Как работать с персональными данными в 2025 году: чек‑лист для компаний
При работе с персональными данными в 2025 году необходимо проявлять внимательность — без нее никуда и никак. Такое внимание к теме появилось неспроста: с этого года в закон были внесены изменения, согласно которым за неправильное хранение и использование данных компании ждут большие штрафы.
В материале расскажем, на что стоит обратить внимание бизнесу при работе с персональными данными. Спойлер: нюансов много, но про каждый поговорим отдельно.
Почему компаниям так важно правильно хранить и обрабатывать персональные данные
Мы в своей практике зачастую видим, как одна даже небольшая ошибка может приводить к плачевным результатам — а именно к сливу важной информации. Даже с учетом автоматизации всех процессов хранения и обработки данных человеческий фактор никто не отменял.
Современные цифровые сервисы — от маркетплейсов и финансовых приложений, до телемедицины и образовательных платформ — ежедневно собирают и обрабатывают огромные массивы информации. Эти данные позволяют компаниям персонализировать услуги и повышать удобство пользователей, но наряду с положительным влиянием возникают и дополнительные риски — например, утечка информации и ее неправомерное использование.
Каждая успешная хакерская атака не только наносит ущерб компаниям и гражданам, но и подрывает доверие к цифровым сервисам. По оценкам аналитиков RED Security SOC, число атак через подрядчиков только в 2024 году выросло примерно на 50%.
Последние кейсы на рынке говорят сами за себя: сеть винных магазинов Винлаб подверглась сбою в июле — один день такого простоя стоил магазину более 1 млрд рублей. Чуть позже похожей атаке подверглась сеть аптек «Столичка».
Эта весьма печальная тенденция заставляет государство и бизнес инвестировать в системы защиты и фиксировать новые стандарты безопасности.
Одним из наиболее заметных трендов является изменения в части ответственности за нарушение законодательства о персональных данных. В частности, штрафы по статье 13.11 КоАП РФ значительно увеличились, усилена система санкций: за повторные нарушения предусмотрены повышенные штрафы.
Рассылка: как вести бизнес в России
Пять полезных писем пришлем сразу после подписки. В них — бизнес‑идеи, готовые промпты для нейросетей, советы, как выбрать налоговый режим и получать пассивный доход
Ужесточение правил: что изменилось для бизнеса
С мая 2025 года изменился уровень ответственности в сфере работы с персональными данными. Размер штрафов за нарушения в процессах обработки персональных данных этой области вырос в разы и достиг весьма значительного уровня.
Основные нововведения в законе:
- Введены новые административные штрафы, а в ряде случаев возможна и уголовная ответственность.
- Размер штрафов изменился: от 3 до 15 млн рублей за утечку данных, а при повторных нарушениях штрафы могут достигать 3% годового оборота компании.
- Штрафы за рассылку без согласия пользователя могут достигать 1 миллиона рублей за каждое нарушение (согласно Закону «О рекламе»). Кроме того, при отсутствии правового основания для обработки персональных данных (например, если нет согласия на использование телефона или email) возможны и штрафы по статье 13.11 КоАП РФ — до 700 000 рублей, а при повторном нарушении — до 1,5 млн.
Такие изменения в законодательстве о персональных данных значительно ужесточают требования к обработке и защите персональных данных.
Что нужно сделать компаниям? Срочно пересмотреть все внутренние процедуры для того, чтобы избежать финансовых и репутационных рисков. Отдельно стоит инвестировать в юридическую экспертизу, обновление IT‑инфраструктуры и обучение сотрудников. Это касается не только корпораций, но и компаний средней руки, так как персональные данные сейчас важны во всех сферах.
ТОП‑5 ошибок, которые часто совершают при работе с данными
Соблюдать Федеральный закон №152‑ФЗ «О персональных данных» необходимо всем организациям, работающим с какой‑либо информацией о физических лицах.
На практике компании и индивидуальные предприниматели часто допускают нарушения, которые приводят даже к административной ответственности. Ниже — очевидные промахи, о которых идет речь.
Ошибка №1. Обработка данных без правильно оформленного согласия. Например, в одном проекте мы выявили использование базы клиентов для рассылки рекламы без подписанных согласий именно на маркетинговые коммуникации, а это является прямым нарушением статьи 6 закона.
Ошибка №2. Несоответствие целей обработки заявленным при сборе данных. В одном интернет‑сервисе пользователи предоставляли паспортные данные для верификации, но они также использовались для маркетинговой аналитики без дополнительного уведомления, и это нарушало главный принцип целевого использования.
Ошибка №3. Отсутствие уведомления Роскомнадзора о начале обработки ПД. Некоторые организации начинают обработку персональных данных без подачи соответствующего уведомления, хотя это является обязательным требованием статьи 22 закона.
Ошибка №4. Передача ПД третьим лицам. Нельзя передавать данных третьим лицам без наличия на это правовых оснований. В одном проекте, с которым мы работали, маркетинговая компания передавала ПД подрядчику для обзвона клиентов, не имея оснований для такой передачи (ни договора, ни согласия).
Ошибка №5. Отсутствие нормативных актов, которые бы отражали актуальные процессы обработки ПД. К сожалению, в ряде компаний «Положения о защите ПД» не пересматриваются годами. Такие документы не учитывают актуальные изменения в бизнес‑процессах и в законодательстве — их необходимо постоянно обновлять.
Таким образом, главные ошибки связаны не только с техническими, но и с организационно‑правовыми недочетами. В идеале следует нанять в штат юриста, чтобы их не допустить.
Как можно снизить риски утечки персональной информации о клиентах:
- Выстраивайте системные процессы работы с данными, подключать специалистов, которые разбираются в теме.
- Определите заранее корректные цели обработки ПД — здесь важно обрабатывать ровно тот объем данных, который действительно необходим для достижения цели, а заодно точно понимать основания, которые используются для обработки ПД.
- Своевременно уведомляйте регулятора, обновляйте документы и внедряйте меры защиты. Помните: соблюдение 152‑ФЗ — далеко не разовая задача, а постоянная работа, к которой нужно подходить профессионально.
Чек‑лист для предпринимателей: как собирать и хранить данные, чтобы не нарваться на штрафы
Определите, какие данные вы собираете и храните. Начните с реестра персональных данных и их классификации.
Используйте серверы в России. Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечениеперсональных данных должны осуществляться на территории РФ.
Разработайте и опубликуйте политику конфиденциальности. Клиенты должны понимать, как компания обращается с их информацией.
Обеспечьте техническую защиту. Шифрование, двухфакторная аутентификация, регулярные обновления программного обеспечения.
Ограничьте доступ сотрудников. Принцип «минимальных прав» снижает риски утечек.
Ведите учет действий с данными. Журналы событий помогают расследовать инциденты.
Обучайте сотрудников. Большинство утечек происходят из‑за человеческих ошибок.
Правильно выбирайте основания для обработки. В противном случае работа с персональными данными незаконна.
Соблюдайте сроки хранения. Уничтожайте данные, если цель обработки достигнута и отсутствуют иные основания для продолжения обработки.
Проводите регулярные аудиты. Регулярный контроль позволяет своевременно находить «слабые места» в системе защиты, своевременно их устранять и совершенствовать систему защиты.
Следование этим правилам помогает компаниям снизить риски утечек и укрепить доверие клиентов.
В условиях цифровизации, как показывает опыт, побеждает бизнес, который умеет не только зарабатывать на данных, но и бережно их хранить, уважая права пользователей и требования закона.
