Обработка и защита персональных данных в организации в 2025 году

В 2025 году компании и ИП, а также самозанятые и физические лица, использующие в своей работе персональные данные (ПДн) не в личных целях, столкнутся с серьёзными изменениями: внесение поправок в Федеральный закон № 152-ФЗ, ужесточение наказаний за нарушение правил обработки ПДн и новые унифицированные формы согласий.

Разберёмся, как работать с персональными данными физических лиц в 2025 году.

Что такое персональные данные

Персональные данные — это информация, которая прямо или косвенно связана с конкретным физлицом. «Персональность» некоторых данных является очевидной (например, паспортные данные), но другим данным необходима привязка к какой-то информации. Так, номер телефона является просто набором цифр, но в сочетании с ФИО конкретного человека приобретает значение персональных данных. Таким образом, к ПДн можно отнести:

• ФИО, дату рождения и пол;
• паспортные данные, СНИЛС и ИНН;
• место рождения и регистрации;
• адрес электронной почты и номер телефона;
• информацию о судимостях и службе в армии;
• сведения об образовании.

Кроме того, персональные данные могут подразделяться на категории.

• Общедоступные. Такие данные зачастую находятся в открытых источниках, и доступ к ним имеется у широкого круга лиц, как юридических, так и физических (ФИО человека, возраст, профессия и т.д.).
• Биометрические. В данную категорию входят физиологические особенности субъектов: отпечатки пальцев, рисунок сетчатки, фотографии. Биометрия часто используется на предприятиях со сложной системой охраны и ограничением доступа, так как с её помощью можно идентифицировать сотрудников, имеющих особые полномочия. Использование персональных данных этого типа возможно только с согласия их владельца и только в рамках срока, прописанного в согласии на обработку ПДн.
• Специальные — это данные, отражающие убеждения человека по какому-либо вопросу, сообщающие информацию о состоянии его здоровья, особенностях личной жизни и т.д. Работа с такими ПДн допустима лишь в особых случаях, например, в целях защиты жизни и здоровья граждан (Статья 10 закона № 152-ФЗ).

Обработка персональных данных в организации

Порядок работы с персональными данными регулируется Федеральным законом от 27 июля 2006 года № 152-ФЗ. Все организации и предприниматели, собирающие ПДн клиентов, обязаны соблюдать требования этого закона, поскольку выступают в роли оператора персональных данных.

Для начала стоит ознакомиться с принципами обработки ПДн, которые здесь изложены.

1. Законность. Данный принцип отражает первостепенное положение о том, что любые действия с персональными данными субъектов должны совершаться на основании закона и справедливости.
2. Целевое использование. Работа с ПДн не должна выходить за рамки заранее определённых законных целей. При этом количество собранных и обрабатываемых данных должно соответствовать только этим целям.
3. Распределение данных. Принцип распределённости представляет собой запрет на объединение различных и несовместимых друг с другом сведений о человеке в единую базу персональных данных.
4. Минимизация данных. Принцип достаточности диктует операторам ПДн следить за тем, чтобы при обработке персональных данных использовались только те сведения о человеке, которые действительно необходимы для достижения заявленных целей.

Если организация, ИП или самозанятый планирует работать с персональными данными, включая ПДн работников по трудовым договорам, во избежание нарушений и штрафов следует заранее подготовить нормативно-правовую базу.

1. Ознакомиться с требованиями Закона № 152-ФЗ «О персональных данных».
2. Определить, какие категории персональных данных будут применяться в работе и какие технические средства нужны для их обработки и защиты.
3. Назначить сотрудника, ответственного за организацию обработки персональных данных.
4. Подготовить локальные НПА о работе с персональными данными и опубликовать Политику в отношении обработки ПДн. К числу таких документов относятся: внутренняя политика обработки ПДн, положение об обработке ПДн работников, формы согласия на обработку и распространение ПДн и т.д. Полный перечень будет зависеть от особенностей организации (статья 18.1 Закона № 152-ФЗ), можно ознакомиться на сайте 152DOC.ru.
5. Направить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных. Это необходимо для включения ИП и юрлица в реестр операторов ПДн. Форма уведомления доступна в Приложении № 1 к приказу Роскомнадзора от 28 октября 22 года № 180. Сформировать Уведомление можно с помощью сервиса 152DOC.

Согласие на обработку персональных данных в 2025 году

При работе с персональными данными субъектов необходимо оформление согласия — документа, который подтверждает законность сбора данных и сообщает о том, что субъект ПДн согласен с каждым положением, которое указано в документе. Согласие может быть как в бумажном, так и в электронном виде, но в некоторых случаях нужна личная подпись субъекта.

Закон № 152-ФЗ не утверждает каких-либо бланков для оформления согласий. Однако к содержанию согласий обязательные требования есть. Во-первых, ч. 4 ст. 9 152-ФЗ устанавливает перечень информации, которую нужно обязательно включить в письменную форму согласия. Во-вторых, Приказ РКН № 18 утверждает требования к содержанию согласия для распространения ПДн. Таким образом, разработать бланк/шаблон/форму согласия оператор может самостоятельно, но должен включить в них обязательные поля в зависимости от вида согласия.

Именно форма утверждена для согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы (Постановление Правительства РФ от 17 марта 2023 года № 405).

Защита персональных данных в организации

Утечка или потеря персональных данных, как и их незаконное использование, могут повлечь за собой крупные штрафы и подорвать репутацию компании. Поэтому каждый оператор ПДн должен позаботиться об обеспечении надёжной защиты всех собранных данных.

Перечислим основные организационные меры защиты.

• Назначение ответственного лица.
• Ограничение доступа к документам и базам, содержащим ПДн субъектов.
• Утверждение локальных НПА, описывающих механизмы защиты данных и порядок уничтожения этих данных по завершении срока их законного использования.
• Интеграция в работу различных информационных систем.

В последнее время персональные данные часто собираются в цифровом виде, после чего их обработка, хранение и уничтожение происходят посредством электронных систем и сервисов. Большинство компаний обязаны не просто ограничивать физический доступ к носителям информации, но также решать вопрос защиты ПДн с помощью технических средств:

• антивирусные программы;
• криптографическое ПО;
• межсетевые экраны;
• системы контроля доступа;
• резервное копирование данных;
• шифрование данных, передаваемых через интернет.

Ответственный за организацию обработки персональных данных

Руководство предприятия обязано отдельным приказом назначить лицо, ответственное за организацию обработки ПДн. Такой работник должен иметь определённый статус и достаточный объём ресурсов для получения информации от разных подразделений и раздачи указаний.

Согласно Статье 22.1 Закона №152-ФЗ, в обязанности ответственного лица входит следующее:

• информировать сотрудников об актуальных законах, действующих в отношении персональных данных;
• проводить внутренние аудиты;
• контролировать работу с запросами субъектов ПДн.

Помимо предусмотренных законом обязанностей, на практике ответственный также контролирует соблюдение принципов обработки ПДн, согласовывает документы компании, информирует руководителя об утечках и потерях ПДн, привлекает к ответственности подчинённых.

Ответственность за нарушение законодательства о персональных данных

Если оператор не соблюдает требования законодательства при работе с персональными данными, он может понести административную или даже уголовную ответственность. Степень наказания будет зависеть от специфики правонарушения. Например, обработка персональных данных без письменного согласия субъекта карается штрафом до 300 000 рублей для должностных лиц и до 700 000 для юридических лиц (Статья 13.11 КоАП РФ — применяется в отношении Согласий, которые по закону нужно брать в письменном виде).

Уголовная ответственность возможна по Статье 137 УК РФ, описывающей случаи незаконного сбора и распространения сведений о частной жизни лица. А также с декабря 2024 действует Статья 272.1, предусматривающая ответственность за незаконное хранение/сбор/передачу персональных данных, полученных незаконным путём. В зависимости от содеянного наказание может составить от 4 до 10 лет лишения свободы.

Кроме того, учитывая распространённость информационных систем в области обработки персональных данных, операторам стоит помнить о Статье 272 УК РФ о неправомерном доступе к компьютерной информации.

Часто задаваемые вопросы (FAQ)