Кемерово8-961-861-02-88
Юрга8 (38451) 4-92-79

Как избежать миллионных штрафов за персданные: инструкция и образец уведомления от Роскомнадзора

Журнал «Главбух», №9 Май 2025

Персональные данные

Берите инструкцию, чтобы не платить гигантские штрафы Роскомнадзору. Половина компаний в стране сейчас рискует получить штраф в 300 тыс. руб., за то, что не уведомили об обработке персданных. Такие результаты дал наш опрос. И это не предельная сумма — максимальный штраф за нарушения с персданными с 30 мая подняли до 500 млн руб. Вместе с экспертом по защите данных и сотрудниками Роскомнадзора мы составили перечень минимально необходимых мер, которые надо срочно принять, чтобы не платить новые штрафы. Первым делом подайте уведомление в Роскомнадзор, как это сделать, смотрите на скринкасте.

Еще по теме

Блиц-ответы на частые вопросы про работу с персданными

Определите, с какими персданными вы работаете  

Все компании, ИП и даже самозанятые, которые обрабатывают данные хотя бы одного клиента или сотрудника обязаны уведомить об этом Роскомнадзор. Кроме того, надо обеспечить защиту данных и не допускать утечек. С 30 мая штрафы за нарушения этих требований многократно вырастут. Как они изменятся, смотрите в таблице.

Как изменятся штрафы Роскомнадзора за нарушения в работе с персональными данными с 30 мая 2025 года

Для начала решите, какими именно персональными данными вы владеете. Здесь не все очевидно. Персданные – это любая информация, которая прямо или косвенно относится к человеку (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Определение крайне широкое, поэтому разберемся, что на самом деле считается персданными.

Телефон, e-mail. Возникают споры, когда компании собирают личные телефоны и электронные адреса клиентов, или, например, публикуют номера частных автомобилей. Но эти данные не считаются персональными, если нельзя четко определить, какого именно физика они касаются (определение Верховного суда от 21.07.2023 № 305-ЭС23-12160, постановление Краснодарского УФАС России от 18.11.2020 № 023/04/7.32.4-5036/2020). Например, если парикмахер записывает клиентов просто по имени и номеру телефона, не надо уведомлять об этом Роскомнадзор. Но если вести базу клиентов с Ф.И.О. и контактами, то телефоны будут персональными данными.

ИНН и СНИЛС физика. Эти данные в официальных документах упоминают как персональные (см., например, постановление Правительства от 05.10.2017 № 1212, постановление Президиума Верховного суда от 27.09.2017). Но если по поводу СНИЛС сомнений нет, то с ИНН сложнее. Минфин считает, что ИНН это не персданные, а просто цифровой код (письмо от 12.01.2021 № 03-01-11/347). И на практике Роскомнадзор не штрафует, если передать кому-то просто номер ИНН без имени человека.

Ф.И.О., место жительства, отпечатки пальцев и др. Это однозначно персональные данные. Ниже в таблице приводим рейтинг. В верхней части располагаются сведения, с которыми можно работать без опасений, а внизу списка – информация, за которую любая компания сейчас может получить многомиллионный штраф. В таблице показали штрафы за первичные нарушения, при повторных можно заплатить до 500 млн руб. А за намеренный слив информации возможен и уголовный срок (ст. 272.1 УК).

Что будет за утечки разных видов персональных данных

Что за данные

Относятся ли к персональным

Какая максимальная ответственность возможна при первой утечке данных

Рабочий телефон или e-mail

Нет

Никакая

Личный телефон или e-mail, номер машины (без Ф.И.О.)

Нет

Никакая, хотя нельзя полностью исключить спор с проверяющими

ИНН физика (без Ф.И.О.)

Вопрос спорный

Вероятнее всего, никакая

Ф.И.О, СНИЛС, пол, дата и место рождения, адрес

Да

15 млн руб. при утечке данных более 100 тыс. человек

Раса и национальность; политические, религиозные и философские взгляды; состояние здоровья, интимная жизнь (специальные данные)

Да

15 млн руб. при утечке любого количества данных

Фото и видео человека, отпечатки пальцев, снимок радужки глаза, ДНК, запись голоса (биометрические данные)

Да

20 млн руб. при утечке любого количества данных

Вы опасаетесь новых штрафов Роскомнадзора?

57% Да, опасаемся, что нас могут оштрафовать

24% Не знаю про новые штрафы

19% Нет, нас они не коснутся

Опрос в телеграм-канале «Главбуха»

Сдайте уведомление об обработке данных  

Если у вас есть чьи-то персданные, значит вы их обрабатываете. К обработке относятся любые действия, в том числе и просто хранение информации (ст. 3 Закона № 152-ФЗ). В таком случае надо подать уведомление в Роскомнадзор.

По нашему опросу 40 процентов компаний только планируют подать уведомления, а 24 процента пока даже не собираются (см. диаграмму на поле). Но сейчас для этого самое время. Штраф за отсутствие уведомления с 30 мая поднимается с 5 до 300 тыс. руб.

Компании, которые уже пробовали заполнить уведомление столкнулись с проблемой — непонятно, что ставить в некоторых пунктах. Мы выяснили, что именно вызывает затруднения, и получили консультацию у специалистов Роскомнадзора. Смотрите на скринкасте, как составить документ, а если вам так удобнее, под скринкастом читайте письменную инструкцию по спорным моментам в заполнении.

 

Как заполнить уведомление

Уведомление можно отправить на бумаге или в электронном виде — через портал Роскомнадзора (pd.rkn.gov.ru).

https://rutube.ru/play/embed/c5dfe4776f9bc5ba73a7bbaed8e932e0/

Вы подавали уведомление об обработке персданных в Роскомнадзор?

40% Еще нет, но из-за новых штрафов скоро подадим

36% Да

24% Нет и пока не собираемся

Опрос в телеграм-канале «Главбуха»

Отметьте, какое уведомление заполняете, первичное или корректирующее. Первичное надо будет заполнять с нуля, а если подаете корректирующее, то можно выбрать «Заполнить уведомление данными из ранее направленного уведомления». Введите номер и ключ предыдущего документа. Тогда данные из него автоматические подтянутся.

Можете находиться в одном регионе, а обрабатывать данные совсем в других. В поле «Регион регистрации» отмечайте субъект, где фактически находится головной офис компании. А в поле «Регион обработки» нужно выбрать все территории, где работаете с персданными. Это может быть и вся Россия.

Понадобится не одно уведомление, а десяток. Ваша компания наверняка отчитывается в налоговую, ведет бухгалтерский и кадровый учет, и при этом вы используете персональные данные работников. Это уже две разных цели, с которыми вы обрабатываете персональные данные. Скорее всего целей будет намного больше, ведь еще надо оформлять пропуска клиентам, отправлять рассылки, публиковать чьи-то данные на сайте и т.д. На каждую цель потребуется заполнить свой раздел с перечнем данных, которые вы будете обрабатывать. Объединить цели и написать их через запятую никак нельзя, даже если перечни данных по ним полностью совпадают. Бухгалтеры жалуются на такую систему, но в Роскомнадзоре подтвердили — упростить эту работу никак не получится. Придется делать 10 раз одно и то же.

У вас были сложности с заполнением уведомления об обработке персданных?

47% Не могу сказать, еще этим не занимались

31% Да, там есть непонятные моменты

22% Нет, все понятно

Опрос в телеграм-канале «Главбуха»

Не лишайте себя возможности работать с персданными на бумаге. В уведомлении надо выбрать способ обработки данных, он может быть автоматизированный, неавтоматизированный или смешанный. Редко, когда компании используют исключительно автоматизированный способ, поэтому не ошибетесь, если по всем целями выберете смешанную обработку.

Отметьте, передаете ли вы данные по внутренней сети и по интернету. Как нам разъяснили в Роскомнадзоре, если у компании в принципе есть внутренняя локальная сеть, то нужно указать «с передачей по внутренней сети». При этом у организации может быть и 10 компьютеров, но если нет локальной сети, то укажите «без передачи по внутренней сети».

Перечислите все меры, которые приняли  для защиты персданных. Например, разработали локальные акты, исключили доступ посторонних в помещения с секретной информацией. У главбухов возникают сомнения, что писать, если защиту данных обеспечивает сторонняя компания. В Роскомнадзоре в ответ на запрос «Главбуха» уточнили, что надо назвать все меры защиты — собственные и реализованные с привлечением подрядчиков.

Покажите, на каком сервере храните информацию. Помимо страны, в разделе с местонахождением базы данных здесь запишите полный адрес сервера, на котором храните данные. Если арендуете сервер у другой компании, нужен его фактический адрес.

Удалите все поля в разделе сведений о лицах с доступом, если не работаете с государственными базами. Раздел полностью называется: «Сведения о лицах, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах». Большинству компаний этот раздел не нужен. 

Компании интересуются, надо ли там записывать всех сотрудников, которые могут увидеть персданные, а также посторонних, например специалистов, которые приходят обслуживать 1С. В Роскомнадзоре сообщили, что раздел касается только владельцев государственных и муниципальных систем. Заполнять его обычным компаниям не нужно, но и оставить пустым при отправке нельзя. Поэтому, если ваша компания не работает с базами данных госорганов, удалите все поля.

Проверка компании в реестре Роскомнадзора

Сохраните номер и ключ уведомления. Их вы получите после того, как отправите документ. Номер и ключ понадобятся, если будете корректировать сведения. Если потеряете номер и ключ, можно связаться с подразделением Роскомнадзора, куда вы подавали уведомление, и спросить у сотрудников, как восстановить данные. Сделать это самостоятельно на портале не получится.

Как проверить, что ваше уведомление приняли

Уведомления компаний Роскомнадзор заносит в реестр операторов персданных. Но главбухи сталкиваются с ситуациями, когда уведомления отправляли, а в реестр оно не попало.

После того как направили уведомление, проверьте, появилась ли запись в реестре. Достаточно вбить ИНН организации. Если кликните на строчку с наименованием компании, увидите, что именно указывали в документе. Справа на полях смотрите скриншот, как выглядит поиск компании в реестре Роскомнадзора.

Разъясняет Роскомнадзор

Три способа подать уведомление

«На сегодняшний день пока нет возможности заполнить форму уведомления непосредственно на портале „Госуслуги“. Но на портале Роскомнадзора можно выбрать способ подачи через авторизацию ЕСИА. То есть пройти аутентификацию на портале „Госуслуги“. Если нет учетной записи на Госуслугах, тогда можно подписать уведомление УКЭП на портале Роскомнадзора либо направить просто на бумаге», — сообщили «Главбуху» в пресс-службе Роскомнадзора.

Убедитесь, что персданные в безопасности

Формальный подход к защите персданных может привести к утечке, а за нее теперь смогут оштрафовать на сумму до 500 млн руб. Посмотрите, какие меры принять, чтобы данные на самом деле были в безопасности.

Назначьте одного ответственного за персональные данные

Каждая компания должна назначить сотрудника, ответственного за работу с персональными данными (ч. 1 ст. 18.1, ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ). Информацию об этом сотруднике нужно привести в уведомлении о намерении обрабатывать данные.

Ответственный за персданные может быть только один. Нельзя, например, сделать ответственным за данные сотрудников кадрового специалиста, а за данные клиентов начальника отдела продаж (ч. 1 ст. 18.1 и ст. 22.1 Закона № 152-ФЗ).

Если назначаете ответственным за персданные сотрудника компании, оформите это официально:

— заключите с работником допсоглашение к трудовому договору;

— издайте приказ о назначении;

— подпишите с работником обязательство о неразглашении персональных данных.

Если не назначить ответственного, то в случае нарушений накажут директора компании, судьи с этим согласятся (решение Эжвинского районного суда г. Сыктывкара от 23.12.2019 по делу № 12-392/2019, постановление Хасынского районного суда Магаданской области от 12.02.2021 по делу № 5-28/2021).

Ответственный будет обязан защищать персональные данные, если это прописано в его должностной инструкции (п. 1 ст. 18.2 Закона № 152-ФЗ). Если вы лично не хотите отвечать за все персданные, которые хранит компания, убедитесь, что в вашей должностной инструкции нет пунктов об этом (см. фрагмент ниже).

Распечатать образец • Скачать бланк в формате Word

На заметку

Любой сотрудник может пострадать, если разгласит персданные

Не только ответственный за работу с персданными может поплатиться за нарушение. С прошлого года действует новая статья 272.1 УК, по ней уже привлекают виновных в утечках. Например, в Свердловской области в преступлении обвинили уборщицу больницы. Она официально не имела доступа к персональным данным, но сфотографировала в кабинете врача экран компьютера с информацией о пациентке и потом разослала фото. Это были данные о диагнозе, которые относятся к специальной категории (ст. 10 Закона № 152-ФЗ). За их распространение могут дать срок до пяти лет (данные прокуратуры Свердловской области. →t.me/sverdlovskprok).

Регламентируйте доступ к персданным

Чтобы защититься от утечки, надо контролировать тех, кто имеет доступ к персданным. Необходимо закрепить в локальных документах права и ответственность сотрудников, а также обеспечить физическую безопасность информации.

Определите, у кого есть доступ к данным. Составьте перечень сотрудников с доступом. Достаточно перечислить должности и структурные подразделения, Ф. И. О. не обязательны. Если увольняется допущенный к персданным работник, корректировать перечень не нужно, так как в нем нет привязки к конкретному человеку.

Утвердите регламент работы с данными. Его составляют в свободной форме. Скачайте образец. С регламентом нужно ознакомить под подпись всех сотрудников компании. Так они будут знать, что делать, если нужно получить доступ к данным.

Установите запрет на разглашение данных в должностных инструкциях. Только если запрет есть, вы сможете уволить сотрудника за разглашение (ст. 90 ТК, п. 43 постановления Пленума Верховного суда от 17.03.2004 № 2).

Обеспечьте физическую защиту. Запретите сотрудникам, у которых нет доступа к персданным, в одиночку оставаться в помещениях, где хранится такая информация. Ключи от комнат не должны находиться в общем доступе или, например, у уборщицы. Она может убираться только в присутствии кого-то из сотрудников с доступом (п. 7 Рекомендаций Роскомнадзора от 08.08.2023).

Читайте также

Следят ли налоговики за переводами физлиц с карты на карту.

Проведите аудит защиты персональных данных

Проверить, как в компании работают меры защиты персональных данных, поможет аудит. Проводить его обязан каждый оператор (ч. 1 ст. 18.1 Закона № 152-ФЗ). Процедуру аудита можно утвердить отдельным локальным актом, например положением об аудите, или включить в положение о защите персональных данных. В документе зафиксируйте предмет проверки, ее способ, процедуру и правила оформления результатов. Ответственным за проведение аудита может быть сотрудник оператора или сторонняя компания.

Для проверки можно использовать чек-лист, который мы составили на основе приказа Роскомнадзора от 24.12.2021 № 253. Ответы покажут, соответствуют ли действия компании обязательным требованиям закона о защите персданных, и помогут подготовиться к проверке ведомства.

Чек-лист. Что проверить по персданным в процессе аудита

 Компания составила политику в области обработки персональных данных, положение о защите персональных данных и порядок их уничтожения.

 К работе с персональными данными вы допускаете только сотрудников по перечню и после того, как оформили обязательства о неразглашении.

 Если поручаете обрабатывать данные третьим лицам, сотрудники дают согласие на такую обработку.

 Помещения, где находятся персональные данные, безопасны.

Компания подавала уведомление об обработке данных в Роскомнадзор и состоит в реестре операторов персональных данных.

© Материал из Справочной системы «Управление многоквартирным домом»
https://1umd.ru
Дата копирования: 12.05.2025