Обработка и защита персональных данных в 2025 году

В 2025 году защита персональных данных действительно становится одним из краеугольных камней цифровой экосистемы. Учитывая стремительное развитие технологий, таких как искусственный интеллект, блокчейн и квантовые вычисления, компании столкнутся, как с возможностями, так и с новыми вызовами в области безопасности данных. 

Внесённые изменения в Федеральный закон № 152-ФЗ, новые унифицированные формы согласий и ужесточение наказаний, в том числе за оборотные штрафы, за нарушения стали ключевыми аспектами, влияющими на работу организаций и предпринимателей. Ключ к успешному управлению персональными данными заключается в гармоничном взаимодействии технологий и законодательства. Это требует от организаций не только внедрения современных технологий безопасности, но и формирования культуры ответственности за конфиденциальность. Поговорим о том, что же из себя представляют ПДн.

Персональные данные — это информация, позволяющая идентифицировать конкретное физическое лицо. Очевидными примерами являются паспортные данные, однако, даже номер телефона, связанный с именем, становится персональной информацией. 

Согласно ФЗ-152 и Постановлению Правительства №1119, выделяют четыре типа персональных данных (ПДн):

• ФИО, дата рождения и пол;

• Паспортные данные, СНИЛС, ИНН;

• Адрес регистрации и проживания;

• Номер телефона и электронная почта;

• Сведения о судимостях, службе в армии, образовании.

Персональные данные можно классифицировать на несколько на 4 типа ПДн, каждая из которых имеет свои особенности и регулируется соответствующими нормами законодательства.  

Общедоступные данные — это информация, которая находится в открытом доступе и может быть легко получена как физическими, так и юридическими лицами. К таким данным относятся, например, фамилия и имя человека, его возраст, профессия и другие сведения, которые не требуют специального разрешения для использования.  

Биометрические данные представляют собой уникальные физиологические характеристики человека, такие как отпечатки пальцев, рисунок сетчатки глаза или фотографии. Эти данные активно применяются в системах безопасности, особенно на объектах с повышенными требованиями к охране и ограничением доступа. Биометрия позволяет точно идентифицировать сотрудников, обладающих особыми правами или доступом к конфиденциальной информации. Однако использование биометрических данных возможно исключительно с согласия их владельца и только в пределах срока, указанного в соглашении на обработку персональных данных.  

Специальные данные — это категория, которая включает информацию о личных убеждениях, состоянии здоровья, семейной жизни и других аспектах, относящихся к частной сфере человека. Работа с такими данными строго ограничена и допускается лишь в исключительных случаях, например, для защиты жизни и здоровья граждан. 

Иные данные — персональные данные, не относящиеся ни к одной из вышеназванных категорий (специальные, биометрические, общедоступные). Фактически, это дополнительная информация о человеке, которая часто меняется: размер зарплаты, социальный статус, рабочий стаж, длительность и даты отпуска и т. д.

Это регулируется статьей 10 Федерального закона № 152 ФЗ, который устанавливает правовые рамки для обработки переданных. 

Обработка персональных данных в компаниях: ключевые аспекты и требования законодательства  

Работа с персональными данными в организациях и у индивидуальных предпринимателей строго регулируется Федеральным законом № 152-ФЗ “О персональных данных”, принятым 27 июля 2006 года. Этот нормативный акт устанавливает правила, которые обязаны соблюдать все субъекты, собирающие и обрабатывающие ПДн, выступая в роли операторов персональных данных.  

Основные принципы обработки персональных данных  

Законность и справедливость

Любые действия с персональными данными должны осуществляться исключительно в рамках действующего законодательства. Это означает, что сбор, хранение и использование информации о физических лицах должны быть обоснованными и соответствовать правовым нормам.  

Целевое использование

Обработка ПДн должна ограничиваться строго определёнными целями, которые заявлены оператором. Сбор избыточных данных, не связанных с этими целями, недопустим.  

Распределение данных

Закон о персональных данных запрещает объединение несовместимых сведений о человеке в единую базу данных. Это требование направлено на предотвращение несанкционированного доступа к информации и минимизацию рисков её утечки.  

Минимизация данных

Операторы обязаны собирать только те данные, которые действительно необходимы для достижения заявленных целей. Избыточная информация не должна запрашиваться или храниться.  

Подготовка к работе с персональными данными  

Для того, чтобы избежать нарушений законодательства, организациям и ИП необходимо заранее подготовить нормативно-правовую базу. Это особенно важно, если речь идёт о работе с персональными данными сотрудников, клиентов или контрагентов.  

Этапы подготовки

Определение категорий данных и технических средств. Необходимо чётко определить, какие именно категории данных будут обрабатываться, а также выбрать технические средства.  

Назначение ответственного лица. В организации должен быть назначен сотрудник, который будет отвечать за организацию обработки и учета ПДн. Его задача — контролировать соблюдение законодательства и внутренних регламентов.  

Разработка локальных нормативных актов: к числу обязательных документов относятся, например, такие документы как:  

• Внутренняя политика обработки ПДн;  

• Положение об обработке персональных данных сотрудников;  

• Формы согласия на обработку и распространение ПДн.

Полный перечень документов зависит от специфики деятельности организации и регулируется статьей 18.1 Закона № 152-ФЗ.  

Уведомление Роскомнадзора. Операторы ПДн обязаны направить в Роскомнадзор уведомление о начале обработки ПДн. Это необходимо для включения в реестр операторов. Форма уведомления утверждена Приказом Роскомнадзора № 180 от 28 октября 2022 года. А также, не забывать уведомлять Роскомнадзор об изменениях в работе с ПДн в организации или в случае утечки.

Кстати, при подаче Уведомления о начале обработки ПДн в РКН, данные об организации вносятся в реестр операторов (проверить свою организацию можно на официальном сайте РКН: https://pd.rkn.gov.ru/), если Ваша организация является оператором ПДн и данные еще не поданы, у нас для Вас плохие новости. После вступления изменений в КоАп, усиливающих ответственность за нарушение порядка обработки персональных данных, вводятся штрафные санкции:

“Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных - влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц - от ста тысяч до трехсот тысяч рублей”.

Согласие на обработку персональных данных в 2025 году

Согласие на обработку персональных данных — важный документ, подтверждающий законность сбора информации и информирующий субъекта об условиях обработки. Оно может быть оформлено в бумажном или электронном виде, но в некоторых случаях требуется личная подпись, например родительское согласие для обработки данных несовершеннолетних.  

Законодательство РФ, включая Федеральный закон № 152-ФЗ, не предусматривает унифицированных бланков, но устанавливает строгие требования к содержанию. Согласно ст. 9 152-ФЗ, в согласии должны быть указаны обязательные сведения. Дополнительно Приказ Роскомнадзора № 18 регулирует требования к согласию на распространение ПДн. Операторы вправе разрабатывать собственные шаблоны, но обязаны включать обязательные пункты, соответствующие виду обработки.  

Особые требования действуют для обработки биометрических данных. Например, Постановление Правительства РФ № 405 от 17 марта 2023 года утверждает форму согласия на размещение биометрических данных в региональном сегменте единой биометрической системы.  

Как избежать рисков?

Утечка, потеря или незаконное использование персональных данных могут привести не только к значительным финансовым потерям в виде штрафов, но и к серьёзному ущербу репутации компании. Поэтому операторы ПДн обязаны уделять особое внимание обеспечению безопасности данных.  

Среди основных организационных мер защиты можно выделить следующие:  

• Назначение ответственного лица, которое будет контролировать процессы обработки и защиты данных.  

• Ограничение доступа к документам и базам, содержащим персональные данные, с целью минимизации рисков несанкционированного использования.  

• Разработка и утверждение локальных нормативных актов, которые регламентируют механизмы защиты данных, а также порядок их уничтожения после завершения срока законного использования.  

• Интеграция современных информационных систем, обеспечивающих безопасное хранение и обработку данных.  

Для обеспечения соблюдения законодательства в области персональных данных (ПДн) руководство компании обязано издать приказ, в котором назначается сотрудник, ответственный за организацию их обработки. Этот специалист должен обладать необходимым статусом и иметь доступ к ресурсам, позволяющим ему взаимодействовать с различными подразделениями, запрашивать информацию и давать указания.  

Согласно Статье 22.1 Федерального закона №152-ФЗ, в круг обязанностей такого сотрудника входит:  

• информирование персонала о действующих нормах законодательства в сфере ПДн;  

• проведение внутренних проверок (аудитов) на предмет соответствия процессов обработки данных установленным требованиям;  

• контроль за рассмотрением запросов от субъектов персональных данных.  

Помимо законодательно закрепленных функций, на практике ответственный за ПДн также занимается мониторингом соблюдения принципов обработки данных, согласованием внутренних документов компании, уведомлением руководства о случаях утечек или потерь информации, а также привлечением к ответственности сотрудников, нарушивших установленные правила.  

Ответственность за нарушения в сфере персональных данных

Несоблюдение требований законодательства в области ПДн может повлечь за собой административную или уголовную ответственность. Меры наказания зависят от характера и тяжести правонарушения. Например, обработка персональных данных без письменного согласия субъекта, если такое согласие требуется по закону, может обернуться штрафом до 300 000 рублей для должностных лиц и до 700 000 рублей для организаций (Статья 13.11 КоАП РФ).  

Уголовная ответственность предусмотрена Статьей 137 УК РФ, которая регулирует случаи незаконного сбора и распространения сведений о частной жизни граждан. Кроме того, с декабря 2024 года вступает в силу Статья 272.1 УК РФ, устанавливающая наказание за незаконное хранение, сбор, или передачу персональных данных, полученных с нарушением закона. В зависимости от обстоятельств, виновные могут быть приговорены к лишению свободы на срок от 4 до 10 лет.  

Также операторам, работающим с персональными данными, следует учитывать положения Статьи 272 УК РФ, которая регулирует вопросы неправомерного доступа к компьютерной информации. Это особенно актуально в условиях широкого использования информационных систем для обработки ПДн.  

Наконец, 30 ноября 2024 года президент РФ подписал Федеральный закон №420-ФЗ, который вносит изменения в Кодекс об административных правонарушениях (КоАП) и впервые введены оборотные штрафы, рассчитываемые от выручки компании.

В условиях ужесточения регуляций и растущих ожиданий общества, организации должны быть прозрачными, этичными и инновационными. Это основа доверия и устойчивого развития цифровой экономики. Будущее защиты данных — в балансе технологий, законов и человеческих ценностей, который станет ключом к успеху в эпоху цифровой трансформации.