Охота на риск: как нарушения с персональными данными становятся угрозой для бизнеса

Большинство компаний уверены, что у них «всё нормально»: политика на сайте есть, чекбокс согласия стоит, подрядчики помогают, облако «безопасное». Но в 2025 году такие привычные решения начинают конфликтовать с реальностью: требования к согласию ужесточаются, иностранная инфраструктура становится токсичной, а цепочка подрядчиков превращается в главную точку утечки. Этот материал помогает увидеть риски не списком ошибок, а системой: документы, технологии, управление, содержание данных и понять, что исправлять в первую очередь, чтобы не попасть под проверку и штрафы

Почему 2025 год стал переломным для работы с персональными данными

Три события произошли почти одновременно и создали совершенно новую реальность для организаторов мероприятий.

Уголовная ответственность. С 2024 года за утечку персональных данных грозит не штраф, а тюрьма. Введена статья 272.1 УК РФ за незаконное использование и передачу персональных данных предусмотрено наказание до 4 лет лишения свободы (до 5–6 лет для биометрических данных и данных несовершеннолетних).

Международная интеграция. Россия присоединилась к Конвенции ООН против киберпреступности (подписана в конце октября 2025 г. в Ханое). Это первый за 20 лет юридически обязывающий глобальный договор, устанавливающий единые стандарты сохранения электронных доказательств и трансграничного обмена информацией.

Результат: в едином информационном поле произошли три волны изменений законодательства (2023, 2024, 2025), но большинство организаций продолжают работать с устаревшими политиками или с документами, скопированными с других сайтов без адаптации к реальным процессам.

Это создаёт идеальный шторм: бизнесы собирают и хранят данные тысяч, а местами и миллионов людей, имея при этом документы, которые не соответствуют текущему законодательству, и технические системы, которые нарушают федеральный закон.

Три типа компаний и их подход к защите данных

Прежде чем детально разбирать нарушения, стоит понять, почему их допускают. Дальше разберу на примерах из событийной индустрии, где огромное число компаний разного размера и с конгломератом подрядчиков, и где обработка персональных данных — одна из краеугольных составляющих бизнеса. Глобально всех можно поделить на три категории.

«Озабоченные»– понимают, что проблема есть, но видят её как чисто техническую (нужно отметиться в базе Роскомнадзора и обновить политику), а не системную. Назначают ответственного, но не дают ему полномочий. Обновляют политику ПДн, но не обучают сотрудников. Переносят данные на российский сервер, но забывают про договоры на обработку данных с подрядчиками и необходимости отдельных согласий на это.

«Профессионалы» — интегрировали защиту данных в процессы, ведут аудиты, обучают команды, проверяют подрядчиков, документируют всё. Они платят больше на организацию, но экономят на штрафах и судах.

Архитектура нарушений: четыре слоя риска

Вместо списка ошибок полезнее рассмотреть, как нарушения в области защиты данных строятся в реальности. Они образуют четыре слоя, часто пересекающихся:

Слой 1: Нарушения в документах (основание пирамиды риска). Здесь находятся все проблемы с политиками, согласиями и уведомлениями. Это основание пирамиды, потому что:

• они наиболее очевидны при проверке Роскомнадзора и легко проверяются без участия человека;
• их легче всего исправить;
• но они же чаще всего игнорируются.

Политика обработки ПДн — документ, который вас спасает или осуждает и должна быть актуальной и доступной для скачивания.

Политика должна содержать:

1. Какие именно данные вы собираете (максимальная детализация: номер мобильного телефона, адрес электронной почты, регион проживания и т.п.).
2. Для каких целей (регистрация, отправка программы, рассылка на протяжении 1 года, передача спонсорам, аналитика посещаемости, приём на работу).
3. Сроки хранения (не «до удаления участником», а «1 год с момента окончания мероприятия, затем удаляются» или «до достижения целей обработки»).
4. Кто получит доступ (маркетинговое агентство, платформа видеотрансляции, служба логистики — нужны точные названия).
5. Как люди могут отозвать согласие (адрес электронной почты, телефон, процедура).

Типичная ошибка — на сайте висит политика от 2021 года. Она может быть правильной для того времени, но сегодня в ней не отражены новые требования.

Финансовые последствия с 30 мая 2025: штраф за отсутствие или несоответствие политики действующему закону — 30 000–60 000 рублей для организаций (по КоАП РФ ч. 3 ст. 13.11).

Согласие на обработку — самый критический документ с 1 сентября 2025 года. С этой даты согласие должно быть отдельным документом (не встроено в договор, не часть пользовательского соглашения).

Новые требования:

1. Согласие должно быть отдельным документом.
2. Согласие должно быть активным (не предзаполненная галочка, а клик).
3. В согласии должна быть полная информация о целях, категориях данных, сроках, операторах.

Согласие — это главное, что различает законную обработку данных от незаконной.

Финансовые последствия: штраф за нарушение правил согласия — 300 000–700 000 рублей при первом выявлении (ч. 2 ст. 13.11), до 1 млн–1,5 млн рублей при повторном (по ч. 2.1).

Уведомление Роскомнадзора и актуализация сведений в реестре — обязанность, которую половина организаторов забывает. Все юридические лица, а также ИП и самозанятые, обрабатывающие персональные данные граждан РФ, должны уведомить Роскомнадзор о начале обработки и поддерживать актуальность сведений в реестре. Уведомление подаётся через Портал персональных данных Роскомнадзора.

Типичные ошибки:

1. Забыли вообще подать уведомление.
2. Подали уведомление неправильно.
3. Не обновили информацию, когда добавили нового подрядчика, работающего с персональными данными или поменяли ответственного в компании.

Финансовые последствия: штраф за отсутствие уведомления — 100 000–300 000 рублей для организаций (ч. 10 ст. 13.11).

Самая радикальная перемена — запрет на иностранные серверы с 1 июля 2025 года, закреплённый в актуальной редакции Федерального закона №152‑ФЗ.

Запрещено:

1. Использовать Google Forms и зарубежные сервисы для регистрации.
2. Отправлять приглашение в Zoom, иностранные мессенджеры и другие инструменты с первичным сбором ПДн через них.
3. Использовать зарубежные облака (Google Drive, Dropbox и др.), SaaS‑сервисы и хостинги для хранения ПДн.
4. Интегрировать CRM c сервисами с иностранными серверами, например для регистрации.

Финансовые последствия:

1. За трансграничную передачу ПДн без разрешения: 1–6 млн рублей (ч. 8 ст. 13.11).
2. За повторное нарушение: 6–18 млн рублей.

Также последствием может стать и блокировка сайта. Техническое слабое место — подрядчики и интеграции.

Половина организаторов работает с внешними разработчиками (системы регистрации, видеотрансляция, маркетинговое агентство, платежи, логистика). Каждый получает доступ к данным. Главный вопрос: зарегистрирован ли каждый из них как оператор персональных данных в реестре Роскомнадзора?

Если подрядчик не зарегистрирован, передача ему данных квалифицируется как утечка.

Финансовые последствия утечки (ч. 12–16 ст. 13.11):

1. За утечку 1 000–10 000 записей: 3–5 млн рублей.
2. За утечку 10 000–100 000 записей: 5–10 млн рублей.
3. За утечку 100 000+ записей: 10–15 млн рублей.
4. За повторную утечку: 1–3% от годовой выручки (минимум 20 млн, максимум 500 млн рублей).

Плюс уголовная ответственность до 4 лет лишения свободы.

Слой 3: Организационные нарушения (управление и контроль). Даже при правильных документах и инфраструктуре компания может нарушать требования через отсутствие управления процессами.

Нет ответственного лица — нет системы. Закон требует:

1. Издать приказ.
2. Прямое подчинение первому лицу организации.
3. Делегирование реальных полномочий.
4. Обучение.

А стабильность бизнеса требует ещё один пункт: «Отслеживание изменений законодательства и обновление стандартов работы».

Что нужно вести обязательно:

1. Журнал доступа к базе данных.
2. Реестр всех подрядчиков, которым передаются данные.
3. Реестр согласий (с датами, подписями, копиями).
4. Процедуры удаления данных.
5. Процедуры реагирования на утечки.

Отсутствие документации используется как доказательство неисполнения требований при расчёте штрафа.

Слой 4: Содержательные нарушения (что вы собираете и как используете). Избыточный сбор- принцип 2025 года: «Собирайте только то, что используется».

Типичные лишние поля (могут не входить в минимально достаточные для декларируемой цели обработки): семейное положение, доход, место рождения, история работы, информация о детях, возраст или дата рождения.

Финансовые последствия: штраф — 150 000–300 000 рублей, но это часто становится основанием для более масштабной проверки всей организации.

Биометрические данные и данные специальных категорий — новая граница риска. В 2025 году все действия с биометрией требуют отдельного согласия (по актуальной редакции 152‑ФЗ):

1. Системы распознавания лиц, радужки глаза, отпечатков пальцев и рисунка вен для контроля доступа.
2. Видеоматериалы с участниками для аналитики.
3. Фотографии для идентификации.
4. Образцы почерка и записи походки.

Финансовые риски:

1. За утечку данных специальной категории: 10–15 млн рублей.
2. За утечку биометрических данных: 15–20 млн рублей (даже одного человека).
3. При повторной утечке биометрических данных — 1–3% от годовой выручки (минимум 25 млн, максимум 500 млн рублей).
4. Уголовная ответственность до 5–6 лет лишения свободы.

Международная передача — слепое пятно в соответствии законодательству. С присоединением России к Конвенции ООН против киберпреступности (подписана в конце октября 2025 г.) вероятно ожидать появления в законодательстве:

1. Права на доступ к электронным доказательствам при расследовании.
2. Требований к сохранению логов и резервных копий.
3. Стандартов трансграничной передачи данных.

И, конечно же, уже сейчас при трансграничной передаче ПДн весь процесс должен быть описан в документах, юридически обеспечивающих защиту этих данных каждой из сторон. А также о трансграничной передаче ПДн следует уведомить Роскомнадзор, а в некоторых случаях и регулятора в стране передачи.

Реальные сценарии: как нарушения рождаются в живых процессах

Сценарий 1: «Экспресс‑подготовка к конференции». Ситуация: до конференции на 2 000 человек осталось 3 недели, нужна система регистрации.

Что обычно происходит:

1. Разработчик говорит: «Давайте используем Google Forms, это быстро».
2. Маркетинговое агентство говорит: «Нам нужна база для рассылки».
3. Видеопровайдер говорит: «Отправьте нам эту базу для идентификации».
4. Никто не спросил про согласие, политику, уведомление РКН и не подписал юридически обязывающие документы между всеми участниками процесса оборота персональных данных.

Потенциальные штрафы:

1. Использование Google Forms: 1–6 млн рублей.
2. Отсутствие согласия: 300 000–500 000 рублей.
3. Отсутствие уведомления РКН: 100 000–300 000 рублей.
4. Если подрядчик не зарегистрирован в РКН: 3–5 млн рублей (утечка).

Итого: 4,4–11,8 млн рублей штрафа + вероятность уголовной ответственности.

Финансовые последствия: штраф 300 000–500 000 рублей (за нарушение локализации).

Сценарий 3: «Мы спросили согласие, всё в порядке». Ситуация: на сайте есть предзаполненный чекбокс: «Я согласен с обработкой персональных данных».

Почему это нарушение:

1. Маркер согласия не проставлен пользователем (нет доказательства добровольности).
2. Согласие не встроено в форму.
3. Согласие не содержит полной информации.

При обработке 2 000 регистраций это может быть расценено как 2 000 отдельных нарушений.

Как управлять риском: пятиуровневая стратегия

Персональные данные — это не «документы для галочки», а управляемый риск: штрафы, простои, потери доверия и, в отдельных случаях, уголовная ответственность. Хорошая новость в том, что здесь работает управленческая логика: сначала быстро закрываем самые опасные точки, затем выстраиваем процессы так, чтобы нарушения не возвращались. Ниже — пятиуровневая стратегия, которая помогает пройти путь от хаоса к контролю.

Уровень 1. Критические действия (неделя 1):

1. Проверьте инфраструктуру: используете ли вы Google Forms, Zoom с первичным сбором, зарубежные SaaS‑сервисы и облачные хранилища? Если да, срочно исправляйте.
2. Проверьте согласие: есть ли отдельный документ согласия? Если нет, создайте его и проверьте, чтобы он соответствовал собираемым данным и требованиям ст. 9 152‑ФЗ.
3. Проверьте реестр подрядчиков: все ли зарегистрированы в реестре РКН?

Уровень 2. Документационные действия (неделя 2–3):

1. Обновите политику ПДн.
2. Издайте приказ о назначении ответственного лица.
3. Подайте (или обновите) уведомление в РКН через Портал персональных данных.

Уровень 3. Управленческие действия (месяц 1):

1. Начните вести журналы доступа.
2. Установите процедуры работы с ПДн и её окончания.
3. Разработайте процедуру реагирования на утечки.

Уровень 4. Технические действия (месяц 1–2):

1. Установите двухфакторную аутентификацию.
2. Настройте логирование операций.
3. Проверьте регулярность обновлений ИТ‑инфраструктуры.
4. Настройте регулярные бэкапы на изолированные носители с ограниченным доступом.
5. Используйте шифрование, антивирусы и другие средства защиты.

Уровень 5. Аудит и обучение (постоянно):

1. Проводите внутренние проверки минимум раз в год.
2. Обучайте сотрудников.
3. Следите за изменениями законодательства.

Конвенция ООН и будущие стандарты

В октябре 2025 года произошло историческое событие: Россия присоединилась к Конвенции ООН против киберпреступности.

Это первый в истории глобальный договор в этой сфере за 20 лет, устанавливающий единые стандарты:

1. Сбора электронных доказательств.
2. Сохранения данных при киберинцидентах.
3. Трансграничной передачи информации о киберпреступлениях.

Конвенция была открыта для подписания 25–26 октября 2025 года в Ханое (Вьетнам) по инициативе России. В первый день подписали 65 стран.

Для организаторов мероприятий это означает: вы должны будете доказать, что способны предоставить электронные доказательства (логи, резервные копии, метаданные) при расследовании киберинцидента. Новые требования будут интегрированы в российское право скорее всего в течение 2026 года.

Выводы: три вещи, которые нужно сделать прямо сейчас

Если нужно быстро снизить риски и закрыть самые уязвимые места, начните с трёх действий:

1. Прекратите использовать иностранные сервисы, если вы всё ещё используете Google Forms, Zoom или другие зарубежные сервисы как первую точку контакта — это нарушение закона. Штраф: 1–6 млн рублей и блокировка сайта.
2. Соберите отдельные согласия. На каждого участника должно быть отдельное согласие — отдельный документ, активная подпись, полная информация.
3. Проверьте подрядчиков и договоры с ними. Все компании и контрагенты, включая самозанятых и физлиц по договорам ГПХ, которым вы передаёте данные, должны быть зарегистрированы в реестре Роскомнадзора. Если хотя бы один не зарегистрирован — это утечка.

Эти три действия устранят 70% риска. Оставшиеся 30% потребуют системной работы: обновления политик, обучения сотрудников, внедрения логирования.