С 30 мая весь бизнес в России под угрозой — Роскомнадзор вводит новые штрафы до 500 млн рублей за нарушения при работе с персональными данными. Под удар попадают все: от крупных сельхозорганизаций до ИП и самозанятых. Больше не получится игнорировать требования или отсидеться в тени — РКН ужесточает контроль, а санкции станут самыми жесткими за последние годы. Рассказываем, что нужно сделать прямо сейчас, чтобы не разориться на миллионных штрафах. 

 Какая информация относится к персональным данным

До вступления майских поправок осталось немного — пора разбираться в деталях. Начнем с основ: что вообще такое персональные данные (ПДн)? Это первый этап и уже на нем многие допускают ошибки, которые потом оборачиваются большими штрафами. 

Сомнения понятны, ведь даже в законе понятие персональных данных достаточно размыто, поэтому приходится опираться на разъяснения РКН и судебную практику. Учитывая все данные, можем четко сказать, что к ПДн относятся: 

• ФИО. Даже если Иванов Иван Иванович — имя неуникальное, его все равно считают персональной информацией. Закон не делает скидку на распространенность имени.
• Электронная почта. Часто содержит имя, фамилию, название компании — по ней можно идентифицировать человека, поэтому это тоже ПДн.

Другие сведения тоже могут относиться к личным данным, если находятся в связке. Например, место работы само по себе — еще не персональные данные, но место работы + ФИО — уже да.

Главное правило: если можно прямо или косвенно установить личность человека, значит вы имеете дело с персональными данными. 

Кто рискует получить штраф до 500 млн рублей в 2025 году

Риск попасть на миллионные штрафы за неправильную обработку персональных данных есть у всех компаний и ИП, которые выступают в качестве операторов ПД. С этим понятием тоже не все так однозначно — не сразу можно понять, относитесь ли вы к оператору ПДн или нет. 

На самом деле, вы становитесь оператором персданных в тот момент, как впервые начинаете обрабатывать такую информацию. Приведем несколько наглядных примеров. 

Пример 1. Вы открыли КФХ и работаете без сотрудников. Кажется, что вы не оператор персональных данных — но это не всегда так. Достаточно сохранить всего один e-mail клиента и вот вы уже становитесь оператором ПДн и должны регистрироваться в Роскомнадзоре.

Пример 2. Вы оказываете услуги в качестве самозанятого и направляете результат работы на e-mail, которые вам дают клиенты, а сами почтовые адреса храните в отдельной табличке. В этом случае вы также считаетесь оператором ПДн. 

Пример 3. Вы работаете в качестве фрилансера. У вас нет работников, поэтому вы не относите себя к операторам, но при этом у вас есть сайт, на котором обрабатываются cookies посетителей. Вы собираете данные о действиях пользователей, а они считаются персональными данными, поэтому вы тоже по закону будете оператором ПДн. 

Вы — оператор ПДн, если: 

• запрашиваете у клиентов ФИО, телефон, email;
• нанимаете на работу сотрудников и храните их данные; 
• размещаете формы сбора данных на сайте; 
• делаете рекламные email рассылки; 
• оформляете пропуска в офис; 
• публикуете на сайте фото клиентов и их отзывы с ФИО. 

Важно запомнить: компания, ИП, самозанятый становятся операторами персданных в тот момент, когда начинают работать с такой информацией. Даже одна сохраненная электронная почта означает, что на вас возлагаются обязанности оператора персональных данных. 

Какие штрафы вводит РКН для любого бизнеса с 30 мая 2025 года

С 30 мая вводится новая часть 10 статьи 13.11 КоАП, которая утверждает новые размеры штрафов для тех, кто не направил в РКН уведомление об обработке персональных данных. Обратите внимание, что направить уведомление нужно еще до того, как начнете работать с персданными. 

Предупреждений РКН больше рассылать не будет, штраф назначат сразу. Теперь наказание компаниям и ИП за неподанное уведомление составит от 100 000 до 300 000 рублей. 

Увеличатся размеры штрафов и при других нарушениях. Серьезные наказания грозят за утечку персональных данных — именно в этой сфере проблем больше всего. В инфополе постоянно разгораются новые скандалы об огромных базах персданных, которые были похищены у крупных корпораций и размещены в интернете в свободном доступе. 

Штрафами дело может не ограничиться. С декабря 2024 года в УК появилась новая статья 272.1 — за незаконный сбор, хранение и передачу персональных данных теперь грозит от 4 до 10 лет лишения свободы.  

Например, вы взяли на работу сотрудника с собственной клиентской базой. Если эта база была собрана с нарушением закона — ответственность может лечь и на него, и на вашу компанию. Лучше заранее обсудить это до приема на работу и объяснить новому сотруднику все риски. 

Как сельхозорганизации снизить риски в 2025 году: 

✅ Собирайте меньше данных. Зачастую предприятие запрашивает и хранит избыточные сведения. Например, дата рождения клиента при заключении договора чаще всего не нужна — значит, ее собирать не стоит. Храните только то, что действительно необходимо.

✅ Проведите ревизию баз данных. Обсудите с сотрудниками, какие данные они собирают и где их хранят. Часто на компьютерах можно найти забытые таблицы с ФИО и телефонами, которые когда-то создали для удобства работы и потом забыли про них. Найдите и удалите такие файлы.

✅ Утвердите приказом те базы, которые используете в работе. Это поможет ограничить хаотичный сбор информации, прекратить создание многочисленных баз персональных данных на компьютерах сотрудников. Также это решение позволит руководству отслеживать, кому и какая информация доступна. 

✅ Аудит раз в три месяца. Регулярно проверяйте работу с данными — своими силами или с помощью сторонней компании. Обновляйте документы, удаляйте лишнее, регулярно обучайте сотрудников.

Что сделать до 30 мая, чтобы защититься от штрафов

Подача уведомления в РКН — не просто формальность, а важный шаг, который позволит уберечь бизнес от больших штрафов. Но важно понимать: отправлять уведомление нужно уже в самом конце. Перед этим наведите порядок в документах и на сайте. 

1. Проверьте, есть ли ваша компания в реестре операторов ПДн. Перейдите по ссылке, введите ИНН или название компании. Если информации в реестре нет, значит нужно направить уведомление. 

2. Назначьте ответственного за работу с ПДн. Лучше, чтобы это был сотрудник, у которого есть доступ ко всем отделам компании и который в курсе внутренних процессов. Часто назначают бухгалтера, IT-специалиста или директора. Можно создать отдельную должность — например, специалист по работе с ПДн. Выбор утвердите приказом.

Часто назначают кадровика, но это не самый лучший вариант. Обычно он работает с персданными, которые нужны для кадрового учета, доступа к другим отделам у него, как правило, нет. 

3. Разработайте локальные нормативные акты. Как минимум понадобится политика обработки персональных данных и согласие на обработку. Распишите цели, категории, субъекты обработки данных — все это утвердите отдельными приказами. Эту документацию РКН может запрашивать и изучать при проверке.

4. Проверьте сайт на соответствие требованиям 152-ФЗ. РКН может сравнить информацию в уведомлении с тем, что размещено на сайте — данные должны совпадать. У Роскомнадзора уже есть инструменты для проверки сайтов, в том числе автоматические. Обязательно разместите политику об обработке ПДн и галочку-согласие на обработку ПДн, а также форму-согласие на использование файлов cookies.

5. Оцените риски и установите защиту. Проведите оценку потенциального вреда субъектам ПДн и внедрите технические меры защиты, например, антивирус или создание резервных копий. 

6. Обучите сотрудников. Четко разъясните, как работать с персданными, что можно и нельзя сохранять, что такое утечка данных, что делать при взломе базы. Ознакомьте персонал с документацией по персональным данным под подпись. 

7. Только после всех этих действий подавайте уведомление. 

Информация в уведомлении не должна противоречить вашим внутренним локальным нормативным актам — это ключевой момент. Поэтому сначала разработайте всю документацию, разместите на сайте, и только после этого направляйте уведомление. 

Если уведомление уже подавали — проверьте его актуальность. Могли измениться цели обработки, категории данных, система защиты. Если данные не актуальны — это тоже нарушение, за которое могут наказать. При любых изменениях нужно повторно направить уведомление. 

Также следует учесть, что сейчас действует новая форма уведомления. 

Как отправить форму уведомления в Роскомнадзор

Способы отправки уведомления

Прежде чем перейти к заполнению формы, выберите удобный способ её отправки на странице:

1. В бумажном виде. Заполненную форму потребуется распечатать и направить в территориальный орган по месту регистрации оператора.
2. В электронном виде с использованием усиленной квалифицированной электронной подписи. Заполненную форму потребуется подписать электронной подписью перед отправкой на сайте. Для создания и проверки подписи установите плагин «КриптоПро ЭЦП Browser plug-in» и настройте работу с ним.
3. В электронном виде с использованием средств аутентификации ЕСИА. Если у вас есть подтвержденная учетная запись на портале «Госуслуги», вы можете зайти в свой аккаунт на портале, заполнить форму и направить её в электронном виде.

Важно

Если вы подаете уведомление за организацию, ваша учетная запись должна быть привязана к данной организации на портале «Госуслуги». Рис 1.

Способы отправки формы уведомления

После выбора подходящего способа отобразятся поля формы для заполнения.

Рис 2.

Форма уведомления

Ссылка на это место страницы: #svedeniya

Регион регистрации и сведения об операторе

В поле «Регион регистрации» укажите субъект Российской Федерации, на территории которого зарегистрирована ваша организация в качестве юридического лица (ЮЛ), индивидуального предпринимателя (ИП) или самозанятого.

Продолжение мы опубликуем завтра, следите за нашими обновлениями!