С 30 мая 2025 года в России вступили в силу новые, значительно ужесточённые требования к обработке персональных данных, и теперь любая компания, которая хоть раз собирала имя, фамилию и контакты клиента или сотрудника, автоматически становится оператором этих данных и обязано соблюдать все нормы Федерального закона №152-ФЗ. Роскомнадзор больше не действует в режиме профилактики — он перешёл на режим активного выявления нарушений с помощью автоматизированных систем, способных за считанные часы просканировать тысячи сайтов, найти отсутствующую политику конфиденциальности, несогласованную форму подписки или устаревший приказ об ответственном за персональные данные.
Эти системы работают круглосуточно, и если что-то не так — предписание приходит не через месяц, а уже через сутки. Штрафы за отсутствие уведомления в РКН достигли 300 тысяч рублей для юридических лиц, а за массовую утечку данных или игнорирование требований по защите — могут превысить миллион. При этом даже если вы успеете исправить ошибку в течение десяти дней, как того требует предписание, штраф всё равно будет начислен за период, когда нарушение существовало. Это не просто административное давление — это системная перестройка правил игры, в которой легальность становится не опциональной, а обязательной составляющей любого бизнеса, работающего с людьми.
Многие предприниматели до сих пор считают, что ФЗ-152 касается только крупных корпораций, интернет-магазинов или IT-стартапов, но на практике закон распространяется на всё, что связано с цифровой обработкой данных. Даже если вы ведёте базу клиентов в Excel, используете Telegram-бот для уведомлений о заказах, регистрируете сотрудников через онлайн-формы или храните резюме соискателей на Google Drive — вы уже являетесь оператором персональных данных.
Исключения, которые когда-то позволяли обойтись без документов, например, ведение бумажных карточек в одном экземпляре без передачи третьим лицам, теперь практически исчезли. С 2022 года перечень таких случаев был сокращён до минимума, и сегодня под действие закона попадает подавляющее большинство малого и среднего бизнеса. Нет больше «маленьких» случаев — есть только неосознанные риски. И если вы до сих пор думаете, что «у нас же ничего особенного не хранится», то стоит понимать: даже один телефонный номер, сохранённый в телефоне сотрудника, уже требует соблюдения законодательства. Роскомнадзор не интересуется, насколько вы крупны — он интересуется, насколько вы ответственны.
Подготовка пакета документов — это построение внутренней системы, которая гарантирует не только отсутствие штрафов, но и устойчивость бизнеса в долгосрочной перспективе. Этот пакет состоит из четырёх взаимосвязанных компонентов, каждый из которых выполняет свою функцию, и пропуск одного из них может обнулить всю работу.
Первый — это публичные документы, которые видит любой посетитель сайта: политика обработки персональных данных и согласия на их сбор. Политика — это не шаблон, скопированный с сайта конкурента, а честное, понятное и точное описание того, какие данные вы собираете, зачем, где храните, кому передаёте и как долго держите. Она должна отражать реальные процессы вашей компании: если вы используете сервисы по аналитике, это нужно указать; если данные хранятся в облаке, это тоже должно быть прописано; если вы передаёте информацию логистической компании, это нужно упомянуть.
Согласие на обработку — это юридически значимое подтверждение, которое должно быть конкретным, информированным и добровольным. Оно не может быть скрыто в мелком шрифте или предустановлено по умолчанию. Каждый клиент, каждый сотрудник, каждый пользователь должен осознанно давать своё согласие, и система должна фиксировать, когда, где и как это было сделано — дата, IP-адрес, устройство. Для сотрудников, особенно, если вы используете их данные для целей, выходящих за рамки трудового договора — например, для фото на сайте, видеонаблюдения или маркетинговых рассылок — требуется отдельное письменное согласие, подписанное вручную.
Второй компонент — это уведомление в Роскомнадзор, которое подаётся до начала обработки данных, а не после. Многие ошибочно считают, что достаточно просто заполнить форму на портале, и всё будет в порядке. Но если вы подаёте уведомление, не имея при этом ни политики, ни согласий, ни приказа об ответственном, вы создаёте фиктивный документ, который при первой же проверке будет расценён как попытка обмануть регулятора. Уведомление — это декларация, и в ней должны быть отражены все реальные параметры: перечень категорий данных, цели их обработки, меры защиты, которые вы применяете, и данные ответственного лица. Только после того как вы подготовили внутренние документы, можно отправлять уведомление.
После подачи вы получаете регистрационный номер — это ваш юридический билет на легальную деятельность, и его нужно хранить так же бережно, как свидетельство о регистрации компании. Он не требует ежегодного обновления, но если вы начнёте собирать новые категории данных — например, паспортные данные или биометрию — вы обязаны внести изменения в документы и, при необходимости, подать новое уведомление.
Третий и самый объёмный компонент — это внутренние локальные акты, которые формируют основу вашей системы управления персональными данными. Здесь нет места шаблонам и копированию. Каждый документ должен быть адаптирован под вашу реальность. Это приказ о назначении ответственного за персональные данные — человек, который будет отвечать за соблюдение всех требований, обучать персонал, реагировать на запросы и контролировать процессы. Это положение об обработке персональных данных, которое описывает весь жизненный цикл данных — от сбора до уничтожения. Это положение об информационной безопасности, в котором прописаны технические и организационные меры: как организован доступ к данным, какие антивирусы используются, есть ли шифрование, как происходит резервное копирование, как обеспечивается безопасность рабочих мест. Это перечень лиц, допущенных к обработке данных — список сотрудников, у которых есть доступ к базам, с указанием их должностей и сроков доступа. Это должностные инструкции, в которые добавлены пункты о соблюдении законодательства. Это журналы — журнал ознакомления сотрудников с документами, журнал обращений субъектов данных, журнал инцидентов, где фиксируются даже мелкие нарушения, например, случайная пересылка данных не тому адресату. Это план мероприятий по защите, который выстраивается как дорожная карта: в марте — обучение, в апреле — обновление программного обеспечения, в мае — аудит сторонних сервисов. Это политика хранения и уничтожения, где чётко прописаны сроки — сколько хранить данные заказа, сколько — согласие, сколько — резюме, и как именно они уничтожаются: удалением, физическим уничтожением носителей или очисткой кэша.
Четвёртый компонент — это документы, связанные с технической защитой и трансграничной передачей данных. Если вы используете зарубежные сервисы — Google Analytics, Mailchimp, Telegram, AWS, Azure, Cloudflare — вы передаёте персональные данные за границу, и это требует отдельного уведомления в Роскомнадзор. Просто указать «используем Google» недостаточно — нужно чётко описать, какие именно данные передаются, как они защищаются, есть ли договор с провайдером, который обязывает его соблюдать российское законодательство.
Кроме того, обязательны оценка угроз и модель нарушителя — это практические инструменты, которые помогают понять, кто может попытаться получить ваши данные, как это может произойти и какие меры уже приняты. Также необходимо оформить акт классификации информационной системы — определить её уровень защищённости в соответствии с требованиями. Если вы используете облачные технологии, то должны иметь техническую документацию, подтверждающую применение шифрования, мониторинга доступа и резервного копирования.
Кто может не подавать уведомление в РКН
Согласно части 2 статьи 22 Федерального закона № 152-ФЗ «О персональных данных», обязанность по подаче уведомления в Роскомнадзор не распространяется на организации лишь в трёх исключительных случаях:
• Обработка персональных данных осуществляется исключительно на бумажных носителях. Если хотя бы часть сведений хранится или обрабатывается с использованием цифровых устройств — компьютеров, смартфонов, планшетов и т.п. — уведомление подавать необходимо.
• Организация интегрирована в государственные информационные системы и работает исключительно с персональными данными, содержащимися в этих системах.
• Деятельность компании ограничена обработкой персональных данных в сфере транспортной безопасности. Однако если помимо этого организация ведёт кадровый учёт, взаимодействует с клиентами, заключает договоры или оказывает услуги, уведомление в Роскомнадзор подавать всё равно требуется.
Штрафы
Штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных (ч.10 ст.13.11 КоАП РФ):
• от 5 000 до 10 000 рублей – для физлиц
• от 30 000 до 50 000 рублей – для должностных лиц организаций
• от 100 000 до 300 000 рублей – для ИП
• от 100 000 до 300 000 рублей – для организаций
Штрафы за непредставление уведомления об утечке персональных данных составят (ч.11 ст.13.11 КоАП РФ):
• от 50 000 до 100 000 рублей – для физлиц
• от 400 000 до 800 000 рублей – для должностных лиц организаций
• от 1 до 3 млн рублей – для ИП
• от 1 до 3 млн рублей – для организаций
Неправомерная передача третьим лицам персональных данных граждан численностью от 1 000 до 10 000 человек влечет наложение штрафа в размере (ч.12 ст.13.11 КоАП РФ):
• от 100 000 до 200 000 рублей – для физлиц;
• от 200 000 до 400 000 рублей – для должностных лиц организаций;
• от 3 до 5 млн рублей – для ИП;
• от 3 до 5 млн рублей – для организаций.
Незаконная передача третьим лицам персональных данных свыше 10 000, но не более 100 000 человек влечет наложение штрафов в размере (ч.13 ст.13.11 КоАП РФ):
• от 200 000 до 300 000 рублей – для физлиц;
• от 300 000 до 500 000 рублей – для должностных лиц организаций;
• от 5 до 10 млн рублей – для ИП;
• от 5 до 10 млн рублей – для организаций.
За незаконную передачу третьим лицам персональных данных более 100 000 человек штрафы в размере (ч.14 ст.13.11 КоАП РФ):
• от 300 000 до 400 000 рублей – для физлиц;
• от 400 000 до 600 000 рублей – для должностных лиц организаций;
• от 10 до 15 млн рублей – для ИП;
• от 10 до 15 млн рублей – для организаций.
Повторная передача третьим лицам персональных данных без законных оснований грозит следующими штрафами (новая ч.15 ст.13.11 КоАП РФ):
• от 400 000 до 600 000 рублей – для физлиц;
• от 800 000 до 1,2 млн рублей – для должностных лиц организаций;
• от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение – для ИП и организаций.
Подготовка комплекса документов — задача, которая может показаться пугающей, но она решается поэтапно. Начните с анализа: составьте список всех источников сбора данных, всех категорий, всех мест хранения и всех сторон, которым вы передаёте информацию. Затем назначьте ответственного. Это может быть юрист, IT-специалист или HR-менеджер, но он должен быть компетентен и готов к диалогу с регулятором. Далее — напишите политику и согласия, но не копируйте чужие тексты. Напишите их так, как будто объясняете клиенту за чашкой кофе: честно, ясно, без юридических оборотов. Потом — приступайте к внутренним документам, по одному в неделю. Создайте приказ об ответственном, затем положение об обработке, потом — о безопасности. Не забывайте: если в шаблоне написано «мы используем биометрические системы», а у вас их нет — удалите эту строку. Если указано, что данные хранятся в Хабаровске, а на самом деле — в Москве — исправьте. Каждый документ должен быть зеркалом вашей реальности. Только после того как все внутренние акты готовы, подавайте уведомление в Роскомнадзор. Не раньше.
Обязательно проведите инструктаж для сотрудников — даже если это займёт полчаса. Объясните им, что нельзя отправлять базы по WhatsApp, что нельзя передавать данные коллегам без разрешения, куда обращаться, если пришёл запрос от клиента на удаление данных. Зарегистрируйте ознакомление — подпись под журналом не просто формальность, а доказательство вашей осознанности. Не забывайте обновлять документы — закон меняется, и то, что было актуально в январе, может оказаться устаревшим в июле. Проверяйте их хотя бы раз в полгода. И, наконец, подготовьте чек-лист на случай проверки: у вас есть все документы? Все сотрудники ознакомлены? Уведомление подано? Есть ли план действий при утечке? Эти шаги нужны для того, чтобы ваш бизнес работал спокойно, без страха, что завтра придёт инспектор и отключит сайт.
