Новости
2025-10-28 17:37 Юристу

Как работать с персональными данными, чтобы не допустить утечку и защитить компанию от новых штрафов

Как работать с персональными данными, чтобы не допустить утечку и защитить компанию от новых штрафов

С 1 сентября операторы персданных обязаны передавать В Минцифры обезличенные массивы данных. Самое время пересмотреть политику обработки данных – чтобы не нарушить закон и не получить штраф. В правовом заключении – что важно соблюдать на каждом этапе обработки персональных данных с учетом требований и ограничений, которые начнут действовать в мае. Проверить себя сможете по чек-листу для аудита обработки данныхpdf. Образцы документов для работы с персональными данными в 2025 году и экспертные комментарии к ним подготовили в Навигаторе по образцам.

Максим Лагутин

исполнительный директор «Б-152», эксперт по защите персональных данных


Дарья Озол

шеф-редактор Системы Юрист


Компании обрабатывают персональные данные, если накапливают клиентскую базу, заключают договоры или размещают на своем сайте форму обратной связи с полями для Ф.И.О., телефона и почты. Закон называет такие компании операторами, поэтому термины «компания» и «оператор» по тексту заключения – синонимы. Правила обработки одинаковые для данных контрагентов, клиентов и пользователей сайтов компании, поэтому для удобства называем всех субъектов персональных данных контрагентами.

В этом правовом заключении мы не рассматриваем правила обработки персональных данных сотрудников компаний. Если вам нужны правила работы с данными работников, используйте другое правовое заключение.

В обработку персональных данных входит любое действие с данными, включая сбор, накопление и хранение, передачу, обезличивание, уничтожение (п. 3 ст. 3 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ). Мы разделили правовое заключение на разделы. Вперед вынесли информацию о том, что оператору придется сделать разово: уведомить Роскомнадзор и создать систему защиты данных. Следующие разделы посвящены организации действий, составляющих обработку данных. Так вы сможете быстрее найти нужную информацию. Например, если хотите передать персональные данные, переходите сразу в четвертый раздел, а чтобы уничтожить данные – в шестой. Если времени проверять процедуру обработки полностью нет, оцените свои риски в связи ужесточением ответственности за утечку персональных данных.

Какие изменения вступили в силу в 2025 году

30 мая 2025 года вступили в силу новые требования к операторам персональных данных (Федеральный закон от 30.11.2024 № 420-ФЗ). Теперь за нарушение правил обработки персональных данных общей категории можно получить штраф до 500 млн руб., специальной категории – наказание в форме лишения свободы на срок до пяти лет.

Новый закон ужесточил ответственность за незаконную обработку данных.

  • увеличили штрафы за неправомерную обработку данных;
  • установили штрафы за неуведомление Роскомнадзора об обработке или утечке данных данных;
  • поставили размер штрафов за первичную утечку в зависимость от объема утечки;
  • ввели оборотные штрафы за утечку персональных данных;
  • выделили штрафы за утечку специальных и биометрических данных.

Если времени разбираться в изменениях нет, проведите риск-анализ по новой справке с полным перечнем наказаний. Выберите для проверки только нарушения с высоким риском или те правила обработки, соблюдение которых вызывают у вас сомнения.

Компании платят до 500 тыс. рублей за нарушение правил или целей обработки. Раньше за первичное нарушение правил обработки данных руководитель платил до 20 тыс. рублей, а компания – до 100 тыс. рублей. Какие суммы теперь придется заплатить за нарушения правил обработки – в таблице. Правила обработки данных с советами от Максима Лагутина, которые помогут избежать штрафов, разобрали в этом правовом заключении.

Таблица 1. Как изменились штрафы за нарушение правил обработки персданных с 30 мая
Компании платят до 3 млн. руб. за нарушение обязанностей перед Роскомнадзором. До вступления изменений в силу оператор может получить штраф только если ведомство само обнаружит, что компания обрабатывает данные без уведомления. За отсутствие уведомления об утечке штрафа вообще нет. С 30 мая 2025 года операторы, которые не уведомили Роскомнадзор о начале обработки данных или об их утечки, платят до 3 млн. рублей (ч. 1 т. 13.11 КоАП). Когда и как нужно уведомить Роскомнадзор, разобрали на примерах в первом разделе правового заключения.

Роскомнадзор рассчитывает штраф за первичную утечку персональных данных по новым правилам. Размер штрафа за утечку данных будут рассчитываться от объема утечки. За повторную утечку данных начнут применять оборотные штрафы. Какие суммы теперь придется заплатить за утечку данных – в таблице. А о том, как защитить данные от утечки, чтобы не получить эти штрафы – во втором разделе правового заключения.

Таблица 2. Какие штрафы заплатит оператор за первичную утечку данных в зависимости от объема утечки: правила действуют с 30 мая
Ведомство начало применять оборотные штрафы за повторную утечку данных. Для компаний, которые допустили повторную утечку персональных данных, новый закон предусматривает оборотный штраф в размере от 1% до 3% годовой выручки. Минимальная сумма взыскания в этом случае составит 20 млн рублей, максимальная — 500 млн рублей.

Таблица 3. Какие штрафы заплатит оператор за повторную утечку данных: правила действуют с 30 мая
Оператор заплатит за утечку специальных или биометрических данных до 20 млн. руб. До 30 мая размер ответственности за общие, специальные и биометрические данные не отличался друг от друга. Однако после вступления изменений в силу, начали действовать отдельные штрафы за утечку данных этих категорий. Их размеры – в таблице.

Таблица 4. Какие штрафы заплатит оператор за утечку биометрических и специальных данных: правила действуют с 30 мая
Внимание

С 11 декабря 2024 года за незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные, грозит уголовная ответственность

Президент подписал закон, которым установил ответственность за использование, передачу, сбор и хранения компьютерной информации, содержащей персональные данные, доступ к которой получили незаконным путем. Наказание — штраф от 300 тыс. руб. до 400 тыс. руб. или принудительные работы на срок до четырех лет, либо лишение свободы на срок до четырех лет.

Если нарушение произошло в отношении компьютерной информации, содержащей специальные или биометрические данные, наказание строже — штраф до 700 тыс. руб. или принудительные работы на срок до пяти лет, либо лишение свободы на срок до пяти лет.

Если нарушение повлекло тяжкие последствия либо его совершила организованная группа, нарушитель получит наказание сроком до десяти лет со штрафом до 3 млн. руб.

Действие статьи не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд (Федеральный закон от 30.11.2024 № 421-ФЗ, ст. 272.1 УК).
Как уведомить Роскомнадзор

В этом разделе рассмотрели все случаи, когда оператор обязан уведомлять Роскомнадзор:

  • при начале обработки персональных данных;
  • передаче данных третьим лицам за границу;
  • изменении сведений об операторе и его работе;
  • утечке персональных данных;
  • прекращении работы.

О начале обработки данных

Уведомлять Роскомнадзор о начале обработки данных нужно, если организация делает это на компьютере или другой вычислительной технике. С 30 мая за отсутствие уведомления компанию накажут. Если обрабатываете данные на бумаге, то уведомлять никого не нужно – переходите к следующему разделу.

Чтобы уведомить Роскомнадзор о начале обработки персональных данных и зарегистрироваться в качестве оператора персональных данных нужно заполнить унифицированную форму (приказ Роскомнадзора от 28.10.2022 № 180, далее – Приказ № 180). Сделать это можно на сайте РКН. Подать уведомление можно на бумаге или через интернет. Способ выбирает сам оператор.

Уведомления для работы с персональными данными. Навигатор по образцам

В навигаторе – найдете образцы уведомлений для разных обстоятельств и краткую информацию, на что обратить внимание при их оформлении. Если нет времени читать разбор, по ссылкам в конце навигатора можете скачать архивы документов для работы с данными. В каждом архиве – универсальные образцы для разных ситуаций.

Если подаете на бумаге, достаточно зарегистрироваться на сайте РКН, заполнить уведомление, распечатать и с подписью директора предоставить лично или по почте заказным письмом с уведомлением. Направить уведомление о начале обработки данных нужно в территориальный орган Роскомнадзора в двух экземплярах. Один экземпляр представитель Роскомнадзора возьмет себе, на другом поставит отметку о получении. На подачу бумажного уведомления потребуется время.

Через интернет будет быстрее, но понадобится специальная программа или подтвержденная учетная запись на портале Госуслуг. Скачать программу можно на официальном сайте ведомства. Такой способ подойдет, если у компании или ее представителя есть усиленная квалифицированная электронная подпись.

Подать уведомление о намерении начать обработку персональных данных должно ответственное лицо компании. Таким лицом можно назначить специалиста отдела кадров.
Совет

Обновите данные по новой форме, если компания подавала уведомление об обработке персданных еще до 26 декабря 2022 года

Операторы, которые уведомили Роскомнадзор об обработке персональных данных по старой форме, должны подать уведомление об изменении сведений. Даже если никаких изменений не произошло, информацию необходимо обновить – распределить ее по полям новой формы. Для этого оператору придется соотнести набор сведений, которые он собирается обрабатывать, с целями обработки. Это позволит ведомству понять насколько объем собираемых оператором данных соответствует целям сбора. Сроков на обновление данных ведомство не называет.

По материалам вебинара начальника Управления Роскомнадзора от 27.02.2023.
Роскомнадзор внесет информацию в Реестр операторов персональных данных (далее – Реестр) в течение 30 дней с даты поступления уведомления о начале обработки данных. Для бумажного уведомления срок начинает течь с момента, когда его получит территориальное отделение Росреестра. Для электронного – сразу как отправили. Ждать, пока Роскомнадзор внесет сведения в Реестр, не нужно, можно обрабатывать данные сразу после того, как направили уведомление. До этого момента обработка считается незаконной.

Через 30 дней рекомендуем проверить данные о компании в Реестре на сайте. Доказать, что информация о вашей компании была в Реестре на определенную дату, поможет выписка. Заказать ее можно на официальном сайте. За сбор данных в отсутствие уведомления Роскомнадзора компания получит штраф до 3 млн. руб.

О трансграничной передаче данных

Оператор обязан уведомить Роскомнадзор о трансграничной передаче данных. Это когда компания через границу России иностранным органу власти, гражданину или компании (ч. 3 ст. 12 Закона №152-ФЗ).
Совет

Уведомите Роскомнадзор о трансграничной передаче данных даже если просто храните персональные данные в иностранных облачных сервисах, например, Google и Amazon AWS

Трансграничной передачей Роскомнадзор признает ситуации, например, когда российский оператор хранит персональные данные контрагентов в Google Docs или обрабатывает данные пользователей сайта в Google Analitycs. Чтобы понять, осуществляют ли сотрудники вашей компания трансграничную передачу данных контрагентов, можно опросить коллег по пунктам из памяткиpdf.

По материалам вебинара начальника Управления Роскомнадзора от 27.02.2023.
Официально форму уведомления ведомство еще не утвердило, однако разместило рекомендуемый образец на своем сайте. Направить уведомление можно как в бумажной, так и в электронной форме на портале Госуслуг с подтвержденной учетной записи. Если уведомление за оператора подает директор, его учетная запись должна быть привязана к организации-оператору на портале Госуслуг.

Этот же образец нужно использовать, если оператор хочет исправить сведения, которые компания подала раньше в уведомлении о трансграничной передаче. Тогда в уведомление нужно внести только те данные, которые изменились (по материалам вебинара Управления Роскомнадзора от 27.02.2023). Заполнить уведомление помогут комментарии экспертов в Навигаторе.

Если оператор указал в уведомлении неполные или неверные сведения, ведомство вправе направить запрос об уточнении данных. Рассмотрение уведомления о передаче данных ведомство приостановит на срок не более 10 рабочих дней с даты, как направит запрос об уточнении сведений. Период приостановления не входит в общий срок рассмотрения уведомления (п. 5, 6 Правил, утв. постановлением Правительства от 16.01.2023 № 24, далее – Правила).

Дополнить или исправить сведения об операторе нужно в течение пяти рабочих дней с даты запроса Роскомнадзора. После того как ведомство получит ответ, у него будет три дня, чтобы восстановить рассмотрение уведомления о трансграничной передаче данных (п. 7–9 Правил).

Если оператор не предоставит в Роскомнадзор информацию по запросу в течение пяти дней с момента, когда получил запрос, ведомство не будет рассматривать уведомление о трансграничной передаче данных. Роскомнадзор сообщит об этом оператору в течение трех рабочих дней с даты, когда истечет срок подачи ответа на запрос ведомства (п. 11 Правил).

Срок, когда можно начинать передавать данные за границу, зависит от того, в какую страну их передает оператор. Роскомнадзор разделил страны на две категории – страны с адекватной и неадекватной защитой персональных данных. Страна с адекватной защитой это та, которая участвует в Конвенции Совета Европы (Конвенция Совета Европы от 28.01.1981 № 108) или не участвует, но Роскомнадзор признал уровень защиты в стране адекватным (приказ Роскомнадзора от 05.08.2022 № 128). Быстро выяснить, к какой категории относится страна вашего контрагента поможет наш сервис.

Операторы, которые передают данные в страны с адекватной защитой, могут начинать передачу сразу после того, как получили согласие субъекта и отправили уведомление в Роскомнадзор. Для направления персональных данных в страны с неадекватной защитой оператору требуется ждать 10 рабочих дней после уведомления. В это время Роскомнадзор решит, может ли оператор передавать данные. Ведомство вправе запросить дополнительные сведения, запретить или разрешить передачу.

Роскомнадзор может запросить дополнительные сведения об иностранном контрагенте в случаях, если:

  • у ведомства нет сведений об уполномоченном органе в области защиты прав субъектов персданных страны контрагента;
  • оператор планирует передавать иностранному контрагенту биометрические данные, специальные категории данных, обезличенные данные и данные несовершеннолетних;
  • иностранный контрагент, которому оператор планирует передавать данные, ранее нарушил права субъектов персданных (п. 13 Правил).

Ответить на запрос ведомства нужно в течение 10 рабочих дней. Но если не успеваете в этот срок, его можно продлить еще на 5 рабочих дней. Для этого следует направить в Роскомнадзор мотивированное уведомление с причинами, почему не оператор не укладывается в 10 дней (п. 16–18 Правил).

В случаях, когда оператор вообще не уведомил Роскомнадзор о трансграничной передаче данных или уведомил не вовремя, он может получить два штрафа. Первый – от 3 до до 5 тыс. руб. за непредставление сведений госорганам, второй – за нарушение Закона № 152-ФЗ – от 60 тыс. до 100 тыс. руб. (ст. 19.7, 13.11 КоАП).
Ситуация

Что делать, если оператор не уведомил Роскомнадзор об осуществлении трансграничной передачи

Если оператор не направил в Роскомнадзор уведомление об осуществлении трансграничной передаче данных до 1 марта 2023 года, то теперь придется направить уведомление о намерении. На время, пока Роскомнадзор будет рассматривать уведомление о намерении, нужно приостановить передачу данных и ждать, разрешит ли ведомство передавать данные.

Если оператор отправили письмо с уведомлением об осуществлении трансграничной передаче данных до 1 марта, но дойти оно не успело, Роскомнадзор будет ориентировать на дату штемпеля на письме. Если дата отправки – до 1 марта, ведомство внесет данные в Реестр. Ждать разрешения не нужно, оператор может продолжить передавать данные.

По материалам вебинара Роскомнадзора от 27.02.2023.
Об утечке данных

Если произошла утечка, то есть неправомерная передача персональных данных, оператор обязан сообщить об этом в Роскомнадзор. За отсутствие уведомления компанию накажут. Оператор, который обрабатывает персональные данные на компьютере, дополнительно обязан работать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак. Через нее следует сообщать об инцидентах, из-за которых произошла утечка данных.

Чтобы проинформировать о неправомерной передаче данных, нужно подать в Роскомнадзор первичное и дополнительные уведомления об инциденте. В первичном достаточно сообщить о факте утечки, предполагаемом вреде и его причинах. Во вторичных необходимо отчитаться о результатах внутреннего расследования инцидента (ч. 12 – 14 ст. 19, ч. 3.1 ст. 21 Закона № 152-ФЗ).

В приказе Роскомнадзор разрешил подавать первичное и дополнительное уведомления как в электронном виде, так и на бумаге. Однако на официальном сайте ведомство предлагает заполнить только электронную форму и скачать ее не дает, хотя для остальных видов уведомлений предусматривает такую возможность (ч. 11 ст. 23 Закона № 152-ФЗ, п. 2, 5 Порядка, утв. приказом Роскомнадзора от 14.11.2022 № 187).

Электронная форма уведомления об инциденте удобнее бумажной, как для Роскомнадзора, так и для оператора. Оператор обязан подать первичное уведомление в течение 24 часов с момента обнаружения утечки, в течение 72 часов – направить дополнительное уведомление. За нарушение сроков уведомления компанию накажут. Чтобы оповестить Роскомнадзор в такие сжатые сроки уведомлением в бумажной форме придется сильно постараться. Поход на почту или вызов курьера займет время. А вот заполнить уведомление в сервисе ЕСИА можно за несколько минут. Чтобы попасть в сервис, нужно зайти на Госуслуги под подтвержденной учетной записью. Если вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к организации на портале Госуслуг. Подписать уведомление в электронном виде нужно усиленной электронной подписью (п. 3, 5 Порядка, утв. приказом Роскомнадзора от 14.11.2022 № 187).

Об изменениях в уведомлении

Оператор обязан уведомить Роскомнадзор об изменениях в сведениях, которые он подал в уведомлениях раньше. Для этого нужно проверять данные в Реестре. Делать это надо не реже, чем раз в месяц. Закон такое правило не устанавливает, но требует от оператора сообщать об изменении не позднее 15-го числа месяца, следующего за месяцем, в котором изменились данные.

К примеру, в феврале компания сменила ответственного за организацию обработки персональных данных и поменяла адрес местонахождения. Об этом нужно известить Роскомнадзор до 15 марта. Исключение – компания прекратила обрабатывать персональные данные. Об этом нужно уведомить в течение 10 рабочих дней после изменения сведений (ч. 7 ст. 22 Закона № 152-ФЗ).

Уведомлять Роскомнадзор об изменениях нужно по форме из Приложения № 2 к Приказу № 180. Уведомление об изменении сведений можно направить в бумажном или электронном виде. Как заполнить уведомление разобрали в комментариях к образцу.

Если оператор не уведомит ведомство об изменении сведений из Реестра или уведомит с нарушением сроков, то может получить штраф от 3 тыс. до 5 тыс. руб. за непредставление сведений госорганам (ст. 19.7 КоАП).

О прекращении обработки

Срок, в который оператор должен прекратить обработку персональных данных, зависит от причины прекращения:

  • в течение 30-и календарных дней с момента, когда достиг цели обработки или субъект отозвал свое согласие;
  • 10-ти рабочих дней с момента, когда выявлен случай неправомерной обработки данных;
  • незамедлительно в случае, если устранены причины обработки специальных персональных данных (ч. 4 ст. 10, ч. 4, 5 ст. 21 Закона № 152-ФЗ).

В течение 10 рабочих дней с момента прекращения обработки сведений оператор обязан уведомить об этом Роскомнадзор (ч. 7 ст. 22 Закона № 152-ФЗ).

Уведомить ведомство о том, что оператор прекратил обработку данных, необходимо по форме из приложения № 3 к приказу Роскомнадзора от 28.10.2022 № 180. Роскомнадзор удалит сведения об операторе из реестра в течение 30-и дней после того, как получит уведомление (ч. 4.1 ст. 22 Закона № 152-ФЗ).

Уведомление о прекращении обработки данных можно заполнить и отправить в ведомство на официальном сайте. Однако после отправки уведомления в электронной форме Роскомнадзор требует распечатать заполненную форму, подписать и направить в территориальный орган Роскомнадзора по месту регистрации оператора. Такое требование ведомство разместило на своем сайте.

Роскомнадзор удалит информацию об операторе из Реестра в течение 30 дней с даты поступления уведомления (ч. 4.1 ст. 22 Закона № 152-ФЗ).

Как защитить данные

Чтобы защитить данные, оператор обязан разработать и утвердить систему мер. Закон определяет лишь направления мер защиты, например, утвердить локальные акты или назначить ответственного по работе с ...

Информационный источник публикации Актион МЦФЭР

Источник изображения Freepik

Получить все материалы