Как обеспечить обработку персональных данных

Если вы заключаете договоры с физическими лицами, вы уже работаете с их данными. Это значит, что Роскомнадзор может проверить вас в любой момент. В 2025 году правила обработки персональных данных (ПДн) стали жестче: искусственный интеллект сканирует сайты круглосуточно и выявляет нарушения, а штрафы выросли в десятки раз — до 500 млн рублей. Хотите обезопасить свою компанию? Разберемся, как легально работать с ПДн и за что могут оштрафовать оператора.

Что такое обработка ПДн

Под обработкой персональных данных подразумеваются действия, выполняемые с личной информацией как автоматизированными, так и ручными способами: сбор, накопление, хранение, корректировка, извлечение, передача третьим лицам, обезличивание, блокирование, удаление или полное уничтожение, а также другие операции, предусмотренные ст. 3 ФЗ №152-ФЗ.

Пример:
У компании есть свой интернет-магазин по продаже бытовой химии. Обработка данных осуществляется путем сбора информации о покупателях: ФИО, номеров телефонов и адресов доставки. Также эти сведения вносятся в систему учета, хранятся в зашифрованной базе данных. ПДн нужны оператору для доставки товара и связи с клиентом — без этого компания не сможет выполнять свои обязательства и вести бизнес.

Что дает обработка персональных данных:

1. Идентифицировать клиента — подтверждать личность при оформлении заказов или регистрации.
2. Обеспечивать коммуникацию — связываться для уточнения деталей, подтверждения заказа или информирования о статусе доставки.
3. Персонализировать услуги — предлагать клиенту подходящие товары, скидки и рекомендации на основе его предпочтений.
4. Обрабатывать платежи — безопасно проводить транзакции.
5. Выполнять обязательства — доставлять заказы по указанному адресу и оформлять гарантийные документы.

Без обработки этих сведений работа многих сервисов, включая онлайн-магазины, банки и госучреждения, была бы невозможна. Но оператор должен учитывать правила, установленные ФЗ №152-ФЗ и рядом других законов.

Правила работы с данными

Защита ПДн — прямая обязанность оператора (ст. 19 ФЗ №152-ФЗ). Он обязан использовать средства, которые обеспечивают безопасность при обработке персональных данных. Они должны соответствовать требованиям Приказа ФСТЭК России от 18.02.2013 № 21 и Постановления Правительства РФ от 01.11.2012 №1119

Что еще важно сделать:

• разработать необходимые документы, в том числе регламентирующие порядок обработки персональных данных;
• ограничить доступ к ПДн и назначить ответственного за работу с такими сведениями;
• зарегистрироваться в реестре операторов ПДн;
• привести в порядок сайт компании: добавить уведомления о сборе cookie, предоставить пользователям возможность дать согласие на обработку ПДн, обеспечить доступ к политике конфиденциальности.

Рассмотрим все нюансы более подробно.

Как организовать работу с ПДн

В первую очередь необходимо разработать документы в соответствии с ФЗ №152-ФЗ: положение об обработке ПДн, политику в отношении работы с данными, положение об ответственности работников за нарушение режима конфиденциальности. Всего может насчитываться до 60 наименований разных документов — все зависит от специфики деятельности компании, способов работы с ПДн и других факторов.

Какие еще действия необходимо предпринять в 2025 году:

1. Назначить ответственного за работу с ПДн. Понадобится приказ и должностная инструкция. Ответственным может быть только один сотрудник: бухгалтер, юрист, кадровик или третье лицо — компания, предоставляющая такие услуги по договору.
2. Подать уведомление для регистрации в реестре операторов. Заполнить его можно на сайте Роскомнадзора. Особое внимание уделите цели обработки: например, продвижение товаров и услуг на рынке, если вы занимаетесь торговлей. Регистрироваться не нужно только в исключительных случаях, перечисленных в ст. 22 ФЗ №152-ФЗ.
3. Ограничить доступ. Например, при обработке ПДн без автоматизации хранить все документы в закрытом помещении, ключи от которого есть только у допущенных сотрудников. Если используются средства автоматизации, пароль от ПО также должен быть только у них.
4. Направить в РКН уведомление об изменении сведений в первоначальном уведомлении. Например, если поменялся юридический адрес организации или назначен другой ответственный.
5. Получить от Роскомнадзора разрешение на передачу данных за границу. Для этого подайте уведомление о намерении осуществлять такую передачу. Стоит учитывать, что ведомство может ее и запретить. Кроме того, по закону страны для трансграничной передачи делятся на “обеспечивающие адекватную защиту” и “небезопасные”. К последним, например, относятся США, и для отправки ПДн туда понадобится отдельное письменное согласие клиента.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Как Роскомнадзор выявляет нарушителей

В 2025 году проверки проводятся автоматически, без предупреждений. Специальные программы на основе ИИ сканируют сайты ежесекундно, проверяя:

• есть ли на сайте Google Analytics или другие сервисы, для использования которых нужно подать уведомление о трансграничной передаче;
• собираете ли вы данные без разрешения;
• используете ли вы методы шифрования.

Раньше могли предупредить — теперь выписывают штрафы сразу. Нарушение фиксируют в любом случае, даже если ошибка мелкая. И неважно, успели исправить или нет — штраф неизбежен.

Штрафы за нарушения ФЗ №152-ФЗ

Большинство штрафов за неправильное обеспечение обработки персональных данных существенно выросли с 30 мая 2025 года. Нарушителей привлекают к ответственности по ст. 13.11 КоАП РФ

РКН может оштрафовать, если вы:

1. Не подали уведомление в РКН — штраф до 300 000 рублей.
2. Не взяли с субъекта согласие, если оно обязательно — до 700 000 рублей.
3. Не опубликовали Политику обработки данных на сайте — до 60 000 рублей.
4. Не уведомили Роскомнадзор об утечке данных — до 3 млн рублей.
5. Не обеспечили надежную защиту ПДн, в результате чего произошла утечка — до 15 млн рублей, при повторном нарушении — до 500 млн рублей.
6. Допустили неправомерную передачу специальных ПДН — до 15 млн рублей, биометрических данных — до 20 млн рублей.

Также компании грозит штраф, если она записывает, накапливает, уточняет, извлекает ПДн граждан РФ с помощью иностранных сервисов. Данные можно передавать за границу, но собираться и храниться они должны только в базах на территории РФ (ч.5 ст.18 ФЗ №152-ФЗ). Штраф за такое нарушение может достигать 6 млн рублей за первое, и 18 млн рублей — за повторное (ч.8 и 9 ст.13.11 КоАП РФ).

Заключение

В 2025 году Роскомнадзор не будет предупреждать о проверках — нарушителей сразу ожидают штрафы. Если раньше можно было отделаться предупреждением, то теперь даже мелкая ошибка может стоить несколько миллионов рублей. Вы можете защитить свой бизнес: проверьте сайт на использование запрещенных сервисов, опубликуйте необходимые документы, зарегистрируйтесь в реестре операторов и обеспечьте надежную защиту при обработке персональных данных.