Готовим документацию по защите персональных данных к проверкам Роскомнадзора

Изменения в законодательстве

30 мая 2025 года вступили в силу обновления в КоАП, связанные с нарушениями требований закона № 152-ФЗ. Размеры штрафов выросли, а перечень ситуаций, при которых организации могут быть привлечены к ответственности, расширился.

Одним из важных изменений стало приравнивание индивидуальных предпринимателей к юридическим лицам с точки зрения ответственности за нарушения в сфере обработки ПДн. Строже стали и санкции за непредоставление уведомления в Реестр операторов персональных данных Роскомнадзора. Обязанность направлять уведомление о начале обработки ПДн теперь распространяется и на самозанятых (п. 2 ст. 3 152-ФЗ).

Рассмотрим ключевые нарушения законодательства о персональных данных и какие санкции за это предусмотрены.

Неправильная обработка ПДн (первое нарушение)

Также с 30 мая 2025 года размер штрафа за утечку ПДн зависит от количества пострадавших человек.

Штрафы за утечку персональных данных

В 2025 году появилась уголовная ответственность за существенные нарушения 152-ФЗ. Если от ваших ошибок пострадали жизнь и здоровье других людей, можно отправиться на исправительные работы или получить реальный срок.

Требования закона относятся ко всем организациям, ИП и самозанятым, которые в любой форме обрабатывают персональные данные сотрудников, клиентов или пользователей сайта. Достаточно иметь резюме соискателей, контакты клиентов, формы обратной связи или даже телефонные номера заказчиков в смартфоне, чтобы подпасть под действие закона. Подробнее об этом я писал здесь.

Подготовка к обработке ПДн: план действий

Для исполнения 152-ФЗ ИП и самозанятые обязаны подготовить всю документацию, которая обеспечит организацию защиты ПДн. Причем сделать это самостоятельно, ведь закон на данный момент никак не регламентирует этот процесс. Какие действия необходимо предпринять?

Шаг 1. Зарегистрироваться в качестве оператора ПДн

Существуют три варианта регистрации: онлайн на официальном сайте Роскомнадзора, на бумажном носителе (распечатать заполненную на сайте РКН форму, подписать и отправить в территориальный департамент ведомства) или на «Госуслугах». В последнем случае вы авторизуетесь на портале от лица вашей организации и все данные автоматически подтянутся в онлайн-форму.

Шаг 2. Проверить, внесены ли вы в Реестр операторов

Ошибки возможны, поэтому, чтобы уточнить, есть ли вы в реестре, заходите на сайт РКН и ищите себя. Для этого можно использовать ИНН, регистрационный номер или наименование компании.

Шаг 3. Определить, какие меры защиты предпринять

Меры защиты персональных данных делятся на организационные и технические. Ни в том, ни в другом случае 152-ФЗ не поясняет, как именно нужно обеспечивать безопасность. Каждая организация должна самостоятельно разработать пакет документов и методику технической защиты информации, которые будут соответствовать закону.

Я уже подробно разбирал технические меры защиты, сегодня остановимся на организационных.

Организационные меры защиты

Это пакет документов, разработанных с целью защиты персональных данных с учетом потребностей именно вашей компании. Сюда относятся:

1. Перечни: помещений, где ведется обработка ПДн; лиц, допускаемых в эти помещения; программного обеспечения; видов персональных данных; лиц, ответственных за обезличивание ПДн; резервируемой информации.
2. Матрица доступа – инструмент для визуализации и управления правами доступа в информационных системах персональных данных (ИСПДн). Она обеспечивает требования законодательства, помогает контролировать доступ к персональным данным и при правильной настройке снижает риск утечки ПДн в случае компрометации системы.
3. Согласие на обработку персональных данных – документ, который позволяет оператору обрабатывать личную информацию гражданина. Необходимо всем операторам ПДн. С учетом сложившейся практики проверок рекомендуется составлять документ по принципу «одна цель обработки ПДн – одно согласие». С 1 сентября 2025 года вступили в силу поправки, согласно которым рекомендуется сделать согласие на обработку ПДн и согласие на передачу ПДн третьим лицам отдельными документами.
4. Приказы: об организации защиты информации; о создании комиссии по уничтожению ПДн; о вводе в эксплуатацию ИСПДн; о назначении ответственных за обработку ПДн.
5. Положения о порядке организации и проведении работ по обработке и защите ПДн: основа всех организационных мер обеспечения безопасности. Составление документа требует глубоких знаний 152-ФЗ и возможных мер обеспечения защиты ПДн. Определяет правила и принципы, которыми руководствуется организация при сборе, хранении, использовании и защите персональных данных.
6. Модель угроз: документ, описывающий то, как злоумышленники теоретически могут перехватить личную информацию по техническим каналам. Для каждой ИСПДн должна быть отдельная модель угроз.
7. Модель нарушителя: документ, описывающий портрет потенциального нарушителя и то, по каким причинам они хотят завладеть персональными данными.

Пять рекомендаций операторам ПДн

Если вы самозанятый или ИП с небольшим оборотом и  количеством сотрудников, то объемный пакет документов и сложная техническая защита вам не нужна. Чтобы соблюдать закон, вам достаточно сделать эти пять действий.

1. Зарегистрироваться в Роскомнадзоре в качестве оператора.
2. Назначить ответственного за обработку ПДн.
3. Проверить свои сайты и привести их в соответствие требованиям 152-ФЗ.
4. Разработать Политику обработки персональных данных.
5. Составить Согласие на обработку ПДн.

Также вы можете отдать всю подготовку документов специалистам или воспользоваться специальными сервисами.