С 30 мая 2025 года в России существенно ужесточились правила работы с персональными данными. За ошибки, связанные с персональными данными граждан — будь то неправильно сделанная форма на сайте или рассылка без согласия клиента — теперь можно получить большой штраф, а по некоторым нарушениям он может быть до 18 миллионов рублей. Это не выдумка: обновлённая статья 13.11 КоАП РФ ввела новые крупные штрафы для всех операторов ПДн, от блогеров и ИП до крупных компаний. Поэтому каждому, кто собирает или хранит данные клиентов, необходимо обеспечить полное соответствие требованиям закона о персональных данных.
Во-первых, оператор обязан зарегистрироваться в реестре Роскомнадзора перед началом обработки данных (за отсутствие регистрации теперь штраф до 300 тыс. руб.), а при использовании зарубежных сервисов отдельно уведомить о трансграничной передаче данных. Во-вторых, нужно подготовить внутренний пакет документов, подтверждающих соблюдение Федерального закона №152-ФЗ «О персональных данных» и связанных нормативов. Ниже мы рассмотрим, какие документы нужны каждому оператору ПДн для законной работы. Учтите, что конкретный перечень может отличаться в зависимости от специфики вашего бизнеса (есть ли сотрудники, сайт, CRM и т.д.), но базовый список обязателен для всех.
!На практике Роскомнадзор сейчас проверяет не только факт регистрации организации в реестре операторов персональных данных, но и активно проводит другие виды проверок. По опыту юриста компании Роском24 Стефании Карпеевой, ведомство устраивает выездные проверки, направляет запросы, а также ежедневно автоматически сканирует множество сайтов организаций с помощью искусственного интеллекта. Рассмотрим основные аспекты, которые помогут Вам защититься при проверке Роскомнадзора.
Необходимые документы оператора персональных данных
- Политика обработки персональных данных. Это основной документ, определяющий цели и способы обработки данных, категории собираемых персональных данных и субъектов, сроки хранения и порядок уничтожения данных. Политика должна быть доступна всем заинтересованным лицам – например, опубликована на сайте компании (в футере) либо в офисе. Отсутствие публичной Политики является правонарушением и может повлечь наказание (по КоАП РФ), поэтому важно оформить этот документ и разместить его в открытом доступе.
- Согласие на обработку персональных данных. Письменное или электронное согласие субъекта ПДн на их обработку – обязательное условие законной работы с данными. Такое согласие должно быть конкретным, информированным и однозначным. Его включают во все формы заявок, регистрации или обратной связи на сайте, либо оформляют отдельным документом при офлайн-сборе данных. Отсутствие надлежащим образом полученного согласия грозит штрафом до 700 тыс. руб., а при повторном нарушении – до 1,5 млн руб. (ч.2 и 2.1 ст. 13.11 КоАП РФ).
- Согласие на рекламную рассылку. Отдельный документ, подтверждающий, что клиент согласен получать от вас рекламно-информационные сообщения (email-рассылки, SMS, звонки). Нельзя объединять маркетинговое согласие с общим согласием на обработку данных или прятать его в Политику – такое объединение недопустимо, согласие на рассылку должно быть самостоятельным документом. Если вы рассылаете уведомления клиентам, убедитесь, что у вас есть отдельное согласие на рекламу; в противном случае Роскомнадзор может трактовать это как обработку данных без должного согласия и оштрафовать (по тем же частям ст.13.11 КоАП).
- Приказ о назначении ответственного за обработку ПД. Руководитель организации должен своим приказом назначить сотрудника, ответственного за организацию обработки персональных данных. В маленьких компаниях эту роль может выполнять сам руководитель. Такой приказ об ответственном лице фиксирует, кто отвечает за соблюдение 152-ФЗ внутри компании, и обычно одновременно утверждает инструкцию с перечнем функций этого ответственного. Кроме этого, законом предусмотрены и другие распорядительные документы (приказы), например: о назначении ответственного за безопасность ПД (актуально при обработке специальных или биометрических категорий данных), о перечне сотрудников, допущенных к работе с ПД, о перечне информационных систем, где хранятся персональные данные, о создании комиссии по уничтожению носителей с ПД и т. д. Эти приказы подтверждают, что у вас внутри налажены процессы защиты данных.
- Внутренние положения по защите персональных данных. Помимо Политики (публичной), операторы разрабатывают и целый ряд внутренних локальных актов (положений), которые описывают систему защиты ПДн в организации. В их число входят, например: Положение о защите персональных данных (описание мер и средств защиты, реализуемых в компании), Положение о порядке уничтожения персональных данных (что делать с данными по окончании целей обработки), Положение об оценке вреда субъектам ПД в случае нарушения безопасности и меры по предотвращению такого вреда. Эти документы требуются для полноценного исполнения требований законодательства и подтверждают, что вы предусмотрели необходимые процедуры обращения с данными.
- Инструкции и журналы учета. К числу необходимых документов также относятся различные инструкции, регламенты, правила и журналы в сфере работы с персональными данными. Они детализируют конкретные процедуры и фиксируют важные события, связанные с ПДн. Например, организация должна иметь инструкции: по мониторингу информационной безопасности и антивирусному контролю, по обеспечению безопасности персональных данных в информационных системах, по обработке обращений субъектов ПД (как реагировать на запросы граждан о доступе, исправлении или отзыве данных), и др. Также ведутся специальные журналы учета: например, журнал материальных носителей с ПД, журнал обращений граждан по вопросам персональных данных, журнал регистрации паролей доступа к базам данных и т.п. Наличие и корректное ведение этих инструкций и журналов проверяется при аудите Роскомнадзора, поэтому их тоже необходимо подготовить и регулярно обновлять.
Обратите внимание, что полный внутренний комплект документов может насчитывать более 30 документов (в среднем около 34 позиций). Роскомнадзор на проверках запрашивает именно этот пакет для убедительности, что обязанности оператора ПДн выполняются в полной мере. В зависимости от изменений в вашей организации (смена руководства, адреса, новых технологий и др.) документы нужно своевременно актуализировать, а сведения в реестре Роскомнадзора – обновлять при любом изменении деятельности.
Если вам сложно самостоятельно разобраться во всех требованиях, можно привлечь профессионалов. Специалисты Роском 24 помогут быстро подготовить весь необходимый пакет документов и взять на себя взаимодействие с надзорными органами. При необходимости они обновят ваши документы и даже внесут изменения в реестр Роскомнадзора – для этого достаточно заключить договор сопровождения, и вам не будут страшны ни плановые, ни внезапные проверки. С грамотной юридической поддержкой требования закона о персональных данных становятся понятными и выполнимыми, а ваш бизнес будет надежно защищён от штрафов.
ПАМЯТКА: Полный список документов для выполнения обязанности оператора персональных данных.
Скачайте список из 34 документов, необходимых для полного соблюдения этой обязанности (штрафы за нарушение – до 18 млн руб.), по ссылке
Оставить заявку на разработку документов и регистрацию в Роскомнадзоре можно по ссылке