Подробный разбор с советами юриста
За 2022-й год в России утекло более 660 млн записей с персональными данными (ПДн). За утечку информации предприниматели получают штрафы. Разбираемся, как правильно хранить и защищать ПДн, какая ответственность ждет тех, кто нарушит закон, и что поменялось в 2025 году.
Впервые эта статья была написана нами для блога Лидмашины. В 2025 году в журнале «Конверт» мы актуализировали информацию и обновили материал.
Об этом рассказала юрист по защите интеллектуальной собственности адвокатского бюро «Гриц и партнеры» Анна Юпатова. Изменений много: увеличение штрафов мы уже разобрали, назовем еще два ключевых блока, которые влияют на риски для бизнеса.
Закон обязывает операторов уведомлять РКН о факте утечки ПДн в течение 24 часов, а ещё через 72 часа — направить подробный отчёт с анализом произошедшего. Это правило действует давно, но теперь несвоевременное уведомление само по себе ― нарушение, и влечет крупный штраф.
Представим, что утечка случилась у фитнес-студии. Злоумышленники получили доступ к учётной записи администратора и выгрузили базу заказов, включающую ФИО, адреса и телефоны покупателей, а еще хуже — информацию о здоровье (чувствительные данные пользователей).
Компания увидела резкий рост ошибок авторизации, начала проверку, но решила «не торопиться» и подать уведомление через несколько дней, когда разберётся. РКН посчитал, что оператор нарушил срок подачи первичного уведомления. В итоге магазин получил два штрафа: за саму утечку и за то, что вовремя не сообщил.
С 1 сентября 2025 года согласие на обработку ПДн нужно оформлять отдельным документом — не скрытым внутри пользовательского соглашения и не «галочкой под формой».
Например, ранее на сайте достаточно было повесить форму «Введите имя и email» и маленькую ссылку «Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности».
С 2025 года такой формы недостаточно и согласие необходимо разместить отдельным пунктом. Если этого нет — сбор данных считается незаконным, даже если информация давно используется.
Основной документ, регулирующий работу с ПДн, ― ФЗ № 152-ФЗ «О персональных данных». Согласно ему, «персональные данные ― это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Это могут быть ФИО, email, телефон и т. д.
Полного перечня видов ПДн нет, потому что обычно в расчет берут контекст. Например, в деле А40-139096/2022 Верховный суд РФ отказался признать адрес электронной почты и номер телефона персональными данными. Страховая компания собирала заявки на оформление полиса и запрашивала у пользователей только эту информацию. Роскомнадзор (РКН) посчитал обработку ПДн незаконной и подал иск.
Суд объяснил отказ удовлетворить запрос так: в этом случае нельзя определить конкретное лицо, к которому относится email и телефон. Пользователь может удалить почтовый ящик и расторгнуть договор с оператором связи ― тогда адрес почты и номер телефона перейдут другому человеку. Если бы при этом страховщики запрашивали у клиентов ФИО и можно было бы определить конкретное физическое лицо, указанная выше информация считалась бы ПДн.
Чтобы понимать, какая информация кроме ФИО, электронной почты и телефона может считаться ПДн, посмотрим на категории ПДн. Они прописаны в Постановлении Правительства РФ № 1119.
– Специальные ― данные о национальности и расе, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
– Биометрические ― информация о биологических и физиологических особенностях человека, на основании которых можно установить личность (например, отпечатки пальцев).
– Общедоступные ― информация из справочников и адресных книг, на размещение которой пользователь дал письменное согласие. Примеры ― ФИО, год и место рождения и др. (ФЗ № 152, ст. 8).
– Иные. ПДн, которые не входят в первые три категории.
Примеры данных есть на сайте РКН в форме уведомления для регистрации оператора.
Если компания собирает ПДн клиентов (например, просит заполнить форму с ФИО и email, чтобы занести в базу и отправлять рассылку) или обрабатывает данные сотрудников, она становится оператором ПДн.
Перед началом работы с ПДн оператор обязан уведомить контролирующий орган ― РКН (ФЗ № 152, ст. 22). Для этого нужно заполнить уведомление о намерении обрабатывать ПДн. Форма есть на официальном сайте РКН. Документ можно направить в бумажном виде почтой России или в электронном ― с помощью электронной подписи (УКЭП) через сайт РКН или через «Госуслуги».
РКН вносит организацию в реестр операторов в течение 30 дней (ст. 22 ФЗ «О персональных данных») и после публикует данные у себя на сайте.
Если в уведомлении оператора меняются сведения, или обработка ПДн прекращается, компания так же должна поставить в известность РКН. На эти случаи заполняются другие формы.
Но перед тем, как отправить уведомление, нужно подготовиться к выполнению функций оператора: разработать документы, продумать хранение и защиту ПДн.
Политику действий в отношении ПДн оператор определяет самостоятельно. В каждой организации, которая занимается обработкой этой информации, есть набор документов со способами сбора, сроками обработки и хранения, целями, порядком уничтожения и т. д. (ФЗ № 152, ст. 18.1).
Фиксированного перечня документов в законе нет. Ниже расскажу, что чаще всего составляют компании.
– Политика обработки и защиты ПДн (иногда ее включают в политику конфиденциальности). Там указываются цели обработки, виды данных для сбора, условия хранения. Составить помогут рекомендации РКН. Политику размещают в общем доступе, чаще всего, на официальном сайте компании.
– Согласие на обработку ПДн. Документ подписывают с субъектом (тем, чьи данные вы собираете) перед сбором информации. Если речь идет об интернет-взаимодействии ― достаточно, например, поставить галочку в форме и дать ссылку на документ. В нем прописываем, с какой целью собираем данные и как будем обрабатывать. Требования к содержанию согласия есть в ФЗ № 152, ст. 9.
– Приказы для сотрудников, которые занимаются обработкой ПДн в компании. По закону оператор назначает ответственных лиц (ФЗ № 152, ст. 22.1).
– Локальные акты о работе с ПДн внутри компании. Эти документы устанавливают порядок работы с данными работников, клиентов, подрядчиков: как получаем, где и сколько храним, как удаляем.
– Документ о неразглашении ПДн. Сотрудники, которые будут работать информацией, подписывают положение, что не передадут данные третьим лицам.
Документов по ПДн может быть около 50. На мой взгляд, полный перечень есть на сайте юридической компании Legal Box. Каждый оператор составит свой набор.
ПДн могут храниться в бумажном или электронном виде. Согласно ФЗ № 152, ст. 18.1, п. 1.2, оператор сам определяет способ и фиксирует это в локальных документах (например, базы данных клиентов часто хранят в виртуальном облаке, а информацию о сотрудниках ― в распечатанном виде).
Другое требование ― чтобы базы данных находились на территории РФ. Исключения ― случаи, перечисленные в ФЗ № 152, ст. 18, п. 5.
В том же ФЗ № 152, ст. 5, п. 7 есть общие требования к хранению.
– Хранить данные не дольше, чем нужно для целей обработки, в формате, позволяющем определить субъекта.
– После достижения цели ПДн уничтожить или обезличить.
Основа правильного хранения ПДн ― надежная защита. За нее отвечает оператор (ФЗ № 152, ст. 19), даже если передает обработку третьему лицу (тогда нужно заключать договор ― Постановление Правительства № 1119, п. 3).
Для каждой категории ПДн устанавливаются свои средства защиты. Они зафиксированы в нормативных актах Федеральной службы безопасности Российской Федерации (ФСБ) ― приказ ФСБ России от 10 июля 2014 г. № 378 и Федеральной службы по техническому и экспортному контролю (ФСТЭК) ― приказ ФСТЭК России от 18.02.2013 № 21. ФСБ отвечает за криптографическую защиту данных, а ФСТЭК ― за техническую. Все технические средства для защиты ПДн должны пройти проверку этих служб.
Всего выделяют четыре уровня защищенности ПДн. Чтобы определить уровень, нужно знать четыре параметра (Постановление Правительства № 1119):
– Категория ПДн: 1 ― специальные, 2 ― биометрические, 3 ― общедоступные, 4 ― иные.
– Чьи ПДн будут обрабатываться: работников организации или других лиц.
– Количество субъектов, данные которых обрабатываются: менее 100 000 и более 100 000.
– Типы актуальных угроз: 1 ― связанные с наличием недокументированных возможностей в системном программном обеспечении; 2 ― связанные с наличием недокументированных возможностей в прикладном программном обеспечении; 3 ― не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении.
К технологии хранения биометрических данных вне информационных систем есть особые требования.
Зная эти параметры, можно рассчитать уровень защищенности ПДн по калькулятору ФСТЭК. Система выдаст перечень мер для защиты информации. Но: нужно точно знать все параметры, иначе калькулятор определит уровень неправильно. Чтобы не ошибиться, стоит обратиться к специалисту по информационной безопасности.
Например, ПДн в Unisender защищают меры четвертого уровня. Некоторые из них:
– вся информация размещена на серверах в сертифицированных датацентрах;
– передача данных по защищенному протоколу SSL (защищенный протокол HTTPS);
– сертификат одного из ведущих сертификационных центров Comodo;
– все передаваемые данные шифруются 128-битным ключом, как в крупных банках или платежных системах;
– коммутаторы и брандмауэры размещены на каждом уровне для дополнительной безопасности;
– передача данных между узлами осуществляется посредством SSL-соединений;
– ведется постоянный мониторинг безопасности сетей;
– гибкая настройка прав доступа по ролям;
– настройка доступа к разным функциям: просмотр контактов, загрузка контактов, создание сообщений, отправка email- и sms-рассылок;
– отправка по API, без загрузки базы электронных адресов клиентов в сервис Unisender и др.
Оператору, который нарушил требования ФЗ № 152, грозит административная, уголовная, дисциплинарная и гражданско-правовая ответственность. Формат наказания зависит от случая. Например:
30 ноября 2024 года президент подписал документы, вносящие поправки в КоАП РФ и УК РФ, согласно которым порядок работы с ПДн ужесточился.
Например, согласно ст. 13.11 КоАП РФ, штрафы для юрлиц, допустивших утечку данных составляют:
Бизнес-юрист, юрист по защите интеллектуальной собственности адвокатского бюро «Гриц и партнеры»
С 2025 года выросли штрафы за нарушения в сфере ПДн, а система наказаний стала более детализированной. Теперь закон учитывает масштаб проблемы, а не просто факт нарушения.
Если раньше большая часть нарушений «укладывалась» в штрафы до нескольких сотен тысяч рублей, теперь суммы могут достигать миллионов или даже процентов от годовой выручки компании.
Например, в июле 2025 года хакеры атаковали ИТ-системы ПАО «Аэрофлот», из-за чего сервисы авиакомпании работали с перебоями. Генпрокуратура возбудила уголовное дело по факту неправомерного доступа к компьютерной информации. РКН быстро проверил инфраструктуру и подтвердил: утечки ПДн пассажиров и сотрудников не было.
Инцидент квалифицировали как сбой критической IT-инфраструктуры, а не как утечку ПДн — значит, оснований для штрафов по ст. 13.11 КоАП РФ не возникло. Однако даже без утечки сам факт взлома снизил доверие пользователей и потребовал от компании дополнительных публичных разъяснений.
За один такой инцидент штраф может составить от 5 до 20 млн ₽.
Если спустя год случится второй похожий эпизод — штраф будет рассчитан уже как процент от выручки: от 0,1% до 3%, но не менее 20 млн и не более 500 млн ₽.
Закон включает и штрафы за несоблюдение требований по оповещению РКН об инцидентах утечки данных:
Второй закон ввел уголовную ответственность за незаконные сбор, использование, передачу, хранение ПДн граждан ― штраф в размере до 300 000 ₽ или в размере зарплаты осужденного за период до одного года, либо принудительные работы на срок до четырех лет, либо лишение свободы также до четырех лет.
Кроме того, за создание ресурсов для незаконных хранения и передачи ПДн грозит штраф до 700 000 ₽ или в размере зарплаты осужденного за период до двух лет, возможно, с лишением права занимать определенные должность и заниматься определенной деятельностью на срок до двух лет, либо принудительные работы на срок до пяти лет с таким же штрафом, либо лишение свободы на срок до пяти лет с таким же штрафом.
Бизнес-юрист, юрист по защите интеллектуальной собственности адвокатского бюро «Гриц и партнеры»
С конца 2024 года незаконный сбор, хранение, передача или продажа чужих ПДн может привести не только к административной, но и к уголовной ответственности — вплоть до лишения свободы.
Это касается не только «чёрных баз», но и ситуаций, когда сотрудники компании сознательно или по неосторожности создают риск. Например, если менеджер отдела продаж решил «подработать» и выгрузил базу клиентов своего работодателя объемом в 50 000 (с именами, телефонами, историей заявок, чтобы продать конкурентам).
Теперь это не просто дисциплинарный проступок и не только штраф компании. Это полноценное уголовное преступление, по которому сотруднику могут грозить крупный штраф, ограничение свободы либо лишение свободы до нескольких лет.
Для компании результат тоже тяжёлый: и репутационные потери, и административные штрафы.
8 сентября 2023 года РКН опубликовал на официальном сайте рекомендации для операторов ПДн. Используйте эти подходы, чтобы действовать по закону.
1. Собирайте только те данные, которые нужны для достижения цели. Например, если вы задумали общаться с клиентом через сервис email-рассылок, отправляя письма с презентацией товаров/услуг, достаточно узнать имя, фамилию и электронный адрес. Номер телефона можно не брать. И не собирать лишние данные даже на «всякий случай». После достижения цели информацию рекомендуют уничтожить.
2. Храните ПДн, различные по целям и категориям, в разных местах. К примеру, сведения о клиентах можно поместить на облачный диск, а о сотрудниках ― в локальную базу данных на компьютере или распечатать.
Причем данные, раскрывающие личность человека (ФИО, адрес и др.), и документы по взаимодействию с ним (переписка, договоры и др.) тоже лучше хранить отдельно, а для сопоставления информации использовать синтетические идентификаторы.
3. Чтобы защитить данные, даже при передаче для обработки третьим лицам, используйте технические средства, которые принадлежат вам.
4. Своевременно передавайте информацию об утечках в РКН.
5. Защищайте данные внутри организации с помощью физических средств (например, охранных систем).
6. Назначьте в компании ответственного за защиту ПДн.
Все это поможет правильно обрабатывать ПДн и не нарваться на штрафы.
Если компания не собрала согласие на обработку данных либо если такое согласие неконкретное, РКН может начислить штраф до 700 000 ₽. За повторное нарушение в течение года придется заплатить до 1,5 млн ₽. Именно такие нарушения и перемножение штрафов — главная опасность для бизнеса.
Из-за ужесточения требований к ПДн компании не смогут ограничится формальной политикой конфиденциальности на сайте. Чтобы избежать штрафов и снизить риски, надо выстроить систему работы с ПДн.
Ниже — основные шаги, которые помогут обрабатывать данные в соответствии с законом.
Разберитесь во внутренних процессах. Компании важно составить детальную карту обработки ПДн: определить, какие категории субъектов вовлечены, какие сведения собираются, из каких источников они поступают и кому передаются внутри организации.
Для каждого процесса нужно чётко определить цель обработки, правовое основание (согласие, договор, закон) и реальный срок, в течение которого требуются данные. Ревизия позволит избавиться от лишних действий, увидеть слабые места и корректно заполнить или обновить уведомление в реестре операторов ПДн.
При проведении полномасштабной проверки РКН в первую очередь будет выявлять нарушения в интернет-ресурсах компании.
Проверьте, есть ли у вас на сайте:
И помните: никаких предпроставленных галочек.
Согласие на обработку ПДн должно существовать как самостоятельный, понятный и явно подтверждённый документ. Это означает, что привычные «галочки» под формой или слияние согласия с договором больше не подходят.
Необходимо подготовить отдельные формы, где чётко указаны цели обработки, перечень данных, возможные действия оператора и срок хранения информации.
Компании необходимо привести в порядок внутреннюю документацию:
Особое внимание нужно уделить договорам с подрядчиками. Если они фактически обрабатывают данные по поручению компании — будь то CRM, хостинг или колл-центр — в договоре надо прописать обязательные меры защиты, порядок уведомления об инцидентах и ограничения на передачу данных третьим лицам. Закон прямо указывает, что ответственность перед субъектом несёт оператор, а не подрядчик, поэтому эти условия важны.
Большая часть нарушений возникает из-за того, что сотрудники делают ошибочные рассылки, выкладывают документы в общий доступ или выгружают базы на личные носители.
Чтобы уменьшить риски, компаниям полезно проводить регулярные внутренние проверки — раз в полгода или хотя бы раз в год — и обучать сотрудников базовым правилам безопасности данных. Такие меры снизят вероятность инцидентов и позволят вовремя выявлять проблемы до того, как ими заинтересуется регулятор.
Бизнес-юрист, юрист по защите интеллектуальной собственности адвокатского бюро «Гриц и партнеры»
Чтобы не платить многомиллионные штрафы, нужно уже сейчас сделать чекап компании на предмет соблюдения требований закона. Для этого лучше привлечь экспертов: они помогут разобраться с нюансами. Например, можно обратиться в наше бюро за аудитом.
А как бизнесу внедрять новые требования на практике, я подробно рассказала на вебинаре о персональных данных.
Читайте только в Конверте
В «Моей удалёнке» легко подключать исполнителей, оформлять договоры, оплачивать счета самозанятых и ИП. Без бумажной волокиты и налоговых рисков.
Искренние письма о работе и жизни, эксклюзивные кейсы и интервью с экспертами диджитала.
Проверяйте почту — письмо придет в течение 5 минут (обычно мгновенно)
