• Главная
  • Блог

  • Обработка и защита персональных данных в 2025 году

Назад

Обработка и защита персональных данных в 2025 году

#Новости

В 2025 году защита персональных данных действительно становится одним из краеугольных камней цифровой экосистемы. Учитывая стремительное развитие технологий, таких как искусственный интеллект, блокчейн и квантовые вычисления, компании столкнутся, как с возможностями, так и с новыми вызовами в области безопасности данных. 

Внесённые изменения в Федеральный закон № 152-ФЗ, новые унифицированные формы согласий и ужесточение наказаний, в том числе за оборотные штрафы, за нарушения стали ключевыми аспектами, влияющими на работу организаций и предпринимателей. Ключ к успешному управлению персональными данными заключается в гармоничном взаимодействии технологий и законодательства. Это требует от организаций не только внедрения современных технологий безопасности, но и формирования культуры ответственности за конфиденциальность. Поговорим о том, что же из себя представляют ПДн.

Персональные данные — это информация, позволяющая идентифицировать конкретное физическое лицо. Очевидными примерами являются паспортные данные, однако, даже номер телефона, связанный с именем, становится персональной информацией. 

Согласно ФЗ-152 и Постановлению Правительства №1119, выделяют пять типов персональных данных (ПДн):

  • ФИО, дата рождения и пол;

  • Паспортные данные, СНИЛС, ИНН;

  • Адрес регистрации и проживания;

  • Номер телефона и электронная почта;

  • Сведения о судимостях, службе в армии, образовании.

Персональные данные можно классифицировать на несколько на 4 типа ПДн, каждая из которых имеет свои особенности и регулируется соответствующими нормами законодательства.  

Общедоступные данные — это информация, которая может свободно распространяться с согласия субъекта или на основании закона. К таким данным относятся, например, фамилия и имя человека, его возраст, профессия и другие сведения, которые не требуют специального разрешения для их использования.  

Биометрические данные представляют собой уникальные физиологические характеристики человека, такие как отпечатки пальцев, рисунок сетчатки глаза или фотографии. Эти данные активно применяются в системах безопасности, особенно на объектах с повышенными требованиями к охране и ограничением доступа. Биометрия позволяет точно идентифицировать сотрудников, обладающих особыми правами или доступом к конфиденциальной информации. Однако использование биометрических данных возможно исключительно с согласия их владельца и только в пределах срока, указанного в соглашении на обработку персональных данных.  

Специальные данные — это категория, которая включает информацию о личных убеждениях, состоянии здоровья, семейной жизни и других аспектах, относящихся к частной сфере человека. Работа с такими данными строго ограничена и допускается лишь в исключительных случаях, например, для защиты жизни и здоровья граждан. 

Иные данные — персональные данные, не относящиеся ни к одной из вышеназванных категорий (специальные, биометрические, общедоступные).

Это регулируется статьей 10 Федерального закона № 152 ФЗ, который устанавливает правовые рамки для обработки переданных данных. 

Обработка персональных данных в компаниях: ключевые аспекты и требования законодательства  

Работа с персональными данными в организациях и у индивидуальных предпринимателей строго регулируется Федеральным законом № 152-ФЗ “О персональных данных”, принятым 27 июля 2006 года. Этот нормативный акт устанавливает правила, которые обязаны соблюдать все субъекты, собирающие и обрабатывающие ПДн, выступая в роли операторов персональных данных.  

Основные принципы обработки персональных данных  

Законность и справедливость

Любые действия с персональными данными должны осуществляться исключительно в рамках действующего законодательства. Это означает, что сбор, хранение и использование информации о физических лицах должны быть обоснованными и соответствовать правовым нормам.  

Целевое использование

Обработка ПДн должна ограничиваться строго определёнными целями, которые заявлены оператором. Сбор избыточных данных, не связанных с этими целями, недопустим.  

Распределение данных

Закон о персональных данных запрещает объединение несовместимых сведений о человеке в единую базу данных. Это требование направлено на предотвращение несанкционированного доступа к информации и минимизацию рисков её утечки.  

Минимизация данных

Операторы обязаны собирать только те данные, которые действительно необходимы для достижения заявленных целей. Избыточная информация не должна запрашиваться или храниться.  

Подготовка к работе с персональными данными  

Для того, чтобы избежать нарушений законодательства, организациям и ИП необходимо заранее подготовить нормативно-правовую базу. Это особенно важно, если речь идёт о работе с персональными данными сотрудников, клиентов или контрагентов.  

Этапы подготовки

Определение категорий данных и технических средств. Необходимо чётко определить, какие именно категории данных будут обрабатываться, а также выбрать технические средства.  

Назначение ответственного лица. В организации должен быть назначен сотрудник, который будет отвечать за организацию обработки и учета ПДн. Его задача — контролировать соблюдение законодательства и внутренних регламентов.  

Разработка локальных нормативных актов: к числу обязательных документов относятся, например, такие документы как:  

  • Внутренняя политика обработки ПДн;  

  • Положение об обработке персональных данных сотрудников;  

  • Формы согласия на обработку и распространение ПДн.

Полный перечень документов зависит от специфики деятельности организации и регулируется статьей 18.1 Закона № 152-ФЗ.  

Уведомление Роскомнадзора. Операторы ПДн обязаны направить в Роскомнадзор уведомление о начале обработки ПДн. Это необходимо для включения в реестр операторов. Форма уведомления утверждена Приказом Роскомнадзора № 180 от 28 октября 2022 года. А также, не забывать уведомлять Роскомнадзор об изменениях в работе с ПДн в организации или в случае утечки.

Кстати, при подаче Уведомления о начале обработки ПДн в РКН, данные об организации вносятся в реестр операторов (проверить свою организацию можно на официальном сайте РКН: https://pd.rkn.gov.ru/), если Ваша организация является оператором ПДн и данные еще не поданы, у нас для Вас плохие новости. После вступления изменений в КоАп, усиливающих ответственность за нарушение порядка обработки персональных данных, вводятся штрафные санкции:

“Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей”.

Согласие на обработку персональных данных в 2025 году

Согласие на обработку персональных данных — важный документ, подтверждающий законность сбора информации и информирующий субъекта об условиях обработки. Оно может быть оформлено в бумажном или электронном виде, но в некоторых случаях требуется личная подпись, например родительское согласие для обработки данных несовершеннолетних.  

Законодательство РФ, включая Федеральный закон № 152-ФЗ, не предусматривает унифицированных бланков, но устанавливает строгие требования к содержанию. Согласно ст. 9 152-ФЗ, в согласии должны быть указаны обязательные сведения. Дополнительно Приказ Роскомнадзора № 18 регулирует требования к согласию на распространение ПДн. Операторы вправе разрабатывать собственные шаблоны, но обязаны включать обязательные пункты, соответствующие виду обработки.  

Особые требования действуют для обработки биометрических данных. Например, Постановление Правительства РФ № 405 от 17 марта 2023 года утверждает форму согласия на размещение биометрических данных в региональном сегменте единой биометрической системы.  

Как избежать рисков?

Утечка, потеря или незаконное использование персональных данных могут привести не только к значительным финансовым потерям в виде штрафов, но и к серьёзному ущербу репутации компании. Поэтому операторы ПДн обязаны уделять особое внимание обеспечению безопасности данных.  

Среди основных организационных мер защиты можно выделить следующие:  

  • Назначение ответственного лица, которое будет контролировать процессы обработки и защиты данных.  

  • Ограничение доступа к документам и базам, содержащим персональные данные, с целью минимизации рисков их несанкционированного использования.  

  • Разработка и утверждение локальных нормативных актов, которые регламентируют механизмы защиты данных, а также порядок их уничтожения после завершения срока законного использования.  

  • Интеграция современных информационных систем, обеспечивающих безопасное хранение и обработку данных.  

Для обеспечения соблюдения законодательства в области персональных данных (ПДн) руководство компании обязано издать приказ, в котором назначается сотрудник, ответственный за организацию их обработки. Этот специалист должен обладать необходимым статусом и иметь доступ к ресурсам, позволяющим ему взаимодействовать с различными подразделениями, запрашивать информацию и давать указания.  

Согласно Статье 22.1 Федерального закона №152-ФЗ, в круг обязанностей такого сотрудника входит:  

  • информирование персонала о действующих нормах законодательства в сфере ПДн;  

  • проведение внутренних проверок (аудитов) на предмет соответствия процессов обработки данных установленным требованиям;  

  • контроль за рассмотрением запросов от субъектов персональных данных.  

Помимо законодательно закрепленных функций, на практике ответственный за ПДн также занимается мониторингом соблюдения принципов обработки данных, согласованием внутренних документов компании, уведомлением руководства о случаях утечек или потерь информации, а также привлечением к ответственности сотрудников, нарушивших установленные правила.  

Ответственность за нарушения в сфере персональных данных

Несоблюдение требований законодательства в области ПДн может повлечь за собой административную или уголовную ответственность. Меры наказания зависят от характера и тяжести правонарушения. Например, обработка персональных данных без письменного согласия субъекта, если такое согласие требуется по закону, может обернуться штрафом до 300 000 рублей для должностных лиц и до 700 000 рублей для организаций (Статья 13.11 КоАП РФ).  

Уголовная ответственность предусмотрена Статьей 137 УК РФ, которая регулирует случаи незаконного сбора и распространения сведений о частной жизни граждан. Кроме того, с декабря 2024 года вступает в силу Статья 272.1 УК РФ, устанавливающая наказание за незаконное хранение, сбор, или передачу персональных данных, полученных с нарушением закона. В зависимости от обстоятельств, виновные могут быть приговорены к лишению свободы на срок от 4 до 10 лет.  

Также операторам, работающим с персональными данными, следует учитывать положения Статьи 272 УК РФ, которая регулирует вопросы неправомерного доступа к компьютерной информации. Это особенно актуально в условиях широкого использования информационных систем для обработки ПДн.  

Наконец, 30 ноября 2024 года президент РФ подписал Федеральный закон №420-ФЗ, который вносит изменения в Кодекс об административных правонарушениях (КоАП) и впервые введены оборотные штрафы, рассчитываемые от выручки компании.

В условиях ужесточения регуляций и растущих ожиданий общества, организации должны быть прозрачными, этичными и инновационными. Это основа доверия и устойчивого развития цифровой экономики. Будущее защиты данных — в балансе технологий, законов и человеческих ценностей, который станет ключом к успеху в эпоху цифровой трансформации.

Следующая тема
Оборотные штрафы за утечку персональных данных
К списку

Категории

Все Документы Обновления DocShell Кейсы Новости Безопасность DocShell

Другие темы

29.05.2025
Как правильно подать уведомление в Роскомнадзор: пошаговое руководство
08.04.2025
Релиз DocShell 4.2.20: Улучшения в управлении СКЗИ, инвентаризации и работе с документами
11.02.2025
Компании готовятся к ужесточению штрафов за нарушения в обработке персональных данных: наши эксперты проведут вебинар
06.02.2025
Оборотные штрафы за утечку персональных данных

Вопрос эксперту

Остались вопросы или хотите обсудить свою индивидуальную задачу? Наши эксперты готовы помочь вам.

Задать вопрос
t