Меня зовут Гусева Александра, я аналитик в компании RDN Group. Мы разрабатываем цифровые решения для бизнеса — от простых сайтов до масштабных корпоративных порталов и высоконагруженных личных кабинетов. И одна из ключевых задач, с которой мы регулярно сталкиваемся, — это соблюдение законодательства в области защиты персональных данных.
В 2025 году компании в России столкнулись с усилением ответственности за нарушения в сфере персональных данных. В декабре 2024 и мае 2025 года вступили в силу важные поправки в Уголовный и Административный кодексы. Теперь за нарушения в обработке ПДн грозят многомиллионные штрафы, а в некоторых случаях — реальный срок. Ниже расскажу, какие правила действуют, кто отвечает за их соблюдение и как организовать процессы безопасной обработки персональных данных.
Что считается персональными данными?
Персональные данные — это любая информация, прямо или косвенно относящаяся к конкретному человеку. В том числе:
-
ФИО, дата рождения, паспортные данные;
-
номер телефона, email, адрес проживания;
-
IP-адрес, история заказов, поведение на сайте;
-
любые данные, которые позволяют идентифицировать личность.
Если вы собираете данные через сайт, CRM, форму обратной связи или чат-бота — вы обрабатываете персональные данные и обязаны соблюдать закон.
1. Уголовная ответственность: кто и за что отвечает
С декабря 2024 года вступила в силу статья 272.1 УК РФ, введённая законом 421-ФЗ. Она предусматривает наказание за:
-
незаконное использование, передачу, сбор или хранение информации с ПДн;
-
получение данных через неправомерный доступ к ИС, вмешательство в работу системы или обход установленного порядка.
Даже если ущерб не наступил, факт незаконной обработки уже может быть основанием для уголовного преследования.
Кто отвечает:
-
физлица с 16 лет (включая сотрудников);
-
должностные лица, действующие от имени компании;
-
ИП, обрабатывающие ПДн самостоятельно.
Ответственность за деяния несет именно то лицо, которое фактически совершило незаконное действие, независимо от его должности.
Наказание:
-
штрафы до 1–3 млн рублей;
-
лишение свободы до 10 лет;
-
санкции жёстче при работе с детьми, биометрией или трансграничной передачей.
Примеры рисков:
-
копирование клиентской базы без согласия;
-
при передаче данных подрядчику не было оформлено поручение, и подрядчик использовал данные в своих интересах;
-
выгрузка базы на сторонний сервер без согласования.
2. Административная ответственность: штрафы и основания
С 30 мая 2025 года действует обновлённый КоАП (ФЗ 420-ФЗ). Он усиливает наказания за:
-
неуведомление Роскомнадзора о факте инцидента;
-
отсутствие оснований обработки перс. данных (согласия, договора);
-
утечки ПДн или несвоевременное информирование об инцидентах;
-
отсутствие локализации хранения данных в РФ.
Ответственность:
Ответственность за нарушения в области обработки персональных данных несет оператор персональных данных.
При наличии вины также может быть привлечено к ответственности должностное лицо (например, директор, руководитель подразделения ИТ или безопасности).
Размеры штрафов:
За утечку:
-
1–10 тыс. записей — до 5 млн руб.;
-
10–100 тыс. — до 10 млн руб.;
-
более 100 тыс. — до 15 млн руб.;
-
за повторную утечку — 1–3% от оборота (не менее 20 млн руб.);
-
За утечку специальных категорий данных или биометрических данных - до 20 млн руб.
За неуведомление Роскомнадзора об обработке персональных данных - до 300 тыс руб.
3. Как работать с персональными данными правильно
Основания обработки
Обработка ПДн допускается при наличии:
-
согласия субъекта;
-
исполнения договора;
-
исполнения обязательства по закону;
-
других оснований, прямо предусмотренных законом.
Если обработку данных не удаётся обосновать договором или обязанностью по закону — обязательно оформляется отдельное согласие.
Уведомление Роскомнадзора
Перед началом обработки нужно подать уведомление через личный кабинет РКН. В уведомлении указываются цели, категории субъектов, перечень данных, способы обработки, место хранения.
Локализация
Сбор, систематизация и хранение ПДн россиян должны вестись на территории РФ. Облака, подрядчики и ЦОДы — только с физическим размещением серверов в России.
Хранение и удаление
Хранить данные можно только до достижения цели. По завершении — обязателен процесс удаления.
Реестр обработки
Рекомендуется вести внутренний реестр процессов обработки ПДн: цели, категории, перечень, сроки, системы, основания.
Реестр помогает быстро ориентироваться в обработках, проверять соответствие требованиям закона и готовить документы для проверок.
Обучение сотрудников
Обязательное ежегодное обучение для всех, кто имеет доступ к ПДн. Ознакомление с локальными актами под роспись.
4. Работа с подрядчиками, облаками и хостингом
Поручения
Любая передача ПДн подрядчику требует оформления поручения, где указаны:
-
цели обработки;
-
перечень и действия с данными;
-
меры безопасности;
-
порядок удаления/возврата данных.
Проверка подрядчиков
Оператор должен убедиться, что подрядчик соблюдает меры ИБ: антивирус, разграничение доступа, шифрование, лицензии ФСТЭК/ФСБ (если нужно).
Ответственность оператора
Даже если утечка произошла по вине подрядчика, ответственность перед субъектами данных и Роскомнадзором несет именно оператор персональных данных.
Трансграничная передача
Необходимо уведомить РКН. Передавать данные можно только в страны, обеспечивающие адекватную защиту прав субъектов данных (перечень утвержден Роскомнадзором). При передаче в страны, не обеспечивающие адекватную защиту прав субъектов данных, необходимо получить разрешение Роскомнадзора.
5. Как организовать сбор согласий
Согласие обязательно при отсутствии основания на договоре или законе. Необходимо:
-
указать цели, перечень, действия, срок хранения;
-
получить волеизъявление (чекбокс, кнопка);
-
хранить доказательство получения.
В CRM-формах Битрикс24 согласие автоматически логируется (IP, текст, факт подтверждения).
На сайте:
-
использовать отдельный чекбокс;
-
не устанавливать его по умолчанию;
-
не путать с согласием на “политику”.
Cookie:
-
отдельное уведомление и согласие на обработку ПДн, если идентификаторы собираются через cookie.
6. Реагирование на инциденты и предотвращение утечек
Профилактика
-
назначить ответственного за ИБ;
-
разработать политику, положение и план реагирования;
-
ограничить доступ к перс. данным (Need-to-Know);
-
вести аудит и журналы действий;
-
использовать шифрование, фаерволы, антивирус, резервное копирование.
Реестр обработки
Рекомендуется вести реестр. Он позволяет быстрее выявить пострадавшие процессы и источники утечки.
При инциденте:
-
Зафиксировать факт. Определить: какие данные, в каком объеме и каким способом стали доступны.
-
В течение 24 часов — уведомить РКН.
-
В течение 72 часов — направить результаты расследования.
-
Устранить причины, зафиксировать действия.
-
При необходимости — уведомить субъектов данных.
7. Что должно быть на сайте
Политика обработки ПДн:
-
доступна на каждой странице, где осуществляется сбор данных;
-
рекомендуется размещать в футере и рядом с формами.
Политика должна содержать:
-
Цели обработки персональных данных.
-
Перечень обрабатываемых данных.
-
Категории субъектов данных.
-
Способы обработки персональных данных.
-
Сроки хранения данных.
-
Порядок уничтожения данных.
-
Сведения о реализуемых мерах защиты персональных данных.
Политика обработки ПДн публикуется для информационных целей. Нельзя требовать «согласие с политикой» — согласие нужно получать отдельно на саму обработку данных.
Форма согласия:
-
отдельный чекбокс без предустановленной галочки;
-
не объединяется с пользовательским соглашением.
Cookie:
Ссылка на политику:
-
баннер с категоризацией целей, кнопкой согласия, ссылкой на политику.
Иностранные сервисы аналитики:
-
не рекомендуется использовать (Google Analytics, Meta Pixel), так как данные передаются напрямую на иностранные серверы без локализации в России.
Вывод
Соблюдение закона о персональных данных в 2025 году — это не просто формальность, а критически важная часть бизнес-процессов. Игнорирование требований может обернуться многомиллионными штрафами или даже уголовной ответственностью. Правильная организация обработки, документирование, локализация, обучение и техническая защита — ключевые меры для защиты вашей компании.
Чтобы минимизировать риски и убедиться, что ваша компания соответствует требованиям законодательства, воспользуйтесь кратким чек-листом:
Чек-лист по защите персональных данных:
- Анализ и реестр
─ Провести аудит процессов обработки ПДн
─ Вести внутренний реестр целей, данных и сроков хранения
- Правовые основания
─ Проверить наличие договоров, согласий или иных оснований
─ Отдельно проверить биометрию и трансграничную передачу
- Уведомление Роскомнадзора
─ Подать уведомление до начала обработки
─ Обновлять при изменениях
- Работа с подрядчиками
─ Оформить поручение на обработку
─ Проверить меры защиты и локализацию
- Локализация данных
─ Обеспечить хранение ПДн на территории РФ
- Техническая защита
─ Ограничить доступ, шифровать данные
─ Обновлять ПО и использовать антивирусы
- Согласия и права субъектов
─ Настроить сбор согласий через формы
─ Отвечать на запросы и удалять данные по требованию
- Сайт и cookie
─ Разместить политику ПДн и cookie-баннер
─ Не использовать иностранные трекеры без уведомлений
- Реагирование на инциденты
─ Уведомлять Роскомнадзор в течение 24 часов об утечке данных
─ При необходимости — информировать субъектов
- Обучение и контроль
─ Обучать сотрудников ежегодно
─ Проводить внутренние проверки и аудит ИБ
«Компании, которые осознанно подходят к обработке персональных данных, снижают не только юридические, но и репутационные риски» - Ольга Марковская, руководитель проектов RDN Group.
