Полное руководство по требованиям обработки персональных данных (ФЗ-152 с поправками 2025): категории данных, новые обязательства, согласия, уведомления Роскомнадзор, ответственность и практический чек-лист для работодателей.
Что такое персональные данные?
Персональные данные — любая информация, относящаяся к прямо или косвенно определяемому физлицу. Так формулирует ст. 3 ФЗ‑152.
Примеры:
Общие: ФИО, телефон, e‑mail, адрес, ИНН, СНИЛС, место работы.
Специальные (чувствительные): здоровье, религия, политические убеждения, судимости.
Биометрические: отпечатки, фото/видеокадры для распознавания, голос.
Косвенные: IP‑адрес, cookie, геоданные — при наличии возможности идентифицировать человека.
Определение по ФЗ‑152 служит основой для проектирования процессов обработки, политик и форм согласий, обеспечения минимизации и безопасности. Понимание категорий данных критично для выбора мер защиты и уровня ответственности.
Зачем важны требования к обработке персональных данных?
Требования защищают права физических лиц, минимизируют риски утечек и претензий, повышают доверие клиентов.
С мая 2025 года формальные подходы без реальных технических и организационных мер не спасают от санкций. Регулятор требует доказуемой «ответственности» (accountability), учёта операций и оперативной реакции на инциденты.
Пример. Интернет‑магазин электроники сократил чек‑лист полей в формах с 12 до 6 и вынес отдельное согласие. Результат — +18% к отправкам форм, меньше вопросов и соответствие требованиям информированности согласия.
Почему это работает? Пользователь видит прозрачность. Меньше полей — меньше сомнений. Отдельное согласие — понятная цель обработки.
Ужесточение ответственности за нарушения
КоАП РФ ст. 13.11 с поправками устанавливает градацию санкций:
Отсутствие уведомления о начале обработки (реестр): для юрлиц — 100–300 тыс. руб., для должностных лиц — 30–50 тыс. руб.
Неподача уведомления об угрозе/утечке: для юрлиц — 1–3 млн руб.
Утечки по масштабу:
1–10 тыс. субъектов — 3–5 млн руб.;
более 100 тыс. — 10–15 млн руб.;
утечка биометрии — 15–20 млн руб.
Повторная утечка: 1–3% выручки (не менее 20 млн руб.; максимум — 500 млн руб.).
Дополнительно — ответственность для должностных лиц и ИП по дифференцированным ставкам.
Важно: суммы и проценты кумулируются при наличии нескольких составов правонарушений.
После инцидента с компрометацией 7 тыс. записей оператор ввёл регламент реагирования: 0–2 ч — локализация и начальный разбор, 2–12 ч — внутренний отчёт и мероприятия, ≤24 ч — уведомление Роскомнадзора и субъектов (если требуется), подготовка подробного отчёта — до 72 ч. Результат — предписание закрыто, регламент отработан, повторных инцидентов нет.
Пошаговый регламент реагирования на инцидент:
1. 0–2 часа: локализуйте источник утечки, сохраните логи и обеспечьте форс‑команду.
2. 2–12 часов: первичный внутренний отчёт (кто пострадал, какие категории данных), включите ИБ и юридический блок.
3. ≤24 часа: уведомление Роскомнадзора о факте утечки (ч.11 ст.13.11 КоАП РФ) и, при необходимости, уведомление субъектов.
4. ≤72 часа: подготовьте детальный отчёт (объём, категории, принятые меры, план корректирующих действий), направьте в регулятор и пострадавшим.
5. Постфактум: аудит причин, внесение изменений в политику и техмеры, оформление акта уничтожения (если применимо), сбор доказательной базы для суда/страховщика.
Новые требования к получению согласия на обработку данных
Ключевые правила:
— согласие оформляется отдельным документом, не включается в оферту/договор/анкеты (ч.1 ст.9 ФЗ‑152 с поправками 2025);
— отдельное согласие требуется на передачу каждому третьему лицу с указанием целей и получателей;
— согласие должно быть добровольным, информированным, легко отзываемым; нельзя использовать pre‑checked галочки; понятный язык обязательный;
— согласия, полученные до 01.09.2025, сохраняют силу при отсутствии существенных изменений целей/объёма (при сомнениях — переоформить).
Пример минимального набора полей согласия:
Заголовок: «Согласие на обработку персональных данных»
Оператор: наименование, ИНН, контакт для связи.
Субъект: ФИО, документ, контакт.
Цели обработки: перечисление по пунктам.
Перечень данных: точный перечень полей.
Срок обработки/хранения.
Получатели/передача третьим лицам (отдельный пункт).
Права субъекта (доступ, отзыв, удаление).
Подпись/электронный маркер и дата.
Кого касаются новые правила?
Права сотрудников и соискателей
Сотрудники и соискатели имеют право:
— знать, какие данные обрабатываются и для каких целей;
— получать доступ к своим данным;
— требовать исправления неточностей;
— отзывать согласие на обработку (кроме случаев, когда обработка основана на законе или трудовом договоре);
— требовать удаления данных по окончании срока обработки или при отзыве согласия;
— обжаловать действия оператора в Роскомнадзоре или суде.
Работодатель обязан обеспечить реализацию этих прав в разумные сроки (как правило, до 30 дней с момента обращения).
Исключения и особые случаи
— Согласия, собранные до 01.09.2025, действуют при соблюдении прежних целей; при изменениях — требуется переоформление.
— Для ЕБС и ЕСИА действуют специальные формы и правила (распоряжения/приказы).
— Обработка биометрии без согласия возможна в строго очерченных законом случаях (правоохранительные процедуры).
— Обработка данных умерших лиц регулируется отдельно и не требует согласия наследников в большинстве случаев.
Как соблюдать требования по обработке персональных данных?
Рассмотрим шаги для работодателей
Составление политики обработки персональных данных
Политика обработки персональных данных — публичный документ, описывающий принципы, цели, категории данных, меры защиты и права субъектов.
Структура политики:
1. Общие положения: определения, область применения, правовые основания.
2. Цели обработки: конкретные цели (кадровый учёт, расчёт зарплаты, обучение и т.д.).
3. Категории данных и субъектов: перечень обрабатываемых данных и категорий лиц (сотрудники, соискатели, подрядчики).
4. Правовые основания: ссылки на ФЗ‑152, Трудовой кодекс, договоры.
5. Меры защиты: технические (шифрование, RBAC, MFA) и организационные (регламенты, обучение).
6. Сроки обработки и хранения: конкретные сроки для каждой категории данных.
7. Права субъектов: порядок реализации прав на доступ, исправление, удаление, отзыв согласия.
8. Контакты: ответственное лицо, адрес, телефон, e‑mail.
Политика публикуется на сайте компании и доступна всем субъектам данных.
Уведомление в Роскомнадзор
1. До начала обработки — подать уведомление (ч.1 ст.22 ФЗ‑152).
2. Форма, порядок и портал: pd.rkn.gov.ru; форма утверждена Приказом РКН №180/№94.
3. При изменениях — уведомление в 10 рабочих дней (ч.7 ст.22 ФЗ‑152).
4. Срок рассмотрения: при стандартной процедуре — до 30 календарных дней (на практике может варьироваться).
5. При инциденте — уведомление о факте утечки ≤24 часов (ч.11 ст.13.11 КоАП РФ и сопутствующие разъяснения).
Уведомление — чек‑лист полей:
— данные оператора (наименование/ИНН/адрес/контакты);
— цели обработки;
— категории данных и субъектов;
— меры защиты;
— адреса хранения и получатели;
— контакты ответственного.
Частые ошибки при заполнении уведомлений в Роскомнадзор:
— Использование «и др.» вместо точного перечня категорий ПДн;
— Неполный адрес оператора, некорректные контакты;
— Копирование типовых мер без соотнесения с реальными техническими средствами.
Назначение ответственного за обработку данных
Ответственный за обработку персональных данных — лицо, координирующее процессы обработки, контролирующее соблюдение требований и взаимодействующее с Роскомнадзором.
Назначение оформляется приказом с указанием:
— ФИО и должности ответственного;
— перечня обязанностей (ведение реестра, контроль согласий, реагирование на инциденты);
— полномочий (доступ к системам, право запрашивать информацию у подразделений);
— ответственности за нарушения.
Ответственный должен пройти обучение по ФЗ‑152 и иметь базовые знания в области информационной безопасности.
Хранение и защита персональных данных
Меры по предотвращению утечек данных
Механизмы предотвращения утечек:
— DLP (Data Loss Prevention) — мониторинг и блокировка несанкционированных выгрузок;
— SIEM/IDS/IPS для детекции аномалий;
— регулярные фишинг‑тренинги и аудит безопасности;
— регламентированные процедуры удаления и акты уничтожения.
Подтверждение мер: ст.19 ФЗ‑152 обязывает принимать правовые, организационные и технические меры защиты.
Пример. Маркетплейс внедрил DLP и шифрование резервных копий, ограничил выгрузки — инцидент был локализован, утечка не вышла за периметр; регламент отработан за 24 часа.
Документы и процедуры для соблюдения требований
Процедуры получения согласия на обработку данных
Процедура получения согласия:
1. Подготовка формы согласия с указанием всех обязательных элементов (см. раздел «Новые требования к получению согласия»).
2. Предоставление субъекту формы до начала обработки.
3. Получение подписи (бумажной или электронной) или иного подтверждения (галочка на сайте, SMS‑код).
4. Регистрация согласия в журнале согласий с указанием даты, ФИО субъекта, цели обработки.
5. Хранение согласия в течение всего срока обработки + срок исковой давности (обычно 3 года).
6. Обработка отзыва согласия: при получении отзыва — прекращение обработки в течение 30 дней (если нет иных правовых оснований).
Базовое согласие (короткая форма):
«Я, [ФИО], даю согласие [наименование оператора] на обработку моих персональных данных: [перечень данных], для целей: [цели]. Срок хранения: [срок]. Право отзывать согласие реализуется направлением заявления на [контакты]. Подпись: ______ Дата: ____.»
Согласие на передачу третьим лицам (короткое):
«Согласие на передачу третьим лицам: даю согласие на передачу моих данных [перечень] компании(ям) [перечень получателей] для целей: [цели]. Подробности и права описаны в политике: [ссылка].»
Ответственность за нарушения в сфере обработки персональных данных
Ответственность за нарушения в сфере обработки персональных данных (ПДн) — это юридические последствия (штрафы, работы, лишение свободы) для физических и юридических лиц, а также должностных лиц за несоблюдение законов (152-ФЗ).
Виды административной ответственности
КоАП РФ ст. 13.11 устанавливает следующие составы и санкции:
Отсутствие уведомления о начале обработки (реестр):
— юридические лица: 100–300 тыс. руб.;
— должностные лица: 30–50 тыс. руб.
Неподача уведомления об угрозе/утечке:
— юридические лица: 1–3 млн руб.
Утечки по масштабу:
— 1–10 тыс. субъектов: 3–5 млн руб.;
— более 100 тыс.: 10–15 млн руб.;
— утечка биометрии: 15–20 млн руб.
Повторная утечка:
— 1–3% выручки (не менее 20 млн руб.; максимум — 500 млн руб.).
Нарушение локализации (с 01.07.2025):
— до 6 млн руб.;
— повторно: до 18 млн руб.
Отсутствие уведомления в Роскомнадзор
Отсутствие уведомления о начале обработки персональных данных влечёт:
— для юридических лиц: штраф 100–300 тыс. руб.;
— для должностных лиц: штраф 30–50 тыс. руб.
Уведомление подаётся до начала обработки. При изменениях — в течение 10 рабочих дней.
Обработка данных без согласия
Обработка персональных данных без согласия субъекта (при отсутствии иных правовых оснований) влечёт:
— для юридических лиц: штраф 30–50 тыс. руб.;
— для должностных лиц: штраф 10–20 тыс. руб.
Исключения: обработка на основании закона, трудового договора, защиты жизни и здоровья.
Утечка персональных данных
Утечка персональных данных — несанкционированный доступ, распространение или иное нарушение конфиденциальности.
Санкции зависят от масштаба:
— 1–10 тыс. субъектов: 3–5 млн руб.;
— более 100 тыс.: 10–15 млн руб.;
— утечка биометрии: 15–20 млн руб.
Повторная утечка: 1–3% выручки (не менее 20 млн руб.; максимум — 500 млн руб.).
Уголовная ответственность (ст. 272.1 УК РФ):
— использование/передача/распространение ПДн, известного как полученные незаконно;
— создание/обслуживание ресурсов для незаконного хранения ПДн;
— санкции: лишение свободы до 10 лет и штраф до 3 млн руб. в отдельных квалификациях.
Также возможны привлечения по ст.137 УК РФ (посягательство на тайну частной жизни) в зависимости от обстоятельств инцидента.
Частые ошибки при соблюдении требований
Ошибки сотрудников и соискателей
Типичные ошибки сотрудников:
— пересылка ПД по мессенджерам без проверки;
— хранение сканов в открытых папках;
— неинформированность о праве отзыва согласия.
Решения: обучение, памятки, регулярные напоминания о правилах работы с данными.
Рекомендации и лучшие практики
Примеры успешной практики
— Маркетплейс внедрил DLP и шифрование резервных копий, ограничил выгрузки — инцидент был локализован, утечка не вышла за периметр; регламент отработан за 24 часа.
— Ритейл‑сеть перенесла базы в российский дата‑центр и ввела SMS‑подтверждение согласий — жалобы снизились, проверки проходили без штрафов.
— Онлайн‑сервис вынес отдельное согласие для формы «уведомить о наличии» → +12% к конверсии и отсутствие жалоб 6 месяцев.
Заключение
Будущее обработки персональных данных в России
Тренды развития законодательства о персональных данных:
— дальнейшее ужесточение требований к биометрии и ИИ‑обработке;
— расширение прав субъектов (право на забвение, портируемость данных);
— гармонизация с международными стандартами (при сохранении локализации);
— рост роли саморегулирования и отраслевых стандартов;
— усиление контроля за трансграничными передачами и облачными сервисами.
Работодателям и операторам важно следить за изменениями законодательства, регулярно обновлять политики и процедуры, инвестировать в обучение персонала и технические меры защиты.
Частые вопросы (FAQ)
1. Нужно ли переоформлять все согласия, собранные до 01.09.2025?
Нет, если цели и объём не изменились. При сомнении лучше переоформить ключевые согласия (маркетинг, трансграничка, биометрия).
2. Кто подаёт уведомление в Роскомнадзор — работодатель или ИТ‑аутсорсер?
Оператор (тот, кто определяет цели и средства обработки) обязан подать уведомление; аутсорсер — обработчик по договору.
3. За какой срок нужно уведомить РКН при изменениях?
В течение 10 рабочих дней с момента изменения (ч.7 ст.22 ФЗ‑152).
4. Сколько времени даётся на реакцию при инциденте?
Уведомление РКН — ≤24 ч; подробный отчёт — до 72 ч.
5. Можно ли хранить зарплатные базы в иностранном облаке?
Основные операции с ПДн граждан РФ должны выполняться в РФ (локализация с 01.07.2025); исключения редки и требуют юридического анализа.
6. Что делать при утечке биометрии?
Немедленно локализовать источник, уведомить РКН ≤24 ч, подготовить DPIA и проактивные меры защиты, информировать пострадавших.
7. Отказывают ли в услуге, если клиент отказался от биометрии?
Нельзя отказывать в услуге исключительно из‑за непрохождения биометрии; введён запрет на отказ в услуге по этому основанию.
8. Какие документы обязательны для работодателя?
Политика ПДн, положение/регламент, приказ об ответственном, реестр операций, журнал согласий, акты уничтожения.
9. Что такое реестр операций обработки?
Документ (или электронная система), содержащий перечень операций, целей, сроков хранения, получателей и мер защиты.
10. Как минимизировать риски штрафов?
Регулярные аудиты, адаптация локальных актов, технические меры (RBAC/MFA/DLP), прозрачные согласия и подготовленный план реагирования.
Локализация персональных данных (с 01.07.2025)
С 1 июля 2025 года вступают в силу жёсткие требования по локализации основных операций с ПДн граждан РФ: запись, систематизация, накопление, хранение, уточнение и извлечение должны выполняться на территории РФ. Это означает приоритет российских дата‑центров, российских облачных сервисов или локализованных услуг провайдеров.
Штрафы за нарушение локализации:
— организациям и ИП — до 6 млн руб.;
— при повторном нарушении — до 18 млн руб.
Что делать работодателю за 14 дней до дедлайна:
1. Инвентаризировать базы и каналы передачи: выявить все сервисы, хостинг и SaaS‑подрядчиков.
2. Оценить критичность: какие базы требуют первичной обработки в РФ.
3. Согласовать план переноса: договоры с российскими ДЦ/провайдерами, миграция БД, тесты.
4. Обновить договоры с провайдерами: SLA, гарантии локализации, ответственность.
5. Провести тестирование отказоустойчивости и контроля доступа в новой среде.
6. Подготовить уведомление в Роскомнадзор (при необходимости) и внутренний план коммуникаций.
Практический чек‑лист миграции:
Карта потоков данных → приоритеты → договор с РФ‑ДЦ → миграция бэкапов → документирование → тесты восстановления.
Трансграничная передача: 5 шагов для соответствия
1. Инвентаризация потоков: какие данные и кому уходят за рубеж.
2. Правовое основание: отдельное согласие, международный договор, или иное основание согласно ст.12 ФЗ‑152.
3. Отдельные согласия и уведомления: отдельное согласие на трансграничную передачу + уведомление РКН при необходимости.
4. Технические гарантии: шифрование, меры безопасности у иностранного получателя, договорные гарантии (SCC‑подобные условия).
5. Документирование: реестр передач, DPIA/оценка рисков трансграницы, журнал доступа.
