Персональные данные (Data Protection)
Обновлено: 25.03.2026
Что такое персональные данные
Представьте: в вашей базе хранится строка «+7 916 123-45-67». Просто набор цифр — никакой ценности и никакой ответственности. Но стоит добавить рядом «Иванов Алексей Петрович, менеджер по продажам, г. Москва» — и перед вами уже персональные данные, работа с которыми строго регулируется законом. Именно так работает принцип «комбинированности», данные становятся персональными не сами по себе, а в контексте — когда по ним можно прямо или косвенно идентифицировать конкретного живого человека.
Стоит понять с самого начала, «персональность» — не свойство конкретной цифры или слова, а свойство связки данных. Фамилия «Смирнов» — не ПДн. Фамилия + дата рождения + адрес — уже ПДн. Именно поэтому даже кажущиеся безобидными данные в вашей CRM или на сайте могут попадать под действие законодательства.
Когда данные становятся персональными
| Просто данные | Персональные данные |
| «+7 916 123-45-67» | «+7 916 123-45-67 — Иванов А.П.» |
| «Смирнов» | «Смирнов Дмитрий Олегович, 1985 г.р.» |
| Геолокация точки на карте | Геолокация + ID устройства пользователя |
| Общее фото людей | Общее фото с подписью ФИО |
| Счёт №ХХХХ | Счёт №ХХХХ + ФИО + паспортные данные |
Электронная почта или паспортные данные сами по себе являются ПДн
Определение по ФЗ-152
Официально понятие закреплено в статье 3 Федерального закона № 152-ФЗ «О персональных данных»:
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Закон намеренно не даёт закрытого перечня — он оставляет широкое толкование. Но на практике компании чаще всего собирают и обрабатывают следующие виды персональных данных:
- ФИО — полное или частичное
- Дата и место рождения
- Паспортные данные — серия, номер, кем выдан
- СНИЛС и ИНН
- Номер телефона
- Адрес электронной почты
- Адрес проживания или регистрации
- Геолокация (если привязана к конкретному устройству/пользователю)
- Фотография и видеозапись с узнаваемым лицом
- Cookie
- Банковские реквизиты физического лица
- Сведения о здоровье (при сборе медорганизациями или работодателями)
Ключевой практический вывод для бизнеса, если ваш сайт собирает форму обратной связи с именем и телефоном — вы уже оператор персональных данных со всеми вытекающими обязательствами по ФЗ-152.
Что не является персональными данными
Не всё, что выглядит как «данные о людях», попадает под действие закона. Есть важные исключения, которые стоит знать, чтобы не усложнять себе жизнь там, где это не нужно.
Анонимные данные - это данные, которые изначально не были привязаны к личности. Например: «покупатель мужского пола, 30–35 лет, купил кроссовки» — без имени, контактов и любых других привязок.
Ещё одно важное разграничение, ФЗ-152 защищает только физических лиц. Реквизиты компании — название ООО, ИНН организации, юридический адрес — персональными данными не являются и под действие закона не подпадают.
Если вы сомневаетесь, являются ли данные персональными — считайте, что являются, и применяйте соответствующие меры защиты. Это безопаснее, чем ошибиться в другую сторону и получить штраф.
Виды персональных данных
Не все персональные данные одинаковы — и это не просто теория. От того, к какой категории относятся данные, которые вы собираете, напрямую зависит: какой уровень защиты нужно обеспечить, какое согласие получить от субъекта и какие последствия грозят при нарушении. Ошибка в классификации — одна из самых частых причин претензий со стороны Роскомнадзора.
Закон выделяет несколько категорий ПДн, и логика здесь проста, чем чувствительнее информация, тем строже требования к её обработке. Ниже — обзор каждой категории с практическими примерами.
Категории персональных данных, обзорная таблица
| Тип ПДн | Примеры | Требования к согласию | Кто чаще всего работает |
| Специальные | Здоровье, убеждения, национальность | Только письменное согласие / прямое указание закона | Медорганизации, суды, работодатели на опасных производствах |
| Биометрические | Отпечатки, голос, сетчатка | Письменное согласие, если иное не требует законодательство | Банки, системы контроля доступа, госорганы |
| Обезличенные | Аналитика без привязки к личности | Согласие в любой форме (в т.ч. электронное), если иное не требует законодательство | Маркетинг, аналитические платформы |
| Общедоступные | Данные из открытых реестров, соцсетей | Не требуется, если иное не требует законодательство | СМИ, агрегаторы, HR-сервисы |
| Иные | ФИО, телефон, email, адрес | Согласие в любой форме (в т.ч. электронное), если иное не требует законодательство | Интернет-магазины, сервисы, HR |
Специальные персональные данные
Статья 10 ФЗ-152 относит к ним:
- Состояние здоровья и медицинский диагноз
- Сведения о судимости и уголовном преследовании
- Расовая и национальная принадлежность
- Религиозные и философские убеждения
- Политические взгляды
- Интимная жизнь
- Членство в профсоюзах
По умолчанию обработка специальных ПДн запрещена. Исключения прямо перечислены в законе: субъект дал письменное согласие, данные необходимы для защиты жизни человека, обработка осуществляется в медицинских целях лицензированным учреждением или прямо предписана федеральным законом и другие перечисленные в законе цели.
Практический пример: работодатель при трудоустройстве на опасное производство (шахта, химзавод) вправе запросить справку о состоянии здоровья — но только с письменного согласия кандидата и строго в рамках оценки профпригодности. Хранить эти данные в общей папке с резюме недопустимо.
Работа со специальными персональными данными без письменного согласия субъекта или без прямого указания закона — прямое нарушение ФЗ-152, влекущее административную ответственность по ст. 13.11 КоАП РФ. Штраф для юридических лиц от 300 тыс до 500 тыс рублей.
Биометрические персональные данные
Биометрия — это данные, которые описывают физиологические или биологические особенности человека и позволяют установить его личность. Статья 11 ФЗ-152 относит к ним:
- Фотографическое изображение лица (при формировании вектора для идентификации)
- Отпечатки пальцев
- Рисунок сетчатки и радужной оболочки глаза
- Голос (в системах голосовой идентификации)
- Геометрия руки, ДНК и другие физиологические параметры
Здесь важно разграничить два понятия, которые часто путают. Фото как персональные данные — это снимок, по которому можно идентифицировать человека (например, фото в личном деле сотрудника). Фото как биометрия — это когда изображение лица используется именно как инструмент идентификации, например, в системе распознавания лиц на турникете. Один и тот же файл может быть просто ПДн или биометрией — в зависимости от цели и способа обработки.
Прикладная ценность для бизнеса, биометрические технологии активно используются в СКУД (системах контроля и управления доступом), банковской идентификации, онбординге клиентов. Это удобно — но создает повышенные риски: утечка биометрии необратима, человек не может «сменить» отпечаток пальца, как меняет пароль.
С 2025 года для операторов, работающих с Единой биометрической системой (ЕБС) и ЕСИА, введены унифицированные формы согласий — их нельзя изменять произвольно. Операторы обязаны использовать только утвержденные шаблоны Минцифры.
Жизненный цикл биометрических данных
1. Сбор
Получение письменного согласия → Фиксация цели обработки
2. Передача в ЕБС (при необходимости)
Только через аккредитованные каналы → Уведомление субъекта
3. Хранение
Отдельно от других ПДн → Шифрование → Ограниченный доступ
4. Использование
Строго в рамках заявленной цели → Журналирование доступа
5. Актуализация
Проверка согласия → Обновление данных при изменении
6. Уничтожение
По истечении срока / отзыву согласия → Акт об уничтожении
Правовая база, законы о персональных данных в России
Работа с персональными данными в России — это не просто «хорошая практика», а жестко регулируемая область. Игнорировать законодательство становится всё дороже: 2025 год принес самые масштабные изменения за последние десять лет, и бизнес, который не успел перестроиться, уже получает реальные штрафы.
Регуляторная система строится вокруг Федерального закона № 152-ФЗ «О персональных данных» — это основной документ, который определяет правила игры для всех, кто собирает, хранит или передаёт данные о людях. Контроль за исполнением возложен на Роскомнадзор: именно он проводит проверки, выдает предписания и инициирует административные дела.
ФЗ-152 и ключевые принципы обработки
Закон не просто запрещает и предписывает — он задаёт философию работы с данными. Статья 5 ФЗ-152 формулирует принципы, нарушение которых само по себе является основанием для привлечения к ответственности:
- Законность и справедливость — обработка ПДн должна иметь правовое основание: согласие, закон, договор. Нельзя собирать данные «на всякий случай»
- Целевое использование — данные собираются для конкретной, заранее определенной цели. Нельзя использовать email клиента, оставленный для доставки, в целях рассылки рекламы без отдельного согласия
- Минимизация данных — собирать нужно только то, что действительно необходимо для достижения цели. Избыточный сбор — нарушение
- Достоверность — данные должны быть актуальными. Оператор обязан обновлять или удалять устаревшую информацию
- Ограничение хранения — как только цель достигнута или отпала, данные подлежат уничтожению или обезличиванию
- Конфиденциальность — лица, имеющие доступ к ПДн, обязаны не раскрывать их третьим лицам без основания
Если ваша компания собирает данные «по привычке» или «вдруг пригодится» — это уже нарушение принципа минимизации, даже если согласие формально получено.
Изменения 2023–2025: что нового и почему это срочно
Последние два года стали переломными для рынка. Государство последовательно ужесточает контроль — и темп только нарастает.
С 30 мая 2025 года вступил в силу ФЗ-420 — поправки в КоАП, которые кардинально меняют экономику нарушений. Теперь штрафы зависят от объема утечки, чем больше пострадавших, тем выше санкция.
Новые штрафы по ФЗ-420 (с 30.05.2025)
| Нарушение | Физлицо | Должностное лицо | Юрлицо |
| Утечка данных 1–10 тыс. субъектов | до 200 тыс. руб. | до 400 тыс. руб. | до 5 млн руб. |
| Утечка данных 10–100 тыс. тыс. субъектов | до 300 тыс. руб. | до 500 тыс. руб. | до 10 млн руб. |
| Утечка данных более 100 тыс. тыс. субъектов | до 400 тыс. руб. | до 600 тыс. руб. | до 15 млн руб. |
| Повторная утечка | до 600 тыс. руб. | до 1,2 млн руб. | 1–3% от годовой выручки |
| Утечка биометрических данных | до 500 тыс. руб. | до 1,5 млн руб. | от 20 млн руб. |
| Утечка специальных категорий | до 400 тыс. руб. | до 1,3 млн руб. | до 15 млн руб. |
| Повторная утечка биометрических данных/ специальных категорий | до 800 тыс. руб. | до 2 млн руб. | 1–3% от годовой выручки |
| Неуведомление Роскомнадзора об обработке | до 10 тыс. руб. | до 50 тыс. руб. | до 300 тыс. руб. |
С 1 июля 2025 года введен полный запрет на первичный сбор персональных данных с использованием баз данных, физически расположенных за рубежом. Под действие закона подпадают все интернет-сервисы, включая небольшие интернет-магазины — достаточно того, что на сайте есть форма регистрации, отправляющая данные напрямую зарубеж.
С 1 сентября 2025 года введены новые правила оформления согласий: согласие на обработку ПДн теперь должно быть отдельным документом — его нельзя включать в текст договора, оферты или пользовательского соглашения.
Если ваша компания до сих пор не уведомила Роскомнадзор об обработке ПДн, использует зарубежные облачные сервисы для хранения данных клиентов или включает согласие в текст договора — вы уже нарушаете актуальное законодательство. Аудит процессов обработки персональных данных занимает от нескольких дней и позволяет устранить нарушения до того, как их обнаружит регулятор.
Как законно обрабатывать персональные данные
Многие компании годами работают с данными клиентов и сотрудников, не подозревая, что нарушают закон буквально на каждом шагу: хранят данные дольше чем требуется, не уведомили Роскомнадзор, смешали базы клиентов и сотрудников в одной таблице. Несоответствие процессов обработки ПДн — это не экономия на документах, это отложенный штраф, который растет с каждым новым нарушением.
Стать законным оператором ПДн — не так сложно, как кажется. Это последовательный процесс, у которого есть четкая логика.
Как стать законным оператором ПДн: 5 шагов
Шаг 1 — Назначить ответственного
- Подписать приказ о назначении ответственного лица за организацию обработки ПДн
- В крупных компаниях — сформировать отдел или назначить DPO (Data Protection Officer)
- Зафиксировать полномочия и зону ответственности в должностной инструкции
Без этого шага остальные шаги юридически не работают
Шаг 2 — Разработать документы
- Политика конфиденциальности — публичная, размещается на сайте до начала сбора данных
- Положение об обработке ПДн — внутренний регламент для сотрудников
- Инструкции по работе с ПДн для каждой категории персонала
- Приказы о допуске сотрудников к обработке ПДн
- Модель угроз безопасности информационной системы
- И другие документы
Шаг 3 — Уведомить Роскомнадзор
- Подать уведомление через портал pd.rkn.gov.ru до начала обработки ПДн
- Указать в уведомлении: цели обработки, категории данных, сроки хранения, меры защиты
- При изменении сведений — уведомить РКН повторно в течение 10 рабочих дней
- Настроить процедуру уведомления об утечках: 24 ч — предварительно, 72 ч — окончательно
Шаг 4 — Получить согласия
- Получить согласие на обработку ПДн от каждого субъекта
- Для специальных категорий ПДн (здоровье, убеждения) — только письменное согласие
- Для биометрических ПДн — только письменное согласие
- Согласие на распространение ПДн — оформить отдельным документом (Приказ РКН № 18)
- Согласие не включать в текст договора или оферты (требование с 01.09.2025)
Шаг 5 — Организовать защиту
- Провести классификацию ИСПДн и определить уровень защищенности (УЗ-1 / УЗ-2 / УЗ-3 / УЗ-4)
- Составить и подписать акт классификации ИСПДн
- Внедрить организационные меры: разграничение доступа, инструктаж, NDA с сотрудниками
- Внедрить технические меры: антивирус, межсетевой экран, шифрование, резервное копирование
- Настроить процедуру реагирования на инциденты и журналирование событий
- Провести тестовую проверку готовности системы к инциденту
распечатайте этот чеклист и пройдитесь по каждому пункту со своим ответственным за ПДн. Не проставленные галочки — это ваши актуальные риски.
Пройдём по каждому шагу детально — с фокусом на то, что реально делает ответственный за ПДн в компании, а не на то, что написано в законе.
Шаг 1. Назначить ответственного.
Руководитель подписывает приказ, в котором указывает конкретного сотрудника ответственного за организацию обработки ПДн. Этот человек становится точкой входа для запросов субъектов, внутренних проверок и взаимодействия с Роскомнадзором. В компаниях с большим объёмом данных рекомендуется назначить DPO (Data Protection Officer) — это не требование российского закона, но признанная лучшая практика.
Ответственный — это не лицо на которое выпишут штраф, а ключевой сотрудник для взаимодействия с госорганами.
Шаг 2. Разработать документы.
Минимальный пакет включает политику конфиденциальности (она должна быть опубликована на сайте и доступна до момента сбора данных), положение об обработке ПДн, инструкции для сотрудников и модель угроз безопасности. После сентября 2025 года согласие обязательно оформляется отдельным документом — не частью договора или оферты.
Шаги 3–5 разобраны подробно в следующих разделах.
Как оформить согласие на обработку ПДн
Согласие — это не просто формальность и не просто «галочка на сайте». Это юридически значимый документ, и его дефекты напрямую аннулируют правовое основание для обработки данных.
Первое, что нужно понять, существуют два принципиально разных документа.
Согласие на обработку ПДн — базовый документ, разрешающий вам работать с данными человека в определённых целях. Может быть оформлено в электронном виде: чекбокс на сайте, клик на кнопку, УКЭП.
Согласие на распространение ПДн — отдельный документ, разрешающий передавать данные неограниченному кругу лиц (публикация на сайте, передача партнёрам). Требования к нему установлены Приказом Роскомнадзора № 18 и значительно строже: субъект должен явно указать, какие именно данные он разрешает распространять, а какие — нет.
Смешивать эти два документа нельзя. Многие компании по-прежнему включают оба в одно поле «Я согласен с политикой конфиденциальности» — это нарушение.
Чеклист, что обязательно включить в согласие на обработку ПДн
(по ч. 4 ст. 9 ФЗ-152)
- ФИО, паспортные данные, адрес
- ФИО, паспортные данные, адрес представителя субъекта (если согласие дается через представителя) и реквизиты доверенности
- Наименование и адрес оператора — кто получает согласие
Цель обработки персональных данных — конкретно, не «улучшение сервиса» - Перечень персональных данных, на обработку которых дается согласие
Перечень действий с ПДн (сбор, хранение, передача, обезличивание и т. д.) - Срок действия согласия или условие его прекращения
- Порядок отзыва согласия субъектом
- Подпись субъекта (для письменной формы) / фиксация действия (для электронной)
Форматы согласия и когда что применять
| Ситуация | Допустимый формат |
| Форма на сайте (имя, email, телефон) | Чекбокс + ссылка на согласие + ссылка на политику |
| Мобильное приложение | Кнопка «Принять» с текстом согласия |
| Передача данных сотрудников | Письменное согласие с подписью |
| Специальные категории ПДн | Только письменное согласие |
| Биометрические данные | Только письменное согласие |
| Согласие на распространение ПДн | Отдельный документ по Приказу РКН № 18 |
Важный практический момент: субъект имеет право отозвать согласие в любой момент. Оператор обязан прекратить обработку и уничтожить данные в разумный срок — если только другое основание для обработки не предусмотрено законом. Это означает, что технически вы должны уметь удалить данные конкретного человека из всех своих систем. Если такой возможности нет — это отдельный риск при проверке.
Особенности ПДн сотрудников
Трудовые отношения — это особый правовой режим для персональных данных. Здесь работает не только ФЗ-152, но и Трудовой кодекс РФ (глава 14), который устанавливает дополнительные ограничения и обязанности работодателя.
Работодатель собирает данные сотрудников на всём протяжении трудовых отношений — от собеседования до увольнения.
Какие ПДн работника нужны работодателю и зачем
| Данные | Цель сбора | Основание |
| ФИО, паспорт, ИНН, СНИЛС | Оформление трудового договора, налоги, отчётность | ТК РФ, НК РФ |
| Адрес регистрации и проживания | Кадровые документы, военкомат | ТК РФ |
| Сведения об образовании | Соответствие квалификационным требованиям, оформление трудового договора | ТК РФ |
| Реквизиты банковского счёта | Выплата зарплаты | ТК РФ |
| Сведения о трудовой книжке | Учёт стажа, ПФР/СФР | ФЗ-27 |
| Медицинская книжка / справка | Допуск к работе на опасных/пищевых производствах | ТК РФ, ФЗ-52 |
| Сведения о воинском учёте | Обязательный воинский учёт в организации | ФЗ-53 |
| Результаты аттестации, KPI | Кадровые решения (повышение, увольнение) | ТК РФ |
Ключевое правило, которое нарушают чаще всего: передача ПДн работника третьим лицам без его согласия (ст. 88 ТК РФ). Это касается в том числе ответов на запросы банков, коллекторов, родственников и даже некоторых государственных органов — каждый случай нужно проверять отдельно.
Три практических совета, которые снижают риски прямо сейчас:
- Не объединяйте базы. База данных клиентов и база сотрудников должны храниться раздельно — физически или логически. Общая CRM с клиентами и HR-данными — типичная ошибка, которую выявляет любая проверка.
- Разработайте Положение о ПДн работников. Это обязательный внутренний документ, который описывает: какие данные собираются, с какой целью, кто имеет доступ, как и где хранятся, как и когда уничтожаются. Без него работодатель не может доказать системный подход к защите данных.
- Получайте отдельное согласие на передачу данных. Если вы передаёте данные сотрудника в аутсорсинговую бухгалтерию, кадровое агентство или страховую компанию — нужно письменное согласие работника с указанием конкретного получателя и цели передачи.
Обязательные документы оператора ПДн
Документация — это не бюрократия ради бюрократии. Это доказательная база вашей добросовестности перед Роскомнадзором, ФСТЭК и судом. При проверке инспектор в первую очередь запрашивает именно документы: нет бумаги — нет защиты, даже если технически всё настроено правильно.
Закон не устанавливает исчерпывающего перечня документов — каждый оператор формирует пакет с учётом специфики деятельности: есть ли сотрудники, используется ли сайт, работает ли CRM, передаются ли данные подрядчикам. Однако базовый комплект един для всех — и именно его проверяют в первую очередь.
Все документы делятся на два типа:
- публичные — те, что обязательно размещаются в открытом доступе
внутренние — регламентирующие работу внутри организации.
Минимальный пакет документов оператора ПДн: чеклист самопроверки
Публичные документы
| Документ | Где размещается | Статус |
| Политика конфиденциальности (Политика в отношении обработки ПДн) | Сайт организации, обязательна до момента сбора данных | Обязательно |
| Согласие на обработку ПДн (форма для субъектов) | Сайт / бумажная форма при личном взаимодействии | Обязательно |
| Уведомление Роскомнадзора о намерении обрабатывать ПДн | Портал https://pd.rkn.gov.ru | Обязательно до начала обработки |
Внутренние организационные документы
| Документ | Назначение | Статус |
| Приказ о назначении ответственного за организацию обработки ПДн | Определяет ответственное лицо / подразделение | Обязательно |
| Положение об обработке и защите ПДн работников | Регулирует работу с данными сотрудников (гл. 14 ТК РФ) | При наличии штата |
| Положение об обработке ПДн клиентов / контрагентов | Регулирует работу с данными внешних субъектов | Обязательно |
| Перечень сотрудников, допущенных к обработке ПДн | Реализует принцип минимальных привилегий | Обязательно |
| Согласие на распространение ПДн (если данные передаются третьим лицам) | Обеспечивает правовое основание распространения ПДн | Обязательно при распространении |
| Приказ о допуске работников к обработке ПДн | Юридически фиксирует права доступа | Обязательно |
| Соглашения о неразглашении ПДн (NDA) | Закрепляют обязанность соблюдать конфиденциальность | Обязательно |
| Должностные инструкции сотрудников, обрабатывающих ПДн | Описывают права, обязанности, ответственность | Обязательно |
| Журнал учёта инструктажей по работе с ПДн | Доказательство проведения обучения персонала | Обязательно |
| Правила рассмотрения обращений субъектов ПДн | Регламент ответа на запросы об изменении / удалении данных | Обязательно |
| Договоры с подрядчиками, обрабатывающими ПДн | Поручение на обработку с фиксацией мер защиты | При передаче подрядчикам |
Документы по безопасности
| Документ | Назначение | Статус |
| Акт классификации ИСПДн (определение уровня защищённости) | Фиксирует УЗ-1 / УЗ-2 / УЗ-3 / УЗ-4 | Обязательно |
| Модель угроз безопасности ПДн | Обосновывает выбор технических средств защиты | Обязательно |
| Приказ о вводе ИСПДн в эксплуатацию | Фиксирует факт запуска системы с соблюдением требований | Обязательно |
| Инструкция по антивирусной защите | Регламент работы с антивирусным ПО | Обязательно |
| Инструкция по парольной защите | Требования к паролям, срокам смены, хранению | Обязательно |
| Порядок резервного копирования и восстановления данных | Регламент бэкапов и восстановления при инцидентах | Обязательно |
| Положение о хранении и уничтожении носителей ПДн | Порядок работы со съёмными носителями, бумажными документами | Обязательно |
| Акты об уничтожении ПДн | Фиксируют факт уничтожения данных по истечении срока хранения | Обязательно |
| Журнал учёта мероприятий по контролю защиты ПДн | Фиксирует плановые проверки и их результаты | Обязательно |
| Акт оценки вреда субъектам ПДн | Оценка последствий возможного нарушения конфиденциальности | Обязательно |
Публичные документы, что видит пользователь
Политика конфиденциальности — это «лицо» вашей системы защиты ПДн для внешнего мира. Она должна быть опубликована на сайте до того, как посетитель оставляет любые данные — даже просто заполняет форму обратной связи. После сентября 2022 года требования к политике ужесточились, документ должен явно описывать категории субъектов, цели обработки, сроки хранения.
Отдельный документ, о котором часто забывают — уведомление Роскомнадзора. Большинство компаний, собирающих данные клиентов, обязаны подать его через портал pd.rkn.gov.ru до начала обработки. Исключения прямо перечислены в ст. 22 ФЗ-152 и крайне узки. Если сомневаетесь — подавайте уведомление.
Внутренние документы: что проверяет инспектор
Внутренние документы — самая объёмная часть пакета, и именно здесь чаще всего обнаруживаются нарушения. Типичная картина при проверке: политика конфиденциальности есть, согласия есть, а Положения об обработке ПДн нет, приказ о назначении ответственного не подписан, соглашения о неразглашении с сотрудниками не заключены.
Три документа, которые вызывают наибольшее число вопросов на практике:
- Модель угроз — её разработка требует технической экспертизы и анализа инфраструктуры. Нельзя скопировать из интернета: документ должен отражать именно вашу систему, ваши потоки данных и ваши актуальные угрозы.
- Договоры с подрядчиками — если вы передаёте данные клиентов в облачную CRM, аутсорсинговую бухгалтерию или IT-подрядчику, каждый такой договор должен содержать условия о поручении на обработку и мерах защиты. Без оформления поручения любая передача ПДн будет являтся нарушением.
- Акты об уничтожении ПДн — их отсутствие означает, что данные хранятся бессрочно, что является нарушением принципа ограничения хранения.
Ответственность за нарушение законодательства о ПДн
Незнание закона не освобождает от ответственности — а в сфере персональных данных цена незнания резко выросла. С 30 мая 2025 года кардинально пересмотрены санкции за нарушения в сфере ПДн: штрафы выросли в 5–50 раз, введена уголовная ответственность для физических лиц, а ИП приравнены к юридическим лицам по размеру наказания.
Важно понимать архитектуру ответственности она трёхуровневая.
- Первый уровень — административная ответственность по ст. 13.11, 13.11.3 КоАП РФ (штрафы).
- Второй — уголовная ответственность по УК РФ (лишение свободы).
- Третий — гражданско-правовая ответственность перед самими субъектами ПДн (иски о компенсации морального вреда). Все три уровня могут наступить одновременно в результате одного инцидента.
Административная ответственность: штрафы по ст. 13.11 КоАП (с 30.05.2025)
| Нарушение | Физлицо | Должностное лицо | Юрлицо / ИП |
| Обработка ПДн без правового основания | до 15 000 руб. | до 100 000 руб. | 150 000 — 300 000 руб. |
| Обработка ПДн без письменного согласия | до 15 000 руб. | до 300 000 руб. | 300 000 — 700 000 руб. |
| Утечка ПДн 1–10 тыс. субъектов | 100 000 — 200 000 руб. | 200 000 — 400 000 руб. | 3 000 000 — 5 000 000 руб. |
| Утечка ПДн 10–100 тыс. субъектов | 200 000 — 300 000 руб. | 300 000 — 500 000 руб. | 5 000 000 — 10 000 000 руб. |
| Утечка ПДн более 100 тыс. субъектов | 300 000 — 400 000 руб. | 400 000 — 600 000 руб. | 10 000 000 — 15 000 000 руб. |
| Повторная утечка | до 600 000 руб. | до 1 200 000 руб. | 1–3% от годовой выручки |
| Утечка биометрических ПДн | до 500 000 руб. | до 1 500 000 руб. | до 20 000 000 руб. |
| Утечка специальных категорий ПДн | до 400 000 руб. | до 1 300 000 руб. | до 20 000 000 руб. |
| Неуведомление РКН о начале обработки | 5 000 — 10 000 руб. | 30 000 — 50 000 руб. | 100 000 — 300 000 руб. |
| Неуведомление РКН об утечке | 50 000 — 100 000 руб. | 400 000 — 800 000 руб. | 1 000 000 — 3 000 000 руб. |
| Передача ПДн через иностранные мессенджеры | - | 30 000 — 50 000 руб. | до 700 000 руб. |
Принципиальное изменение, о котором важно знать руководителям:
Если раньше индивидуальный предприниматель платил как физическое лицо, то с 30 мая 2025 года санкции для ИП такие же, как для организаций.
Уголовная ответственность
С декабря 2024 года в Уголовный кодекс РФ введена статья 272, 272.1 — специальная норма о незаконном обороте персональных данных. Это принципиально новый инструмент, раньше за утечку ПДн к уголовной ответственности можно было привлечь только через смежные составы.
Уголовная ответственность наступает для конкретных физических лиц — руководителя, системного администратора, сотрудника, который совершил незаконные действия с данными. Юридическое лицо уголовной ответственности не несёт, но штрафы по КоАП при этом никуда не исчезают.
- По статье 272. Максимальный штраф 500 000. Максимальный срок лишения свободы 7 лет
- По статье 272.1. Максимальное наказание одновременно лишение свободы до 10 лет и штраф до 3 000 000