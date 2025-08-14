Если вы продаете товары или предоставляете услуги, наверняка берете персональные данные (ПДн) клиентов. Без этого не получится построить бизнес. Но учтите: просто взять согласие на обработку или подписать договор недостаточно — нужен ряд локальных документов, которые должны быть у каждого оператора по закону. Их количество может достигать 60 наименований.
Рассмотрим, какие обязанности закреплены за оператором по ФЗ от 27.07.2006 №152-ФЗ, что грозит ему за нарушения и какие документы необходимо оформить уже сейчас, чтобы избежать штрафов.
Что входит в обязанности оператора
Оператор ПДн — это организация, ИП или самозанятые, которые хранят ФИО, телефоны, адреса, email и другие данные физических лиц (ст. 3 ФЗ №152-ФЗ). Если это про вас, то вы имеете право обрабатывать эту информацию для работы, но закон налагает строгие обязанности:
Обеспечить законность и соразмерность. Собирайте только те данные и только в том объеме, которые нужны для конкретной цели. Она должна быть четко сформулирована до сбора данных и зафиксирована в Политике обработки ПДн и согласии субъекта. Например, если у вас интернет-магазин с доставкой товаров, будет несколько целей: исполнение договора купли-продажи и продвижение товаров, работ и услуг на рынке.
Обеспечить безопасность. Вы обязаны принять организационные и технические меры по защите ПДн, чтобы избежать утечек, неправомерного копирования, изменения или уничтожения (ст.19 ФЗ №152-ФЗ).
Соблюдать права субъекта. Он имеет право знать, как обрабатываются его данные, в любой момент потребовать уточнения, блокирования или уничтожения. Также он может отозвать согласие на обработку, а вы обязаны обеспечить ему такую возможность: например, предусмотреть форму отзыва на сайте.
Оформить документы для работы с персональными данными. Этого требует не только ФЗ №152-ФЗ, но и Постановление Правительства РФ от 01.11.2012 №1119, Приказ ФСТЭК от 18 февраля 2013 г. №21.
Уведомить Роскомнадзор. Операторы подают несколько уведомлений в зависимости от ситуации: о начале обработки; об изменении сведений, содержащихся в реестре, и т.д.
Все процессы обязательно строятся с учетом документов, которые у вас уже должны быть до начала сбора ПДн. Они фиксируют ваши законные основания обработки и порядок действий в различных ситуациях, доказывают соблюдение прав субъектов и принятых мер безопасности.
Ответственность оператора
Нарушение ФЗ №152-ФЗ — это не абстрактный риск, а конкретные финансовые потери и репутационный урон. Так, если вы не разместите Политику обработки ПДн на сайте или информационной доске в офисе, вам грозит штраф по ч.3 ст.13.11 КоАП РФ на сумму до 60 000 рублей. Учтите, что к Политике должны иметь беспрепятственный доступ пользователи, клиенты, сотрудники и другие физлица.
Для операторов есть ряд штрафов и за другие нарушения:
Неподача уведомления об обработке ПДн в Роскомнадзор — до 300 000 рублей.
Работа с ПДн без согласия субъекта, когда по закону оно обязательно — до 700 000 рублей.
Утечка стандартных ПДн — до 15 млн рублей в зависимости от масштабов.
Несанкционированный доступ к спецкатегориям данных — до 15 млн рублей.
Утечка биометрических ПДн — до 20 млн рублей.
Самые серьезные штрафы предусмотрены за повторную утечку — до 500 млн рублей или до 3% годового оборота компании. Кроме того, за большую часть нарушений ФЗ №152-ФЗ ИП несут ответственность как юридические лица, следовательно, штрафы могут быть катастрофическими для малого бизнеса.
Перечень документов для работы с персональными данными
Разработкой документов обычно занимаются штатные юристы, а утверждает их руководитель компании-оператора. Но можно доверить это и сторонней юридической организации.
Теперь подробно рассмотрим, что конкретно должно быть у оператора для работы с данными.
№1. Основной перечень
1. Политика обработки ПДн: главный публичный документ, раскрывающий клиентам и сотрудникам как, зачем и на каких условиях вы работаете с их данными.
2. Внутренние регламенты — конкретные инструкции, как работать с ПДн на практике:
Положение об обработке ПДн — детальные правила сбора, хранения, использования;
Положение об уничтожении ПДн (с оформлением Акта уничтожения);
Регламент работы с запросами субъектов.
3. Инструкции для персонала — четкие алгоритмы для:
ответственного;
сотрудников, имеющих доступ к данным (бухгалтерия, менеджеры, IT).
4. Распорядительные документы — закрепляют структуру ответственности:
Приказ, по которому сотрудник назначается на должность ответственного (обязателен по ч.1 ст. 22.1 ФЗ №152-ФЗ, п.1 ч.1 ст.18.1 ФЗ №152-ФЗ).
Приказ об утверждении перечня должностей/лиц с доступом к ПДн;
Приказ об утверждении мест хранения..
5. Договоры с обработчиками — если передаете данные стороннему сервису. Договор поручения обработки ПДн обязателен. Он делает их вашим «соисполнителем» по закону.
№2. Документы по защите ПДн
1. Журналы учета:
мероприятий по контролю защиты;
тестирования средств защиты информации (СЗИ);
обращений субъектов ПДн (отзывы согласий, запросы);
посетителей;
съемных носителей;
инструктажей по ИБ.
2. Инструкции по ИБ — конкретные шаги персонала в критических ситуациях:
по действиям при инциденте (утечке) — кто, что, куда сообщает, как минимизировать последствия;
по резервному копированию — как и где хранятся бэкапы;
по парольной защите, антивирусному контролю — базовые документы безопасности;
по учету и уничтожению материальных носителей (флешки, бумаги).
3. Документы СЗИ:
акт категорирования ИСПДн;
модель угроз безопасности ПДн (оценка рисков);
приказ о создании комиссии по защите ПДн + Положение о ее работе;
план мероприятий по защите ПДн (сроки, ответственные, ресурсы).
Также понадобится перечень ваших ИСПДн и ряд других документов в зависимости от вида и объема данных, которые вы обрабатываете.
№3. Документы, оформляемые при взаимодействии с субъектами
Это в первую очередь шаблоны согласий: на обработку, передачу, распространение.
С 1 сентября 2025 года согласие на обработку оформляется отдельно от остальных документов. Нельзя включать его в условия договора, как раньше. Согласия, полученные до указанной даты, переоформлять не нужно — они продолжат действовать.
Как оформить согласие
Это ключевой документ, на основании которого обрабатываются ПДн, а требования к содержанию указаны в ст.9 ФЗ №152-ФЗ.
Что в нем должно быть:
1. Данные субъекта:
ФИО, адрес регистрации/проживания.
Реквизиты паспорта (или иного документа): номер, серия, кем и когда выдан.
Пример: Иванова Анна Петровна, г. Москва, ул. Ленина, д. 1, кв. 2; паспорт 4510 123456, выдан ОВД «Тверской» г. Москвы 15.01.2020.
2. Данные представителя (если согласие дает не сам субъект):
ФИО, адрес представителя.
Реквизиты его паспорта.
Реквизиты документа, подтверждающего полномочия (доверенность, свидетельство о рождении для ребенка и пр.).
Пример (для родителя): Петров Сергей Иванович (отец), г. Москва, ул. Ленина, д.1, кв.2; паспорт 4510 654321... Доверенность не требуется (родитель несовершеннолетнего Иванова Максима Сергеевича).
3. Данные оператора:
Полное наименование или ФИО и адрес оператора.
Юридический/почтовый адрес.
Пример (ИП): Индивидуальный предприниматель Сидоров Олег Викторович (ИНН 770112345678), адрес: 127006, г. Москва, ул. Тверская, д. 10.
4. Цель обработки:
Указывайте максимально конкретно. Общие фразы «для улучшения сервиса» недопустимы.
Пример: информирование о статусе заказа, проведение опросов удовлетворенности, направление рекламных предложений товаров и услуг ООО «Ромашка» по электронной почте и SMS.
5. Перечень обрабатываемых ПДн:
Перечислите точно те данные, которые вы будете использовать для заявленной цели.
Пример: ФИО, номер мобильного телефона, адрес электронной почты, история заказов.
6. Данные обработчика (если привлекаете стороннюю компанию):
Если обработку поручаете другому другой организации (CRM-сервис, колл-центр, маркетинговое агентство), укажите ее полное наименование или ФИО и адрес.
Пример: обработка поручена ООО «ОблачнаяCRM», ИНН 7712345678, адрес: 117312, г. Москва, пр-т 60-летия Октября, д. 15.
7. Перечень действий с ПДн и способы обработки:
Конкретные операции: сбор, запись, хранение и т.д.
Общее описание способов: смешанная, автоматизированная, ручная.
Пример: сбор, запись, систематизация. Способы: автоматизированная обработка в CRM-системе.
8. Срок действия согласия и способ отзыва:
Укажите срок: например, «до достижения целей обработки», «до отзыва субъектом», либо конкретную дату/событие (например, «5 лет»).
Четко пропишите способ отзыва: «путем направления письменного заявления по адресу оператора» или «через электронную форму в личном кабинете на сайте site.ru».
Пример: срок действия согласия — 5 лет с даты предоставления. Отзыв осуществляется путем направления письменного заявления по адресу оператора или через форму в ЛК на сайте example.com.
9. Подпись субъекта (или его представителя):
На бумаге — собственноручная подпись с расшифровкой ФИО и датой подписания.
В электронной форме — КЭП субъекта (редко) или простая электронная подпись, если ее применение для таких согласий прямо предусмотрено законом или соглашением сторон (ст. 9 ФЗ №152-ФЗ), и вы можете доказать, кто именно подписал (например, через СМС, код из email, но с четкой привязкой к личности и вашему регламенту).
Помните: одно согласие — одна конкретная цель. Не пытайтесь объединить все в один документ. Для рассылки рекламы — одно согласие, для передачи партнеру — другое, для обработки биометрии — третье.
Какие изменения еще планируются
Законодательство, регулирующее работу с ПДн, постоянно меняется. С 01.09.2025 года вступают в силу новые изменения:
Передача обезличенных данных в ГИС. ФЗ от 08.08.2024 № 233-ФЗ внесены изменения, в ФЗ №152-ФЗ введена ст. 13.1 ФЗ №152-ФЗ, согласно которой оператор по запросу Минцифры обязан передавать ПДн после обезличивания. Невыполнение требования или некорректное обезличивание по методике, утвержденной Постановлением Правительства РФ от 01.08.2025 г. №1154 — нарушение с риском штрафов.
Расширение полномочий ФСБ. Федеральная служба безопасности получит право проверять меры безопасности ПДн у всех операторов, включая коммерческие компании и ИП. Ранее фокус был на госсекторе. Проверять будут в том числе и документы для работы с персональными данными: наличие и Положения о безопасности, применение СЗПДн, назначение ответственного, ведение журналов, готовность к инцидентам. ФСТЭК также может получить контрольные функции, но без доступа к самим ПДн.
Для операторов это означает повышенный риск проверок и необходимость пересмотра документов, регламентирующих особенности обезличивания ПДн — их нужно будет скорректировать с учетом новой методики.
