Несоблюдение установленного регламента грозит компаниям существенными финансовыми санкциями, размер которых может достигать 15 миллионов рублей, а в отдельных случаях — и привлечением к ответственности по Уголовному кодексу.
Нормативная база обработки личных сведений в РФ: нововведения 2025 года
Для начала обозначим ключевые нормативно-правовые акты, регламентирующие принципы сбора и защиты персональных данных. К ним относятся:
Закон №152-ФЗ «О персональных данных» (от 2006 года).
Положения Уголовного кодекса (в частности, ст. 137).
Нормы Кодекса об административных правонарушениях (КоАП).
Постановление Правительства № 1119 (от 2012 года).
Начиная с 2025 года в России действует ряд поправок и новых регламентов, касающихся обработки персональных данных, основной целью которых является усиление их безопасности:
1. С 1 марта 2025 года все компании, которые обрабатывают персональные данные, были обязаны зарегистрироваться в едином реестре, управляемом Роскомнадзором. Это требование закреплено статьей 22.1 закона №152-ФЗ (в редакции от 24.06.2025). Параллельно введены новые стандарты для оформления электронного согласия на обработку информации с обязательным применением усиленной квалифицированной электронной подписи (УКЭП), а также специальные правила обработки сведений о несовершеннолетних в возрасте от 14 до 18 лет (согласно статье 14.1 закона №152-ФЗ).
2. С 30 мая 2025 года действует закон № 420-ФЗ от 30 ноября 2024 года, ужесточающий санкции за нарушения в сфере обработки персональных данных. Размер штрафов для должностных лиц теперь составляет от 1 до 1,3 млн рублей, а для организаций и индивидуальных предпринимателей — от 10 до 15 млн рублей. За разглашение биометрических данных предусмотрена повышенная ответственность:
для ответственных сотрудников: 1,3–1,5 млн рублей;
для юридических лиц: 15–20 млн рублей.
3. С 1 сентября 2025 года вступили в силу новые нормы, касающиеся получения согласия на обработку персональных данных работников и их передачу сторонним организациям. Изменения были внесены в закон «О персональных данных»: теперь согласие должно быть оформлено самостоятельным документом и не может быть включено в состав других кадровых форм. Законодатель требует, чтобы такое согласие было добровольным, конкретным и оформленным в письменной форме или в электронном виде с применением УКЭП.
4. При передаче данных внешним организациям — облачным сервисам, банковским учреждениям, страховым компаниям или службам такси — необходимо получать отдельное согласие и разрешение. В нем должны быть указаны цели передачи, перечень получателей и срок действия данного разрешения.
5. Работодатели обязаны информировать Роскомнадзор о начале обработки персональных данных сотрудников, а также обо всех последующих изменениях в процессе их использования (ч. 1 ст. 22 ФЗ №152). Эти меры направлены на повышение прозрачности процедур обработки информации и усиление контролирующей функции регулятора.
В целом, нововведения требуют от компаний разработки четких внутренних процедур и подготовки соответствующей документации для обеспечения легальной работы с персональными данными в кадровой практике. Нарушение установленных правил может повлечь за собой существенные финансовые санкции и иные меры воздействия, которые будут рассмотрены далее.
Согласие на обработку персональных данных работника в 2025 году
С 1 сентября 2025 года в закон №152-ФЗ «О персональных данных» внесены существенные коррективы, согласно которым согласие на обработку необходимо оформлять самостоятельным документом. Его включение в текст трудового договора или каких-либо пользовательских соглашений более не допускается (Гарант, 2025). Данная мера нацелена на обеспечение максимальной прозрачности и осознанности волеизъявления гражданина, предотвращая скрытые или автоматизированные формы получения разрешения.
В документе о согласии в обязательном порядке фиксируются:
Четко сформулированные цели использования информации.
Исчерпывающий перечень обрабатываемых сведений.
Полные фамилия, имя, отчество и адрес места жительства работника.
Наименование и адрес оператора, осуществляющего обработку.
Период, в течение которого согласие действует.
Процедура отзыва разрешения.
Личная подпись субъекта данных.
Получение такого согласия становится обязательным в следующих ситуациях:
При оформлении на работу после 1 сентября 2025 года, а также при истребовании дополнительных сведений, не обусловленных трудовой функцией (например, о состоянии здоровья или религиозных убеждениях).
В случае предполагаемой передачи информации контрагентам — банковским учреждениям, страховым организациям, транспортным сервисам и иным подрядчикам.
Для размещения личных данных на внутренних корпоративных порталах или в средствах массовой информации.
При обработке биометрических сведений, таких как отпечатки пальцев или цифровые изображения, используемые для систем контроля доступа.
Документ может быть составлен как в традиционной бумажной форме, так и в электронном виде с применением усиленной квалифицированной электронной подписи (УКЭП). Ключевыми правами сотрудника являются возможность отозвать свое согласие в любой момент, а также ограничение срока его действия периодом существования трудовых отношений.
Вне зависимости от наличия подписанного согласия, на работодателе лежит обязанность по обеспечению конфиденциальности всей получаемой информации и ее использованию строго в заявленных целях. Нарушение этого принципа влечет административную ответственность по ст. 13.11 КоАП.
Штрафы за утечку персональных данных и отсутствие отдельного согласия на обработку данных сотрудников
1. Штрафы за утечку персональных данных
Тип лица | Размер штрафа (руб.) | Комментарий |
Юридические лица | 1 000 000 — 20 000 000 (максимум — до 15–20 млн) | Значительные утечки — штрафы достигают 15 млн ₽, возможны и более высокие суммы (вплоть до 20 млн ₽ с возможным дополнительным взысканием до 3% от оборота). |
Должностные лица | От 50 000 до 800 000 | За утечку персональных данных и нарушение безопасности. Суммы варьируются в зависимости от тяжести нарушения |
Физические лица | От 10 000 до 300 000 | В зависимости от характера нарушения |
2. Штрафы за отсутствие отдельного согласия на обработку персональных данных сотрудников
Тип лица | Размер штрафа (руб.) | Комментарий |
Юридические лица | 100 000 — 400 000 | Нет отдельного согласия на обработку перс данных, ст. 13.11 и 18 ФЗ № 152-ФЗ. |
Должностные лица | От 10 000 до 100 000 | За непринятие мер по получению согласия, нарушение порядка учета согласий |
Физические лица | От 5000 до 50 000 | За некорректное раскрытие информации или отсутствие согласия |
3. Дополнительные штрафы и санкции за нарушения при обработке персональных данных
Нарушение | Юридические лица (руб.) | Должностные лица (руб.) | Физические лица (руб.) | Примечание |
Несоблюдение порядка уведомления Роскомнадзора о начале обработки персональных данных | От 50 000 до 200 000 | От 5000 до 30 000 | – | Введено с 30 мая 2025 г. |
Нарушение | От 200 000 до 1 000 000 | От 20 000 до 100 000 | – | Включает недостоверную |
Обработка | 300 000 — 500 000 | От 30 000 до 150 000 | – |
Порядок действий при выявлении компрометации (утечек) персональных данных
Обнаружение факта утечки конфиденциальной информации сотрудников создает для работодателя серьезные риски, включая финансовые санкции, репутационные потери и потенциальные судебные разбирательства. В соответствии с законом №152-ФЗ, организация обязана обеспечить защиту персональных данных и немедленно принять меры по устранению последствий инцидента.
Поэтапный план реагирования на инцидент по утечке персональных данных
1. Блокирование дальнейшей утечки. Обязательный первый шаг, соответствующий статье 21 ФЗ № 152-ФЗ.
Немедленно ограничьте доступ к информационной системе, в которой произошел инцидент.
Проведите анализ причин компрометации данных: кибератака, человеческий фактор или утрата материальных носителей.
Сформируйте комиссию для проведения внутреннего расследования.
2. Документирование обстоятельств инцидента — ключевой шаг для доказательной базы.
Составьте подробный акт о произошедшем.
Сохраните все возможные доказательства: скриншоты, системные логи, переписку.
Определите категории и объем скомпрометированной информации (паспортные данные, ИНН, контактные сведения).
3. Уведомление контролирующих органов.
Направьте официальное уведомление в Роскомнадзор в течение 72 часов с момента обнаружения инцидента
При затрагивании сведений, относящихся к государственной тайне или критической инфраструктуре, немедленно информируйте ФСБ.
4. Информирование пострадавших лиц, необходимо по ФЗ-152, что снижает штрафные риски для работодателя.
Уведомите сотрудников, чьи данные были скомпрометированы.
Предоставьте рекомендации по мерам защиты: смена учетных данных, мониторинг финансовых операций.
Обеспечьте обратную связь для пострадавших лиц и держите в курсе расследования.
5. Усиление мер защиты.
Внедрите дополнительные протоколы безопасности: двухфакторную аутентификацию, шифрование данных.
Проведите внеочередное обучение персонала правилам работы с конфиденциальной информацией.
6. Предоставление отчетности. Обязательный шаг, который снижает вероятность штрафов
В течение 30 дней направьте в Роскомнадзор результаты внутреннего расследования и перечень реализованных корректирующих мер.
Таким образом, предложенный алгоритм соответствует действующим нормам российского законодательства о защите персональных данных и указан в профессиональных методических рекомендациях. Соблюдение данного алгоритма позволяет минимизировать последствия инцидента и соответствует законодательным требованиям, снижая вероятность привлечения к административной и уголовной ответственности.
Важно: рекомендуется дополнительно проверить локальные внутренние процедуры и обновить регламенты организации, чтобы обеспечить полное соответствие формальным требованиям и срокам в случае утечек.
КЭДО в работе с персональными данными сотрудников
В КЭДО согласие сотрудников на обработку персональных данных оформляется в электронном виде с применением квалифицированной подписи, что полностью соответствует обновленным требованиям ФЗ-152.
Это интересно: в случае локальной установки системы КЭДО – у работодателя отсутствует необходимость получать отдельные согласия на передачу персональных данных третьим сторонам, таким как облачные провайдеры КЭДО. Объем документооборота снижается в 2 раза.
Компания тем самым дополнительно защищает себя от бумажной волокиты и юридических сложностей — это ускоряет процессы КДП, поскольку вся информация хранится и обрабатывается исключительно в локальной инфраструктуре компании. Такой подход минимизирует вероятность утечек и позволяет контролировать доступ к сведениям без вовлечения внешних сторон.
Все готово для быстрого старта
Пакет необходимых ЛНА, преднастроенные заявки и маршруты согласований — мы подготовили все, чтобы вы могли сразу приступить к работе
Записаться на демо:
Цифровые кадровые процессы в единой экосистеме 1С
EmplDocs — это платформа, разработанная на технологической платформе 1С и с учетом особенностей инфраструктуры предприятий российских компаний. Главным отличием системы КЭДО от других является бесшовная совместимость с 1С:ЗУП и другими компонентами 1С, что делает EmplDocs органичным продолжением всех процессов и верным выбором для организаций, использующих 1С, как основную учетную платформу.
EmplDocs подключается непосредственно из самой 1С, без лишних интеграционных процессов и сложностей. Это отличает ее от большинства других сервисов КЭДО:
Данные передаются и синхронизируются в едином информационном пространстве 1С и сервиса КЭДО без излишнего дублирования и необходимости ручной сверки.
Вся система наследует встроенную логику безопасности 1С и при этом дополнительно расширяет ее для полного соответствия современным требованиям по защите персональных данных.
EmplDocs может эксплуатироваться в защищенных и локальных средах, включая 1С:Предприятие 8.3z, что особенно важно для организаций с повышенными требованиями к безопасности, в том числе в госсекторе.
Реклама: ООО «Эмплдокс», ИНН: 9721242901, erid: 2W5zFJD9SuN
Начать дискуссию