Top.Mail.Ru
Как защитить ПД? Роскомнадзор научит

Управление РКН по Приволжскому федеральному округу обнародовал методичку, посвящённую организации защиты персональных данных

111
0
Время чтения 9 минут
04.06.2026
Цифровая безопасность ТПП
Как защитить ПД? Роскомнадзор научит

Документ был представлен на заседании Торгово-промышленной палаты Републики Чувашии. В нём подробно разъяснены актуальные требования к обработке персональных данных, типичные ошибки операторов и новые меры ответственности. Предлагаем вниманию наших читателей основные тезисы этого выступления. Полные текст презентации и нормативные документы доступны для скачивания – настоятельно рекомендуем ознакомиться с ними специалистам по защите ПД.

1. Кто такой оператор и за чем следит Роскомнадзор?

Оператором признаётся любое юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных. Проще говоря, это любая организация или предприниматель, которые собирают анкеты, ведут клиентскую базу, хранят данные о своих сотрудниках или посетителях. Что касается контролирующего органа, то Роскомнадзор в лице своих территориальных управлений выполняет три ключевые функции.

  • Во-первых, это контроль и надзор за соответствием обработки персональных данных требованиям законодательства.
  • Во-вторых, рассмотрение жалоб и обращений граждан или юридических лиц по вопросам, связанным с обработкой их данных.
  • В-третьих, ведение реестров операторов, включая отдельный реестр для тех, кто осуществляет трансграничную передачу персональных данных.

2. Что такое персональные данные с точки зрения закона?

Согласно Федеральному закону № 152-ФЗ, персональные данные – это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. Закон выделяет особые категории данных, требующие повышенной защиты. К специальным персональным данным относятся сведения о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, а также о судимости.

Отдельно выделяются биометрические персональные данные, то есть сведения, которые характеризуют физиологические и биологические особенности человека: фотографии, отпечатки пальцев, голос, изображение радужной оболочки глаз. Обработка таких данных требует отдельного письменного согласия субъекта и не может быть обязанностью при заключении договора, если иное прямо не установлено законом.

3. Главное изменение: уведомление об утечках по 266-ФЗ

С 2022 года в законодательство внесены существенные изменения, направленные на ужесточение борьбы с утечками данных. С 1 сентября 2022 года действует жёсткий регламент информирования Роскомнадзора о любых инцидентах. Оператор обязан в течение 24-х часов с момента установления факта неправомерной или случайной передачи, предоставления или доступа к персональным данным направить первичное уведомление в Роскомнадзор.

Затем, в течение 72-х часов после уведомления, необходимо предоставить результаты внутреннего расследования. В этих материалах должны быть отражены причины утечки, перечень пострадавших субъектов персональных данных и перечень принятых мер по устранению последствий. При этом важно понимать, что не каждый сбой считается инцидентом, требующим уведомления. Например, случайное уничтожение базы данных внутренним пользователем без факта копирования или распространения, а также подозрительная активность, которая не подтвердилась, могут не требовать направления сообщения в контролирующий орган.

4. Новые штрафы за утечки и нарушения

Презентация отдельно акцентирует внимание на значительном повышении административной ответственности. Штрафы, которые вступили в силу с 30 мая 2025 года, исчисляются миллионами рублей, а в ряде случаев – процентами от годовой выручки. Например, за неуведомление или несвоевременное уведомление о самом факте обработки данных предусмотрен штраф от 100.000 до 300.000 рублей. Но наиболее существенны санкции за утечки.

  • Если оператор не сообщил об инциденте в Роскомнадзор, штраф для юридического лица составит от 1.000.000 до 3.000.000 рублей.
  • Сама утечка данных от одного до 10-ти тысяч субъектов повлечёт штраф от 3.000.000 до 5.000.000 рублей.
  • При утечке данных более 100 тысяч субъектов сумма вырастает до 10.000.000-15.000.000 рублей.
  • Особо тяжёлые случаи, такие как повторная утечка или разглашение специальных категорий данных (о здоровье, судимостях) или биометрии, караются оборотными штрафами – от 1% до 3% годовой выручки компании, но не менее 15.000.000-25.000.000 рублей в зависимости от состава правонарушения.

5. Обязанность уведомлять РКН о начале обработки (с исключениями)

По общему правилу, оператор до начала обработки персональных данных обязан подать уведомление в Роскомнадзор. Однако закон предусматривает ряд важных исключений, когда этого делать не нужно. В частности, уведомление не требуется, если данные обрабатываются исключительно в соответствии с трудовым законодательством в рамках отношений с сотрудниками.

Также исключение сделано для данных, полученных оператором в связи с заключением договора со стороной, при условии, что эти данные не распространяются и не передаются третьим лицам без согласия. Не нужно уведомлять об обработке данных, которые субъект сам сделал общедоступными, а также данных, включающих только фамилии, имена и отчества.

Кроме того, уведомление не подаётся, если персональные данные обрабатываются без использования средств автоматизации (то есть исключительно на бумажных носителях) или необходимы для однократного пропуска посетителя на территорию оператора. Стоит помнить, что непредставление уведомления в случаях, когда оно требовалось, влечёт административный штраф: на юридическое лицо от 100.000 до 300.000 рублей.

6. Отдельное согласие на каждую цель обработки

С 1 сентября 2022 года в законодательстве закреплён принцип конкретности и предметности согласия. Это означает, что на каждую цель обработки персональных данных необходимо получать отдельное согласие. Например, нельзя получить от человека одно универсальное согласие «на все случаи жизни». Организация должна раздельно запросить разрешение на обработку данных для осуществления банковских операций, отдельно – для организации пропускного режима, отдельно – для подбора персонала и ещё одно согласие – на рекламные рассылки.

Более того, с 1 сентября 2025 года вступит в силу новое требование: согласие на обработку персональных данных должно быть оформлено отдельным документом, а не являться одним из пунктов в договоре, соглашении или акте. Это сделано для того, чтобы субъект персональных данных осознанно и добровольно принимал решение по каждому конкретному случаю использования своих данных.

7. Трансграничная передача ПД по новым правилам

Передача персональных данных за пределы Российской Федерации – одна из наиболее чувствительных и строго регулируемых сфер. С 1 марта 2023 года оператор обязан отдельно уведомлять Роскомнадзор о намерении осуществлять трансграничную передачу данных, и правила здесь существенно ужесточены. Уведомление подаётся исключительно в электронном виде через портал Госуслуг, бумажные версии больше не принимаются.

Важно понимать, что Роскомнадзор после получения уведомления вправе запретить или ограничить трансграничную передачу, если сочтёт, что в принимающей стране не обеспечивается адекватная защита прав субъектов персональных данных или передача угрожает интересам Российской Федерации. Правда, существуют исключения, перечисленные в постановлении Правительства РФ № 2526, когда уведомлять не нужно – это главным образом ситуации, связанные с международными перевозками, дипломатическими сношениями, обороной, а также выполнением некоторых государственных функций.

Кроме того, действует императивное требование о локализации баз данных: при сборе персональных данных граждан Российской Федерации, в том числе через интернет, базы данных должны находиться на территории нашей страны. Использование баз, расположенных за рубежом, запрещено и влечёт штраф до 6.000.000 рублей.

8. Запрет на использование иностранных мессенджеров

Для широкого круга организаций, включая тех, кто оказывает государственные и муниципальные услуги, выполняет государственный или муниципальный заказ, а также для банков, госкомпаний и предприятий с долей государства более 50%, действует прямой запрет на использование иностранных мессенджеров. Запрет касается передачи любой информации, содержащей персональные данные, сведения о счетах и вкладах, а также данные о переводах денежных средств.

В перечень запрещённых сервисов попали такие популярные приложения, как Discord, Threema, Snapchat, Viber, WeChat, Skype, WhatsApp, Microsoft Teams и Telegram.

Нарушение этого запрета квалифицируется по статье 13.2 КоАП РФ и влечёт административный штраф для должностных лиц от 30.000 до 50.000 рублей, а для юридических лиц – от 100.000 до 700.000 рублей.

9. Политика обработки ПД (конфиденциальности): где и как размещать?

Каждый оператор, независимо от размера, обязан разработать и опубликовать документ, определяющий его политику в отношении обработки персональных данных. Если у организации есть официальный сайт в интернете, политика должна быть размещена на каждой странице этого сайта, где осуществляется сбор персональных данных. Это касается не только явных форм подписки или обратной связи, но и страниц, где используются метрические программы и счётчики посещаемости, собирающие данные об IP-адресах и поведении пользователей.

Типичной ошибкой, которую выявляет Роскомнадзор, является ситуация, когда ссылка на сайте ведёт не на политику конфиденциальности, а на пользовательское соглашение или договор оферты – это неправомерно. Также нарушением считается размещение политики конфиденциальности другой организации.

10. Частые ошибки при заполнении уведомления в РКН

В презентации приведены показательные примеры нарушений, которые операторы систематически допускают при подаче уведомления об обработке персональных данных. Очень часто встречается неполный перечень целей обработки: например, организация указывает «осуществление банковских операций» или «выполнение требований законодательства», но забывает указать «организацию пропускного режима» или «подбор персонала».

Аналогичная ситуация с перечнем персональных данных: указывают фамилию, имя, отчество, дату рождения и адрес, но забывают про ИНН, СНИЛС, сведения о воинском учёте или о составе семьи. Категории субъектов персональных данных тоже нередко перечисляют не полностью: ограничиваются «работниками» и «клиентами», упуская соискателей, уволенных сотрудников или родственников работников.

Что касается правовых оснований обработки, многие ошибочно ссылаются на сам Федеральный закон № 152-ФЗ, тогда как он не является правовым основанием – нужны конкретные нормы Трудового или Налогового кодексов Российской Федерации, договоры или согласия.

Наконец, операторы часто указывают не все адреса баз персональных данных, забывая про резервные копии, базы данных сайта или мобильных приложений.

11. Ответственный за обработку ПД и внутренний контроль

Организация обязана назначить одно лицо, ответственное за организацию обработки персональных данных. Полномочия этого сотрудника должны быть чётко прописаны в должностном регламенте, в соответствии со статьёй 22.1 Федерального закона «О персональных данных».

Назначение нескольких ответственных одновременно или отсутствие в регламенте необходимых полномочий является нарушением. Кроме того, все работники, которые непосредственно осуществляют обработку персональных данных – это кадровики, бухгалтеры, операторы колл-центров, администраторы – должны быть ознакомлены под роспись с законодательством о персональных данных и с локальными актами оператора.

Простое ознакомление в электронном виде, без личной подписи сотрудника, признаётся недостаточным. Также в организации должен проводиться внутренний контроль или аудит соответствия обработки персональных данных требованиям законодательства, результаты которого оформляются актами, протоколами или докладными записками.

12. Уничтожение ПД: процедура и сроки

Когда цель обработки персональных данных достигнута – например, сотрудник уволен, договор с клиентом истёк или истёк срок хранения, установленный законом, – оператор обязан прекратить обработку и уничтожить персональные данные в течение 30-ти дней.

Уничтожение должно быть оформлено соответствующим актом, который может быть составлен в бумажном виде или в электронном с использованием усиленной квалифицированной электронной подписи. В акте необходимо указать: фамилию, имя, отчество субъекта данных или иную информацию, по которой их можно идентифицировать; перечень категорий уничтоженных данных; наименование материального носителя (папки, дела, жёсткого диска) с указанием количества листов; способ уничтожения (шредирование, затирка данных, физическое уничтожение); причину уничтожения; дату; а также должности и подписи лиц, которые произвели уничтожение.

Типичным нарушением является хранение анкет соискателей, которым было отказано в приёме на работу, в течение многих лет. Исключение допускается только для официально сформированного кадрового резерва.

13. Что нельзя требовать от граждан (запрет понуждения к биометрии)

Законодательство прямо запрещает понуждение граждан к предоставлению биометрических персональных данных. Организация не вправе отказать человеку в обслуживании, заключении договора или предоставлении услуги только на том основании, что он отказался сдавать свою биометрию. Например, фитнес-клуб не может обязать посетителя сдать отпечаток пальца для прохода, а банк не вправе требовать фото для открытия счёта, если такое требование прямо не установлено федеральным законом.

Биометрические данные – фотографии, отпечатки пальцев, голос, изображение радужной оболочки глаза – могут собираться исключительно добровольно, на основании отдельного письменного согласия, оформленного в соответствии с требованиями части 4 статьи 9 закона «О персональных данных». Согласие должно быть конкретным, информированным и сознательным, а его предоставление не может быть обязательным условием для получения услуги.

14. Резюме: что нужно сделать оператору в первую очередь?

Исходя из содержания презентации, можно выделить первоочередные шаги, которые необходимо предпринять любой организации, работающей с персональными данными.

  1. Прежде всего, следует провести полный аудит всех процессов сбора, хранения и обработки данных, включая сайт, метрические программы, бумажные архивы и мобильные приложения.
  2. Затем, если организация не подпадает под исключения, нужно подать уведомление о начале обработки в Роскомнадзор.
  3. Обязательно требуется разработать и разместить Политику конфиденциальности на всех страницах сайта, где осуществляется сбор данных.
  4. Далее необходимо получить отдельные информированные согласия на каждую цель обработки, особенно на распространение данных, на обработку биометрии и на передачу третьим лицам.
  5. Также следует назначить одного ответственного за обработку персональных данных и под роспись ознакомить с документами всех сотрудников, имеющих доступ к данным.
  6. Крайне важно подготовить внутренний регламент действий на случай утечки – чётко прописать, кто, как и в какие сроки уведомляет Роскомнадзор (в течение 24-х и 72-х часов).
  7. И наконец, необходимо проверить локализацию всех баз данных на территории Российской Федерации и полностью отказаться от использования иностранных мессенджеров для передачи персональных данных.

Напомним, что полностью с рекомендациями ведомства можно ознакомиться в приложенной презентации.

Искренне Ваш,
За-Строй.РФ

Презентация Управления Роскомнадзора по Приволжскому федеральному округу по защите персональных данных

Подписывайтесь на За-Строй.РФ в МАХ max

При полном и/или частичном копировании данного материала, для последующего размещения его на стороннем ресурсе, обратная, индексируемая ссылка на источник обязательна!