Обновлённый мануал для бизнеса
В 2025 году защита персональных данных стала критически важной темой для любого бизнеса. С декабря 2024 года и мая 2025 года вступили в силу изменения в законодательство о персональных данных, в уголовную и административную ответственность. Штрафы достигают десятков миллионов рублей, а по ряду статей предусмотрено лишение свободы. Поэтому этот мануал пошагово объяснит, как бизнесу защитить себя.
1. Уголовная ответственность: кто и за что
С декабря 2024 года в Уголовный кодекс добавили статью 272.1. Теперь за неправильную работу с персональными данными можно получить не просто штраф, а даже тюремный срок.
Наказание наступает, если вы:
— собрали или использовали чужие данные без разрешения;
— получили доступ к данным через взлом или обход защиты;
— не оформили согласие правильно или вообще его не брали.
Причём, даже если никто не пожаловался и никому не нанесли ущерба — всё равно можно попасть под уголовную статью. Главное — сам факт незаконных действий с данными.
Что грозит:
— штраф до 300 000 рублей;
— запрет на работу до 5 лет;
— лишение свободы до 4 лет.
А если речь идёт о детях, биометрии или вы действовали с умыслом, в группе, за деньги или нанесли крупный вред:
— штраф может вырасти до 3 миллионов;
— срок — до 10 лет.
Кто может быть наказан:
— любой сотрудник, который допустил нарушение;
— руководитель, если знал и не остановил;
— индивидуальный предприниматель, если сам обрабатывает данные.
2. Административная ответственность: за что и сколько
С мая 2025 года в России начали действовать новые правила. Поправки в Кодекс об административных правонарушениях усилили наказание за ошибки при работе с персональными данными.
Теперь, если вы забыли уведомить Роскомнадзор, обрабатываете данные без законного основания или не локализовали базы данных на территории России — вас могут оштрафовать.
Штрафы довольно серьёзные. За простое отсутствие уведомления — от 100 до 300 тысяч рублей. Если произошла утечка биометрических или специальных данных — штраф может составить до 20 миллионов. А если такая утечка повторится, может последовать оборотный штраф — до 500 миллионов рублей.
Важно помнить, что административная ответственность может идти параллельно с уголовной. То есть за одно и то же нарушение могут наказать и по административной, и по уголовной статье.
3. Как правильно работать с персональными данными
Чтобы не попасть под штрафы, важно с самого начала действовать по правилам. Начните с того, чтобы определить, на каком основании вы обрабатываете данные. Это может быть согласие клиента, договор с ним, требование закона или другое основание, прописанное в 152-ФЗ.
Перед тем как начинать обработку, обязательно подайте уведомление в Роскомнадзор. Сделать это можно через их сайт. А если в будущем вы поменяете условия — например, добавите новую категорию данных или начнёте работать с другой целью — не забудьте подать обновлённое уведомление.
Все персональные данные россиян должны храниться в базах, которые физически находятся на территории России. Это называется локализация. Если вы используете зарубежные облака — обязательно проверьте, где хранятся серверы.
Данные нельзя хранить вечно. После окончания цели обработки их нужно удалить. Лучше внедрить регулярную проверку — какие данные устарели, что можно удалить, чтобы не копить лишнее.
Чтобы следить за порядком, ведите внутренний реестр обработки данных. В нём фиксируются: что именно обрабатывается, кто эти люди, на каком основании, сколько храните и где, кто отвечает за безопасность.
И не забывайте про обучение. Все сотрудники, работающие с персональными данными, должны раз в год проходить инструктаж и быть ознакомлены с правилами под подпись.
4. Работа с подрядчиками, хостингами и облачными сервисами
Поручение на обработку данных:
- обязательно при передаче ПДн подрядчику;
- включает цели, перечень данных, действия, меры защиты, порядок возврата/уничтожения данных.
Проверка подрядчиков:
- наличие мер защиты, лицензий, антивирусов, шифрования, доступа по ролям;
- опросники и чек-листы по безопасности.
Контроль не отменяется: оператор остаётся ответственным за действия подрядчиков.
Трансграничная передача:
- возможна только при адекватной защите в стране-получателе;
- при передаче в США и иные «неадекватные» страны — требуется разрешение Роскомнадзора.
Риски:
- утечка от подрядчика = ответственность оператора;
- использование иностранного облака без локализации — прямое нарушение ст. 18 ФЗ-152.
5. Как получать согласия и уважать права пользователей
Начнём с самого главного: не все данные можно просто взять и использовать. Иногда достаточно договора или закона, а иногда — обязательно нужно согласие. Особенно это касается биометрии, здоровья и других чувствительных данных.
Согласие — это не просто галочка на сайте. Это документ (или зафиксированное действие), в котором чётко указано: зачем собираются данные, какие именно, что с ними будет происходить, и как долго они будут храниться. Если это онлайн-форма — пользователь должен явно согласиться: поставить галочку сам, нажать кнопку, подтвердить действие. Всё это важно зафиксировать. Автоматическая галочка или мелкий текст внизу страницы — уже не прокатывают.
Если у вас сайт или вы используете CRM-систему вроде Битрикс24, убедитесь, что согласие собирается отдельно, а не вперемешку с другими документами вроде оферты. У каждого согласия должна быть своя строка, своя галочка. И обязательно сохраняйте данные: IP-адрес, дату, сам текст, на который человек согласился.
Но на этом всё не заканчивается. Человек имеет право знать, что вы о нём храните. Попросил — ответьте в течение 10 рабочих дней. Хочет удалить или изменить данные — сделайте это. А если передумал и отозвал согласие — всё, дальше работать с этими данными нельзя. Удалить их нужно не позже чем через 30 дней.
Даже если кажется, что никто не будет спрашивать — одна жалоба может привести к проверке. Лучше всё настроить заранее и быть готовым. Это проще, чем разбираться с последствиями.
6. Минимизация рисков утечек и реагирование на инциденты
Даже если в компании всё вроде бы налажено, утечка персональных данных может случиться в любой момент. Иногда достаточно одной ошибки сотрудника. Чтобы не оказаться в зоне риска, важно заранее позаботиться о безопасности.
Начните с назначения ответственного за защиту данных. Пропишите внутренние правила, обучите сотрудников, как правильно обращаться с персональными данными. Это должно стать частью бизнес-процессов.
Также важна техника. Обновляйте программное обеспечение. Используйте антивирусы, шифрование, контроль доступа и ведите учёт действий в системах. Не забывайте про резервное копирование — это страховка от потерь и утечек.
Если всё же произошла утечка — не медлите. В течение 24 часов начните расследование и уведомите Роскомнадзор. За 72 часа — направьте предварительный отчёт. Лучше также предупредить пострадавших клиентов. Все действия фиксируйте. Это поможет снизить последствия при проверке.
7. Требования к сайту и политике обработки ПДн
Сайт — первое место, где вы собираете данные клиентов. Это формы обратной связи, заявки, подписки. Если на сайте нет понятной политики обработки данных — можно получить штраф даже без жалобы.
Политику нужно разместить рядом с каждой формой. В ней указываются: зачем собираете данные, какие именно, как обрабатываете, сколько храните и кто за это отвечает. Это не просто текст ради галочки. Это юридическая защита вашего бизнеса и клиента.
Также важно правильно получать согласие. Пользователь должен чётко подтвердить согласие: поставить галочку, нажать кнопку. Автоматические галочки, неясные фразы — уже не работают.
Если вы используете cookie — покажите пользователю баннер с объяснением. Нельзя собирать данные молча. А иностранные сервисы аналитики, вроде Google Analytics, которые передают данные за границу — под запретом без специального согласования.
8. Финальный чек-лист: самопроверка готовности бизнеса
Если вы дочитали до этого места — вы уже сделали первый шаг к защите персональных данных. Теперь — короткая самопроверка:
- Проведён ли аудит всех процессов с ПДн? Ведёте ли внутренний реестр?
- Проверены ли основания обработки? Есть ли договор, согласие, закон?
- Подано ли уведомление в Роскомнадзор? Обновлялось ли оно?
- Заключены ли поручения с подрядчиками и облаками? Есть ли локализация?
- Защищены ли технически ваши базы? Ограничен ли доступ?
- Настроен ли сбор согласий на сайте и в CRM?
- Размещена ли актуальная политика обработки?
- Есть ли план реагирования на инциденты и назначен ли ответственный?
- Проводите ли вы обучение сотрудников хотя бы раз в год?
Если на какой-то вопрос вы ответили «нет» — это повод срочно заняться этим пунктом. Закон не ждёт. А клиенты тем более.
Итог:
Соблюдение законодательства о персональных данных в 2025 году — это не просто требование, это вопрос выживания и репутации. Грамотная организация процессов, юридическая чистота, защита данных клиентов — это ваша инвестиция в устойчивость бизнеса. Не откладывайте проверку и настройку процессов. Действуйте уже сегодня.