С 30 мая штрафы до 500 млн рублей. Бизнес на прицеле РКН — что срочно пересмотреть в работе с персональными данными
Какая информация относится к персональным данным
До вступления майских поправок осталось немного — пора разбираться в деталях. Начнем с основ: что вообще такое персональные данные (ПДн)? Это первый этап и уже на нем многие допускают ошибки, которые потом оборачиваются большими штрафами.
Заполняем уведомление по всем правилам. Если вы уже знаете про основы, то сразу переходите к статье про заполнение и подачу уведомления в Роскомнадзор.
Сомнения понятны, ведь даже в законе понятие персональных данных достаточно размыто, поэтому приходится опираться на разъяснения РКН и судебную практику. Учитывая все данные, можем четко сказать, что к ПДн относятся:
ФИО. Даже если Иванов Иван Иванович — имя неуникальное, его все равно считают персональной информацией. Закон не делает скидку на распространенность имени.
Электронная почта. Часто содержит имя, фамилию, название компании — по ней можно идентифицировать человека, поэтому это тоже ПДн.
Другие сведения тоже могут относиться к личным данным, если находятся в связке. Например, место работы само по себе — еще не персональные данные, но место работы + ФИО — уже да.
Главное правило: если можно прямо или косвенно установить личность человека, значит вы имеете дело с персональными данными.
Боитесь допустить ошибку в документах и попасть под штраф? Сервис 152DOC поможет подготовить уведомление об обработке персональных данных без лишней головной боли. Все просто: заполняете форму по шаблону, вносите все нужные данные в поля, а сервис сам формирует уведомление. Скачайте документ или сразу направьте в ведомство прямо из сервиса. Узнайте больше о возможностях 152DOC и оставьте заявку на подключение.
Кто рискует получить штраф до 500 млн рублей в 2025 году
Риск попасть на миллионные штрафы за неправильную обработку персональных данных есть у всех компаний и ИП, которые выступают в качестве операторов ПД. С этим понятием тоже не все так однозначно — не сразу можно понять, относитесь ли вы к оператору ПДн или нет.
На самом деле, вы становитесь оператором персданных в тот момент, как впервые начинаете обрабатывать такую информацию. Приведем несколько наглядных примеров.
Пример 1. Вы открыли ИП и работаете без сотрудников. Кажется, что вы не оператор персональных данных — но это не всегда так. Достаточно сохранить всего один e-mail клиента и вот вы уже становитесь оператором ПДн и должны регистрироваться в Роскомнадзоре.
Пример 2. Вы оказываете услуги в качестве самозанятого и направляете результат работы на e-mail, которые вам дают клиенты, а сами почтовые адреса храните в отдельной табличке. В этом случае вы также считаетесь оператором ПДн.
Пример 3. Вы работаете в качестве фрилансера. У вас нет работников, поэтому вы не относите себя к операторам, но при этом у вас есть сайт, на котором обрабатываются cookies посетителей. Вы собираете данные о действиях пользователей, а они считаются персональными данными, поэтому вы тоже по закону будете оператором ПДн.
Вы — оператор ПДн, если:
запрашиваете у клиентов ФИО, телефон, email;
нанимаете на работу сотрудников и храните их данные;
размещаете формы сбора данных на сайте;
делаете рекламные email рассылки;
оформляете пропуска в офис;
публикуете на сайте фото клиентов и их отзывы с ФИО.
Важно запомнить: компания, ИП, самозанятый становятся операторами персданных в тот момент, когда начинают работать с такой информацией. Даже одна сохраненная электронная почта означает, что на вас возлагаются обязанности оператора персональных данных.
Сервис 152DOC в «Е-Офис 24»
Упростит работу с персональными данными и защитит бизнес от штрафов и проверок РКН
Какие штрафы вводит РКН для бизнеса с 30 мая 2025 года
С 30 мая вводится новая часть 10 статьи 13.11 КоАП, которая утверждает новые размеры штрафов для тех, кто не направил в РКН уведомление об обработке персональных данных. Обратите внимание, что направить уведомление нужно еще до того, как начнете работать с персданными.
Предупреждений РКН больше рассылать не будет, штраф назначат сразу. Теперь наказание компаниям и ИП за неподанное уведомление составит от 100 000 до 300 000 рублей.
Увеличатся размеры штрафов и при других нарушениях. Серьезные наказания грозят за утечку персональных данных — именно в этой сфере проблем больше всего. В инфополе постоянно разгораются новые скандалы об огромных базах персданных, которые были похищены у крупных корпораций и размещены в интернете в свободном доступе.
Вид нарушения | Штраф для ИП и юрлиц с 30 мая 2025 года | Комментарий |
Обрабатывали персональные данные без законных оснований (ч. 1 ст. 13.11 КоАП) | От 150 000 до 300 000 рублей. | При повторных нарушениях штраф может вырасти до 500 000 рублей. |
Не подали уведомление об утечке персональных данных (часть 11 статьи 13.11 КоАП) | От 1 до 3 млн рублей. | Теперь ИП приравниваются к юрлицам, поэтому размер штрафа для них такой же, как и для компаний. |
Произошла утечка персональных данных (часть 12–14 статьи 13.11 КоАП) |
| Размер штрафа зависит от объема персональных данных. Чем он больше, тем выше будет штраф. |
Произошла повторная утечка персональных данных (часть 12–14 статьи 13.11 КоАП) | Оборотный штраф: от 1 до 3% выручки за прошлый год. Минимально могут взыскать 20 млн, максимально — 500 млн. | Предусмотрено три смягчающих обстоятельства, которые учтутся в совокупности: |
Допустили незаконное распространение персональных данных специальных категорий (ч.16 ст. 13.11 КоАП) |
| К спецкатегориям могут относиться данные о национальности, религии, политических взглядах, состоянии здоровья. |
Допустили незаконное распространение биометрических данных (ч.17 ст. 13.11 КоАП) |
| — |
Отказались изменить, заключить или расторгнуть договор с потребителем из-за отказа проходить идентификацию по биометрии (ч.8 ст.14.8 КоАП) | От 200 000 до 500 000 рублей | Это новый состав нарушения. |
Штрафами дело может не ограничиться. С декабря 2024 года в УК появилась новая статья 272.1 — за незаконный сбор, хранение и передачу персональных данных теперь грозит от 4 до 10 лет лишения свободы.
Например, вы взяли на работу сотрудника с собственной клиентской базой. Если эта база была собрана с нарушением закона — ответственность может лечь и на него, и на вашу компанию. Лучше заранее обсудить это до приема на работу и объяснить новому сотруднику все риски.
Как руководителю снизить риски в 2025 году:
✅ Собирайте меньше данных. Зачастую бизнес запрашивает и хранит избыточные сведения. Например, дата рождения клиента при заключении договора чаще всего не нужна — значит, ее собирать не стоит. Храните только то, что действительно необходимо.
✅ Проведите ревизию баз данных. Обсудите с сотрудниками, какие данные они собирают и где их хранят. Часто на компьютерах можно найти забытые таблицы с ФИО и телефонами, которые когда-то создали для удобства работы и потом забыли про них. Найдите и удалите такие файлы.
✅ Утвердите приказом те базы, которые используете в работе. Это поможет ограничить хаотичный сбор информации, прекратить создание многочисленных баз персональных данных на компьютерах сотрудников. Также это решение позволит руководству отслеживать, кому и какая информация доступна.
✅ Аудит раз в три месяца. Регулярно проверяйте работу с данными — своими силами или с помощью сторонней компании. Обновляйте документы, удаляйте лишнее, регулярно обучайте сотрудников.
Что сделать до 30 мая, чтобы защититься от штрафов
Подача уведомления в РКН — не просто формальность, а важный шаг, который позволит уберечь бизнес от больших штрафов. Но важно понимать: отправлять уведомление нужно уже в самом конце. Перед этим наведите порядок в документах и на сайте.
1. Проверьте, есть ли ваша компания в реестре операторов ПДн. Перейдите по ссылке, введите ИНН или название компании. Если информации в реестре нет, значит нужно направить уведомление.
2. Назначьте ответственного за работу с ПДн. Лучше, чтобы это был сотрудник, у которого есть доступ ко всем отделам компании и который в курсе внутренних процессов. Часто назначают бухгалтера, IT-специалиста или директора. Можно создать отдельную должность — например, специалист по работе с ПДн. Выбор утвердите приказом.
Часто назначают кадровика, но это не самый лучший вариант. Обычно он работает с персданными, которые нужны для кадрового учета, доступа к другим отделам у него, как правило, нет.
3. Разработайте локальные нормативные акты. Как минимум понадобится политика обработки персональных данных и согласие на обработку. Распишите цели, категории, субъекты обработки данных — все это утвердите отдельными приказами. Эту документацию РКН может запрашивать и изучать при проверке.
🔥 Если нужно оперативно разработать документацию, рекомендуем подключить сервис 152DOC. В нем вы пошагово заполняете данные, а сервис сам формирует политику об обработке персданных, приказы, уведомления для РКН. Все документы можно скачать и в любой момент отредактировать, если данные изменились. Также сможете сформировать уведомление для РКН по шаблону, быстро и без ошибок. Узнайте больше о сервисе в обзоре от «Е-Офис 24».
4. Проверьте сайт на соответствие требованиям 152-ФЗ. РКН может сравнить информацию в уведомлении с тем, что размещено на сайте — данные должны совпадать. У Роскомнадзора уже есть инструменты для проверки сайтов, в том числе автоматические. Обязательно разместите политику об обработке ПДн и галочку-согласие на обработку ПДн, а также форму-согласие на использование файлов cookies.
5. Оцените риски и установите защиту. Проведите оценку потенциального вреда субъектам ПДн и внедрите технические меры защиты, например, антивирус или создание резервных копий.
6. Обучите сотрудников. Четко разъясните, как работать с персданными, что можно и нельзя сохранять, что такое утечка данных, что делать при взломе базы. Ознакомьте персонал с документацией по персональным данным под подпись.
7. Только после всех этих действий подавайте уведомление.
Информация в уведомлении не должна противоречить вашим внутренним локальным нормативным актам — это ключевой момент. Поэтому сначала разработайте всю документацию, разместите на сайте, и только после этого направляйте уведомление.
Если уведомление уже подавали — проверьте его актуальность. Могли измениться цели обработки, категории данных, система защиты. Если данные не актуальны — это тоже нарушение, за которое могут наказать. При любых изменениях нужно повторно направить уведомление.
Также следует учесть, что сейчас действует новая форма уведомления. В блоге подробнее разобрали, как изменилась форма уведомления, как его заполнить и подать по новым правилам.
Суть статьи коротко
✅ К персональным данным относятся любые сведения, по которым можно установить личность. ФИО и email — уже считаются ПДн сами по себе, остальные данные — в связке.
✅ Практически все компании, ИП и самозанятые считаются операторами персональных данных. Если вы работаете с клиентами, сотрудниками или заявками — это про вас.
✅ С 30 мая 2025 года штрафы за нарушения вырастут до 500 млн рублей. За отсутствие уведомления в РКН — до 300 000 рублей.
✅ Не торопитесь подавать уведомление. Сначала оформите документы, назначьте ответственного и обновите сайт.
Сервис 152DOC — готовое решение для операторов персональных данных.
Забудьте о ручной подготовке документов и риске ошибок. В 152DOC уже собраны все актуальные формы уведомлений, политик, приказов — согласно требованиям 152-ФЗ. Вы просто заполняете поля, а сервис сам формирует нужный пакет документов.
Если изменятся формы сведений, вы сразу об этом узнаете и сможете оперативно скорректировать документацию. Переделывать все с нуля не придется: редактируйте только нужные строки и сохраняйте актуальную версию.
Сервис 152DOC облегчит составление документации и отправку отчетов в РКН. Узнайте больше о возможностях 152DOC и оставьте заявку на подключение.
Сервис 152DOC в «Е-Офис 24»
Упростит работу с персональными данными и защитит бизнес от штрафов и проверок РКН
Реклама: ООО «Е-Офис 24», ИНН 6672281995, erid: 2W5zFHJ7e8x
Комментарии
6Во как заработать хочется. Во жути нагнал! По одной фамилии и имени невозможно определить человека! Ивпновых десятки тысяч!
везде, на каждом углу)) штрафы, штрафы, штрафы. Посмотрела СПС: ФИО принято считать персональными данными в том случае если их владелец вступил в правоотношения с оператором данных и подписал согласие на их использование и обработку. Причем неважно насколько они полные и соответствуют действительности. Это может быть анкета в банке на получение кредита с подробными сведениями, оформление заказа в интернет магазине, где просто указываются имя и фамилия.
Позиция регуляторов такова, что любые переданные данные оператору и заключение согласия на их обработку автоматически превращают данные в конфиденциальную информацию, требующую обязательной защиты и сохранения конфиденциальности.
Да они сами эти данные разглашают судя по комментариям
Так как же это сделать-то?
При подаче уведомления наверняка придется указать перс. данные директора.
Или подписать уведомление: "просто Директор", персональные данные (ФИО директора) дополнительно предоставим после принятия уведомления и соответственно получения разрешения обрабатывать перс. данные...
maxvint уведомление подписывается эл.подписью в л/к (где уже есть все ПД). Если отправляете почтой, то подписываете уведомление, т.е. как обычно любую отчетность.