Персональные данные: правила, риски, ответственность в 2025

Как работать с персональными данными в 2025 году — правила, штрафы, рекомендации

Каждый раз, когда мы говорим о персональных данных, на ум приходит образ некой мистической сущности, которую нужно охранять с особой бдительностью. На самом деле всё проще: персональные данные — это любая информация, которая позволяет идентифицировать конкретного человека. ФЗ-152 «О персональных данных» от 2006 года определяет их как сведения, относящиеся к прямо или косвенно определённому физическому лицу.

Но не все персональные данные одинаково «опасны» с точки зрения закона. Мы имеем дело с тремя основными категориями, каждая из которых требует своего подхода к обработке и защите.

Вы можете заказать выпуск электронной подписи у наших специалистов, просто оставьте заявку в форме по ссылке

Общие персональные данные

Это базовый набор информации, с которым сталкивается любой работодатель или предприниматель: ФИО, дата рождения, паспортные данные, адрес регистрации, номер телефона, email, сведения о трудовой деятельности. По сути, всё то, что мы указываем в анкетах и договорах. СНИЛС, ИНН, данные военного билета — тоже относятся к этой категории.

Специальные персональные данные

Здесь начинается самое интересное. К специальным относятся данные о расовой и национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни, судимостях. Эта информация требует особого режима обработки — как правило, её использование запрещено без письменного согласия субъекта данных. Есть исключения, но они касаются специфических случаев.

Биометрические персональные данные

Сюда входят фотографии, отпечатки пальцев, данные о группе крови, генетическая информация — всё, что характеризует физиологические особенности человека и позволяет его идентифицировать. Интересный нюанс: фото на Доске почёта может считаться биометрией, если используется для установления личности конкретного сотрудника.

В цифровую эпоху границы между категориями данных становятся размытыми. Казалось бы, безобидный корпоративный чат с фотографиями сотрудников может стать источником биометрических данных, если эти фото используются для контроля доступа в офис.

Почему важно соблюдать правила? Штрафы за нарушения выросли в разы: с мая 2025 года за утечку биометрии компания может получить санкцию до 20 миллионов рублей. Но дело не только в деньгах — репутационные риски и потеря доверия клиентов могут обойтись гораздо дороже.

Операторами данных закон называет тех, кто определяет цели и способы обработки персональных данных — компании, ИП, госорганы. Субъекты данных — это люди, чья информация обрабатывается. Простая схема: есть те, кто собирает и использует данные, и есть те, чьи данные используются.

Кто обязан соблюдать требования обработки ПДн

Распространённое заблуждение: «Если меня нет в реестре Роскомнадзора, значит, я не оператор». На самом деле статус оператора не зависит от того, подали вы уведомление или нет. Как только вы начинаете собирать, хранить, использовать персональные данные — вы автоматически становитесь оператором со всеми вытекающими обязанностями.

Под действие ФЗ-152 подпадают все юридические лица, индивидуальные предприниматели, самозанятые и государственные органы, которые обрабатывают персональные данные в рамках своей деятельности. Даже если вы ИП с одним сотрудником, ведёте учёт его данных в блокноте — формально вы уже оператор.

Мы часто сталкиваемся с вопросом: «А если я работаю только через маркетплейсы?» Ключевой момент — получаете ли вы персональные данные клиентов напрямую. Работаете в рамках личного кабинета Авито и не запрашиваете дополнительную информацию — пока вы в безопасности. Но стоит записать телефон покупателя для уточнения деталей заказа — добро пожаловать в мир операторов персональных данных.

Когда требуется уведомление Роскомнадзора

Уведомлять регулятора обязаны операторы, которые обрабатывают данные с использованием средств автоматизации — проще говоря, с помощью компьютеров, планшетов, смартфонов. Печатаете документы в Word, ведёте базы в Excel, отправляете отчёты через интернет — всё это автоматизированная обработка.

Реестр операторов — это не формальность. Роскомнадзор имеет доступ к базам ФНС и может сопоставить данные о зарегистрированных предпринимателях с информацией о поданных уведомлениях. С 30 мая 2025 года за неуведомление предусмотрен отдельный штраф до 300 тысяч рублей для юридических лиц.

Когда регистрация необязательна

Закон предусматривает несколько исключений. Уведомлять Роскомнадзор не нужно, если:

• Данные обрабатываются исключительно без использования средств автоматизации (только на бумаге, без компьютеров)
• Обработка ведётся в государственных информационных системах для обеспечения безопасности
• Данные используются в рамках транспортной безопасности

На практике первое исключение применить крайне сложно. Даже если основной документооборот ведётся на бумаге, но вы хотя бы раз отправили скан паспорта сотрудника по электронной почте — это уже автоматизированная обработка.

Исключение действует и для физических лиц, которые обрабатывают данные «исключительно для личных и семейных нужд». Но как только деятельность приобретает коммерческий характер — исключение перестаёт работать.

Роскомнадзор не ждёт, пока операторы сами о себе заявят. У регулятора достаточно инструментов для выявления нарушителей: от анализа данных ФНС до мониторинга интернет-ресурсов.

Какие документы нужны для легальной обработки ПДн

В мире персональных данных документооборот — это не просто бумажная волокита, а система защиты от многомиллионных штрафов. Каждый документ имеет конкретное назначение и область применения. Мы составили таблицу основных документов, которые должны быть у любого оператора:

Согласие на обработку — основной документ для легального сбора данных. Согласие должно быть добровольным, конкретным и информированным. Нельзя «закопать» его в договор мелким шрифтом или получить «общее согласие на всё». В документе обязательно указываются: цель обработки, перечень данных, срок действия согласия, способы его отзыва.

Политика конфиденциальности — это ваша публичная декларация о том, как вы работаете с персональными данными. Документ должен быть доступен всем заинтересованным лицам: размещён на сайте, доступен в офисе для ознакомления. Политика содержит общие принципы обработки, права субъектов данных, контактную информацию для обращений.

Локальные нормативные акты включают положения о порядке обработки данных, регламенты доступа, правила хранения и уничтожения информации. Эти документы нужны для внутреннего регулирования — они определяют, кто и как работает с данными в вашей организации.

Реестры и журналы помогают вести учёт обрабатываемых данных и контролировать соблюдение требований. В реестре фиксируются категории данных, источники их получения, цели обработки, сроки хранения.

Где взять шаблоны

Готовые формы согласий можно найти на сайте Роскомнадзора. Многие юридические порталы предлагают типовые шаблоны политик конфиденциальности и локальных актов. Но помните: шаблон — это основа, которую нужно адаптировать под специфику вашей деятельности.

Универсальных решений в сфере персональных данных не существует. То, что подходит интернет-магазину, может не работать для производственного предприятия. Каждый оператор должен проанализировать свои процессы и определить необходимый набор документов.

Важный нюанс: документы должны быть не только оформлены, но и актуальны. Изменили способ обработки данных — обновите политику. Внедрили новую информационную систему — пересмотрите регламенты доступа. Документооборот в сфере персональных данных — это живой процесс, требующий постоянного внимания.

Обработка ПДн: бумажный и электронный документооборот

Выбор между бумажным и электронным документооборотом влияет не только на удобство работы, но и на объём требований, которые должен соблюдать оператор. Каждый формат имеет свои особенности и подводные камни.

Бумажный документооборот

При полностью бумажном документообороте работодатель самостоятельно собирает и обрабатывает данные сотрудников без привлечения внешних систем. Ключевое слово здесь — «полностью». Стоит один раз отсканировать документ или отправить его по email, и вы переходите в категорию операторов, использующих средства автоматизации.

Для бумажного формата требуется создать локальную нормативную базу: правила для каждого действия с данными, список лиц с доступом к информации, порядок передачи документов внутри организации. Обязательно назначается ответственный за обработку персональных данных — координатор всех процессов.

Физическая защита включает определение мест хранения документов, установку замков, сейфов, систем видеонаблюдения. Документы с персональными данными не должны оставаться на рабочих столах после окончания рабочего дня.

Электронный документооборот (КЭДО)

При использовании цифровых технологий сервис КЭДО становится субподрядчиком оператора. Это означает дополнительные обязательства: нужен договор с поручением оператора, требования к передаче данных третьим лицам ужесточаются.

Выбор надёжного ЦОД — критически важный вопрос. Изучите лицензионное соглашение и политику обработки данных сервиса. Провайдер должен собирать только необходимую для работы информацию. Запросы избыточных данных — тревожный сигнал.

Обратите внимание на географию хранения данных. Трудовое законодательство требует, чтобы персональные данные российских граждан хранились на территории России. Некоторые сервисы используют облачные решения зарубежных провайдеров — это может создать правовые риски.

Ограничения КЭДО: большинство систем не предназначены для обработки специальных категорий данных и биометрии. Для такой информации требуются дополнительные организационно-технические меры безопасности, которые стандартные платформы документооборота обеспечить не могут.

Независимо от выбранного формата, все операторы должны определить категории обрабатываемых данных и уведомить об этом Роскомнадзор для включения в официальный реестр. Попытки представить всё как «формальность» обходятся дорого — штрафы для юридических лиц исчисляются сотнями тысяч и миллионами рублей.

Гибридные модели, когда часть процессов ведётся на бумаге, а часть — в электронном виде, требуют особого внимания. Каждый канал обработки данных должен соответствовать применимым требованиям безопасности.

Защита персональных данных: организационные и технические меры

В 2025 году защита персональных данных — это не просто установка антивируса и запирание сейфа с документами. Современные угрозы требуют комплексного подхода, который сочетает административные процедуры с техническими решениями.

Назначение ответственного лица — первый и обязательный шаг. Это не формальная должность, а реальная функция координации всех процессов по работе с персональными данными. Ответственный контролирует соблюдение процедур, обучает сотрудников, взаимодействует с Роскомнадзором при проверках.

Организационные меры включают разработку внутренних регламентов, проведение инструктажей, контроль за соблюдением требований. Каждый сотрудник, имеющий доступ к персональным данным, должен подписать обязательство о неразглашении. Создаётся система ролей и полномочий — кто, к каким данным и в каких случаях может получить доступ.

Технические меры зависят от способа обработки данных:

• Шифрование баз данных и каналов передачи информации
• Разграничение доступа с помощью систем авторизации
• Резервное копирование и контроль целостности данных
• Использование сертифицированных средств защиты информации
• Регулярная смена паролей и двухфакторная аутентификация

Требования ФСТЭК и ФСБ

Для информационных систем персональных данных (ИСПДн) действуют специальные стандарты защиты. ФСТЭК России установил четыре уровня защищённости — от 4-го (наименее критичного) до 1-го (максимального). Уровень определяется количеством субъектов данных и потенциальным вредом от их утечки.

УЗ-4 — до 1000 субъектов, обрабатываются общие персональные данные 

УЗ-3 — от 1000 до 100 000 субъектов, либо любое количество при обработке специальных категорий данных 

УЗ-2 — от 100 000 до 1 000 000 субъектов 

УЗ-1 — свыше 1 000 000 субъектов данных

Каждый уровень предъявляет свои требования к техническим средствам защиты. Для УЗ-3 и выше обязательно использование сертифицированных ФСБ России средств криптографической защиты информации.

Чек-лист базовых мер безопасности: 

☐ Антивирусная защита на всех рабочих местах ☐ Межсетевой экран для защиты локальной сети 

☐ Система резервного копирования данных 

☐ Контроль доступа к помещениям с серверным оборудованием 

☐ Журналирование действий пользователей с персональными данными 

☐ Процедуры восстановления данных после сбоев 

☐ Регламент действий при обнаружении нарушений безопасности

Мы наблюдаем тенденцию: малые компании часто недооценивают технические риски, а крупные — переоценивают сложность организационных мер. Оптимальный подход — начать с базовых требований и постепенно наращивать уровень защиты в соответствии с ростом бизнеса.

Важно понимать: идеальной защиты не существует. Задача — создать такой уровень безопасности, который сделает нарушение экономически нецелесообразным для потенциального нарушителя и юридически достаточным для соблюдения требований закона.

Как уведомить Роскомнадзор и попасть в реестр операторов

Подача уведомления в Роскомнадзор — это не разовая процедура, а начало долгосрочных отношений с регулятором. Многие операторы воспринимают это как формальность, но на самом деле качество поданного уведомления напрямую влияет на риски при последующих проверках.

Когда уведомление обязательно:

• Обработка данных с использованием средств автоматизации (компьютеры, планшеты, любые цифровые устройства)
• Создание баз данных сотрудников, клиентов, контрагентов
• Использование CRM-систем, систем учёта кадров
• Ведение электронного документооборота

Порядок подачи уведомления

Шаг 1. Определите все цели обработки персональных данных в вашей организации. Типичные цели: ведение кадрового учёта, исполнение договорных обязательств, обеспечение безопасности, маркетинговая деятельность.

Шаг 2. Для каждой цели укажите:

• Категории обрабатываемых данных (ФИО, паспортные данные, контакты и т.д.)
• Категории субъектов (работники, клиенты, контрагенты)
• Правовое основание (согласие субъекта, исполнение договора, законные интересы)
• Перечень действий (сбор, хранение, использование, передача, уничтожение)
• Способы обработки (смешанная, автоматизированная)

Шаг 3. Заполните электронную форму на сайте Роскомнадзора (pd.rkn.gov.ru). Обратите внимание на сроки хранения данных — они должны соответствовать требованиям архивного законодательства.

Шаг 4. Укажите дату начала обработки. Рекомендуем указывать дату регистрации организации или ИП — Роскомнадзор сопоставляет свой реестр с данными ФНС.

Шаг 5. Подпишите уведомление электронной подписью и направьте в Роскомнадзор. Срок рассмотрения — до 30 дней.

Как проверить, внесена ли организация в реестр

Реестр операторов размещён на официальном сайте Роскомнадзора в открытом доступе. Поиск можно вести по наименованию организации, ИНН или ОГРН. Если ваша организация не найдена, но уведомление подавалось — обратитесь в территориальное управление Роскомнадзора для выяснения причин.

Важный момент: изменения в ранее поданном уведомлении нужно подавать до 15 числа месяца, следующего за месяцем изменений. Например, внедрили систему видеонаблюдения — уведомляйте о новой цели обработки биометрических данных.

Распространённые ошибки при подаче уведомлений:

• Указание слишком общих целей обработки («для деятельности организации»)
• Неполный перечень категорий данных
• Некорректные сроки хранения
• Отсутствие информации о передаче данных субподрядчикам

С 30 мая 2025 года за неподачу уведомления введён отдельный состав административного нарушения со штрафом до 300 тысяч рублей для юридических лиц. Экономия на процедурах уведомления может обойтись очень дорого.

Что изменилось в 2025 году

Законодательство о персональных данных продолжает эволюционировать, и 2025 год принёс несколько значимых изменений. Операторам важно адаптироваться к новым требованиям, чтобы избежать санкций и соответствовать современным стандартам защиты информации.

Новая форма согласия (ЕСИА, ЕБС, законный представитель)

С 1 января 2025 года действует обновлённая форма согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации (ЕСИА) и единой биометрической системе (ЕБС). Ключевое нововведение — возможность получения согласия от законного представителя несовершеннолетнего.

Это изменение решает практическую проблему: ранее согласие на обработку данных детей могли давать только родители, но на практике за них часто подписывались бабушки, дедушки, опекуны. Теперь в бланке есть специальная отметка, позволяющая зафиксировать, что согласие даёт именно законный представитель.

Для операторов, работающих с семьями (образовательные учреждения, детские центры, медицинские организации), это упрощение процедур и снижение правовых рисков.

Обезличенные данные и передача в ГИС

С 1 сентября 2025 года начинает действовать требование о передаче обезличенных персональных данных в геоинформационную систему (ГИС). Обезличенные данные — это информация, по которой невозможно определить конкретного человека без дополнительных сведений.

К передаче обязаны все операторы, состоящие в реестре Роскомнадзора, при условии, что они:

• Являются российскими организациями или гражданами
• Не находятся под контролем иностранных лиц
• Не причастны к экстремистской деятельности
• Имеют достоверные сведения в ЕГРЮЛ/ЕГРИП

ГИС будет закрытой системой — доступ к ней получат только уполномоченные органы и организации. Цель создания системы — анализ больших данных для государственного управления и планирования.

Поправки в КоАП (новые составы, утечка, биометрия)

Федеральный закон № 420-ФЗ от 30 ноября 2024 года кардинально изменил систему штрафов за нарушения в сфере персональных данных. Вступление большинства норм в силу — 30 мая 2025 года.

Новые составы нарушений:

• Обработка персональных данных без необходимой цели
• Неуведомление Роскомнадзора о намерении обрабатывать данные
• Утечка данных в зависимости от количества пострадавших субъектов
• Нарушения при обработке специальных категорий данных
• Неправомерная обработка биометрических данных

Градация штрафов по масштабу утечек:

• 1 000 — 10 000 субъектов: штраф для юрлиц от 3 до 5 млн рублей
• 10 000 — 100 000 субъектов: от 5 до 10 млн рублей
• Свыше 100 000 субъектов: от 10 до 15 млн рублей

При повторных нарушениях предусмотрены оборотные штрафы — от 1 до 3% годовой выручки, но не менее 20 млн и не более 500 млн рублей.

Особое внимание уделено биометрическим данным. За их утечку штрафы достигают 20 млн рублей для юридических лиц. Это связано с невозможностью «поменять» биометрию — в отличие от паспорта или номера телефона.

Мы наблюдаем общую тенденцию: государство переходит от символических штрафов к реально болезненным санкциям. Цель — не пополнить бюджет, а создать экономические стимулы для ответственного отношения к персональным данным.

Штрафы за нарушение закона о ПДн в 2025 году

С 30 мая 2025 года в России действует принципиально новая система штрафов за нарушения в сфере персональных данных. Размеры санкций выросли в разы, а некоторые нарушения теперь могут стоить компаниям десятки миллионов рублей.

Повторные нарушения

Законодатель ввёл принцип прогрессивной ответственности: повторные нарушения караются значительно жестче. Повторным считается нарушение, совершённое в течение года после привлечения к административной ответственности за аналогичное деяние.

Для некоторых категорий нарушений при повторном совершении штрафы удваиваются или утраиваются. Это создаёт мощный стимул для исправления выявленных недостатков, а не для игнорирования предписаний контролирующих органов.

Самые «дорогие» нарушения — утечка, биометрия

Утечка специальных персональных данных (национальность, религия, здоровье, интимная жизнь):

• Граждане: 300-400 тыс. руб.
• Должностные лица: 1-1,3 млн руб.
• Юридические лица: 10-15 млн руб.

Утечка биометрических данных — абсолютный рекорд по размеру штрафов:

• Граждане: 400-500 тыс. руб.
• Должностные лица: 1,3-1,5 млн руб.
• Юридические лица: 15-20 млн руб.

Массовые утечки персональных данных теперь караются по отдельной прогрессивной шкале:

• При утечке данных 1-10 тыс. субъектов: штраф для юрлиц 3-5 млн руб.
• При утечке данных 10-100 тыс. субъектов: 5-10 млн руб.
• При утечке данных свыше 100 тыс. субъектов: 10-15 млн руб.

Особенность новой системы — введение оборотных штрафов при повторных массовых утечках. Санкция составляет 1-3% от совокупной выручки за предыдущий календарный год, но не менее 20 млн и не более 500 млн рублей. Для кредитных организаций штраф рассчитывается от размера собственных средств.

Такой подход заимствован из европейской практики применения GDPR. Цель — сделать нарушения экономически невыгодными даже для крупных компаний с многомиллиардными оборотами.

Нарушения при работе с биометрией выделены в отдельную категорию:

• Непринятие мер безопасности в системах с биометрической аутентификацией: штраф для юрлиц 1-1,5 млн руб.
• Нарушения при обработке биометрии: для юрлиц 500 тыс. — 1 млн руб.

Мы видим чёткий сигнал законодателя: биометрические данные требуют максимального уровня защиты. Их утечка может нанести невосполнимый вред субъекту данных — в отличие от номера телефона или паспорта, отпечаток пальца «поменять» невозможно.

Как минимизировать риски: чек-лист для бизнеса

Соблюдение требований по защите персональных данных — это не разовая акция, а системная работа. Мы составили пошаговый план, который поможет выстроить эффективную систему управления рисками в сфере персональных данных.

☐ Шаг 1. Назначьте ответственного за обработку ПДн Определите сотрудника, который будет координировать всю работу с персональными данными. Это должен быть человек с соответствующими знаниями и полномочиями. Оформите назначение приказом, пропишите функции и ответственность в должностной инструкции.

☐ Шаг 2. Проведите аудит обрабатываемых данных Составьте полный перечень персональных данных, которые собирает и обрабатывает ваша организация. Определите источники получения, цели использования, места хранения. Выявите избыточные данные, которые не нужны для достижения заявленных целей.

☐ Шаг 3. Подготовьте пакет документов

• Политика конфиденциальности (публичный документ)
• Положение об обработке ПДн (внутренний регламент)
• Формы согласий на обработку данных
• Реестр обрабатываемых персональных данных
• Регламент доступа к информационным ресурсам

☐ Шаг 4. Уведомите Роскомнадзор Подайте уведомление через личный кабинет на сайте регулятора. Проверьте корректность внесения данных в реестр операторов. При изменениях в обработке данных подавайте уведомления об изменениях до 15 числа следующего месяца.

☐ Шаг 5. Организуйте безопасное хранение и уничтожение

• Определите места хранения документов с персональными данными
• Установите сроки хранения в соответствии с требованиями архивного законодательства
• Организуйте процедуру уничтожения данных с составлением актов
• Для электронных данных настройте системы резервного копирования и контроля целостности

☐ Шаг 6. Обеспечьте контроль передачи данных Все случаи передачи персональных данных третьим лицам должны иметь правовое основание — согласие субъекта, договорные отношения, требования закона. С субподрядчиками заключайте договоры с поручением оператора, контролируйте их соответствие требованиям защиты данных.

☐ Шаг 7. Настройте технические средства защиты

• Разграничьте доступ к информационным системам по ролям
• Установите антивирусную защиту и межсетевые экраны
• Включите журналирование действий пользователей с персональными данными
• Регулярно обновляйте программное обеспечение и меняйте пароли

☐ Шаг 8. Обучите персонал Проведите инструктажи для всех сотрудников, работающих с персональными данными. Возьмите с них обязательства о неразглашении конфиденциальной информации. Регулярно напоминайте об ответственности за нарушения.

☐ Шаг 9. Настройте процедуры реагирования на инциденты Разработайте алгоритм действий при обнаружении нарушений информационной безопасности, утечек данных, несанкционированного доступа. Определите сроки и порядок уведомления субъектов данных и контролирующих органов.

☐ Шаг 10. Организуйте регулярный мониторинг Проводите внутренние аудиты соблюдения требований, актуализируйте документы при изменении бизнес-процессов, отслеживайте изменения в законодательстве.

Этот чек-лист — не исчерпывающий перечень мер, а базовый минимум для снижения рисков. Каждая организация должна адаптировать требования под специфику своей деятельности. Помните: цена ошибки в 2025 году может достигать десятков миллионов рублей, что делает инвестиции в compliance экономически оправданными.

Часто задаваемые вопросы (FAQ)

Надо ли регистрироваться в Роскомнадзоре, если у меня всего 2 сотрудника?

Количество сотрудников не влияет на обязанность подавать уведомление. Если вы обрабатываете персональные данные с использованием компьютера, планшета или любых цифровых устройств — вы оператор и должны уведомить Роскомнадзор. Ведёте кадровый учёт в Excel, отправляете отчёты через интернет — это уже автоматизированная обработка.

Можно ли передавать персональные данные сотрудников в облачные сервисы?

Можно, но с соблюдением требований. Во-первых, нужно согласие сотрудников на передачу их данных третьим лицам. Во-вторых, с облачным провайдером заключается договор с поручением оператора. В-третьих, данные российских граждан должны храниться на территории России. Многие зарубежные облачные сервисы этому требованию не соответствуют.

Кто отвечает за утечку персональных данных при использовании системы КЭДО?

Ответственность распределяется между заказчиком и исполнителем согласно договору. Оператор (ваша организация) отвечает за правомерность передачи данных и выбор надёжного субподрядчика. Провайдер КЭДО несёт ответственность за обеспечение технических мер защиты. При утечке по вине субподрядчика он обязан возместить оператору ущерб, включая уплаченные штрафы.

Нужно ли получать согласие на обработку данных сотрудников для пропускной системы?

Не нужно, если цель обработки — обеспечение безопасности и контроль трудовой дисциплины. Эти функции прямо возложены на работодателя Трудовым кодексом. Но важно правильно сформулировать цель в уведомлении Роскомнадзору и не использовать данные для других целей.

Можно ли хранить копии паспортов сотрудников в общей папке на сервере?

Категорически не рекомендуем. Во-первых, хранение копий документов требует отдельного согласия субъекта. Во-вторых, сложно обосновать необходимость хранения копий — для кадрового учёта достаточно сведений из документов. В-третьих, это может квалифицироваться как обработка, несовместимая с целями сбора данных, — за это теперь штраф до 300 тысяч рублей.

Сколько можно хранить резюме кандидатов, которым отказали в трудоустройстве?

Не более 30 дней после отказа или закрытия вакансии. После этого резюме должны быть уничтожены с составлением соответствующего акта. Более длительное хранение возможно только с согласия кандидата на создание кадрового резерва.

Что делать, если обнаружили утечку персональных данных?

Немедленно принять меры по прекращению утечки, оценить масштаб инцидента, уведомить Роскомнадзор и пострадавших субъектов данных. Составить внутренний отчёт о произошедшем с указанием причин и принятых мер. В зависимости от масштаба утечки размер штрафа может достигать 20 миллионов рублей.

Заключение

Персональные данные в 2025 году — это уже не формальность, которую можно игнорировать или решать «по остаточному принципу». Многомиллионные штрафы за утечки и нарушения превратили эту сферу в зону серьёзных бизнес-рисков. Компания, которая не уделяет должного внимания защите персональных данных, рискует не только репутацией, но и финансовой устойчивостью.

При этом соблюдение требований ФЗ-152 — задача вполне решаемая при правильном подходе. Мы наблюдаем: организации, которые с самого начала выстраивают системную работу с персональными данными, легко адаптируются к изменениям законодательства и воспринимают compliance не как обузу, а как конкурентное преимущество.

Ключевые принципы успешной работы с персональными данными: прозрачность процедур, минимизация объёма обрабатываемой информации, постоянное обновление знаний и технических средств защиты. В эпоху цифровизации доверие клиентов и партнёров к вашим способностям защищать их данные становится важным фактором деловой репутации.

Начните с базовых требований — назначения ответственного, подготовки документов, уведомления Роскомнадзора. Постепенно наращивайте уровень защиты в соответствии с развитием бизнеса. И помните: инвестиции в compliance сегодня гораздо дешевле, чем ликвидация последствий нарушений завтра.