Персональные данные в 2025 читайте на нашем сайте auroraconsult.ru

Время на чтение: 7 мин.

Персональные данные в 2025. Работа организаций и ИП — это взаимодействие с покупателями, клиентами, партнерами, сотрудниками и т.д. Чтобы такое взаимодействие было законным, важно обеспечить защиту персональных данных, завести регламенты, назначить ответственных и подать сведения в Роскомнадзор.

В этой статье:

Что такое персональные данные
Что содержится в законе о персональных данных
Как организациям и ИП работать с персональными данными
Какие документы нужны для работы с персональными данными
Ответственность за несоблюдение закона о персональных данных 152-ФЗ
Выводы

Всё течёт, всё изменяется, поэтому мы решили обновить ранее вышедшие статьи о работе с персональными данными, на базе недавно вышедших новых материалов.

Что такое персональные данные

Персональные данные — это термин, закреплённый в ст. 3 Закона от 27.07.2006 N 152-ФЗ. К ним относится информация любого характера о физическом лице, которая позволяет такое лицо идентифицировать. Эти данные могут не только прямо, но и косвенно касаться физлица.

К персональным данным относятся не только документы (паспорт, ИНН, СНИЛС), но и, например, фотография, изображение человека в интернете, номер телефона, адрес электронной почты и т.д.

Выражение персональных данных возможно в любых формах: видео, изображение, аудиозапись, публичных высказываниях.

Что содержится в законе о персональных данных

Физическому лицу приходится сообщать свои конфиденциальные данные в разных жизненных ситуациях: когда он оформляет кредит в банке, устраивает ребенка в садик, заполняет анкету в интернете для заказа услуги и др.

Закон 152-ФЗ в первую очередь разработан для защиты людей от незаконных манипуляций с их персональными данными. Ими могут воспользоваться мошенники, которые, например, получат доступ к базе клиентов компании.

Организации и ИП, которые собирают данные о своих клиентах, обязаны обеспечить безопасность этих данных и не допустить их утечки в широкое информационное поле.

Как организациям и ИП работать с персональными данными

Организации должны не только знать Закон 152-ФЗ, но и следить за изменениями в правовой базе, чтобы надлежащим образом использовать и хранить персональные данные физических лиц.

Не только организации, но и ИП, которые работают с персональными данными физических лиц (включая своих сотрудников), должны зарегистрироваться в Роскомнадзоре как оператор персональных данных.

Что должна сделать каждая организация:

сформировать систему обработки, записи и хранения персональных данных с учётом актуальных требований законодательства;
разработать и соблюдать политику работы с персональными данными;
составить иную локальную документацию, регулирующую процесс использования персональных данных, которая включает в себя обработку, запись и хранение с учетём требований Роскомнадзора и Закона 152-ФЗ;
регулярно направлять отчёты в Роскомнадзор.

Любая организация несёт ответственность за действия, совершаемые с персональными данными своих субъектов (клиентов, пациентов, посетителей, участников собраний, контрагентов). Это распространяется не только на внутреннюю работу юрлиц, но и взаимоотношения за её пределами.

Разбёрем поэтапно, как организовать работу с ПД.

Этап 1. Разработать политику обработки персональных данных

Например, при приёме на работу сотрудника организация должна действовать в соответствии с политикой обработки персональных данных. За отсутствие данного регламента предусмотрен штраф по ст. 5.27 КоАП РФ: от 30 до 50 тыс. рублей.

Регламент работы с персональными данными должен включать в себя положения о том, как они обрабатываются, хранятся и используются.
В регламенте нужно указать, какие документы, содержащие персональные данные, требуют особой защиты.
Организации вправе передавать конфиденциальную информацию внутри своего юрлица, если такая процедура указана в политике.
Нужно составить перечень лиц, которые имеют доступ к персональным данным.

За несоблюдение правил политики нарушителя могут привлечь к ответственности: дисциплинарной, административной или уголовной.

Этап 2. Издать приказ о назначении ответственного лица

Ответственное лицо — это сотрудник, которого руководство наделяет правами по работе с персональными данными и управлению ими внутри организации (ч. 1 ст. 18.1 Закона 152-ФЗ, ч. 1 ст. 22.1 Закона 152-ФЗ).

Обычно такого сотрудника назначают из руководящего состава, например, заместителя директора или начальника службы безопасности. Выбрать могут также руководителя отдела IT, потому что он напрямую взаимодействует с конфиденциальной информацией в цифровом пространстве (автоматизированных системах).

Этап 3. Составить список лиц с правом доступа

В организациях есть сотрудники, которые по своей должности имеют дело с персональными данными. Например, специалисты HR, которые собирают резюме и контактные данные для собеседования с кандидатами или сотрудники бухгалтерии, которые получают копии паспорта, ИНН, СНИЛС и других документов для оформления нового сотрудника.

Такие лица должны быть наделены правом доступа, а также для них нужно прописать конкретные действия, которые они вправе совершать с персональными данными в рамках своей зоны ответственности (п. 6 ст. 88 ТК РФ).

Например:

бухгалтер, который оформляет больничный лист сотруднику;
секретарь, который покупает билет для работника по его паспорту, чтобы отправить в командировку.

Если лицо в организации наделено правом использовать персональные данные, то с ним подписывается документ о неразглашении конфиденциальных сведений. Персональные данны нельзя передавать третьим лицам и использовать в личных целях.

Этап 4. Обеспечить хранение данных

Один из способов хранения персональных данных — автоматизированные системы, которые должны защищать данные от утечки и обеспечивать их безопасность (приказ ФСТЭК от 18.02.2013 N 21).

Как автоматизированные системы защищают персональные данные:

предоставляют индивидуальный доступ отдельным сотрудникам организации только к той части цифровой базы, которая касается их функций;
применяют двухуровневый вход в систему по паролям;
регулярно обновляют пароли, например, один раз в месяц.

Как обеспечить безопасность персональных данных при неавтоматизированной обработке:

доступ к хранилищу физических носителей выдавать только уполномоченным сотрудникам, которые указаны в специальном списке;
место хранения должно находиться под сигнализацией и видеонаблюдением (при необходимости).

Под защитой должна находиться любая информация о физлице: анкета, трудовая книжка, диплом, копии удостоверений, паспорта, ИНН.

Этап 5. Получить согласие на использование данных

Согласие от человека, чьи данные организация планирует обрабатывать и использовать, помогает избежать штрафов.

Например, если данные физлица будут указаны на сайте компании, в социальных сетях, на визитных карточках, то лучше соблюдать осторожность и брать с человека согласие на распространение его персональных данных.

Этап 6. Уведомить Роскомнадзор

Компании должны отчитываться перед Роскомнадзором ещё до начала сбора и обработки персональных данных физлиц (ст. 22 Закона 152-ФЗ). Уведомление в Роскомнадзор направляется после подготовки необходимых документов.

Направить уведомление в Роскомнадзор можно одним из четырех способов:

отправить по почте бланк, предварительно его распечатав и заполнив;
принести лично уведомление в территориальное отделение Роскомнадзор;
воспользоваться формой отправки на сайте Роскомнадзора;
отправить через «Госуслуги» — для подтверждённых на портале организаций.

Роскомнадзор в течение 30 дней с даты направления уведомления добавит информацию о компании или ИП в реестр операторов (ч. 4 ст. 22 Закона 152-ФЗ).

Если в предоставленной информации произошли изменения, нужно сообщить об этом в Роскомнадзор не позднее 15 числа месяца, следующего за тем, в котором эти изменения произошли.

Какие документы нужны для работы с персональными данными

Для работы с персональными данными компаниям нужен стандартный комплект документов, о котором частично рассказано выше.

К этим документам относятся:

1. Положение об обработке персональных данных. Это основной документ, который определяет порядок работы с персональными данными для конкретных бизнесов и организаций с учётом их вида деятельности.

2. Политика обработки персональных данных. В законе 152-ФЗ с 1 марта 2024 года произошли изменения в части этого регламента: теперь компаниям стоит предусматривать новый вид обработки личных данных — распространение.

Примечание: распространение не стоит путать с передачей данных. Передача — это предоставление права использовать персональные данные конкретным лицам из списка сотрудников компании. А распространение — это предоставление информации широкой аудитории, и на такое распространение физлицо должно дать разрешение.

3. Приказ о назначении ответственного за обработку персональных данных. Документ необходим, чтобы наделить конкретного сотрудника правом работать с персональными данными других лиц. Например, когда компания расширяется и нанимает новых сотрудников в штат.

4. Обязательство о неразглашении персональных данных. Сотрудники, которые работают с информацией о других лицах, должны быть под подпись уведомлены о том, что они не имеют права распространять чужие персональные данные.

5. Регламент доступа сотрудников организации к персональным данным. Это локальный документ, который фиксирует правила работы с персональными данными внутри компании и регулирует доступ сотрудников к личной информации.

Это обязательные документы для компаний, чьи процессы связаны со сбором и обработкой данных.

Ответственность за несоблюдение закона о персональных данных 152-ФЗ

За несоблюдение законодательства в области персональных данных (ПД) предусмотрена административная ответственность в виде крупных штрафов для компаний, предпринимателей и должностных лиц (ст. 13.11 КоАП РФ).

Нарушение	Штаф накладываемый на организацию	Штаф накладываемый на ИП	Штаф накладываемый на ответственного (должностное лицо)
Персональные данные лица обрабатывались без его письменного согласия, когда такое согласие требовалось по закону	300‑700 тыс. руб. при повторном нарушении: 1‑1,5 млн руб.	500 тыс. руб. при повторном нарушении: 1 млн руб.	100‑300 тыс. руб. при повторном нарушении: 300‑500 тыс. руб.
Оператор нарушил правила публикации политики обработки персональных данных и доступа к этому регламенту.	30‑60 тыс. руб.	10‑20 тыс. руб.	6‑12 тыс. руб.
Оператор не предоставил лицу информацию, которая относится к обработке его ПД	40‑80 тыс. руб.	20‑30 тыс. руб.	8‑12 тыс. руб.
Оператор нарушил сроки, в которые должен был изменить, блокировать или удалить персональные данные по требованию владельца или контрольного органа	50‑90 тыс. руб. при повторном нарушении: 300‑500 тыс. руб.	20‑40 тыс. руб. при повторном нарушении: 50‑100 тыс. руб.	8‑20 тыс. руб. при повторном нарушении: 30‑50 тыс. руб.
Оператор нарушил требования об обработке ПД в неавтоматизированной форме, и это привело к незаконным манипуляциям с данными (хранение физических носителей и доступ к ним без разрешительных документов)	50‑100 тыс. руб.	20‑40 тыс. руб.	8‑20 тыс. руб.
Оператор (государственный или муниципальный орган) нарушил законодательство в области обезличивания ПД	—	—	6‑12 тыс. руб.
Оператор при сборе данных нарушил обязанность по обеспечению записи, систематизации, накоплению, хранению, уточнению или извлечению ПД граждан РФ с использованием баз данных, находящихся на территории РФ	1‑6 млн руб. при повторном нарушении: 6‑18 млн руб.	—	100‑200 тыс. руб. при повторном нарушении: 500‑800 тыс. руб.

Выводы

Организации и ИП, которые работают с людьми и собирают и обрабатывают персональные данные должны строить свою работу в соответствии с нормами закона 152-ФЗ.
Нужно уведомлять Роскомнадзор о работе с персональными данными, чтобы ведомство внесло сведения в реестр операторов.
Законодательство в области персональных данных меняется, поэтому важно отслеживать последние нововведения.
Штрафы в КоАП РФ предусмотрены не только для организаций и ИП, но и для должностных лиц, которые были уполномочены заниматься сбором и обработкой ПД.

В своих статьях мы используем только первоисточники: материалы и обзоры справочной правовой системы «КонсультантПлюс», информационно-правового портала«Гарант.Ру», а также материалы и обзоры сайтов ФНС России, Социальный фонд России, Банка России, официального канала Минтруда России, Федеральной службы судебных приставов, Новости с сайта kdelo.ru, Онлайн журнала «Главбух», сайта nalog-nalog.ru, сайта klerk.ru, сайта kontur.ru, сайта www.buhonline.ru, а также материалы и обзоры из их телеграм‑каналов.

Владельцам бизнеса

Штрафов и конфликтов с контролирующими организациями вы можете избежать полностью, если заключите с нами Договор на Аутсорсинг бухгалтерских услуг

ООО «Аврора Консалт» — команда аттестованных специалистов, которая готова взять на себя: бухгалтерский и налоговый учёт,кадровый учёт и расчёт заработной платы, воинский учёт, составление необходимых форм отчётности, ведение 1С, а также юридическую поддержку.

Мы обеспечим учёт в полном соответствии с законодательством РФ, защиту базы данных и предоставим страховку от штрафов.

В настоящее время ООО «Аврора Консалт» заключает договоры аутсорсинга бухгалтерских услуг с ООО, ИП, ТСЖ, ЖСК и СНТ зарегистрированными и ведущими свою деятельность на территории Санкт-Петербурга и Ленинградской области.

Отзывы о нашей компании вы можете прочитать на странице Отзывы и на соответствующих сервисах Google и Яндекса по ссылкам на странице Отзывов.

Для заключения договора проводится предварительная встреча в офисе вашей или нашей компании, по договорённости достигнутой накануне.

Все возникающие вопросы вы можете задать, связавшись с нами любым удобным для вас способом: позвонить по телефону (812) 209-02-00, воспользоваться альтернативными способами связи, например, мессенджерами:

или оставить заявку в чате.

Вы можете поделиться этой новостью с друзьями