🎁 Мастер-класс: прайс и договор. Дадим шаблоны
Защита персональных данных
Как работать с персональными данными после 30 мая 2025 года: чек-лист для работодателя

Как работать с персональными данными после 30 мая 2025 года: чек-лист для работодателя

С 30 мая 2025 года власти ужесточили административную ответственность операторов персональных данных. Наш чек-лист поможет организовать работу с персональными данными в компании или у ИП и избежать штрафов.

1. Основы работы с персональными данными

Вот главные понятия:

  • Персональные данные или ПДн — это личная информация о человеке, в том числе Ф.И.О., адрес, телефон, фото. 

О том, какие данные о работнике признаются персональными данными, смотрите в материале «Моё дело Бюро».

  • Оператор — это любая организация или ИП, кто получает, использует, хранит или передаёт личную информацию физлиц. Если у вас есть хотя бы один работник — вы оператор.

  • Обработка: любые действия с данными (сбор, запись, хранение, использование, передача, удаление и т.д.). Неважно, автоматизированные или нет.

Правила обработки:

  • Минимизируйте данные. Собирайте и используйте только необходимые данные. Уничтожайте данные, когда цель обработки достигнута.

  • Храните данные раздельно. Разделяйте данные клиентов, работников, соискателей, особенно если цели обработки разные. Храните идентификаторы (Ф.И.О., email, телефон) и данные о взаимодействии с человеком (услуги) в разных базах, связывая их синтетическими идентификаторами.

  • Используйте безопасные средства. Ответственность за обработку, переданную третьим лицам, остается на операторе.

  • Назначьте ответственного за обработку и физически контролируйте доступ к данным.

2. Внутренние документы

Оператору нужны документы, регламентирующие работу с ПДн. 

Локальные нормативные акты:

  • Положение о работе с ПДн (или о защите ПДн): закрепляет перечни ПДн работников и документов с ПДн; порядок обработки, передачи, уничтожения ПДн; список сотрудников с доступом к ПДн и правила доступа; меры защиты ПДн; ответственность. 

См. пример оформления Положения об обработке и защите персональных данных в «Моё дело Бюро».

  • Политика обработки ПДн: должна быть публично доступна, например, на сайте. Может включать Положение об обработке обращений субъектов ПДн.

Иные документы:

Ознакомление работников: ознакомьте работников, обрабатывающих ПДн, с внутренними документами под подпись и/или обучите их (с фиксацией результатов).

3. Уведомление Роскомнадзора об обработке ПДн

С 1 сентября 2022 года большинство работодателей обязаны уведомлять Роскомнадзор об обработке ПДн работников.

Уведомляйте, если: обрабатываете данные работников; передаете данные третьим лицам (банк, ДМС, курьеры); обрабатываете биометрию (фото на пропуск). Уведомление подают один раз.

Не уведомляйте, если: данные включены в госресурсы безопасности/правопорядка; обработка исключительно на бумаге без компьютеров; обработка проводится по законам о транспортной безопасности.

Сроки:

  • Подайте уведомление до начала обработки ПДн.

  • Для работодателей с обязанностью уведомлять с 01.09.2022 укажите эту дату как дату начала обработки (или дату начала деятельности — по рекомендации Роскомнадзора).

  • После подачи первичного уведомления сообщыйте об изменениях в сведениях не позднее 15-го числа следующего месяца.

  • В случае прекращения обработки уведомите об этомв течение 10 рабочих дней.

Форма и способ подачи: формы из Приказа Роскомнадзора №180 от 28.10.2022 (бумага, электронно с УКЭП либо через Госуслуги). Используйте сервис Роскомнадзора.

Типичные ошибки при заполнении уведомления

  • Неправильная форма бланка (не на бланке оператора или не заверено печатью).

  • Неполный или неверный адрес оператора.

  • Не все филиалы указаны.

  • Не указаны все соответствующие статьи, даты и номера нормативно-правовых актов в «Правовом основании».

  • Не все цели обработки данных указаны (например, забыли кадровый и бухгалтерский учёт, в рамках которого обрабатываются персональные данные).

  • Неправильно указаны «Категории персональных данных» (например, указаны документы, а не сами данные; используются общие фразы, например, «и др.»).

  • Не все «Категории субъектов» указаны.

  • Не все действия в поле «Перечень действий с персональными данными» указаны.

  • Копирование шаблонного текста вместо конкретного описания мер защиты.

  • Уведомление подписано неуполномоченным лицом.

  • Не указана контактная информация исполнителя.

Если ведёте трансграничную передачу, подайте отдельное уведомление по ч. 4 ст. 12 152-ФЗ 2006 г. (его можно отправить электронно через сайт Роскомнадзора).

4. Согласие на обработку ПДн

Получите согласие, если: нужны данные не для трудовых отношений (например, жилищные условия); распространяете (публикуете) ПДн или передаете их третьим лицам (кроме случаев, прямо указанных в законе); используете биометрию (фото на пропуск).

Согласие не нужно: для оформления трудового договора и иных кадровых документов, их предоставления профсоюзу; исполнения трудового договора; для статистики/науки (с обезличиванием); для защиты жизни/здоровья (если получить согласие невозможно); при пережаче ПДн по запросам госорганов (прокуратура, МВД, ФСБ, ФНС, СФР, трудовая инспекция и др.); для обработки ПДн уволенных работников (предоставленных в период работы); при измерении температуры тепловизором (но информируйте работников об измерении).

По биометрии: нельзя отказывать в обслуживании/работе из-за отказа предоставить биометрию, если закон не требует согласия. Нельзя снимать отпечатки пальцев для пропуска, кроме случаев, прямо предусмотренных законом.

Форма согласия: письменная или электронная (с ЭП), с учетом требований по ч. 4 ст.9 152-ФЗ 2006 г. Смотрите, например, Согласие работника на передачу его персональных данных третьей стороне.

5. Уведомление Роскомнадзора об утечке ПДн

С 30 мая 2025 года усилили ответственность за неуведомление об утечке.

Уведомите Роскомнадзор о факте неправомерной передачи ПДн.

Сроки (с момента выявления):

  • 24 часа: первичное уведомление (дата/время выявления, характеристики данных, количество скомпрометированных записей, актуальность базы, период сбора, причины, возможный вред, принятые меры, ФИО и контакты оператора).

  • 72 часа: дополнительное уведомление (результаты расследования, сведения о виновных лицах).

Как уведомить: на бумаге или электронно через портал Роскомнадзора с ЭП.

Взаимодействие с Роскомнадзором:

  • Ответьте на запрос Роскомнадзора  о дополнениях (пояснениях) в течение 3 рабочих дней со дня его получения.

  • Если сам Роскомнадзор выявил утечку и прислал требование представить уведомление — подайте его в те же сроки (24/72 часа).

  • Если утечка не ваша — подайте доп. уведомление с актом расследования.

Штрафы за персональные данные выросли в 1 000 раз

Что сделать сейчас, чтобы не платить

Заполните форму, вышлем подробный мануал вам на e-mail:

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

6. Уничтожение персональных данных

С 1 марта 2023 года действуют правила подтверждения уничтожения.

Уничтожьте ПДн:

  • В течение 7 рабочих дней со дня представления сведений о незаконном получении данных или ненужности для заявленной цели.

  • В течение 10 рабочих дней с даты выявления неправомерной обработки, если нельзя обеспечить ее правомерность.

  • В течение 30 дней с даты достижения цели обработки или отзыва согласия субъекта.

  • В течение не более 10 рабочих дней (можно продлить на 5) со дня получения требования субъекта о прекращении обработки.

  • Если уничтожение невозможно в эти сроки— блокируйте данные и уничтожьте в срок до 6 месяцев.

Порядок оформления уничтожения: 

  • Уничтожение производится комиссией (или уполномоченным должностным лицом), созданной на основании приказа оператора.

  • Определяются и составляются перечни документов (носителей), подлежащих уничтожению.

  • Способы уничтожения: для бумажных носителей — шредер, сжигание; для электронных — стирание или физическое уничтожение дисков.

  • Подтверждающие документы: акт об уничтожении (для обработки без автоматизации или комбинированной), выгрузка из журнала регистрации событий в информационной системе (для обработки с автоматизацией или комбинированной). Формы этих документов не утверждены нормативно, но Приказ Роскомнадзора № 179 от 28 октября 2022 г. определяет обязательный перечень сведений в них.

  • Срок хранения: акт и выгрузка должны храниться в течение трёх лет с момента уничтожения.

Уведомление о прекращении обработки: уведомите Роскомнадзор о прекращении обработки в течение 10 рабочих дней с даты прекращения.

7. Ответственность за нарушения

Нарушителям грозит административная, уголовная, материальная, гражданско-правовая и дисциплинарная ответственность.

Административная (КоАП РФ) с 30 мая 2025 года:

  • Неуведомление/несвоевременное уведомление Роскомнадзора об обработке (ч. 10 ст. 13.11): граждане: 5–10 тыс. ₽. Должлица гос/мун/НКО: 30–50 тыс. ₽. ИП/организации: 100–300 тыс. ₽.

  • Неуведомление/несвоевременное уведомление об утечке (ч. 11 ст. 13.11): граждане: 50–100 тыс. ₽. Должлица гос/мун/НКО: 400–800 тыс. ₽. ИП/организации: 1–3 млн ₽.

Штрафы за утечку (зависят от объёма данных) (ч. 12—14 ст. 13.11):

  • 1–10 тыс. субъектов / 10–100 тыс. идентификаторов: граждане: 100–200 тыс. ₽. Должлица гос/мун/НКО: 200–400 тыс. ₽. ИП/организации: 3–5 млн ₽.

  • 10–100 тыс. субъектов / 100 тыс.–1 млн идентификаторов: граждане: 200–300 тыс. руб. Должлица гос/мун/НКО: 300–500 тыс. ₽. ИП/организации: 5–10 млн ₽.

  • >100 тыс. субъектов / >1 млн идентификаторов: граждане: 300–400 тыс. ₽. Должлица гос/мун/НКО: 400–600 тыс. ₽. ИП/организации: 10–15 млн ₽.

  • Штрафы за повторную утечку больших объемов, специальных или биометрических данных (ч.15, 18 ст.13.11): граждане: 400–800 тыс. ₽. Должлица гос/мун/НКО: 800 тыс.–2 млн ₽. Для ИП/организаций: оборотные штрафы: 1–3% годовой выручки.

Другие штрафы: за неправомерную обработку, несоблюдение требований к согласию, отсутствие опубликованной политики, непредоставление информации субъекту, нарушение правил обработки биометрии, разглашение и т.д.

Дела возбуждает Роскомнадзор, а наказание назначает судья. Для бизнеса возможны предупреждение вместо штрафа или уменьшение суммы. Плановые проверки в 2025 году не проводятся, внеплановые — при наличии оснований.

Гражданско-правовая: субъект ПДн вправе требовать возмещения вреда (включая моральный) через суд.

Дисциплинарная: работника, разгласившего ПДн (если нет уголовного состава), можно наказать дисциплинарно (замечание, выговор, увольнение). Условия: локальные акты, ознакомление под подпись, обязанность не разглашать в трудовом договоре.

Материальная: работник, разгласивший ПДн (при наличии обязанности в договоре), возмещает убытки в полном размере.

Уголовная (УК РФ):

  • Статья 137 УК РФ (незаконный сбор/распространение сведений о частной жизни): штраф до 300 тыс. руб., лишение права занимать должности, принудработы, арест, лишение свободы до 4 лет.

  • Статья 272.1 УК РФ) (незаконное использование/передача/сбор/хранение компьютерной информации с ПДн):

    • Использование/передача незаконно полученных данных: штраф до 300 тыс. ₽ или лишение свободы до 4 лет.

    • Данные несовершеннолетних, особые категории, биометрия: штраф до 700 тыс. ₽ или лишение свободы до 5 лет.

    • Из корысти, группой, крупный ущерб, служебное положение: штраф до 1 млн ₽, лишение свободы до 6 лет.

    • Трансграничная передача: лишение свободы до 8 лет (+штраф до 2 млн ₽).

    • Организованная группа, тяжкие последствия: лишение свободы до 10 лет (+штраф до 3 млн ₽).

    • Создание/поддержка сайтов/ПО для незаконного хранения/передачи: штраф до 700 тыс. ₽, лишение свободы до 5 лет.

Более подробно про ответственность, которая предусмотрена за нарушение правил работы с персональными данными работников, смотрите в материале «Моё дело Бюро».

Моё дело Бюро

Справочно–правовая система для бухгалтеров, юристов, кадровиков и профессиональный консалтинг

Реклама: ООО «Мое дело», ИНН: 7701889831, erid: 2W5zFH4VJvC

Начать дискуссию

Интересные материалы