1. Основы работы с персональными данными
Вот главные понятия:
Персональные данные или ПДн — это личная информация о человеке, в том числе Ф.И.О., адрес, телефон, фото.
О том, какие данные о работнике признаются персональными данными, смотрите в материале «Моё дело Бюро».
Оператор — это любая организация или ИП, кто получает, использует, хранит или передаёт личную информацию физлиц. Если у вас есть хотя бы один работник — вы оператор.
Обработка: любые действия с данными (сбор, запись, хранение, использование, передача, удаление и т.д.). Неважно, автоматизированные или нет.
Правила обработки:
Минимизируйте данные. Собирайте и используйте только необходимые данные. Уничтожайте данные, когда цель обработки достигнута.
Храните данные раздельно. Разделяйте данные клиентов, работников, соискателей, особенно если цели обработки разные. Храните идентификаторы (Ф.И.О., email, телефон) и данные о взаимодействии с человеком (услуги) в разных базах, связывая их синтетическими идентификаторами.
Используйте безопасные средства. Ответственность за обработку, переданную третьим лицам, остается на операторе.
Назначьте ответственного за обработку и физически контролируйте доступ к данным.
2. Внутренние документы
Оператору нужны документы, регламентирующие работу с ПДн.
Локальные нормативные акты:
Положение о работе с ПДн (или о защите ПДн): закрепляет перечни ПДн работников и документов с ПДн; порядок обработки, передачи, уничтожения ПДн; список сотрудников с доступом к ПДн и правила доступа; меры защиты ПДн; ответственность.
См. пример оформления Положения об обработке и защите персональных данных в «Моё дело Бюро».
Политика обработки ПДн: должна быть публично доступна, например, на сайте. Может включать Положение об обработке обращений субъектов ПДн.
Иные документы:
Приказ о назначении ответственного за обработку ПДн.
Письменные согласия работников на обработку ПДн (включая отдельное согласие на распространение). Смотрите, например, Согласие работника на распространение его персональных данных.
Обязательства о неразглашении ПДн для сотрудников с доступом (можно включить в трудовой договор). Смотрите Обязательство о неразглашении персональных данных.
Список лиц с доступом к ПДн.
Документ о классификации информационных систем (ИС), обрабатывающих ПДн (с моделью угроз для каждой системы). Подготовить модели угроз помогут Методика оценки угроз безопасности информации, утв. ФСТЭК России 5 февраля 2021 г., и Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. ФСТЭК России 15 февраля 2008 г.
При пропускном режиме — документ о требованиях к журналам с ПДн.
Ознакомление работников: ознакомьте работников, обрабатывающих ПДн, с внутренними документами под подпись и/или обучите их (с фиксацией результатов).
3. Уведомление Роскомнадзора об обработке ПДн
С 1 сентября 2022 года большинство работодателей обязаны уведомлять Роскомнадзор об обработке ПДн работников.
Уведомляйте, если: обрабатываете данные работников; передаете данные третьим лицам (банк, ДМС, курьеры); обрабатываете биометрию (фото на пропуск). Уведомление подают один раз.
Не уведомляйте, если: данные включены в госресурсы безопасности/правопорядка; обработка исключительно на бумаге без компьютеров; обработка проводится по законам о транспортной безопасности.
Сроки:
Подайте уведомление до начала обработки ПДн.
Для работодателей с обязанностью уведомлять с 01.09.2022 укажите эту дату как дату начала обработки (или дату начала деятельности — по рекомендации Роскомнадзора).
После подачи первичного уведомления сообщыйте об изменениях в сведениях не позднее 15-го числа следующего месяца.
В случае прекращения обработки уведомите об этомв течение 10 рабочих дней.
Форма и способ подачи: формы из Приказа Роскомнадзора №180 от 28.10.2022 (бумага, электронно с УКЭП либо через Госуслуги). Используйте сервис Роскомнадзора.
Типичные ошибки при заполнении уведомления:
Неправильная форма бланка (не на бланке оператора или не заверено печатью).
Неполный или неверный адрес оператора.
Не все филиалы указаны.
Не указаны все соответствующие статьи, даты и номера нормативно-правовых актов в «Правовом основании».
Не все цели обработки данных указаны (например, забыли кадровый и бухгалтерский учёт, в рамках которого обрабатываются персональные данные).
Неправильно указаны «Категории персональных данных» (например, указаны документы, а не сами данные; используются общие фразы, например, «и др.»).
Не все «Категории субъектов» указаны.
Не все действия в поле «Перечень действий с персональными данными» указаны.
Копирование шаблонного текста вместо конкретного описания мер защиты.
Уведомление подписано неуполномоченным лицом.
Не указана контактная информация исполнителя.
Смотрите частые ошибки при заполнении уведомления об обработке персональных данных на сайте «Моё дело Бюро».
Если ведёте трансграничную передачу, подайте отдельное уведомление по ч. 4 ст. 12 152-ФЗ 2006 г. (его можно отправить электронно через сайт Роскомнадзора).
4. Согласие на обработку ПДн
Получите согласие, если: нужны данные не для трудовых отношений (например, жилищные условия); распространяете (публикуете) ПДн или передаете их третьим лицам (кроме случаев, прямо указанных в законе); используете биометрию (фото на пропуск).
Согласие не нужно: для оформления трудового договора и иных кадровых документов, их предоставления профсоюзу; исполнения трудового договора; для статистики/науки (с обезличиванием); для защиты жизни/здоровья (если получить согласие невозможно); при пережаче ПДн по запросам госорганов (прокуратура, МВД, ФСБ, ФНС, СФР, трудовая инспекция и др.); для обработки ПДн уволенных работников (предоставленных в период работы); при измерении температуры тепловизором (но информируйте работников об измерении).
По биометрии: нельзя отказывать в обслуживании/работе из-за отказа предоставить биометрию, если закон не требует согласия. Нельзя снимать отпечатки пальцев для пропуска, кроме случаев, прямо предусмотренных законом.
Форма согласия: письменная или электронная (с ЭП), с учетом требований по ч. 4 ст.9 152-ФЗ 2006 г. Смотрите, например, Согласие работника на передачу его персональных данных третьей стороне.
5. Уведомление Роскомнадзора об утечке ПДн
С 30 мая 2025 года усилили ответственность за неуведомление об утечке.
Уведомите Роскомнадзор о факте неправомерной передачи ПДн.
Сроки (с момента выявления):
24 часа: первичное уведомление (дата/время выявления, характеристики данных, количество скомпрометированных записей, актуальность базы, период сбора, причины, возможный вред, принятые меры, ФИО и контакты оператора).
72 часа: дополнительное уведомление (результаты расследования, сведения о виновных лицах).
Как уведомить: на бумаге или электронно через портал Роскомнадзора с ЭП.
Взаимодействие с Роскомнадзором:
Ответьте на запрос Роскомнадзора о дополнениях (пояснениях) в течение 3 рабочих дней со дня его получения.
Если сам Роскомнадзор выявил утечку и прислал требование представить уведомление — подайте его в те же сроки (24/72 часа).
Если утечка не ваша — подайте доп. уведомление с актом расследования.
Штрафы за персональные данные выросли в 1 000 раз
Что сделать сейчас, чтобы не платить

6. Уничтожение персональных данных
С 1 марта 2023 года действуют правила подтверждения уничтожения.
Уничтожьте ПДн:
В течение 7 рабочих дней со дня представления сведений о незаконном получении данных или ненужности для заявленной цели.
В течение 10 рабочих дней с даты выявления неправомерной обработки, если нельзя обеспечить ее правомерность.
В течение 30 дней с даты достижения цели обработки или отзыва согласия субъекта.
В течение не более 10 рабочих дней (можно продлить на 5) со дня получения требования субъекта о прекращении обработки.
Если уничтожение невозможно в эти сроки— блокируйте данные и уничтожьте в срок до 6 месяцев.
Порядок оформления уничтожения:
Уничтожение производится комиссией (или уполномоченным должностным лицом), созданной на основании приказа оператора.
Определяются и составляются перечни документов (носителей), подлежащих уничтожению.
Способы уничтожения: для бумажных носителей — шредер, сжигание; для электронных — стирание или физическое уничтожение дисков.
Подтверждающие документы: акт об уничтожении (для обработки без автоматизации или комбинированной), выгрузка из журнала регистрации событий в информационной системе (для обработки с автоматизацией или комбинированной). Формы этих документов не утверждены нормативно, но Приказ Роскомнадзора № 179 от 28 октября 2022 г. определяет обязательный перечень сведений в них.
Срок хранения: акт и выгрузка должны храниться в течение трёх лет с момента уничтожения.
Уведомление о прекращении обработки: уведомите Роскомнадзор о прекращении обработки в течение 10 рабочих дней с даты прекращения.
7. Ответственность за нарушения
Нарушителям грозит административная, уголовная, материальная, гражданско-правовая и дисциплинарная ответственность.
Административная (КоАП РФ) — с 30 мая 2025 года:
Неуведомление/несвоевременное уведомление Роскомнадзора об обработке (ч. 10 ст. 13.11): граждане: 5–10 тыс. ₽. Должлица гос/мун/НКО: 30–50 тыс. ₽. ИП/организации: 100–300 тыс. ₽.
Неуведомление/несвоевременное уведомление об утечке (ч. 11 ст. 13.11): граждане: 50–100 тыс. ₽. Должлица гос/мун/НКО: 400–800 тыс. ₽. ИП/организации: 1–3 млн ₽.
Штрафы за утечку (зависят от объёма данных) (ч. 12—14 ст. 13.11):
1–10 тыс. субъектов / 10–100 тыс. идентификаторов: граждане: 100–200 тыс. ₽. Должлица гос/мун/НКО: 200–400 тыс. ₽. ИП/организации: 3–5 млн ₽.
10–100 тыс. субъектов / 100 тыс.–1 млн идентификаторов: граждане: 200–300 тыс. руб. Должлица гос/мун/НКО: 300–500 тыс. ₽. ИП/организации: 5–10 млн ₽.
>100 тыс. субъектов / >1 млн идентификаторов: граждане: 300–400 тыс. ₽. Должлица гос/мун/НКО: 400–600 тыс. ₽. ИП/организации: 10–15 млн ₽.
Штрафы за повторную утечку больших объемов, специальных или биометрических данных (ч.15, 18 ст.13.11): граждане: 400–800 тыс. ₽. Должлица гос/мун/НКО: 800 тыс.–2 млн ₽. Для ИП/организаций: оборотные штрафы: 1–3% годовой выручки.
Другие штрафы: за неправомерную обработку, несоблюдение требований к согласию, отсутствие опубликованной политики, непредоставление информации субъекту, нарушение правил обработки биометрии, разглашение и т.д.
Дела возбуждает Роскомнадзор, а наказание назначает судья. Для бизнеса возможны предупреждение вместо штрафа или уменьшение суммы. Плановые проверки в 2025 году не проводятся, внеплановые — при наличии оснований.
Гражданско-правовая: субъект ПДн вправе требовать возмещения вреда (включая моральный) через суд.
Дисциплинарная: работника, разгласившего ПДн (если нет уголовного состава), можно наказать дисциплинарно (замечание, выговор, увольнение). Условия: локальные акты, ознакомление под подпись, обязанность не разглашать в трудовом договоре.
Материальная: работник, разгласивший ПДн (при наличии обязанности в договоре), возмещает убытки в полном размере.
Уголовная (УК РФ):
Статья 137 УК РФ (незаконный сбор/распространение сведений о частной жизни): штраф до 300 тыс. руб., лишение права занимать должности, принудработы, арест, лишение свободы до 4 лет.
Статья 272.1 УК РФ) (незаконное использование/передача/сбор/хранение компьютерной информации с ПДн):
Использование/передача незаконно полученных данных: штраф до 300 тыс. ₽ или лишение свободы до 4 лет.
Данные несовершеннолетних, особые категории, биометрия: штраф до 700 тыс. ₽ или лишение свободы до 5 лет.
Из корысти, группой, крупный ущерб, служебное положение: штраф до 1 млн ₽, лишение свободы до 6 лет.
Трансграничная передача: лишение свободы до 8 лет (+штраф до 2 млн ₽).
Организованная группа, тяжкие последствия: лишение свободы до 10 лет (+штраф до 3 млн ₽).
Создание/поддержка сайтов/ПО для незаконного хранения/передачи: штраф до 700 тыс. ₽, лишение свободы до 5 лет.
Более подробно про ответственность, которая предусмотрена за нарушение правил работы с персональными данными работников, смотрите в материале «Моё дело Бюро».
Моё дело Бюро
Справочно–правовая система для бухгалтеров, юристов, кадровиков и профессиональный консалтинг

Реклама: ООО «Мое дело», ИНН: 7701889831, erid: 2W5zFH4VJvC
Начать дискуссию