Добавить в корзинуПозвонить
Найти в Дзене
PsyAi.pro - умный помощник психолога

ФЗ №152-ФЗ «О персональных данных» и №420-ФЗ. Что делать психологу и что будет если ничего не делать?

5
5 мин
С 30 мая 2025 года начал действовать Федеральный закон от 30.11.2024 № 420-ФЗ, ужесточающий административную ответственность за нарушения в сфере ПДн.
Если вы ведёте частную практику — как самозанятый или ИП — эти изменения касаются вас напрямую.
Разберём детально:
Вы — оператор персональных данных (даже если не задумывались об этом)

С 30 мая 2025 года начал действовать Федеральный закон от 30.11.2024 № 420-ФЗ, ужесточающий административную ответственность за нарушения в сфере ПДн. 

Если вы ведёте частную практику — как самозанятый или ИП — эти изменения касаются вас напрямую.

Разберём детально:

  • кто считается оператором персональных данных
  • какие штрафы предусмотрены
  • в каких случаях реально возможна проверка
  • когда стоит подавать уведомление в Роскомнадзор
  • как заполнить форму корректно

Вы — оператор персональных данных (даже если не задумывались об этом)

Если вы:

  • заключаете договор с клиентом
  • храните его ФИО, телефон, e-mail
  • ведёте записи после консультаций
  • используете CRM, облачные сервисы или специализированные платформы

вы являетесь оператором персональных данных.

А значит, подпадаете под требования 152-ФЗ.

Одно из ключевых требований — уведомление Роскомнадзора о намерении обрабатывать персональные данные.

Какие штрафы действуют с 30 мая 2025 года

1️⃣ Не подали уведомление в Роскомнадзор

Если оператор не уведомил или сделал это несвоевременно (ч. 10 ст. 13.11 КоАП РФ):

  • для граждан (в том числе самозанятых) — от 5 000 до 10 000 ₽;
  • для ИП — от 100 000 до 300 000 ₽.

2️⃣ Не подали уведомление + произошла передача данных

Если нарушение сопровождалось неправомерной или случайной передачей персональных данных и повлекло нарушение прав клиента (ч. 11 ст. 13.11 КоАП РФ):

  • для самозанятых — от 50 000 до 100 000 ₽;
  • для ИП — от 1 000 000 до 3 000 000 ₽.

Разница принципиальная. Особенно для ИП.

Будут ли массово проверять психологов?

На практике Роскомнадзор начинает проверки в двух случаях:

  1. Произошла утечка данных
  2. Поступила жалоба

Например, если конфиденциальная информация клиента стала известна третьим лицам, возможна проверка.

Плановых массовых проверок самозанятых и ИП без повода сейчас не проводится ввиду ограниченности человеческих ресурсов. Но при конфликте или жалобе вопрос поднимается быстро.

Нужно ли подавать уведомление?

Можно не подавать, если:

  • вы не храните данные о состоянии здоровья
  • не фиксируете диагнозы
  • не сохраняете чувствительные записи

Однако важно учитывать, что любые терапевтические заметки могут быть квалифицированы как данные о здоровье.

Рекомендуется подать уведомление, если:

  • вы храните записи о состоянии клиента;
  • используете электронные сервисы (Google, Яндекс, CRM, PsyAi.pro и др.);
  • работаете как ИП (штрафы существенно выше).

Даже в случае ИП штрафы в размере 1–3 млн ₽ возможны только при наличии жалобы или установленного нарушения. Но риски возрастают.

Практический подход: минимальное уведомление

Предлагаем такой вариант — подайте минимальное уведомление, чтобы подтвердить выполнение требований закона. Если у РНК возникнут претензии, обратитесь к юристам и подайте полноценное уведомление.

➡️ Форма для подачи

Для примера - при подаче уведомления для сервиса PsyAi.pro мы обращались к юристам, и их услуги стоили 40 000 ₽. Это показывает, что процедура может быть сложной без сопровождения.

Как заполнить форму уведомления

Сведения об операторе — внесите свои данные.

Цель обработки ПД: укажите «Подготовка, заключение и исполнение гражданско-правового договора» и выберите соответствующие пункты.

В разделе «Специальные категории персональных данных» не ставьте галочку у «сведения о состоянии здоровья».

 

Правовое основание обработки персональных данных: поставьте галочки у 1, 2, 6 пункта.

 

Перечень действий: отметьте все пункты.

 

Способы обработки: смешанная, без передачи по внутренней сети юридического лица, с передачей по сети интернет.

 

Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»: Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

• определяет угрозы безопасности персональных данных при их обработке;

• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

• создает необходимые условия для работы с персональными данными;

• организует учет документов, содержащих персональные данные;

• организует работу с информационными системами, в которых обрабатываются персональные данные;

• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

• организует обучение работников Оператора, осуществляющих обработку персональных данных.

 

Средства обеспечения безопасности: Согласие субъектов данных: получение согласия от субъектов данных на обработку и хранение их персональных данных, а также информирование их о целях сбора данных. • Соблюдение законодательства: осуществляется слежение за изменениями в законодательстве о защите персональных данных и соблюдением требований, установленных Правительством Российской Федерации и другими соответствующими органами.

 

Использование шифровальных (криптографических) средств: не используется.

 

Срок или условие прекращения обработки персональных данных: Прекращение предпринимательской деятельности, истечение срока хранения персональных данных, предусмотренного законом, договором или согласием субъекта персональных данных на обработку его персональных данных, отзыв субъектом персональных данных (или его представителя) согласия на обработку его персональных данных.

 

Осуществление трансграничной передачи персональных данных: не осуществляется

 

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ

 

Если вы используете сервис для психологов psyai.pro — вы можете указать наши данные, так как данные ваших клиентов хранятся у нас.

В противном случае укажите данные компании, которая предоставляет вам соответствующие услуги.

Страна: Россия

Адрес ЦОДа : Ленинградская Область, г. п. Дубровка, Советская улица, 1

Собственный ЦОД: нет

Тип организации: юридическое лицо

Организационно-правовая форма: Акционерные общества

Наименование организации: Акционерное общество «Селектел»

ОГРН: 1247800067790

ИНН: 7810962785

Страна местонахождения организации, ответственной за хранение данных: Россия

Адрес местонахождения организации, ответственной за хранение данных: 196006, г. Санкт-Петербург, ул. Цветочная, д. 21, лит. А

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ: Определены места хранения персональных данных (материальных носителей). Определен перечень лиц, осуществляющих обработку персональных данных и имеющих к ним доступ. Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. Обеспечен учет материальных носителей. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещениях, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации.

Машиночитаемая доверенность

Поставьте галочку: уведомление будет подписано лицом, имеющим право действовать без доверенности от имени оператора 

ВАЖНО: Работа с персональными данными — это юридическая зона риска. Чем прозрачнее ваши процессы, тем спокойнее вы работаете.