Обработка персональных данных с 30 мая: инструкция для бизнеса

С 2025 года требования к обработке персональных данных (ПД) в России стали заметно строже и системнее.

В связи с этим, предприниматели обязаны не только соблюдать Закон № 152-ФЗ «О персональных данных», но и грамотно организовать процессы внутри компании, чтобы избежать ответственности и дальнейших штрафов.

В этой статье мы рассказываем главное, что нужно знать владельцам бизнеса о работе с персональными данными в 2025 году. Листайте, читайте и работайте без последствий.

Не забудьте нажать «лайк» и подписаться на «Чёрную Бухгалтерию» в Дзене, чтобы следить за другими полезными публикациями для бизнеса:

Что такое персональные данные и для чего они бизнесу?

Персональные данные — это личная информация, которая позволяет идентифицировать человека. Например, к ним относятся:

• ФИО;
• Номер телефона;
• Email;
• Паспортные данные;
• Фото;
• Информация о месте жительства, транспортном средстве, профессии и даже IP-адрес.

Персональными данными так же считаются более чувствительные сведения — о здоровье человека, его взглядах или биометрии.

Для бизнеса персональные данные — это инструмент для взаимодействия с клиентами, сотрудниками и партнерами. Они помогают оформлять заказы, вести учет, отправлять уведомления, проводить маркетинговые кампании и выполнять юридические обязательства.

Таким образом, если ваша компания:

• Ведет онлайн-продажи или предусматривает регистрацию на сайте
• Осуществляет Email- или SMS-рассылки
• Cобирает анкеты
• Работает с физическими лицами (клиентами, партнерами, сотрудниками)

— вы обрабатываете персональные данные.

Кто отвечает за персональные данные в компании?

С 30 мая 2025 года в каждой компании должен быть назначен сотрудник, ответственный за обработку персональных данных.

Как правило, им становится бухгалтер, кадровик или администратор. Главное — один ответственный на организацию. Именно он отвечает за соблюдение порядка обработки данных, ведение документации и взаимодействие с Роскомнадзором.

В связи с этим, до 30 мая владельцы бизнеса должны:

1. Выбрать сотрудника, ответственного за работу с персональными данными;
2. Заключить с ним допсоглашение к трудовому договору;
3. Издать приказ о назначении;
4. Обновить должностную инструкцию;
5. Взять подписку о неразглашении данных.

Если ответственный не был назначен, а в компании произошла утечка данных — ее директору грозит штраф и даже персональная ответственность.

Вы можете узнать больше об этом обязательстве из нашей недавней новостной публикации:

Политика обработки персональных данных: что это и зачем?

Политика обработки персональных данных — это внутренний документ компании, в котором описываются все правила и процедуры работы с персональными данными.

В политике обязательно указывается:

• Какие данные собираются и для чего;
• Как они защищаются и кто имеет к ним доступ;
• Сроки хранения и порядок удаления информации;
• Права субъектов данных — клиентов и сотрудников.

Можно сказать, что политика — это «паспорт» компании как оператора персональных данных. Если Роскомнадзор запросит информацию — этот документ будет первым в списке.

Обратите внимание: наличие политики обязательно для всех юридических лиц. ИП и самозанятые могут не публиковать ее, однако в случае запроса от клиента, они обязаны сообщать о том, как именно обрабатывают его ПД.

Как составить и утвердить политику обработки персональных данных?

Роскомнадзор дал подробные рекомендации на этот счет:

1. Назначьте ответственного

Это может быть как штатный сотрудник, так и внешний специалист. Главное — один ответственный на организацию.

2. Составьте сам документ

Рекомендуем взять за основу рекомендации Роскомнадзора. Убедитесь, что документ включает:

• Цели обработки данных;
• Основания и правовые нормы;
• Список обрабатываемых данных и субъектов;
• Порядок обработки, хранения и уничтожения данных;
• Порядок ответов на запросы от клиентов.

3. Утвердите документ

Это можно сделать через отдельный приказ или гриф «Утверждаю» на первой странице документа.

4. Ознакомьте сотрудников

Каждый сотрудник, который имеет доступ к персональным данным, должен поставить подпись, подтверждающую то, что он прочитал документ.

5. Разместите политику на сайте

Если вы собираете персональные данные онлайн — политика должна быть доступна по ссылке рядом с формами, в которых вводятся эти данные.

Образец документа есть на сайте Роскомнадзора, но его важно адаптировать под свою компанию. Например, интернет-магазин и автосервис собирают отличающиеся данные — значит, их политика тоже будет разной.

Ответственность за нарушения в работе с персональными данными

Если Роскомнадзор обнаружит, что:

• В компании отсутствует политика обработки персональных данных;
• Документ не размещен в свободном доступе на сайте;
• Порядок обработки персональных данных нельзя подтвердить документально;

в этом случае будет назначен штраф:

• Для юридического лица — от 25 000 до 50 000 ₽;
• Для руководителя — от 4 000 до 10 000 ₽.

Кроме того, несоблюдение требований по обработке персональных данных может привести к приостановке деятельности и серьезным репутационным потерям.

Если вы хотите развивать любимое дело, не отвлекаясь на частые нововведения и сложности с ведомствами — обратитесь к Чёрной Бухгалтерии!

Наша команда заберет на себя ведение учетов, расчет налогов и взносов, подачу отчетности, коммуникацию с ФНС и другие задачи с учетом всех изменений, чтобы вы работали без ошибок и штрафов.

Узнайте больше о компании, ознакомьтесь с услугами и оставьте заявку уже сейчас — на сайте чёрнаябухгалтерия.рф.