Обработка персональных данных: как соблюсти закон и избежать штрафов

Грамотная обработка персональных данных показывает зрелость организации и служит основой для безопасного масштабирования. Соблюдение требований по их защите – стандарт деловой репутации для любого серьёзного бизнеса. В статье разберём, как социальным предприятиям и компаниям выстроить работу с информацией.

Что такое персональные данные

Персональные данные (ПДн) – это любая информация, которая относится к определённому человеку и даёт возможность установить его личность. Например, это Ф. И. О., номер паспорта, адрес регистрации

Работу и любые действия с ПДн в России регулируют несколько законодательных актов. В первую очередь это Федеральный закон «О персональных данных» № 152-ФЗ. Также есть Постановление Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» – в нём перечислены следующие виды ПДн:

Чтобы понять требования нормативных документов, важно запомнить основные термины, которые касаются действий с персональными данными. 

Когда нужно согласие на обработку персональных данных, а когда нет

Согласно ст. 6 № 152-ФЗ, в России запрещены любые действия с личными данными гражданина без его согласия или законных оснований. Это означает, что во многих случаях компания должна получить от человека согласие на обработку ПДн, когда планирует собирать, хранить и обрабатывать данные.

Примеры частых ситуаций, когда необходимо получить согласие: регистрация на сайте, учёт в кадровых системах, публикация информации в общем доступе, передача персональных данных третьим лицам.

Компаниям согласие не требуется, чтобы:

• Заключить или исполнить договор с человеком – например, для оформления заказа на маркетплейсе.
• Выполнить требования законодательства – при найме работодателю необходимы Ф. И. О. и паспортные данные сотрудника. Это требование Трудового кодекса, поэтому согласие на обработку ПДн не обязательно.
• Защитить жизнь и здоровье человека – в чрезвычайных ситуациях, когда человеку нужна экстренная медицинская помощь.

Важно учесть, что объём собираемых персональных данных должен соответствовать цели обработки – об этом принципе сообщает ч. 2 ст. 5 № 152-ФЗ. Требовать избыточную информацию нельзя. Например, для оформления дисконтной карты нужны Ф. И. О., дата рождения и контакты, но не банковские реквизиты.

Как работать с персональными данными

Правильно собирать, хранить и обрабатывать ПДн, чтобы не допустить неправомерной передачи данных и не получить штраф, поможет поэтапная инструкция.

Шаг 1. Сформировать документы по работе с персональными данными

В компании, которая планирует обрабатывать персональные данные и выступать их оператором, должны быть:

Политика обработки ПДн. Объясняет, как компания использует данные. Документ должен содержать цели сбора, правовые основания, порядок обработки. У Роскомнадзора есть официальные рекомендации, как составить политику.

Локальные нормативные акты. Регламентируют обработку и защиту данных. Например, к таким документам относится список работников, у которых есть доступ к ПДн, порядок хранения и уничтожения.

Также рекомендуется заключить NDA с сотрудниками, которым доступны ПДн. Соглашение о неразглашении дополнительно обезопасит данные.

Шаг 2. Зарегистрироваться в реестре операторов

Прежде чем начать работать с персональными данными, компании необходимо подать в Роскомнадзор уведомление о том, что она теперь оператор ПДн. В документе указывают цели и порядок обработки информации – официальная форма утверждена Приказом Роскомнадзора № 180.

Заявление можно подать:

• через Госуслуги – понадобится подтверждённая учётная запись, которая привязана к организации;
• на сайте Роскомнадзора – в формате электронного документа, подписанного усиленной квалифицированной цифровой подписью;
• в бумажном виде – в отдел Роскомнадзора по месту, где зарегистрирована компания.

Шаг 3. Подготовить согласие на обработку ПДн

Согласно ст. 9 № 152-ФЗ, с 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено отдельным документом. Его нельзя добавлять в текст основного договора и других соглашений.

Получить согласие можно в бумажной или электронной форме. В нём должны быть указаны:

• данные субъекта – Ф. И. О., адрес, серия и номер паспорта, дата и место выдачи;
• данные оператора – Ф. И. О. индивидуального предпринимателя или название юридического лица, ОГРН, адрес регистрации;
• цель обработки ПДн;
• перечень данных, на обработку которых человек даёт согласие;
• описание действий, на совершение которых субъект соглашается;
• срок действия согласия;
• порядок отзыва согласия. 

Важно, чтобы субъект дал согласие в понятной форме. В документе должны быть однозначные формулировки, которые показывают, что он касается работы с ПДн.

Шаг 4. Организовать защиту персональных данных

Необходимо установить меры защиты на организационном и техническом уровнях: назначить ответственных за обработку ПДн, разграничить права доступа для сотрудников, использовать антивирусы и средства шифрования.

При обезличивании данных можно использовать только методы, разрешённые в приказе Роскомнадзора № 140. Важно обеспечить необходимый уровень защищённости в соответствии с Постановлением Правительства № 1119.

Шаг 5. Своевременно удалять персональные данные

Для безопасности компания обязана уничтожить персональные данные в течение 30 дней, если достигла целей обработки или субъект отозвал согласие на обработку ПДн.

Важно обозначить конкретные сроки и порядок удаления в локальных актах, а факт уничтожения фиксировать соответствующим документом. Его нужно хранить три года со дня удаления.

Какие штрафы за утечку персональных данных

С 30 мая 2025 года повысились денежные санкции за утечку персональных данных для юридических лиц, индивидуальных предпринимателей, самозанятых и граждан. Также закон предусматривает штрафы за неуведомление Роскомнадзора о таких случаях.

Если нарушений несколько, Роскомнадзор может наложить на компанию штраф за каждое. Тогда контролирующий орган индивидуально определяет размер денежных санкций.

Обработка персональных данных: что важно запомнить

• Персональные данные позволяют идентифицировать физическое лицо, делятся на общедоступные, специальные, биометрические и иные. Главный регулирующий документ – Федеральный закон № 152-ФЗ.
• Согласие требуется почти всегда, если нет законных оснований. С 1 сентября 2025 года его нужно оформлять отдельным документом с реквизитами: данные субъекта и оператора, цели обработки, перечень данных и порядок отзыва.
• Необходимо разработать внутренние документы, зарегистрироваться в реестре операторов Роскомнадзора и организовать защиту данных. Требуется применять организационные и технические меры в соответствии с Постановлением Правительства № 1119.
• Для защиты данных обязательно использовать шифрование, разграничивать права доступа и обезличивать разрешёнными методами. Данные должны уничтожаться при достижении целей обработки или отзыве согласия с фиксацией этого актом.
• С 30 мая 2025 года увеличены штрафы за утечки данных. За распространение данных 1–10 тысяч человек штраф для компаний составляет 3–5 млн рублей, за неуведомление Роскомнадзора – 1–3 млн рублей.

Дата публикации: 22 декабря 2025