Работа с персональными данными — зона ответственности любой компании. Даже если вы не ведёте рассылки и не собираете данные на сайте, у вас точно есть сотрудники, клиенты или контрагенты, данные которых обрабатываются.
С 30 мая 2025 года вступили в силу новые положения законодательства, усиливающие ответственность за нарушение правил обработки персональных данных. При этом ключевые требования не новые — но теперь за их невыполнение можно получить штрафы в десятки, а иногда и в сотни тысяч рублей.
Что считается обработкой персональных данных
Под персональными данными закон понимает любую информацию, прямо или косвенно относящуюся к физическому лицу: ФИО, дата рождения, адрес, номер телефона, e-mail, паспортные данные, СНИЛС, фото, видео, голос, сведения о здоровье, национальности, доходах, IP-адреса, cookie-файлы, геолокация.
Даже если вы просто запрашиваете номер телефона для обратной связи — это уже обработка персональных данных.
💡 Детальнее поговорили про изменения и вступающие в силу штрафы в двадцатиминутном видео с юристом. Смотрите по ссылке.
Когда нужно подавать уведомление в Роскомнадзор
Если организация обрабатывает персональные данные (включая клиентов, сотрудников, пользователей сайта), она обязана: уведомить Роскомнадзор, включиться в реестр операторов персональных данных, соблюдать установленные законом меры защиты.
Есть исключения, но их немного. Например, если обработка данных ведётся только в рамках трудовых отношений, без передачи третьим лицам. Однако в большинстве случаев уведомление — обязательная процедура.
Что должно быть в уведомлении
В уведомлении указываются: цели и основания обработки персональных данных, перечень категорий данных, категории субъектов (сотрудники, клиенты и пр.), сроки и способы обработки, меры по защите информации, сведения о трансграничной передаче (если применимо), лицо, ответственное за организацию обработки.
Роскомнадзор рассматривает уведомление в течение 30 календарных дней. Если в нём допущены ошибки — придёт отказ, и данные не попадут в реестр.
Что поменялось с 30 мая 2025 года
Основное изменение — увеличение штрафов. Теперь за нарушение порядка подачи уведомления штраф составляет до 100 000 рублей для юрлица.
Если данные обрабатываются без уведомления — штраф может достигать 500 000 рублей;
При повторном нарушении или обработке чувствительных данных (например, биометрии) — штраф возрастает до 1 млн рублей;
При нарушениях, связанных с трансграничной передачей данных — до 18 млн рублей.
Ответственность может быть как административной, так и дисциплинарной. А в отдельных случаях (например, неправомерный доступ или утечка данных) — вплоть до уголовной.
Как проверить, всё ли в порядке
Чтобы не попасть под проверку или штраф, стоит пройтись по короткому чек-листу:
- Проверить, подано ли уведомление в Роскомнадзор.
- Убедиться, что оно актуально: если что-то изменилось (категории данных, цели обработки) — уведомление нужно обновить.
- Назначить ответственного за организацию обработки ПДн.
- Обновить политику обработки персональных данных — она должна быть доступна на сайте.
- Проверить формы согласий на сайте, в анкетах и в CRM.
- Обозначить правила доступа: кто и зачем имеет право обрабатывать персональные данные.
Важно: если уведомление подавалось до 1 сентября 2022 года — его нужно переподать. В старом формате оно больше не считается действующим.
Что делать бизнесу сейчас
Во-первых, провести аудит обработки ПДн внутри компании. Во-вторых, убедиться, что документы и процессы соответствуют текущим требованиям. В третьих, перепроверить уведомление — и подать его заново, если это необходимо. В четвёртых, настроить регулярный контроль за изменениями в этой сфере.
💡 А если у вас возникли трудности с подачей необходимого документа, или вы хотите узнать, как снизить возникшие юридические риски — обращайтесь к нашим экспертам. Поможем корректно составить декларацию даже в сжатые сроки.