Работа с персональными данными: как избеждать штрафов в 2025 году

Чек-лист по работе с персональными данными: важные шаги для бизнеса

Защита персональных данных — обязательное условие для компаний, работающих с клиентами и сотрудниками. Законодательство в этой сфере постоянно обновляется, и несоблюдение требований может привести к крупным штрафам. Этот чек-лист поможет проверить, все ли у вас в порядке.

1. Актуализируйте документы

Закон о персональных данных (ФЗ-152) регулярно обновляется, а значит, локальные акты, согласия на обработку данных и другие внутренние документы тоже должны быть в актуальном состоянии. Если ваши документы оформлены до 2022 года — пересмотрите их.

2. Проверьте согласия на обработку данных

Универсального шаблона согласия не существует — его содержание должно зависеть от цели обработки. Несоответствие требованиям ФЗ-152 грозит штрафами до 1,5 млн рублей за повторное нарушение.

3. Проверьте, есть ли компания в реестре операторов персональных данных

Реестр можно найти по ссылке.

Если вашей компании там нет, нужно срочно подать уведомление об обработке ПДн. С 30 мая 2025 года за работу с данными без уведомления грозит штраф до 300 000 рублей.

Если компания уже в реестре, важно проверить актуальность сведений и при необходимости обновить их.

4. Выстройте систему обработки ПДн

Перед отправкой уведомления в Роскомнадзор важно прописать и внедрить внутренние процессы работы с персональными данными:

• Определить ответственного за их обработку.
• Разработать регламент обработки и хранения.
• Внедрить меры защиты данных.

5. Проверьте сайт

Если у компании есть веб-ресурсы (сайты), они тоже должен соответствовать требованиям закона:

• Политика обработки данных должна быть опубликована в открытом доступе.
• Формы сбора информации (например, заявки на сайте) должны содержать правильные формулировки согласий.
• Cookie-баннер обязателен, если сайт использует файлы cookie для сбора данных пользователей.
• Нарушения на сайте могут стать причиной внеплановой проверки Роскомнадзора.

6. Действуйте при утечке данных

Компании больше не могут скрывать утечки — с 30 мая 2025 года молчание грозит штрафом до 3 млн рублей. Действовать нужно так:

• В течение 24 часов сообщить об инциденте в Роскомнадзор.
• В течение 72 часов направить отчет о результатах расследования.

7. Сократите объем собираемых данных

Не стоит собирать больше информации, чем необходимо. Если данные не нужны для работы, лучше их не запрашивать — это снизит риски и упростит их защиту.

8. Обеспечьте хранение данных в России

Серверы, на которых хранятся персональные данные россиян, должны находиться в РФ.

Штрафы за нарушение:

• До 6 млн рублей за первое нарушение.
• До 18 млн рублей за повторное.

9. Следите за изменениями законодательства

Законы меняются, и важно вовремя обновлять внутренние регламенты, согласия и локальные акты, чтобы избежать штрафов и проблем с надзорными органами.

Применение этих мер поможет компании снизить риски, избежать санкций и выстроить грамотную систему работы с персональными данными.