Закон о персональных данных (152-ФЗ): главное, что нужно знать бизнесу

Закон о персональных данных (152-ФЗ) требует от бизнеса всё больше внимания и ответственного отношения. Кажется, что эта информация только для кадровиков? А вот и нет. Новые штрафы могут серьёзно ударить по финансам вашего бизнеса.

В статье расскажем о последних изменениях в персданных, новых штрафах и шагах для защиты информации в 2025 году. Без лишних деталей — только самое важное для владельцев бизнеса. Бонусом предложим образец согласия на обработку персональных данных.

Содержание

О чём закон о персональных данных

Изменения в законе о персональных данных в 2024–2025 годах

Штрафы и ответственность за нарушение закона о персданных в 2025 году

Как защитить персональные данные: пошаговая инструкция

Форма согласия на обработку персональных данных

Закон о персональных данных: частые вопросы собственников

Закон о персональных данных: в двух словах

Поможем разобраться со штрафами из-за персданных

О чём закон о персональных данных

Федеральный закон № 152-ФЗ задаёт правила игры при работе с персональными данными. Его цель проста, но крайне важна — защитить права граждан и исключить несанкционированное использование их информации.

Персональные данные — это любая информация, которая позволяет узнать человека. Сам номер телефона еще не раскроет личность, но добавьте к нему имя и фамилию — и перед вами уже полноценные данные, которые подлежат защите.

Всего выделяют три основных категории персональных данных:

• Общие — информация, которую мы чаще всего используем в повседневной жизни, например, имя, фамилия, адрес и e-mail.

• Специальные — сведения, которые раскрывают более личные аспекты жизни: религиозные убеждения, национальность, судимости или состояние здоровья.

• Биометрические — уникальные характеристики, такие как отпечатки пальцев, фотографии, ДНК, группа крови, а также физические параметры вроде роста и веса, которые помогают точно идентифицировать человека.

Обработка данных в законе понимается широко — это любые действия, от сбора и хранения до передачи и удаления. Все они должны быть законными и, в большинстве случаев, сопровождаться согласием человека.

Изменения в законе о персональных данных в 2024–2025 годах

Обработка персональных данных теперь — часть повседневной работы каждого бизнеса. Это касается не только ваших сотрудников, но и клиентов, партнёров, гостей и всех, с кем вы взаимодействуете. Поэтому лучше всего не игнорировать требования закона и следить за всеми нововведениями.

Кратко напомним основные изменения, которые уже действуют ↓

→ Уведомление Роскомнадзора. Если вы работаете с персональными данными, обязательно нужно уведомлять Роскомнадзор:

• до начала обработки персданных и при прекращении;

• если происходит трансграничная передача данных (передача за границу);

• если случилась утечка данных.

К таким уведомлениям надо относиться серьёзно, иначе рискуете нарваться на штрафы.

→ Документы для работы с персональными данными. У вас должен быть комплект документов, который описывает все этапы работы с персданными. Смотрите примерный перечень:

• Политика обработки персональных данных. Документ надо разместить на сайте.

• Положение об обработке персональных данных, где вы прописали меры их защиты. Это основной документ по персданным внутри компании.

• Приказ о назначении ответственного за обработку данных. Выберите сотрудника, который будет за это отвечать.

• Формы согласия на обработку персданных и на прекращение такой обработки. Если у вас есть форма обратной связи на сайте, не забудьте добавить обязательное согласие на обработку данных перед её отправкой.

• Внутренний регламент. В нём простым языком можно объяснить то, что написано в Положении об обработке персданных.

• Перечень должностей, которые имеют доступ к данным, с указанием объёма доступа.

• Реестр персональных данных.

• Уведомление о файлах cookie на сайте.

→  Меры защиты данных. Важно не только разработать все документы, но и внедрить меры защиты персданных в вашей компании. А ещё регулярно проверять, как всё работает. Подробнее про защиту персданных читайте в разделе «Как защитить персональных данные: пошаговая инструкция».

Перейдём к изменениям, которые только предстоят.

→ Планируемые изменения с 01.03.2025. Речь пойдёт о законопроекте № 679980-8, который на момент написания статьи ещё не принят, но, скорее всего, будет одобрен в ближайшее время. Если это случится, с 1 марта 2025 года будут значительные изменения. 

Продавцы потеряют возможность скрывать информацию о товаре или услуге, если покупатель не даст свои персональные данные. Исключение — когда персданные нужны по закону. Также согласие на обработку данных нужно будет оформлять отдельно, не объединяя его с другими документами, которые человек подписывает или подтверждает.

→ Изменения с 01.09.2025. Федеральный закон от 08.08.2024 № 233-ФЗ уже приняли, и он начнёт работать с 1 сентября 2025 года. Главное новшество — сформируют госсистему с обезличенными данными (их называют дата-сетами). А у компаний и ИП, которые являются операторами персданных, появится новая обязанность — передавать обезличенные данные по запросу Минцифры. 

Данные будут поступать в закрытую госсистему, доступ к которой получат не только государственные органы, но и организации. Однако, для того чтобы получить такой доступ, компания должна соответствовать строгим требованиям:

• быть зарегистрированной в реестре операторов персональных данных;

• не иметь записи о недостоверности сведений в ЕГРЮЛ;

• не  должно быть связи с экстремистской деятельностью;

• у директора должно быть исключительно российское гражданство, никаких непогашенных или неснятых судимостей, и за последние 5 лет он не должен привлекаться к уголовной ответственности за незаконный доступ к данным, их распространение или получение.

Даже если вам удастся получить доступ к системе, будьте готовы к ограничениям. Нельзя будет записывать, извлекать или передавать данные, а уж тем более делиться ими с зарубежными компаниями.

А теперь рассмотрим штрафы и ответственность. Здесь тоже есть много изменений ↓

Штрафы и ответственность за нарушение закона о персданных в 2025 году

Если ваша компания или вы как ИП нарушаете закон о персональных данных, вам грозит не только штраф, но и, в некоторых случаях, уголовная ответственность. Причём с 30 мая 2025 года суммы штрафов станут ещё больше, а также появятся новые санкции, которые могут серьёзно повлиять на деятельность бизнеса (Федеральный закон от 30.11.2024 № 420-ФЗ). Разберёмся по порядку ↓

Штрафы до 30 мая 2025 года

Все нарушения и штрафы за них можно посмотреть в Кодексе об административных правонарушениях (КоАП). Вот самые важные статьи:

• Статья 13.11 — здесь собраны основные нарушения в области персональных данных.

• Статья 19.4.1 — если препятствуете проверке Роскомнадзора или уклоняетесь от неё.

• Статья 19.5 — если не выполнили в срок предписание Роскомнадзора.

• Статья 19.7 — если не предоставили нужную информацию по запросу Роскомнадзора.

Конечно, нарушений много, и штрафов за них тоже. Например, вот за что могут оштрафовать компанию и ИП: если не разместили политику обработки персданных для ознакомления, не дали информацию по запросу владельца данных или не выполнили в срок требования по уточнению, блокировке или удалению информации.

Плюс часто попадают на штрафы те, кто обрабатывает персональные данные без письменного согласия владельца. И тут штрафы довольно высокие, особенно за повторные нарушения: для ИП — до 1 млн ₽, для компаний — до 1,5 млн ₽. В общем, нарушения в этой сфере могут сильно ударить по вашим финансам, поэтому будьте осторожнее.

Новые штрафы с 30 мая 2025 года

Добавили новые составы нарушений в статью 13.11 КоАП. Здесь перечислим главные нововведения ↓

Изменение 1. Утечка персданных

Если персданные попадут в чужие руки незаконно, ответственность будет зависеть от количества людей, чьи данные утекли, или от количества уникальных идентификаторов. Идентификатор — это данные, которые используют в системах операторов для обозначения конкретных пользователей. 

Чем больше утечка, тем выше штрафы. Плюс заплатить придётся больше, если утекут специальные персданные, это сведения о национальности, судимости, состоянии здоровья и др. 

Изменение 2. Неуведомление Роскомнадзора

Если случилась утечка данных, которая затронула права людей, и вы не уведомили Роскомнадзор или сделали это не вовремя, готовьтесь к штрафу. Для ИП и компаний — от 1 до 3 млн ₽.

Не сообщили о намерении работать с персональными данными? Или отправили уведомление слишком поздно? Штрафы здесь более скромные, но всё равно ощутимые — от 100 000 до 300 000 ₽ для ИП и организаций.

Изменение 3. Нарушение прав потребителей

Если отказать потребителю в заключении, исполнении, изменении или расторжении договора только потому, что он не прошёл биометрическую идентификацию, опять же будет штраф: для должностных лиц и ИП — от 50 000 до 100 000 ₽, а для компаний — от 200 000 до 500 000 ₽.

Изменение 4. Увеличили штрафы за незаконную обработку персданных

Пункт уже был в КоАП, но с 30 мая штрафы станут в несколько раз больше. Вот таблица с новыми расценками ↓

Уголовная ответственность

С 11 декабря 2024 года появилась уголовная ответственность за неправомерные действия с персональными данными (ст. 272.1 УК). За незаконные сбор, хранение, передачу или использование данных теперь можно получить до 8 лет заключения, если данные отправили за границу. А если утечка нанесла серьёзный ущерб, максимальный срок увеличивается до 10 лет.

Как защитить персональных данные: пошаговая инструкция

Работа с персональными данными — это не только ответственность перед сотрудниками, но и обязательное требование закона. Чтобы избежать штрафов и защитить бизнес от утечек информации, важно правильно наладить процесс их обработки.

В пошаговой инструкции смотрите простые действия, которые помогут организовать защиту данных в вашей компании ↓

Шаг 1. Назначьте ответственного за защиту персональных данных

Первое, что нужно сделать, — выбрать человека, который будет отвечать за работу с персональными данными. Это может быть кадровик, бухгалтер или другой сотрудник, который понимает, почему важно защищать такие данные и как с ними работать. 

Чтобы всё правильно оформить, издайте приказ о назначении ответственного. А также попросите сотрудника подписать обязательство о неразглашении персданных — это дополнительная страховка. 

Шаг 2. Определите меры защиты и пропишите их в Положении

Дальше нужно выбрать, как именно вы будете защищать персональные данные, и закрепить все меры в документе — Положении об обработке персональных данных. Или можно пойти другим путём и сделать отдельное Положение о защите персональных данных, чтобы собрать все меры именно там.

Когда будете подбирать конкретные меры защиты, отталкивайтесь от способа обработки данных. Всего их два:

• Автоматизированная обработка — с помощью компьютеров, программ (например, 1С), баз данных или сайтов. Чтобы понять, как защищать данные, сначала определите, какие угрозы могут быть. Затем выберите один из четырёх уровней защиты — он зависит от того, какие данные вы обрабатываете и сколько у вас сотрудников. Меры защиты включают, например, ограничение доступа к компьютерам, контроль помещений, где хранятся данные, и назначение ответственных за их безопасность. 

• Неавтоматизированная обработка — обработка данных вручную на бумажных носителях. Здесь важно организовать места хранения (сейф, кабинет, архив) и установить, кто именно будет иметь доступ к данным.

Шаг 3. Оцените возможный ущерб от утечки данных

По правилам Роскомнадзора нужно заранее продумать, какой вред может быть, если персональные данные попадут в чужие руки. Для этого ответственный или специальная комиссия:

1. Определяет степень риска — он может быть высоким, средним или низким.

2. Оформляет результаты в виде акта оценки вреда на бумаге или в электронном виде.

Шаг 4. Проводите проверки и следите за соблюдением мер защиты

Регулярно проверяйте, работают ли меры по защите персданных. Делать это нужно хотя бы раз в три года. Работодатель сам решает, как и когда проводить проверки, и фиксирует это в Положении. Если нужно, можете привлечь для проверки стороннюю компанию или специалиста с лицензией, — они помогут оценить, насколько всё правильно организовано.

Форма согласия на обработку персональных данных

Согласие человека на обработку персданных — это не просто формальность, а основное требование закона. Чтобы вам было проще разобраться в форме и содержании такого важного документа, мы собрали ответы на самые частые вопросы ↓

1. Как правильно оформить согласие? Согласие может быть подписано на бумаге или отправлено в электронном виде, но с подтверждением в виде электронной подписи. Без этого документ считается недействительным.

2. Кто должен дать согласие? По общему правилу, согласие на использование данных всегда предоставляет сам человек, владелец информации. Никакие посредники или третьи лица не могут сделать это за него. Исключение — несовершеннолетние дети, за которых согласие дают родители, и некоторые другие редкие случаи.

3. Какие данные обязательно указывать в согласии? Каждое согласие должно включать:

• Личные данные человека: фамилию, имя, отчество, адрес, паспортные данные. Иногда добавляют телефон, электронную почту и другие данные, но делать это не всегда нужно, — дальше объясним почему.

• Реквизиты вашей компании или ИП: название, адрес.

• Чётко сформулированную цель обработки данных (например, для доставки товара).

• Перечень данных, которые планируете использовать.

• Срок действия документа — он указывается обязательно.

• Личную подпись человека, который согласился на обработку (другой вариант — электронная подпись).

4. Сколько согласий надо получать? На каждую цель нужно получать отдельное согласие. Например, если вы хотите использовать данные для рекламной рассылки, а также для анализа покупательских предпочтений, на каждую из этих целей нужно получить отдельное разрешение.

5. Какие есть требования к согласию? Согласие должно быть оформлено так, чтобы человек полностью понимал, на что он подписывается. Это значит, что согласие обязано быть:

• Информированным: человек должен получить всю необходимую информацию о целях, способах обработки и защите данных, чтобы принять решение на основе полной картины.

• Сознательным: владелец данных должен чётко понимать, что именно он разрешает, и осознавать возможные последствия предоставления своих данных.

• Предметным: ясно и четко указывайте, какие именно данные вы собираете и как будете их использовать.

• Конкретным: никаких общих фраз и размытых формулировок.

• Однозначным: исключите двусмысленности, которые могут ввести в заблуждение.

6. Как быть с биометрическими данными? Фото, видео, голос или отпечатки пальцев считаются биометрическими данными, если их используют для идентификации, например, селфи с паспортом. Если вы собираетесь собирать или обрабатывать такие данные, это нужно напрямую указать в согласии. Или можно оформить отдельное согласие на обработку биометрических данных.

7. Что делать, если планируете передавать данные другим компаниям? Такое действие потребует отдельного согласия. Причём в документе нужно чётко указать, кому именно и для чего вы будете передавать персданные.

Смотрите форму согласия, которая подходит для обработки данных клиентов и контрагентов. В примере мы указали перечень персональных данных и цель их обработки. Вы можете заменить их на нужные вам ↓

Рекомендации, что вписать в форму согласия:

→ Чтобы идентифицировать владельца персданных, указывайте только то, что требуется по закону: Ф.И.О., паспорт, адрес. Избегайте лишних деталей, таких как номер телефона, — это может вызвать вопросы при проверке.

→ А в своих данных можно, наоборот, указать дополнительную информацию: ИНН и ОГРН. Это не обязательно по закону, но так информация в согласии останется актуальной, даже если изменится название компании или её адрес.

→ Указывайте конкретную цель обработки данных, например, «обработка заказов клиентов» или «сбор и анализ данных о предпочтениях пользователей». Избегайте общих фраз вроде «нужды компании», чтобы не возникло вопросов при проверках.

→ Перечисляйте только те действия, которые действительно будете выполнять с персданными, например, сбор, хранение, использование данных. Не нужно перестраховываться и добавлять лишние действия ради того, чтобы просто было. Это плохая практика.

→ Укажите конкретный срок действия согласия или условие, при котором оно утратит силу, например, до окончания договора. Не делайте согласие бессрочным — его срок должен быть связан с целью обработки.

Закон о персональных данных: частые вопросы собственников

Кто является оператором персональных данных?

Операторы — те, кто сам или через своих сотрудников собирает, обрабатывает и хранит персданные. Это могут быть не только компании и ИП, но и частные лица, а также госучреждения. Оператор сам решает, какие именно данные собирать, для чего они нужны и как ими распоряжаться. 

По сути, любые организации или ИП, которые взаимодействуют с персональными данными, — будь то в контексте товаров, услуг или иных целей — выступают операторами данных.

Когда возможна обработка персональных данных без согласия?

Обработка персональных данных без согласия тоже возможна, но только в некоторых случаях. Вот когда это реально:

1. Если нужно выполнить условия международных договоров.

2. Когда человек участвует в судебном процессе.

3. Если нужно исполнить решение суда или другого органа.

4. Когда органы власти или местного самоуправления исполняют свои полномочия.

5. Если заключается или исполняется договор, где человек — сторона или поручитель.

6. Когда надо защитить жизнь или здоровье человека.

7. Если нужно вернуть долг или решить другие юридические вопросы.

8. Для работы журналистов, СМИ или научной/творческой деятельности.

9. Когда данные используют для статистики или исследований.

10.  Если данные нужны для улучшения работы госорганов.

11.  Когда закон требует раскрытия таких данных.

Всегда ли нужно уведомлять Роскомнадзор об операциях с персданными?

Не всегда, но таких случаев почти не осталось. Вот когда уведомлять Роскомнадзор не нужно:

• если персданные включены в госсистемы, которые нужны для поддержания порядка и безопасности;

• если данные обрабатываются для транспортной безопасности;

• если обработка идёт вручную, без использования средств автоматизации.

Раньше исключений было больше. Например, при обработке данных в трудовых отношениях уведомление не требовалось, но это правило уже отменили.

В итоге: если ваша деятельность не попадает под исключения, уведомление нужно отправить. После этого компания попадёт в реестр Роскомнадзора. 

Как минимизировать риски утечки персданных?

Используйте современные методы шифрования для передачи данных, чтобы даже в случае их перехвата они остались недоступными для злоумышленников. Рассмотрим основные варианты, как минимизировать риски:

• Ограничьте доступ. Передавайте данные только проверенным лицам и организациям, которые действительно нуждаются в их использовании.

• Регулярно обновляйте программное обеспечение. Убедитесь, что все системы и программы защищены от уязвимостей и регулярно обновляются.

• Проводите мониторинг передачи данных. Настройте системы мониторинга, чтобы отслеживать, кто, когда и какие данные передаёт.

• Обучайте сотрудников. Регулярно проводите обучение по вопросам информационной безопасности, чтобы сотрудники знали, как безопасно работать с данными.

• Используйте защищённые каналы связи. Передавайте данные через VPN или другие зашифрованные каналы, чтобы предотвратить их перехват.

• Проводите периодические проверки и аудит. Организуйте аудит безопасности данных, чтобы выявлять слабые места в системе передачи и хранения информации.

Какие виды персональных данных являются наиболее уязвимыми для утечек?

Чёткого ответа здесь нет, но обычно наиболее уязвимы к утечкам:

1. Финансовая информация — номера карт, банковские счета, коды доступа.

2. Паспортные данные — используются для мошеннических действий и подделки документов.

3. Контактные данные — телефоны, адреса электронной почты, домашние адреса часто попадают в базы для спама или фишинга.

4. Медицинская информация — истории болезней, анализы, рецепты — особенно чувствительные данные.

5. Персональные идентификаторы — СНИЛС, ИНН, которые могут использоваться для кражи личности.

6. Данные о местоположении — история перемещений может стать инструментом для шантажа или слежки.

7. Логины и пароли — открывают доступ к другим данным и сервисам.

Закон о персональных данных: в двух словах

• Персональные данные — это любая информация, которая позволяет узнать человека. Есть три категории персданных: общие, специальные и биометрические.

• Все компании и ИП обрабатывают персональные данные. Это означает два важных момента: во-первых, они являются операторами персданных, а во-вторых, обязаны следовать требованиям Закона № 152-ФЗ.

• С 30 мая 2025 года суммы штрафов станут ещё больше, а также появятся новые санкции, которые могут серьёзно повлиять на деятельность бизнеса: за утечку данных, неуведомление Роскомнадзора и нарушение прав потребителей. Будьте осторожны с потенциальными штрафами, чтобы избежать финансовых проблем.

• Защита данных начинается с процессов внутри компании. Назначьте ответственного за защиту персональных данных, разработайте и утвердите меры защиты, пропишите их в Положении. Оцените риски утечек, проводите регулярные проверки и следите за соблюдением правил.

• Уделите особое внимание согласиям на обработку персональных данных. Проверьте, что в форме есть все обязательные пункты: Ф.И.О., адрес и паспортные данные владельца, сведения о вашей компании, перечень персданных, цель и сроки их обработки, а также подпись в конце. Проверьте наличие таких согласий со всеми, чьи персональные данные уже обрабатываете.

Поможем разобраться со штрафами из-за персданных

Если уж так случилось, что штраф за персданные вы уже получили, и это сильно ударило по кошельку, не волнуйтесь! Финдиры Нескучных помогут разобраться с последствиями: построят финмодель, просчитают варианты и порекомендуют, как компенсировать потери.

Вот как наши финдиры уже помогли другим компаниям:

• Штраф в 60 млн ₽ и блокировка счетов: как компании всё же удалось выжить

• Спасти или закрыть: как производственная компания смогла выйти из кризиса

• Как финдир Нескучных помог компании разобраться с долгом за налоги в 2,4 млн

• Из убытков и кассовых разрывов — в светлое будущее

Вы тоже можете начать работать с нами: тип бизнеса, город и даже страна не важны. Мы работаем онлайн, поэтому можем сотрудничать с бизнесом из любых городов России, СНГ и Европы.

Для тех, кто не знает, с чего начать, мы создали план-капкан. Это три бесплатных вебинара по финансовому планированию ↓

[FORM PRESET="D" - "План-капкан"/]