Теперь вы знаете
Бизнес
20 ноября 2025, 08:03

7 шагов к безопасной работе с персональными данными, чтобы не лишиться 3 миллионов

За полтора года, с начала 2024 года по август 2025 года, Роскомнадзор оштрафовал 21 оператора персональных данных на общую сумму в 130 млн рублей*. И дело не в утечках. Компании «наказаны» за нарушения требований о локализации данных. А еще серьезно оштрафовать могут за неправильный сбор данных, за недостаточную их безопасность и даже формальные ошибки в документах и чекбоксах. Разобрались, как выстроить работу по букве закона и не попасть на штрафы.
7 шагов к безопасной работе с персональными данными, чтобы не лишиться 3 миллионов

© «Теперь вы знаете» / создано при помощи нейросети

* Информация из презентации замглавы РКН Милоша Вагнера, представленной на дне открытых дверей ведомства.

Проведите инвентаризацию данных

Прежде чем что-то делать, исправлять, начните с простого вопроса: «Действительно ли компании нужны персональные данные и в каком объеме?»

Здесь важно отделить персональные и контактные данные:

  • Персональные — информация, которая позволяет определить конкретное физическое лицо.
  • Контактные — номер телефона, адрес электронной почты.

Как объясняет Денис Царев, CEO IT-компании Morizo (входит в E-Promo Group), многие процессы можно перевести на обезличенные контакты. То есть те, которые не позволяют определить субъекта персональных данных. Например, собирать только email или телефон без Ф. И. О. Это снижает риски и упрощает проверку соответствия требованиям 152-ФЗ.

Обезличенные данные не считаются персональными, поэтому уведомлять Роскомнадзор об их обработке не придется.

Но есть нюанс: если в электронной почте указаны имя и фамилия, то эти данные с большей вероятностью считаются персональными. В таких случаях безопаснее использовать телефон для связи.

Анализировать, какие вы данные собираете и зачем, важно и с точки зрения закона: он требует избегать избыточности. Проще говоря, не берите больше, чем надо для конкретной цели.

Определите, какие сведения о клиентах нужны бизнесу, а какие — нет, исключите сбор лишних. Если вы уже собирали данные, удалите неактуальные и по возможности перейдите на обезличенный сбор.

Уведомите Роскомнадзор

Если планируете работать с персональными данными, вам нужно быть в реестре операторов персональных данных]. Для этого до начала сбора данных отправьте уведомление в Роскомнадзор. ИП и компании за неуведомление штрафуют на 1–3 млн рублей.

Заполнить заявление можно на официальном сайте ведомства.

А отправить — тремя способами:

  • в бумажном виде обычной почтой;
  • онлайн через «Госуслуги» (через кабинет ИП или сотрудника ООО), по схеме «Уведомление о начале осуществления отдельных видов работ и услуг» — «Уведомление о намерении осуществлять обработку персональных данных»;
  • онлайн на сайте Роскомнадзора, если у вас есть усиленная квалифицированная электронная подпись.

В заявлении нужно будет очень детально рассказать, какие персональные данные вы собираете, чьи, на каком основании, как и многое другое.

Проверьте и обновите документы

Регулятор чаще наказывает за небрежный подход к обращению с данными: неактуальные политики, объединенные согласия на обработку, неправильные чекбоксы или использование иностранных сервисов.

Поэтому проведите тщательный анализ политики конфиденциальности и формы согласий: в них должны быть цели, способы и срок обработки данных.

Оформите разные виды согласий в зависимости от целей сбора данных. Одно согласие — одна цель. Нельзя объединять, например, согласие на регистрацию и маркетинг в один чекбокс.

«Убедитесь, что формы сбора данных актуальны. Старые шаблоны или ссылки на архивные политики считаются нарушением», — советует Денис Царев, CEO IT-компании Morizo (входит в E-Promo Group).

Разместите свою политику обработки персональных данных в открытом доступе. Убедитесь, что любой человек, чьи данные обрабатываются, может легко ознакомиться с политикой.

Возможно, согласия на обработку данных скоро не потребуются: 31 октября глава Роскомнадзора предложил их отменить. Вместо них могут появиться отраслевые стандарты обработки персональных данных. Инициативу планируют внести на рассмотрение Госдумы в текущей осенней сессии.

Настройте внутренние регламенты

Чтобы внутри компании работа с персональными данными была прозрачной и четкой, необходимо назначить ответственных, зафиксировать порядок доступа и удаления данных, внедрить технические меры защиты.

Ответственным за обработку персональных данных может быть и штатный сотрудник, и сторонний эксперт. Главное, четко зафиксировать его обязанности. Традиционно на эту роль назначают специалиста по информационной безопасности.

Базовые технические меры перечислены в :

  • Контроль доступа: строгое разграничение прав пользователей (ролевая модель).
  • Аудит и анализ: обязательное ведение журналов всех операций с персональными данными.
  • Защита передаваемой информации: шифрование каналов связи (например, с использованием TLS).
  • Сетевые меры: сегментация сети для изоляции информационных систем.
  • Защита от угроз: применение антивирусов и систем класса EDR.
  • Обеспечение доступности: регулярное резервное копирование.
  • Проактивная безопасность: внедрение средств для обнаружения вторжений и утечек.
  • Работа с носителями: контроль за использованием флеш-накопителей и других физических носителей.
  • Оценка эффективности: регулярные проверки работоспособности всех мер защиты.
  • Сертифицированные средства: использование средств защиты информации (СЗИ), прошедших процедуру оценки соответствия.

Этот список охватывает основные моменты, но требует тщательного внимания к деталям. Полный и подробный вариант закреплен в

© «Теперь вы знаете» / создано при помощи нейросети

Проверьте подрядчиков

По вы можете передать на хранение или обработку персональные данные к другой компании, вашему контрагенту. Но за его ошибки отвечает оператор. Поэтому внимательно проверьте, как работают ваши подрядчики, которые соприкасаются с данными.

Особенно важно, чтобы они использовали только сертифицированные под 152-ФЗ сервисы с серверами в России. Все данные граждан РФ внутри страны. Иностранные сервисы и трансграничная передача данных — под особым вниманием.

Запланируйте регулярные аудиты

Систематически оценивайте, не нарушает ли компания закон в отношении персональных данных. Не устарели ли формы согласий, не пора ли изменить политику, вы все еще собираете нужные данные или их объем сейчас избыточен и так далее.

Используйте для аудита перечень рекомендаций Роскомнадзора: в нем содержится более 60 ключевых пунктов и все они очень важны.

Регулярные проверки помогают вовремя обновлять документы и устранять уязвимости. Актуализируйте информацию минимум раз в полгода или чаще при необходимости. Например, когда внедряете новые внутренние процессы обработки данных.

Обучайте сотрудников

Нарушения часто происходят из-за человеческого фактора, поэтому важно регулярно проводить инструктажи. Знакомьте сотрудников с законодательной базой, разъясняйте основные понятия вокруг персональных данных, вопросы личной ответственности каждого сотрудника, его права и обязанности.

Часто сотрудники не знают, к кому обратиться в сложной ситуации, не понимают, как действовать, и не представляют последствий своих шагов. В таких случаях могут помочь интерактивные тесты с моделированием ситуаций. Они предлагают вопросы и несколько вариантов ответов. А потом детально разбираются последствия каждого решения.

Универсального чек-листа по персональным данным не существует, у каждого бизнеса свои особенности. Но этот набор базовых шагов поможет выстроить работу в соответствии с требованиями 152-ФЗ и снизить риски получить неожиданный штраф из-за простых ошибок.