С 30 мая 2025 года ИП, юр.лица и даже самозанятые могут быть оштрафованы на сумму до 300.000 рублей.... Если не подадут уведомление в РКН.

Но обо всём по порядку.

О законе 152-ФЗ

Федеральный закон от 27.07.2006 №152-ФЗ "О персональных данных" регулирует сбор, хранение, обработку и защиту персональных данных в России. Закон обязывает всех операторов ПДн – юридических лиц, ИП и самозанятых – соблюдать права субъектов данных и обеспечивать их конфиденциальность.

К субъектам данных могут относиться: сотрудники и кандидаты на работу, контрагенты, клиенты, члены общественных объединений и религиозных организаций, посетители для однократного пропуска на территорию компании, любые лица, чьи ФИО получены организацией.

Ключевые понятия:

• Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
• Персональные данные (ПДн) – любая информация, прямо или косвенно относящаяся к физическому лицу (ФИО, паспортные данные, email, телефон, биометрические данные и т.д.).
• Специальные категории ПДн – данные о национальности, религии, состояния здоровья, политических взглядах и т.п. Их обработка запрещена без явного согласия субъекта, за исключением случаев, предусмотренных законом (например, защита жизни).
• Обезличенные данные – информация, которая не позволяет идентифицировать субъекта без дополнительных сведений.

Подробнее о видах персональных данных рассказали в этой статье.

Обязанности операторов персональных данных

Закон обязывает операторов персональных данных уведомлять об обработке персональных данных субъекта, получать его письменное разрешение, корректно собирать и хранить данные, а также уведомлять об уничтожении персональных данных при прекращении отношений.

Изучить требования к работе с персональными данными можно непосредственно в Федеральном законе от 27.07.2006 №152-ФЗ "О персональных данных". Но на подаче уведомления остановимся подробнее.

Все организации и ИП, обрабатывающие персональные данные, должны уведомить Роскомнадзор о начале деятельности по обработке персональных данных. Для этого необходимо:

• Заполнить форму уведомления (утверждена приказом Роскомнадзора №180 от 28.10.2022)

• Отправить документ через сайт Роскомнадзора, портал Госуслуг или почтой в территориальный орган.

• После проверки (в течение 30 дней) организация вносится в реестр операторов ПДн.

Уведомление обеспечивает прозрачность деятельности по обработке персональных данных и подтверждает, что оператор осведомлен о своей ответственности по их защите.

Есть исключения

Согласно ст. 22 ч. 2 152-ФЗ, осуществлять обработку персональных данных без уведомления уполномоченного органа можно только в 3 случаях:

• организация включена в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка (пп. 7, п. 2, ст. 22);

• оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации (пп. 8, п. 2, ст. 22);

• организация работает в сфере транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса (пп. 9, п. 2, ст. 22).

Санкции за нарушения в области обработки персональных данных в 2025 году

С 30 мая 2025 года вступают в силу поправки, ужесточающие ответственность за нарушения:

Штрафы за несвоевременную подачу уведомления в Роскомнадзор:

• Для физлиц: 5-10 тыс. рублей;

• Для должностных лиц: 30-50 тыс. рублей;

• Для организаций и ИП: 100-300 тыс. рублей.

Штрафы за утечку данных для организаций и ИП:

За передачу данных 1-10 тыс. человек –  3-5 млн рублей  От 10 до 100 тыс. человек – 5-10 млн рублей. Повторные нарушения могут привести к штрафам в размере 1–3% годовой выручки.

За утечку биометрических данных: 15-20 млн руб. Минимальный штраф за повторное нарушение составит 25 млн, максимальный – 500 млн.

Также компании обязаны уведомлять Роскомнадзор о фактах утечки данных в течение 24 часов.

Уголовная ответственность

Помимо административных штрафов, с 11 декабря 2024 года введена уголовная ответственность по ст. 272.1 УК РФ за незаконный сбор, передачу, хранение и распространение ПДн, включая лишение свободы до 5 лет.

Как подготовиться к подаче уведомления

Чтобы РКН принял уведомление, перед его сдачей нужно провести подготовительную работу:

1. Назначить ответственного за организацию обработки и защиту персональных данных. Для организаций важно указать, кто будет отвечать за вопросы работы с ПДн (подготовить приказ о назначении, должностную инструкцию).

2. Проанализировать деятельность организации или ИП. Нужно определить, какие категории персональных данных обрабатываются (ФИО, адрес, телефон, паспортные данные, биометрия, специальные категории и т.д.), каковы цели их обработки, сроки хранения, способы и источники получения.

3. Определить правовые основания и разработать политику в области обработки персональных данных и другие необходимые документы.

4. Разместить политику о работе с ПДн на сайте, проверить, какие данные собираются, есть ли на сайте формы согласия на обработку и метрические программы.

5. Продумать и реализовать технические и организационные меры защиты данных. Это могут быть пароли, антивирусы, регламенты доступа, обучение сотрудников. Данная информация отражается в уведомлении.

6. Соберите сведения по всем внешним сервисам, где вы размещаете персональные данные (к примеру, электронная отчетность или облачные хранилища): укажите наименование сервиса, организацию-владельца, местоположение серверов и другие фактические данные. 

Какие документы по персональным данным должны быть у организации в 2025 году

Скажем сразу, чтобы вы не испугались количества пунктов в списке: составлять все документы вручную не нужно – для этого существуют сервисы автоматизации. Об этом расскажем в конце статьи.

Минимальный набор документов по ПДн:

• Политика обработки персональных данных

• Положение об обработке и защите персональных данных

• Приказ о назначении ответственного за организацию обработки персональных данных

• Соглашение о неразглашении информации, содержащей персональные данные

• Согласие на обработку персональных данных, разрешенных субъектом для распространения

Примерный перечень документов в 2025 году:

• Перечень форм, содержащих персональные данные

• Информированное согласие пользователя сайта

• Последствия отказа предоставить персональные данные

• Правила рассмотрения запросов субъектов персональных данных

• Правила осуществления внутреннего контроля

• Модель угроз безопасности

• Договор поручения на обработку персональных данных

• Приказ о назначении ответственного за безопасность персональных данных

• Приказ о хранении бумажных носителей персональных данных

• Приказ об утверждении перечня персональных данных

• Приказ о допуске к обработке персональных данных

• Приказ об утверждении перечня ИСПДн

• Приказ об определении контролируемой территории

• Инструкция ответственного за организацию обработки персональных данных

• Инструкция ответственного за обеспечение безопасности персональных данных

• Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн

• Инструкция по проведению инструктажа, допущенных к работе в ИСПДн

• Инструкция пользователя ИСПДн

• Инструкция по учету и хранению съемных носителей

• Инструкция по резервному копированию и восстановлению

• Инструкция по организации антивирусной защиты в ИСПДн

• Инструкция пользователя при возникновении нештатной ситуации

• Журнал учета запросов субъектов персональных данных

• Журнал учета съемных носителей, содержащих персональные данные

• Журнал учета прохождения первичного инструктажа работниками

• Журнал регистрации нарушения и восстановления работоспособности

• Журнал учета прав доступа к ИСПДн

• Журнал учета средств защиты информации

• Журнал учета проверок контролирующими органами

• Форма запроса о наличии и ознакомлении с персональными данными

• Форма запроса на уточнение персональных данных

• Форма запроса на уничтожение персональных данных

• Форма запроса на блокирование персональных данных

• Форма запроса с отзывом согласия на обработку персональных данных

• Форма уведомления об устранении неправомерных действий с персональными данными

• Форма уведомления об отказе внесения изменений в персональные данные субъекта

• Форма уведомления органа по защите прав субъектов персональных данных

• Акт определения уровня защищенности персональных данных

• Акт оценки потенциального вреда субъектам персональных данных

• Акт об уничтожении персональных данных

• Комплект документов по применению СКЗИ

Сервис 152DOC от 1С поможет в подготовке документов

Сервис 152DOC — удобный и интуитивно понятный конструктор документов, который позволяет организациям создавать организационно-распорядительные документы в рамках 152-ФЗ.

С его помощью вы можете создавать, хранить и редактировать организационно-распорядительные документы по защите персональных данных и эксплуатации средств криптографической защиты информации в соответствии с законодательством РФ оперативно и без ошибок.

Сервис предлагает поэтапное заполнение необходимых сведений об организации, в том числе автоматическое заполнение из ЕГРЮЛ, готовые шаблоны и автоматизированные подсказки, которые существенно снижают риск ошибок и сокращают время на оформление.

Документы хранятся в электронном виде, доступны для редактирования и обновления.

Тарифы:

• Расширенный (25 000 ₽/год)*:
  Подготовка полного комплекта документов, генерация уведомлений в Роскомнадзор, режим работы Единого окна – все документы в одном месте, доступ к видеоурокам.
• Эксперт (40 000 ₽/год)*:
  Дополнительные опции: помощь в первичном заполнении документов, телефонные консультации, расширенная поддержка.

Получить консультацию по тарифу

Использование 152DOC позволяет минимизировать юридические риски и быть уверенным в том, что все требования закона по защите персональных данных соблюдены.

*указанные цены действительны на дату 23.05.2025