Как правильно обрабатывать персональные данные: советы юристов

Если вы собираете данные, которые в совокупности позволяют идентифицировать человека — например, ФИО и номера телефонов для рекламных рассылок, — это считается обработкой персональных данных (ПДн) по ФЗ от 27.07.2006 №152-ФЗ. Закон не просто обязывает вас “быть аккуратным”: чтобы работать с данными легально, нужно оформить порядка 60 документов, подать уведомление в Роскомнадзор еще до начала сбора ПДн, внедрить сложные меры защиты информационных систем. В противном случае компании грозят крупные штрафы, которые могут достигать 500 млн рублей.

Мы расскажем простым языком, что считается обработкой персональных данных, как все правильно организовать оператору и какие штрафы могут быть за нарушения.

Что такое персональные данные

Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку. Важно, чтобы по ним можно было его идентифицировать.

Какие данные считаются персональными:

1. Общие: ФИО, дата рождения, паспортные данные, номер телефона, адрес email и т.д.
2. Специальные (ст. 10 ФЗ №152-ФЗ): национальность, раса, политические взгляды, состояние здоровья, отношение к религии, подробности интимной жизни и пр.
3. Биометрические (ст. 11 ФЗ №152-ФЗ) — биологические и физиологические особенности: отпечатки пальцев, изображение человека на фотографиях и видеозаписях, и т.д.
4. Иные ПДн: все сведения, которые не вошли в вышеперечисленные группы.

Важно! Только имя или фамилия не считаются ПДн. А вот ФИО и номер телефона — уже персональные данные, потому что по ним можно определить, кому именно они принадлежат.

Обработка персональных данных должна осуществляться на законной и справедливой основе, с соблюдением прав и свобод субъекта ПДн. Ответственность за работу с ПДн полностью возлагается на оператора, он же несет и основные риски, связанные с нарушениями при обработке данных.

Что считается обработкой ПДн

Обработка персональных данных включает любое действие (операцию) или совокупность действий, совершаемых с ПДн. Это не только активное использование, но и базовые операции с личной информацией людей (ст. 3 ФЗ №152-ФЗ).

Какие действия считаются обработкой:

1. Сбор: получение ПДн от субъекта (анкета, заявка на сайте, резюме).
2. Запись, систематизация, накопление: внесение в базы, картотеки, CRM-системы, архивы.
3. Хранение — в бумажном или электронном виде.
4. Уточнение (обновление, изменение): корректировка при изменении данных субъекта.
5. Использование: применение данных для конкретных целей (доставка заказа, расчет зарплаты, рассылка).
6. Передача: предоставление ПДн третьим лицам (партнерам, банкам, госорганам).
7. Распространение: раскрытие ПДн неопределенному кругу лиц.
8. Обезличивание: действия, делающие невозможным определение принадлежности ПДн конкретному субъекту без дополнительной информации.
9. Блокирование: временное прекращение работы с ПДн.
10. Удаление, безвозвратное уничтожение данных.

Вы можете обрабатывать ПДн несколькими способами:

1. Обработка ПДн автоматизированным способом: Любое действие с использованием средств вычислительной техники (ПК, серверы, CRM, облачные сервисы, сайты, программы учета).
2. Обработка без использования средств автоматизации — это «ручная» работа с информацией на бумажных носителях (картотеки, папки, распечатки).

Важно! Обработка ПДн может осуществляться в целях заключения договора, ведения кадрового и бухгалтерского учета, осуществления адвокатской деятельности и т.д. Конкретные цели указываются в уведомлении для Роскомнадзора и зависят от категорий субъектов ПДн: действующие и уволенные работники, соискатели, клиенты, посетители сайта, студенты, учащиеся и др.

Правила обработки ПДн в 2025 году

Чтобы организовать работу с ПДн в соответствии с ФЗ №152-ФЗ, оператор должен:

1. Назначить ответственного за обработку. Им может быть руководитель компании, юрист, специалист отдела кадров или иное лицо. Ответственность на несколько сотрудников поделить нельзя — отвечать за работу с ПДн может только один человек.
2. Разработать ряд локальных нормативных актов: Политику обработки персональных данных, Положение о работе с ПДн, правила, приказы, инструкции, акты, журналы, матрицу доступа к ИСПДн, шаблоны согласий на обработку персональных данных. Количество документов может достигать 60, все зависит от специфики деятельности компании.
3. Применить организационные и технические меры защиты, соответствующие актуальным угрозам (Приказ ФСТЭК №21, Приказ ФСБ №378). В обязательном порядке нужна защита паролями, антивирусы, разграничение прав доступа, шифрование при передаче, но могут понадобиться дополнительные меры.
4. Подать в Роскомнадзор уведомление об обработке персональных данных. Это можно сделать на сайте ведомства, подписав УКЭП или с помощью аккаунта на Госуслугах. Также вы можете заполнить форму на сайте, а затем распечатать и представить лично в территориальное подразделение ведомства или отправить по почте.
5. Своевременно уведомлять Роскомнадзор об изменениях, трансграничной передаче ПДн, фактах утечки, прекращении работы с данными.
6. Обеспечить возможность субъекту легко отозвать согласие на обработку персональных данных, запросить доступ к своим данным, потребовать их уточнения, блокировки или уничтожения (ст. 14, 21 ФЗ-152). Срок ответа – 30 дней.
7. Информировать о начале обработки ПДн, если данные получены не от субъекта, кроме случаев, предусмотренных ч.4 ст. 18 ФЗ №152-ФЗ.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Ответственность за нарушение ФЗ №152-ФЗ

С 30 мая 2025 года штрафы существенно выросли. Так, если раньше за неуведомление РКН о начале обработки данных компании получали штрафы до 5 000 рублей, то сейчас за это грозит штраф уже до 300 000 рублей (ст. 13.11 КоАП РФ).

За что еще Роскомнадзор чаще всего привлекает к ответственности операторов:

1. Работа с ПДн без согласия субъекта, если по закону оно обязательно — до 700 000 рублей.
2. Отсутствие Политики обработки ПДн, непредоставление доступа к ней на информационном стенде или сайте — до 60 000 рублей.
3. Непредоставление субъекту информации, касающейся работы с его данными — до 80 000 рублей.
4. Необеспечение обязанности по записи, систематизации, хранения, накопления, уточнения ПДн, находящихся в базах на территории РФ — до 6 млн рублей.
5. Неуведомление РКН о фактах неправомерной передачи ПДн, если утечка повлекла нарушение прав субъектов данных — до 3 млн рублей.
6. Действия или бездействие оператора, повлекшие неправомерную передачу данных — до 15 млн, а при повторном нарушении — до 500 млн рублей. Юридическое лицо могут оштрафовать на сумму до 3% годовой выручки.

Важно! За правонарушения, предусмотренные ч.1.1, 8-18 ст. 13.11 КоАП РФ, ИП несут ответственность как юридические лица. Для них всегда самые высокие штрафы, поэтому крайне важно отнестись к работе с ПДн ответственно: оформить все документы, проверить информационную систему на соответствие требованиям безопасности, исправить возможные недочеты. Помните: сейчас Роскомнадзор строго контролирует деятельность операторов, и малейшая ошибка может обернуться многомиллионным штрафом.

Заключение

При обработке персональных данных оператор должен соблюдать ФЗ №152-ФЗ: от разработки 60+ документов (политики, согласия, приказы) до внедрения защиты по стандартам ФСТЭК/ФСБ. Риски колоссальны: штрафы до 500 млн рублей за утечку или 300 000 рублей за неподачу уведомления в Роскомнадзор. Самостоятельно исключить ошибки почти невозможно, лучше обратиться к юристам. Они оперативно проведут аудит, подготовят документы и защитят ваш бизнес от разорительных санкций.