С мая 2025 года увеличиваются штрафы за нарушение закона о персональных данных: как подготовиться
На протяжении последних двух лет законодатель последовательно ужесточал ответственность за нарушение Федерального закона «О персональных данных» от 27.07.2006 N 152‑ФЗ. Сначала были увеличены штрафы за уже имеющиеся нарушения, а в декабре 2024 года — введена уголовная ответственность за нарушение правил работы с персональными данными. С мая 2025 года вводят штрафы за новые нарушения, в том числе, оборотные штрафы за утечки. Это значит, что сумма штрафа будет зависеть от оборота компании и составит 1‑3% от годовой выручки.
Бизнесу важно разобраться в требованиях нового регулирования и заранее провести юридический аудит порядка обработки персональных данных.
Какие нарушения в работе с персональными данными встречаются чаще всего
Ключевые обязанности любой компании:
- корректная обработка персональных данных (ПД) своих работников;
- подача уведомления для включения в реестр Роскомнадзора операторов ПД;
- размещение политики конфиденциальности на сайте компании, если он есть.
Наиболее частые нарушения в работе с персональными данными — не утечки, как может показаться на первый взгляд, а следующее.
Компании забывают подписать или используют устаревшую форму согласия на обработку ПД работника. За такое нарушение компания может заплатить штраф до 700 000 ₽ в первый раз и до 1 500 000 ₽ за повторное нарушение.
Сейчас пока непонятно, как будут исчислять размер штрафа. Например, компания подписала с десятью работниками неправильные согласия. Какой штраф это повлечет? Если судить по имеющимся судебным практикам, в виде штрафа могут назначить как 7 000 000 ₽, так и 700 000 ₽.
Компании не подали уведомление для включения в реестр операторов ПД, не разместили политику конфиденциальности на сайте или не поддерживают эти документы в актуальном состоянии.
Все эти нарушения — красный флаг для Роскомнадзора, чтобы инициировать полноценную проверку компании.
На сайте компании подключены иностранные cookie‑файлы — такие файлы, которые отслеживают поведение пользователей на страницах сайта и собирают статистику.
Самый яркий пример — Google Аналитика. Чтобы не нарушать законодательство, такие программы стоит отключить. В противном случае можно получить штраф до 700 000 ₽.
Необходимо крайне тщательно подходить к оформлению персональных данных работников, а также поддерживать все свои публично доступные документы актуальными. Найти пробелы и помочь быстро устранить нарушения может экспресс‑чекап онлайн‑рисков обработки ПД. Его проводят профильные специалисты, в том числе, из юридической компании ЭБР.
Рассылка: как вести бизнес в России
Пять полезных писем пришлем сразу после подписки. В них — бизнес‑идеи, готовые промпты для нейросетей, советы, как выбрать налоговый режим и получать пассивный доход
Как правильно формулировать локальные акты и формы согласий на обработку данных с учетом последних изменений
С 2022 года требования к оформлению положения об обработке ПД и согласиях, которые компания должна получить от человека, ужесточились. Теперь:
- во всех этих документах нужно выделять конкретные, четкие цели на обработку данных;
- нельзя указывать цели на обработку данных вперемежку;
- нужно соотносить конкретную цель с перечнем ПД, который необходим для ее достижения, условия и сроки обработки.
Например, персональные данные работников обрабатываются в течение срока действия трудового договора, а также еще в течение определенного периода после увольнения для соблюдения требований законодательства, в том числе архивного. Это нужно четко указать в локальных актах, а также предупредить работника в форме согласия на обработку его ПД.
Как обеспечить законность обработки данных
Согласие человека — не единственный способ обеспечить законность обработки данных. Да, Роскомнадзор воспринимает согласие на обработку данных как главное основание для обработки данных человека, но и из этого правила есть исключения.
Не всегда согласие должно быть получено в письменной форме в виде какого‑то документа. Пользователь сайта дает согласие, когда ставит галочку в форме обратной связи при регистрации личного кабинета. Представители заказчиков либо поставщиков дают согласие подразумеваемыми действиями — когда продолжают переписку с сотрудниками, оставляют контактные данные на конференциях и т.п.
Помимо согласия есть и иные основания для обработки персональной информации. Например, вы можете обрабатывать данные, если ведете архив организации в силу требований законодательства. В этом случае работник не сможет отозвать согласие.
Компания может обрабатывать персональные данные, имея свой законный интерес. Пример — ведение видеонаблюдения в помещениях организации, так как компания заинтересована в сохранности своего имущества и обеспечении безопасности труда.
Когда речь идет про сбор и обработку ПД, необходимо всегда определять, на каком основании такая обработка будет законной. Не нужно получать согласие от человека на каждую операцию, если можно найти альтернативу. Однако это также необходимо отразить в локальных актах, которые регламентируют работу с персональными данными в вашей компании.
Какие особенности нужно учитывать при передаче данных за рубеж
С 2023 года была введена уведомительно‑разрешительная система трансграничной передачи данных. Это значит, что если вы систематически передаете данные россиян за рубеж, то должны об этом уведомить Роскомнадзор. Например, когда вы передаете информацию своей материнской либо дочерней компании в Турции, либо сети партнерских компаний в Средней Азии, которым вы поставляете товары или оказываете услуги.
До подачи уведомления в Роскомнадзор вы формально не можете совершать такую передачу.
После подачи уведомления вы:
- Должны дождаться разрешения Роскомнадзора, если передаете данные в страны, которые, по мнению Роскомнадзора, не обеспечивают адекватную защиту ПД. Это США, некоторые страны Ближнего востока, Южная Америка либо Африка.
- Можете уже начать такую передачу, не дожидаясь решения, если передаете ПД в страны Европы, Китай или Индию.
При подаче уведомления нужно заранее озаботиться, чтобы получить от физлиц, чьи данные передаются, согласия на такую передачу, а также заключить с контрагентами соглашения о передаче. Роскомнадзор при проверке уведомления может запросить такую информацию.
Также летом 2025 года изменятся требования о локализации персональных данных. Локализация означает, что данные россиян вначале должны «оседать» на российских серверах, а только потом передаваться за рубеж. Новые поправки закрепляют более жесткий механизм. Нельзя передавать за рубеж данные, собранные у самих россиян. Компании смогут передавать только производные данные: информацию, полученную после обработки собранных о человеке сведениях.
Штраф за первое нарушение правил локализации ПД россиян составит до 6 000 000 ₽, за повторное нарушение — 18 000 000 ₽.
Что можно сделать уже сейчас
В конце мая 2025 года вступают в силу повышенные штрафы за нарушение законодательства о персональных данных. Поэтому у компаний есть еще немного времени, чтобы обеспечить комплаенс — привести свою деятельность в соответствие с требованиями законодательства.
В этом поможет проведение аудита работы компании с персональными данными, разработка и внедрение пакета документов, регламентирующих обработку данных в периметре компании. По результатам проделанной работы нужно будет подать уведомление в Роскомнадзор, которое будет детально описывать информационные процессы организации. Данные меры может реализовать как штатный специалист в сфере персональных данных — если он есть в компании, либо внешние юристы.
