Утечка персональных данных может обернуться для компании миллионами рублей штрафов, проверками Роскомнадзора и потерей репутации, которую не вернуть годами. Разберемся, как защитить бизнес от разрушительных последствий и привести работу с данными в полное соответствие с 152-ФЗ. Ниже вы также найдёте шаблоны документов для работы с персональными данными.
Персональные данные регламентируются Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ, согласно которому:

"Персональные данные - это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных)."
Простыми словами: это сведения о человеке, по которым его можно узнать. К ним относятся:
  • ФИО, дата рождения, адрес проживания
  • Паспорт, СНИЛС, ИНН
  • Электронная почта, номер телефона, данные банковской карты
  • Фото, запись голоса, отпечаток пальца (биометрические персональные данные)
  • Геолокация, IP - адрес.
И это не исчерпывающий перечень.

"Оператор персональных данных - государственный муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки, состав данных и действия с ними".
Простыми словами - это тот, кто собирает персональные данные и организовывает их дальнейшую обработку, решает, зачем и какие персональные данные будут обрабатываться, и отвечает за сам процесс. Например:
  • Интернет-магазин, который собирает данные покупателей для доставки товаров. Кстати, даже размер одежды является персональными данными.
  • Медицинская клиника, ведущая историю болезни пациентов
  • Школа, хранящая личные дела учеников
  • Отдел кадров любой организации, т.к. обрабатывает персональные данные работников.

"Субъект персональных данных - физическое лицо, к которому относятся персональные данные".
Простыми словами: сам человек, чьи данные собираются, хранятся, используются и передаются. Например:
  • Клиент банка, заполнивший анкету
  • Сотрудник компании, чьи паспортные данные внесены в кадровые документы
  • Посетитель сайта, который оставил свой e-mail для рассылки.

Действия по работе с персональными данными

Согласно 152-ФЗ к действиям, которые осуществляет оператор персональных данные относится следующее:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уничтожение;
- извлечение;
- передача и распространение;
- доступ;
- обезличивание;
- блокирование;
- удаление;
- уничтожение.

Как оператору себя обезопасить

Закон не устанавливает конкретное название и количество локально-нормативных актов по работе с персональными данными. Главное — чтобы в них были отражены:
  • 1. Цели обработки и соответствующие категории и перечень персональных данных.
    2. Список документов, содержащих персональные данные.
    3. Перечень должностей с допуском к персональным данным и описанием полномочий.
    4. Категории субъектов (сотрудники, родственники, клиенты, контрагенты).
    5. Способы и сроки обработки (отдельно для бумажных и электронных носителей), с учётом требований Роскомнадзора.
    6. Порядок хранения и уничтожения персональных данных.
    7. Меры предотвращения, выявления и устранения нарушений.

    Политика по персональных данных должна быть доступна на каждой странице сайта, где собираются данные.
    В локально-нормативных актах детально описываются все процессы, осуществляемые с персональными данными в организации.
    Возможно два подхода:
    • Единая Политика с принципами и категориями персональных данных.
    Положение о защите персональных данных с подробными перечнями, порядком действий и инструкциями для каждой должности.

    Все локально-нормативные доводятся до сотрудников под подпись (бумажно или ЭЦП) и размещаются в открытом доступе — например, на сайте компании. В договорах с клиентами рекомендуем делать ссылку на Положение о защите персональных данных.

Положение о защите персональных данных

Положение о защите персональных данных — обязательный локальный нормативный акт, который определяет порядок обработки, хранения и использования персональных данных (ПД) работников. Его отсутствие может привести к административной ответственности как организации, так и её руководителя.
Унифицированной формы нет, поэтому документ разрабатывается и утверждается индивидуально.

Основные разделы Положения

1. Состав персональных данных
Перечисляются документы и сведения, содержащие персональные данные. Рекомендуется оформлять согласие на обработку персональных данных даже в случаях, когда это не обязательно по закону.
2. Порядок обработки
Определяются действия с персональными данными (сбор, накопление, систематизация, хранение, использование, удаление и уничтожение) и условия, при которых они допустимы.
3. Передача данных
Прописываются правила передачи персональных данных внутри организации и третьим лицам, а также порядок получения данных от них.
4. Хранение
Указывается, где и как хранятся персональные данные. Например, персональные данные клиентов могут храниться в отделе продаж; персональные данные сотрудников - в отделе кадров или бухгалтерии, на бумажных и/или электронных носителях.
5. Доступ
Определяется круг лиц, имеющих доступ к персональным данным — например, руководитель, сотрудники бухгалтерии, отдела кадров и непосредственные руководители, менеджеры.

Грамотно составленное Положение помогает защитить интересы людей и снизить риски для работодателя.

Шаблоны документов для работы
с персональными данными

Примерный перечень локальных нормативных актов и типовых форм документов, применяемых операторами для регламентации организации работы по защите персональных данных представлен Постановлением Правительства РФ от 21.03.2012 №211
  1. Приказ о назначении ответственного за организацию обработки персональных данных
  2. Положение о персональных данных, включающее в себя информацию о составе, порядке и целях обработки персональных данных, порядке организации к их доступу и хранению, права и обязанности работников, осуществляющих действия с персональными данными, ответственность за нарушение правил при работе с ними.
  3. Политика организации о отношении обработки персональных данных, включающая цели сбора, правовые основания обработки, объем и категории, порядок и условия обработки и иные действия, осуществляемые с персональными данными.
  4. Приказ об утверждении списка лиц, имеющих доступ к персональным данным.
  5. Обязательство должностного лица о неразглашении персональных данных.
  6. Перечень обрабатываемых персональных данных.
  7. Согласие на обработку персональных данных.
  8. Согласие на обработку биометрических персональных данных.
  9. Согласие на передачу информации третьим лицам. Например, администратор клиники передает информацию о пациенте лечащему врачу, главному врачу, ассистенту.
  10. Разъяснения субъекту персональных данных юридических последствий отказа от предоставления оператору информации.

Сайт компании и персональные данные пользователей

Изменения в законодательстве о персональных данных
1. Уведомление Роскомнадзора (далее - РКН)
• Регистрация в РКН обязательна для всех, кто собирает персональные данные (компании, ИП, самозанятые).
• Теперь уведомлять нужно до начала обработки и дождаться разрешения.
• Сообщать РКН также о смене реквизитов, перечня или способов сбора, случаях утечки персональных данных.
Это можно делать электронно на сайте Роскомнадзора.
2. Ответственность и штрафы
За отсутствие регистрации:
• Юрлица — 300 тыс.–1 млн руб.
• Должностные лица — 50–100 тыс. руб.
• ИП — 10–30 тыс. руб.
За неподачу уведомления:
• Граждане — 5–10 тыс. руб.
• Должностные лица — 30–50 тыс. руб.
• Организации — 100–300 тыс. руб.
• Возможна приостановка деятельности.
3. Понятие базы данных
Любой организованный сбор персональных данных с помощью сервисов SQL, NoSQL, Excel, CSV или даже бумажная таблица.
4. Локализация и трансфер данных
• Хранение и обработка персональных данных возможны только на территории РФ.
• Передача за границу возможна только с разрешения РКН.
• Передача персональных данных между операторами возможна только внутри страны.

Файлы cookie и требования 152-ФЗ

Что такое cookie
Cookie — небольшие текстовые файлы, которые сайты сохраняют на устройстве пользователя.
Назначение: аутентификация, персонализация, аналитика, реклама, корзина покупок. Бывают сеансовые (удаляются при закрытии браузера) и постоянные (хранятся дольше).

Когда cookie = персональные данные
Если содержат уникальные идентификаторы (IP, user ID), они подпадают под 152-ФЗ. Под регулирование попадают:
• Аналитические cookie (Google Analytics, Яндекс.Метрика).
• Рекламные cookie (Facebook Pixel, VK Pixel).

Что требуется
• Получить согласие пользователя через cookie-баннер при первом визите.
• Дать выбор: согласие или отказ, категории cookie (аналитические, рекламные, технические).
• Согласие — только активное, не «по умолчанию».

Локализация и трансграничная передача
• Хранить cookie с ПД граждан РФ на серверах в России.
• Передача данных за границу. Например, передача в Google Analytics считается трансграничной передачей и требует уведомления и разрешения РКН.
• В политике конфиденциальности указать: какие данные передаются, цели, основание обработки.

Рекомендации владельцам сайтов
• Настройте cookie-баннер с выбором категорий и возможностью отказа.
• Храните файлы на российских серверах.
• Уведомляйте РКН при использовании зарубежных сервисов.
• Обновите политику конфиденциальности.
• Передавайте cookie только по HTTPS.

Ответственность за утечку персональных данных

Когда наступает ответственность:
• Несообщение в РКН об утечке в течение 24 часов.
• Передача данных без согласия субъекта.
• Халатность или отсутствие мер защиты.
• Нарушения подрядчика (ответственность несёт заказчик).

Новые штрафы с 30.05.2025 (закон №420-ФЗ) "О внесении изменений в Кодекс РФ об административных правонарушениях":
• 1–10 тыс. пострадавших: физлица — 100–200 тыс., должностные — 200–400 тыс., компании — 3–5 млн.
• 10–100 тыс.: физлица — 200–300 тыс., должностные — 300–500 тыс., компании — 5–10 млн.
• 100 тыс.+: должностные — 400–600 тыс., компании — 10–15 млн.
• Повторная утечка: до 3% годового дохода, но не менее 20 млн (макс. 500 млн).

Биометрические данные:
• Физлица — 400–500 тыс., должностные — 1,3–1,5 млн, компании — 15–20 млн.
• Повторно — от 25 млн до 500 млн.

Уголовная ответственность (с 11.12.2024, закон №421-ФЗ):
• Штраф до 300 тыс., работы до 4 лет, лишение свободы до 4 лет.
• За данные несовершеннолетних или биометрию — до 700 тыс. или 5 лет.
• За передачу за рубеж — до 2 млн или 8 лет лишения свободы.
Есть вопросы?
Нужна консультация или помощь в подготовке документов?
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с Политикой в отношении обработки персональных данных

Реквизиты

Общество с ограниченной ответственностью "Эксперт Групп"

ИНН 7729780640

КПП 772901001

ОГРН 1147746970381

119454, г. Москва, ул. Лобачевского, д. 74, кв. 9