Обработка персональных данных в 2025 году выходит на новый уровень ответственности: нарушения фиксируются автоматически, штрафы растут в десятки раз, а ответственность распространяется не только на юрлиц, но и на сотрудников. Даже простой чекбокс без политики конфиденциальности может обернуться предписанием от Роскомнадзора. В поле зрения попадает всё — от сайта компании до бумажных согласий. В условиях новых рисков недостаточно просто соблюдать закон — нужно уметь доказывать, что вы его не нарушаете. Разберем, какие изменения произошли в 152-ФЗ, как правильно подать уведомление в Роскомнадзор, что проверить на сайте, какие документы подготовить, чтобы избежать штрафов за персональные данные в 2025 году.
Что считается персональными данными
Понятие персональных данных (ПД или ПДн) относится только к физическим лицам. Это любая информация, касающаяся конкретного человека (субъекта персональных данных) и позволяющая его идентифицировать: ФИО, домашний адрес, биометрия, сведения о финансовом положении и многое другое. Нельзя отнести к ПДн обобщенные сведения. Например, адрес без указания квартиры не будет относиться к персональным, так как не позволяет определить точное место проживания.
Любой, даже начинающий бизнес, в большинстве случаев использует в своей деятельности личные данные граждан. Это могут быть паспортные данные сотрудников для приема на работу или фамилия и имя покупателя, который зашел что-нибудь купить. Индивидуальный предприниматель принимает заявки от населения в своём интернет-магазине, при этом обрабатывая ФИО и телефон своих клиентов. Самозанятый строитель заключает договор с соседом на ремонт квартиры и тоже использует его личные данные.
Кто несет ответственность за персональные данные
За персональные данные перед Роскомнадзором несет ответственность то лицо, которое их использует – оператор персональных данных. Даже если организация поручает обработку своим сотрудникам или сторонней организации по договору, она продолжает нести полную ответственность перед надзорным органом. Ответственность также возлагается и на должностных лиц, которые назначены для работы с ПД. В случае нарушения работники могут привлекаться как к ответственности перед работодателем за несоблюдение своих обязанностей, так и перед Роскомнадзором, как должностные лица организации.
Штрафы за нарушения при обработке персональных данных в 2025 году
С 30 мая 2025 года ужесточаются санкции за нарушения в области персональных данных, вводятся существенные денежные взыскания для граждан, должностных лиц и юридических лиц. В частности, увеличивается размер штрафа за неподачу уведомления в Роскомнадзора о начале обработки персональных данных (ПДн). Он составит:
- Для физических лиц – от 5 000 до 10 000 рублей (прежде — от 100 до 300 рублей);
- Для юридических лиц и индивидуальных предпринимателей – от 100 000 до 300 000 рублей (ранее — предупреждение или штраф от 3 000 до 5 000 рублей).
Существенный рост штрафных санкций предусмотрен за использование данных не по заявленным целям, обработку персональной информации без получения согласия гражданина, а также масштабные инциденты с утечкой сведений. Размер финансовых санкций определяется тяжестью проступка. К примеру, при серьёзной утечке личных данных компания может столкнуться со штрафом до 15 миллионов рублей, а при повторе инцидента — до 3% от годового оборота. Особенно строгие меры применяются при нарушениях в области обработки особых категорий информации (медицинские данные, биометрические показатели) и международной передачи сведений.
Обработка персональных данных в 2025 году: нарушения и штрафы
| Нарушение | Категория | Размер штрафа |
| Неуведомление о начале обработки ПД | Физические лица | 5 000 – 10 000 руб. |
| Должностные лица | 30 000 – 50 000 руб. | |
| Юрлица и ИП | 100 000 – 300 000 руб. | |
| Нарушение целей обработки или отсутствие согласия | Физические лица | 10 000 – 15 000 руб. |
| Должностные лица | 50 000 – 100 000 руб. | |
| Юрлица и ИП | 150 000 – 300 000 руб. | |
| Повторное аналогичное нарушение | Физические лица | 15 000 – 30 000 руб. |
| Должностные лица | 100 000 – 200 000 руб. | |
| Юрлица и ИП | 300 000 – 500 000 руб. | |
| Утечка ПД (1 000–10 000 человек) | Физические лица | 100 000 – 200 000 руб. |
| Должностные лица | 200 000 – 400 000 руб. | |
| Юрлица и ИП | 3 000 000 – 5 000 000 руб. | |
| Утечка ПД (10 000–100 000 человек) | Физические лица | 200 000 – 300 000 руб. |
| Должностные лица | 300 000 – 500 000 руб. | |
| Юрлица и ИП | 5 000 000 – 10 000 000 руб. | |
| Утечка ПД (более 100 000 человек) | Физические лица | 300 000 – 400 000 руб. |
| Должностные лица | 400 000 – 600 000 руб. | |
| Юрлица и ИП | 10 000 000 – 15 000 000 руб. | |
| Нарушение в отношении специальных категорий данных | Физические лица | 300 000 – 400 000 руб. |
| Должностные лица | 1 000 000 – 1 300 000 руб. | |
| Юрлица и ИП | 10 000 000 – 15 000 000 руб. | |
| Нарушения при работе с биометрическими данными | Физические лица | 400 000 – 500 000 руб. |
| Должностные лица | 1 300 000 – 1 500 000 руб. | |
| Юрлица и ИП | 15 000 000 – 20 000 000 руб. | |
| Повторные инциденты (оборотный штраф) | Юрлица и ИП | 1%–3% от выручки (не менее 20 млн руб., не более 500 млн руб.) |
Уголовная ответственность
Уголовное преследование грозит за противоправный сбор и разглашение персональной информации (статья 137 УК РФ) и цифровые преступления с применением личных данных (статья 272.1 УК РФ), с возможным наказанием до 10 лет заключения. Подобные строгие санкции призваны минимизировать правонарушения: операторы персональных данных должны информировать об инцидентах в 24-часовой срок, гарантировать защиту информации и оформлять регламенты по работе с данными.
Указанные штрафы могут быть изменены в зависимости от конкретных обстоятельств дела и наличия отягчающих факторов. Рекомендуется регулярно проверять актуальность информации и консультироваться с юридическими специалистами для соблюдения законодательства о персональных данных.
Как подать уведомление об обработке персональных данных в Роскомнадзор
Все операторы ПДн обязаны проинформировать Роскомнадзор о начале деятельности по обработке персональных данных. Направить уведомление возможно следующими способами:
- Распечатать заявление, заполнить и отправить его по почте в территориальное управление Роскомнадзора по адресу регистрации компании. Сформировать заявление можно через официальный портал Роскомнадзора либо с применением специализированного ПО, включая функционал программы 1С:Бухгалтерия. В модуле «1С Отчетность – Уведомления» необходимо сформировать «Уведомление об обработке персональных данных» и внести требуемые сведения в соответствующие поля.
- Заполнить электронную форму на официальном сайте Роскомнадзора и подписать её ЭП.
- Пройти аутентификацию с помощью учетной записи Госуслуг на сайте Роскомнадзора и подать уведомление.
Заполнение уведомления об обработке персональных данных
Заполнение уведомления довольно объемное. Здесь нужно подробно расписать, какие персональные данные обрабатываются, для чего это нужно, мероприятия, обеспечивающие безопасность информации. При заполнении формы указываются только та информация, которая реально применяется. Лишние сведения «на всякий случай» указывать не нужно, ведь все это может быть проверено на соответствие Роскомнадзором.
- Сведения об операторе персональных данных (наша организация). Указываем, в каком регионе будем собирать и обрабатывать данные. Допускается выбрать пункт «Все субъекты Российской Федерации», если работа производится по всей России.
- Цель обработки ПД и применяемые способы. Из всплывающего списка выбирается, для чего используются данные физических лиц. Для каждой цели ставятся галочки напротив тех данных, которые используются, действий с ними и способов обработки.
- Описание мер, которые применяются для защиты персональных данных, используемые средства шифрования.
- Заполнение данных ответственного за работу с ПД. Указание адреса, где хранится база данных с персональными данными физлиц. Если обработка ПД передана другим лицам по договору, они указываются в уведомлении. Заполнение даты начала обработки ПД (может совпадать с датой регистрации компании) и даты окончания (можно указать условие, например, ликвидация организации).
После направления уведомления система присваивает ему уникальный регистрационный номер и специальный код для контроля текущего состояния заявки. Надзорный орган рассматривает поступившее уведомление в тридцатидневный срок, по итогам чего включает заявителя в официальный реестр операторов персональных данных.
Как Роскомнадзор выявляет нарушителей
Роскомнадзор следит за тем, насколько правильно операторы обрабатывают ПД своих контрагентов и соблюдают нормы закона. До 2030 продлен мораторий на большинство плановых проверок для бизнеса. В отношении внеплановых проверок мораторий снят с 2025 года. Если Роскомнадзор выявит нарушение, то будет организована внеплановая проверка оператора.
Для выявления нарушителей могут использоваться:
- Автоматический мониторинг информации, публикуемой в интернете. Это могут быть данные с сайта компании, соцсетей и СМИ.
- Обращение с жалобами на нарушение использования ПД. В Роскомнадзор может обратиться любое лицо, в том числе бывший обиженный сотрудник или недоброжелатель-конкурент. После чего проводится проверка нарушения.
- Уведомление о начале обработки персональных данных. Роскомнадзор выявляет компании, которые работают с ПДн без регистрации в качестве оператора персональных данных. Если уведомление подано, указанная в нем информация также может быть проверена на соответствие.
Что будет, если не уведомить Роскомнадзор о начале обработки персональных данных
Не сообщить Роскомнадзору о старте работы с персональными данными – прямое нарушение закона. Даже когда компания использует ПД, не требующие согласия граждан, уведомить контролирующий орган всё равно необходимо. За игнорирование этой обязанности грозит денежное взыскание. Есть возможность сэкономить, если направить документы до вступления в силу новых санкций (до 30 мая 2025).
Стоит учесть, что добровольное устранение нарушения будет расценено как плюс для организации. А вот полное пренебрежение требованиями закона обернется дополнительной административной ответственностью. Отсутствие уведомления может объединиться с другими выявленными нарушениями и рассматриваться как повторный проступок. При таком развитии событий штрафы значительно вырастут.
Как навести порядок в работе с персональными данными
Работа с персональными данными требует постоянного контроля со стороны оператора. Недостаточно один раз настроить систему защиты ПД, нужно постоянно отслеживать актуальность информации и изменения законодательства. К мероприятиям контроля и поддержания порядка, которые помогут избежать штрафов, можно отнести:
- Назначение ответственного лица.
- Систематизацию ПД (составление реестра).
- Отбор персональных данных (исключение неиспользуемых).
- Проверка согласий на обработку (проведение аудита).
Назначение ответственного за организацию работы с персональными данными
Оператор назначает ответственного, который контролирует работу с ПД в соответствии с законом «О защите персональных данных». Это может быть сотрудник, индивидуальный предприниматель, директор или стороннее лицо при заключении договора. Ответственный по ПД может быть только один, именно он указывается в уведомлении Роскомнадзору. Если ответственный меняется, подается уведомление о внесении изменений.
В обязанности ответственного входит работа с физлицами по запросам и обращениям, касающимся персональных данных. Он обучает сотрудников, имеющих доступ к данным, и обеспечивает требование о неразглашении информации.
Ответственный по ПД должен обладать достаточной компетенцией, чтобы обеспечить защиту личных данных и не допустить нарушений.
Создание реестра персональных данных
Работодатель сам определяет порядок хранения персональных данных: это могут быть как бумажные носители, так и специализированные программы. Главное требование – обеспечить защиту информации и не допустить утечки данных.
Для систематизации персональных данных используются реестры. Это специальные таблицы, в которые системно вносятся сведения о работе с ПД. Информация, хранящаяся в реестре, определяется самой организацией. К ней можно отнести:
- Цель обработки персональных данных.
- Категория лиц, данные которых обрабатываются.
- Состав персональных данных.
- Правовая основа (требуется ли получение согласия либо обработка выполняется на основании других нормативных актов).
- Срок хранения персональных данных, действия после окончания срока и пр.
Исключение избыточных персональных данных
При работе с персональными данными важно ограничиться только теми сведениями, без которых действительно невозможно обойтись.
Например, на сайте компании для совершения заказа необходимо заполнить только ФИО и контактный телефон или электронный адрес. Другая личная информация пользователей не нужна, поэтому в добавлении лишних полей нет необходимости. Кроме того, если будут задействованы данные, по которым не получено согласие или не отмеченные в уведомлении, это может привести к неприятным последствиям и штрафам.
Поэтому все данные должны быть проанализированы на необходимость, а избыточные исключены.
Проведение аудита согласий на обработку персональных данных
Согласие на обработку персональных данных – это главный документ, который подтверждает легальность использования ПД. Чтобы согласие отвечало требованием закона, оно должно содержать необходимые сведения:
- Личные данные (ФИО, паспортные данные).
- Цель их обработки (например, для оформления трудового договора).
- Какие именно данные будут использованы (например, СНИЛС, ИНН, семейное положение).
- Срок действия (например, до увольнения) и способ его отзыва, если это предусмотрено законом.
- Подпись человека.
Согласие может быть получено как письменно, так и в электронной форме (с использованием ЭЦП или специальной отметки на сайте). Оно должно быть добровольным и дано для конкретной цели. Если одни данные используются для разных целей, необходимо получить несколько согласий.
Получение согласия не всегда является обязательным. Например, когда сотрудник устраивается на работу, он подписывает согласие на обработку своих паспортных данных, ИНН и СНИЛС для оформления трудового договора. Но при передаче этих сведений в Социальный фонд или налоговую в составе обязательной отчетности, согласия не требуется. Отчеты сдаются по требованию законодательства.
При проведении аудита действующих согласий, проверяется полнота указанных реквизитов, а также является ли согласие действующим. Физлицо может отозвать свое согласие, тогда работа с его данными должна быть прекращена, за исключением случаев, когда этот выполняется в рамках закона.
Аудит сайта: на что обратить внимание
С учётом новых требований сайт компании должен соответствовать стандартам безопасной обработки персональных данных. Важно обратить внимание на обязательные элементы, требующие проверки и возможной доработки.
Форма согласия с чекбоксом
Каждый пользователь должен подтвердить своё согласие на обработку персональных данных. Условие — наличие флажка с формулировкой:
«Согласен на обработку персональных данных. Ознакомлен с Политикой конфиденциальности».
Отправка формы без установленного чекбокса недопустима.
Политика конфиденциальности под вашу деятельность
Документ составляется с учётом специфики работы компании. Включите в него:
- Перечень собираемых данных;
- Цели и способы обработки;
- Сроки хранения и удаление;
- Порядок отзыва согласия;
- Перечень третьих лиц, если данные передаются;
- Описание мер защиты.
Не копируйте шаблоны. Политика должна соответствовать фактической практике.
Сбор только нужных данных
Каждое поле должно быть обосновано. Пример: для рассылки достаточно email. Если добавляете телефон или адрес — укажите, зачем это нужно.
Хранение данных на российских серверах
Сведения о гражданах РФ размещаются исключительно на территории страны. Если инфраструктура за рубежом — либо переносите сервисы, либо убедитесь в их соответствии закону.
Cookie-файлы и уведомление
При использовании cookie:
- Разместите понятное уведомление.
- Получите согласие на обработку информации.
- Обеспечьте отказ от cookie без потери функциональности.
Согласие пользователя должно быть явно выражено. Он должен подтвердить его активным действием.
Передача данных за границу
Если данные направляются зарубежным компаниям или сервисам, требуется:
- Получить согласие пользователя на трансграничную передачу данных.
- Направить уведомление в Роскомнадзор.
Защита информации
Технические меры безопасности должны быть внедрены:
- Использование HTTPS-соединения.
- Двухфакторная аутентификация.
- Регулярные обновления CMS и модулей.
- Ограничение доступа к панели управления.
Проверка соответствия
Аудит сайта помогает вовремя устранить недочёты и снизить риски. Лучше выявить нарушения до предписания, чем после.
Какие документы нужно разработать
Компании формируют комплект локальных документов, отражающих организацию работы с ПД. Минимальный перечень включает:
- Приказ о назначении ответственного за обработку персональной информации.
- Политику конфиденциальности, адаптированную под деятельность организации.
- Соглашение о неразглашении для сотрудников с доступом к персональным данным.
- Регламенты, описывающие сбор, обработку, хранение и уничтожение информации.
Документы должны соответствовать сведениям, поданным в Роскомнадзор. При любом изменении политики необходимо своевременно уведомить надзорный орган.
Как подготовить сотрудников к новым требованиям
Нормативные изменения затрагивают не только юридические лица, но и каждого сотрудника, работающего с персональными данными. Компании важно не просто внедрить формальные регламенты, но и обучить персонал правильному обращению с ПДн.
Ключевые шаги:
- Проведение вводного инструктажа при приёме на работу с разбором положений закона 152-ФЗ;
- Обязательное обучение сотрудников, имеющих доступ к персональным данным, с фиксацией в журнале;
- Организация регулярных проверок знаний — например, через тестирование;
- Подготовка чек-листов с типовыми ситуациями: что делать при получении запроса от субъекта ПДн, как действовать при утечке, кто отвечает за отправку уведомлений.
Такая работа снижает риск человеческого фактора и помогает продемонстрировать Роскомнадзору, что компания предпринимает реальные меры по соблюдению закона.
