе он рискует получить внеплановую проверку.
С чего начать наведение порядка в работе с персональными данными
Выполнение всех шагов на уровне компании — это не компетенция кадровика или бухгалтера. Эти сотрудники могут навести порядок в своем отделе, тем более, что управление персоналом и работа с клиентами — основные поставщики нарушений в сфере персональных данных. Но в их силах также донести информацию до руководителя компании, что нужно сделать.
Примерный алгоритм подготовки к проверке Роскомнадзора:
1 — проверить наличие и полномочия ответственного за организацию обработки персональных данных.
2 — провести аудит ПД. Составить Реестр персональных данных.
3 — исключить обработку «лишних» ПД.
4 — проверить информацию о себе в Реестре операторов персональных данных. Если ее там нет, или она устарела, подать уведомление в Роскомнадзор.
5 — провести аудит официального сайта компании.
6 — проверить и, при необходимости, доработать (разработать) приказы и локальные акты.
7 — провести аудит имеющихся согласий на обработку ПД.
Результаты, к которым нужно прийти, — исключить обработку избыточных персональных данных и обеспечить прозрачный контролируемый процесс в этой сфере.
Как назначить ответственного за организацию работы с ПД
Операторы-юридические лица обязаны назначить ответственного за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Этот сотрудник будет:
разрабатывать локальные акты оператора в области защиты ПД;
информировать сотрудников о требованиях законодательства и локальных нормативных актов, связанных с обработкой и защитой персональных данных;
контролировать соблюдение работниками требований законодательства в области ПД;
работать с обращениями и запросами субъектов персональных данных или их представителей;
принимать меры по восстановлению прав субъектов ПД в случае выявленных нарушений;
координировать действия при инцидентах, связанных с утечкой или нарушением режима обработки ПД;
организовывать разработку и применение правовых, организационных и технических мер по защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных противоправных действий;
оценивать потенциальный вред, который может быть причинен субъектам ПД при нарушении законодательства, и анализировать достаточность принимаемых организацией мер для его предотвращения;
взаимодействовать с Роскомнадзором, в том числе отвечать на его запросы.
Для назначения ответственного недостаточно издать приказ. Надо включить эту работу в трудовой договор сотрудника и должностную инструкцию, если она есть. Иначе будет невозможно привлечь исполнителя к дисциплинарной ответственности, если он не станет выполнять свои обязанности (ст. 60 ТК РФ). Рекомендуется также провести обучение назначенного работника в сфере персональных данных.
При разработке должностной инструкции полезно использовать Приказ Роскомнадзора от 15.12.2022 № 201 об обработке ПД в самом Роскомнадзоре. В нем есть должностной регламент ответственного, который можно использовать как образец, но с доработкой под специфику своего бизнеса.
Как составить реестр персональных данных
Начинать наведение порядка в работе с ПД рекомендуем не с уведомления Роскомнадзора, а с аудита. Необходимо понять, какие именно персональные данные собираются и с какой целью. Сформированный Реестр ПД (карта ПД, перечень ПД) позволит:
корректно заполнить уведомление в Роскомнадзор;
выявить избыточные персональные данные, чтобы исключить их обработку;
подготовить базу для разработки Политики оператора в отношении обработки персональных данных, а также других требуемых документов.
Есть несколько подходов к формированию Реестра ПД. Например, по бизнес-процессам, по целям обработки, по субъектам ПД и т.д. Можно выбрать тот, который понятнее и удобнее. Специалисты советуют исходить из целей обработки ПД — это соответствует заложенному в законе принципу «Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей» (ч. 2 ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ).
Примерная последовательность действий:
Этап 1 — цели обработки ПД работников и кандидатов на трудоустройство можно взять из п. 1 ч. 1 ст. 86 ТК РФ.
Этап 2 — анализ видов деятельности бизнеса по учредительным документам. Роскомнадзор рекомендует смотреть устав, а также помнить про налоговый, бухгалтерский и кадровый учет, работу с персональными данными родственников сотрудников.
Этап 3 — составить список категорий субъектов ПД, с которыми бизнес взаимодействует в своих видах деятельности. Это могут быть работники, члены семьи работника, клиенты-физические лица, посетители сайта, посетители офиса, командированные и т.д.
Этап 4 — формулируются цели. Степень конкретизации выбирается самостоятельно. Не рекомендуется сильно укрупнять цели и ставить одну и ту же цель всем субъектам ПД. Примеры от Роскомнадзора: «подача отчетности в федеральные органы исполнительной власти», «оказание (предоставление) услуг по бухгалтерскому учету».
Этап 5 — под каждую цель обработки персональных данных указываются категории (общие, специальные, биометрические ПД) и перечень обрабатываемых ПД, категории субъектов ПД, способы (с автоматизацией или без), сроки обработки и хранения (п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Также рекомендуется сразу писать основание для обработки — конкретный закон или договор. лицензию, другой документ в соответствии с перечнем в ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ.
Эксперты не советуют формировать Реестр ПД по принципу «снизу вверх», когда сначала собирают все персональные данные в документах и базах компании, а потом под них «подгоняют» цели обработки. Так бизнес никогда не избавится от избыточной информации и может легко нарушить требования законодательства.
Какие ПД избыточны
Можно выделить три группы «лишних» персональных данных, но на конкретном предприятии список может быть больше.
ПД, которые не нужны по закону
Чтобы понять, какие «лишние» персональные данные бизнес обрабатывает, надо смотреть каждую цель, что нужно для ее достижения по закону или условиям лицензии, договора. Например, для оформления трудовых отношений в общем случае от работника нужны:
документ, удостоверяющий личность;
СНИЛС (его может оформить и работодатель);
трудовая книжка или сведения о трудовой деятельности.
Запрос прочих документов может быть обусловлен только требованиями закона, указов Президента или постановлений Правительства (ст. 65 ТК РФ). Но работодатели повсеместно продолжают просить «лишние» персональные данные, например, в анкете при трудоустройстве: участие в партиях, сведения о судимости (там, где это не нужно), адрес страницы в соцсетях и т.д.
Вторая группа «лишних» персональных данных — копии документов (паспортов, справок МВД, свидетельств о рождении, СНИЛС и т.д.). Кадровики и бухгалтеры могут копить их в папках, но объяснить требованиями закона и достижением каких-то целей хранение подобных документов практически невозможно.
Тем более, что на хранение копии нужно получать отдельное согласие субъекта ПД. Ведь для достижения целей обработки нужны данные из документов, а не сами документы. Поэтому рекомендуется взять за правило: после получения справки или паспорта от работника и выписки из них нужных сведений вернуть все работнику назад без изготовления копии.
Если отдел кадров или бухгалтерия не могут обойтись без копий документов, то нужно это хранение легализовать:
издать локальный нормативный акт о порядке формирования личного дела с целью предоставления копий документов работника надзорным органам;
ознакомить с ним работников;
получать с сотрудников согласие на обработку ПД в копиях документов с целью формирования и ведения личного дела.
Но полностью риск привлечения к административной ответственности это не исключит.
Третья группа избыточной личной информации — персональные данные, по которым цели уже достигнуты. Например, кадровик собирал резюме соискателей. Из нескольких кандидатов на работу взяли только одного. Но при этом кадровик продолжает хранить резюме всех соискателей, хотя вакансию уже закрыли.
Избыточные персональные данные надо уничтожить в установленном порядке (п. 3 ст. 21 Федерального закона от 27.06.2006 № 152-ФЗ; Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении требований к подтверждению уничтожения персональных данных»). Всегда есть риск, что Роскомнадзор признает их хранение обработкой персональных данных, несовместимой с целями обработки (ч. 1 ст. 13.11 КоАП РФ).
Какие документы нужно разработать
Рекомендуется проверить, что у вас имеется в наличии:
Уведомления Роскомнадзора об обработке ПД, изменениях.
Политика оператора в отношении обработки персональных данных. Теоретически этот документ обязателен только для юридических лиц, но лучше его иметь и ИП, и самозанятым (ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ).
Локальные акты по вопросам обработки персональных данных, которые определяют для каждой цели обработки: категории и перечень обрабатываемых ПД; категории субъектов ПД; способы, сроки их обработки и хранения; порядок уничтожения ПД при достижении целей их обработки или при наступлении иных законных оснований. Примеры: реестр персональных данных, положение об уничтожении персональных данных.
Приказ о назначении ответственного за организацию обработки персональных данных и его трудовой договор, должностная инструкция.
Порядок обработки персональных данных работников (ст. 86 Трудового кодекса).
Акт оценки вреда (п. 5 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ, Приказ Роскомнадзора от 27.10.2022 № 178).
Акты об уничтожении ПД (Приказ Роскомнадзора от 28.10.2022 № 179).
Локальные акты с процедурами, направленными на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений. Пример: положение об аудите ПД.
Согласия субъектов ПД.
Конечного списка документов нет. Оператор сам, в зависимости от своей специфики, определяет перечень того, что он будет разрабатывать и вести. Некоторые моменты можно «подсмотреть» у Роскомнадзора, но не следует списывать перечень у него дословно.
ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ). Как провести аудит согласий на обработку ПД
Приведем примерный перечень того, что необходимо проверить.
Основания обработки персональных данных
Согласие на обработку — не единственное законное разрешение на работу с ПД. Внимательно изучите случаи в ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ. Довольно часто оператор получает согласие на обработку там, где оно не нужно. Например, компания привлекает в качестве исполнителей ИП, самозанятых. Вместе с договором ГПХ она подписывает с ними согласие на обработку ПД. Оно не нужно, если заказчик будет использовать личную информацию физических лиц только для исполнения договора (п. 5 ч. 1
Исключить лишние документы. Если субъект ПД захочет отозвать свое согласие там, где оно и не нужно было, оператор попадет в цейтнот. Формально он потеряет право работать с личной информацией контрагента, перед которым у него по закону сохраняются обязательства.
Наличие согласий
Вторая крайность — оператор не получает согласия там, где они нужны. Распространенная практика, когда кадровики подписывают их с вновь принятым работником и дальше ничего не ограничивают. Но сотрудник не может заранее согласиться «на все». Например, на обработку персональных данных своей будущей жены, не рожденного еще ребенка или сведений об инвалидности, которая еще не наступила. Регулярно надо проверять при работе с личной информацией работника и членов его семьи два момента: нужно ли согласие на обработку ПД, и если нужно, то давал ли его работник.
Еще одна частая ошибка — передача на аутсорсинг бухгалтерии, кадрового делопроизводства, юридического сопровождения, оформления командировок без учета работы с персональными данными. Оператор должен оформить поручение аутсорсеру и получить согласие от субъекта персональных данных (ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, письмо Роскомнадзора от 14.03.2025 года № 08-119850).
Содержание согласий
Оператор не может включать в один документ несовместимые цели обработки. Кроме того, в законе есть прямые указания, когда согласие оформляют отдельно — например, на распространение ПД.
Также частая ошибка, когда оператор включает в один документ разные цели обработки, а подпись субъекта получает только одну — внизу или вообще в виде галочки на сайте. Это еще один вариант «согласен на все», который противоречит закону (ч. 1 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ). Напомним, что согласие на обработку ПД должно быть конкретным, предметным, информированным, сознательным, однозначным.
Нужно руководствоваться правилом: одна цель обработки — одна подпись субъекта ПД.
Оформление согласий
Согласия, которые обязательно должны быть в письменном виде:
включение данных работника в общедоступные источники — справочники, телефонные книги (ст. 8 Федерального закона от 27.07.2006 № 152-ФЗ);
обработка специальных ПД (п. 1 ч. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ);
обработка биометрии (ч. 1 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ);
запрос ПД работника у третьих лиц (ст. 86 Трудового кодекса);
передача персональных данных работника третьей стороне (ст. 88 Трудового кодекса).
Как сдвинуть с места бетонную плиту размером 50 метров в высоту, 100 метров в длину и весом 202 тонны, не применяя никаких механизмов и приспособлений?
Статью подготовила Павлова Елена Геннадиевна, доцент кафедры «Макроэкономическое регулирование» Финансового университета при Правительстве РФ. 
