Персональные данные для малого и среднего бизнеса в 2025 году: Гид по безопасной работе

В последние годы тема персональных данных (ПДн) стала одной из самых горячих. Законодательство ужесточается, а вместе с ним — и ответственность за нарушения. И это касается не только гигантов рынка.

Подробно разберём, как малому и среднему бизнесу (МСБ) грамотно выстроить работу с ПДн, чтобы избежать серьёзных штрафов и защитить репутацию.

Кто такой оператор персональных данных? Вы им являетесь?

Простыми словами, оператор ПДн — это любая организация или человек, который собирает, хранит, использует или передаёт информацию о людях. Он определяет, зачем нужны эти данные, какие именно данные он собирает и что с ними делает.

Если ещё проще: практически любой, кто хоть как-то взаимодействует с данными физических лиц, попадает под это определение.

Важно помнить: персональные данные — это не только имя и фамилия! Это любая информация, которую можно связать с конкретным человеком, прямо или косвенно. Например, IP-адрес, данные о вашем местоположении, номер телефона, даже фотография без указания имени. Поэтому, работая с ПДн, всегда мыслите максимально широко.

Если у вашей компании есть хотя бы один сотрудник, один клиент или даже один электронный документ, содержащий информацию о человеке, ваша компания автоматически становится оператором персональных данных.

Это касается не только компаний. Индивидуальные предприниматели (ИП) также являются операторами, если они обрабатывают ПДн.

Вывод: Если вы обрабатываете персональные данные хотя бы одного человека (будь то контрагент, сотрудник, посетитель вашего сайта и так далее), вы — оператор ПДн. А значит, у вас появляются определённые обязанности.

Как наладить работу с персональными данными в вашей компании?

Работа с ПДн — это не одноразовая акция, а целый комплекс мер. Вот ключевые шаги.

1. Уведомление Роскомнадзора: Обязательно ли?

Практически каждый оператор обязан уведомить Роскомнадзор о начале обработки персональных данных (часть 1 статьи 22 Закона о персональных данных).

Есть редкие исключения, например, если вы обрабатываете данные исключительно на бумаге, или в государственных информационных системах для защиты безопасности, или в рамках законодательства о транспортной безопасности. Но, честно говоря, 99% компаний под эти исключения не подпадают.

Что будет, если не уведомить?

До 30 мая 2025 года максимальный штраф за это был символическим — 5 000 рублей. Поэтому многие и игнорировали эту обязанность.

Но с 30 мая 2025 года ситуация кардинально изменилась:

• Максимальный штраф для компаний и ИП за неуведомление РКН теперь составляет 300 000 рублей.
• Для должностных лиц штраф будет варьироваться от 30 000 до 50 000 рублей.

Так что игнорировать больше нельзя.

Как отправить уведомление?

Содержание уведомления строго регламентировано Приказом Роскомнадзора от 28.10.2022 № 180. Удобнее всего заполнить форму автоматически на сайте ведомства.

Отправить его можно тремя способами:

• На бумаге: Заполнить форму на сайте, распечатать и лично отнести в РКН.
• Электронно с УКЭП: Заполнить форму на сайте, подписать усиленной квалифицированной электронной подписью и отправить напрямую в ведомство.
• Электронно через Госуслуги: Авторизоваться на портале Госуслуг и отправить форму.

После отправки ваше имя (или название компании) будет включено в реестр операторов в течение 30 дней.

Как проверить, есть ли вы в реестре?

Проверить себя можно на сайте Роскомнадзора, введя ИНН или название компании. Лучше искать по ИНН, чтобы избежать путаницы с одноимёнными организациями.

Если вас нет в реестре, пора это исправить. Если вы там есть, убедитесь, что все сведения актуальны.

Важно: Если вы подавали уведомление до 26 декабря 2022 года, его однозначно нужно обновить. Тогда изменилась форма, и теперь для каждой цели обработки ПДн необходимо указывать:

• Категории ПДн.
• Правовое основание обработки ПДн.
• Категории субъектов (кого касаются данные).
• Перечень действий с ПДн.
• Способы обработки персональных данных.

Помните: если что-то меняется (например, у вас появился новый центр обработки данных, сменилось ответственное лицо или добавились новые цели обработки), вы должны уведомить Роскомнадзор об этих изменениях не позднее 15-го числа месяца, следующего за месяцем изменений.

Если вы передаёте ПДн за границу (то есть, иностранным компаниям или лицам), для этого нужно отдельное уведомление. Стандартного уведомления о начале обработки данных будет недостаточно.

2. Назначьте ответственного за ПДн.

Это одна из прямых обязанностей оператора ПДн (статья 22.1 Закона о персональных данных). Обычно такое лицо назначается приказом руководителя. Информация о нём также передаётся в РКН вместе с уведомлением.

Чем занимается ответственный:

• Контролирует соблюдение законодательства о ПДн в компании.
• Проводит обучение для сотрудников, объясняя им требования по работе с ПДн.
• Организует приём и обработку обращений и запросов от людей, чьи данные вы используете.

3. Разработайте ключевые документы.

Закон не даёт чёткого списка всех необходимых документов, но ясно указывает, какая информация в них должна содержаться.

Вот основные документы, которые вам, скорее всего, понадобятся:

• Политика в отношении обработки персональных данных. Этот документ должен быть в открытом доступе (обычно его публикуют на сайте компании), чтобы любой желающий мог с ним ознакомиться.
• Положение об обработке и защите персональных данных работников. Это уже внутренний документ. Его утверждает руководитель приказом, а все сотрудники должны ознакомиться с ним под подпись. Оно регулирует, как именно вы работаете с данными своих сотрудников. На практике политику и положение часто делают отдельными документами, хотя их можно и объединить.
• Типовые формы согласий на обработку ПДн. Здесь нет универсального решения. Для каждой ситуации (например, сбор данных клиента, соискателя, участника акции) нужна своя форма согласия, где будет прописана конкретная цель, перечень данных и другие детали.
• Приказы о выполнении мероприятий по организации обработки и обеспечению безопасности ПДн. Это могут быть приказы, утверждающие:
• Перечень информационных систем, где хранятся ПДн.
• Акт классификации этих систем.
• Список лиц, допущенных к обработке ПДн.
• Лицо, ответственное за организацию обработки ПДн.
• Места хранения ПДн и ответственных за них.

4. Минимизируйте количество собираемых данных.

При работе с ПДн действует золотое правило: собирайте и обрабатывайте только те данные, которые действительно соответствуют цели обработки.

Например:

• При найме разнорабочего вам вряд ли нужна информация о месте работы его родственников или семейном положении.
• Чтобы оформить дисконтную карту, магазину едва ли понадобятся ваши паспортные данные.
• Для записи на бесплатный вебинар организатору не нужны реквизиты вашей банковской карты или паспортные данные.

Чем меньше персональных данных вы собираете, тем ниже риск их утечки. Поэтому собирайте и обрабатывайте только самое необходимое.

5. Получайте согласия на обработку ПДн.

Согласие — это основное, но не единственное законное основание для обработки ПДн. Закон предусматривает ряд ситуаций, когда согласие не требуется (они перечислены в статье 6 Закона о персональных данных). Вот основные:

• Если обработка нужна для заключения или исполнения договора между вами и человеком (например, продавая товар в магазине, вам не нужно запрашивать согласие покупателя на обработку его данных для совершения покупки).
• Если обработка осуществляется во исполнение закона (например, работодателю не нужно согласие сотрудника на передачу сведений о нём в ФСС).
• Если обработка необходима для общественных интересов или государственной функции.
• Если обработка нужна для жизненно важных интересов человека.
• Если у вас есть законный интерес на такую обработку.

Если ни одно из этих условий не подходит для вашей ситуации, вам необходимо получить согласие на обработку ПДн.

Важно: Отсутствие письменного согласия, когда оно требуется по закону, может привести к штрафу до 700 000 рублей для компании и до 300 000 рублей для должностного лица (часть 2 статьи 13.11 КоАП).

6. Оперативно информируйте об утечках.

В случае утечки персональных данных (то есть их неправомерной или случайной передачи), действовать нужно очень быстро:

• У вас есть всего 24 часа, чтобы уведомить Роскомнадзор об утечке, её возможных причинах, предполагаемом вреде, последствиях и указать контактное лицо для РКН.
• И всего 72 часа, чтобы уведомить РКН о результатах внутреннего расследования утечки.

Обратите внимание: речь идёт не о рабочих часах, а о календарных. С 30 мая 2025 года ответственность за неуведомление или несвоевременное уведомление об утечке составит до 3 000 000 рублей для юрлиц и до 800 000 рублей для должностных лиц.

Работа с ПДн — это не проект, а постоянный процесс

Законодательство о персональных данных постоянно меняется и совершенствуется. Документы, которые были актуальны ещё в 2022 году, сегодня уже требуют обновления. Каждый год появляются новые требования и ужесточается ответственность за их несоблюдение.

Поэтому держать руку на пульсе крайне важно. Построение комплексной системы управления обработкой и защитой ПДн в компании — это непрерывный процесс, к которому нужно подходить ежедневно, независимо от масштаба вашего бизнеса.

Источник - KELIN для Информационного правового портала Гарант.ру