Работа с персональными данными: 5 шагов, которые спасут бизнес от штрафа

С 30 мая 2025 года ужесточились последствия для бизнеса за нарушение закона о персональных данных. Появились новые штрафы – например, если не сообщить об утечке, легко можно потерять 1 млн рублей. О том, как компаниям защитить себя от финансовых потерь и что необходимо проверить при работе с персональными данными, коммерческий директор платформы Unisender Иван Ильин рассказал порталу Biz360.ru.

Если бизнес работает с персональными данными, он должен подать уведомление об этом – чтобы его зарегистрировали в реестре Роскомнадзора. Не важно, какой объём данных и какой их вид компания собирает. Уведомлять Роскомнадзор обязаны все – в том числе малый бизнес или ИП, которые получили всего 100 email-адресов для рассылок. 

Штрафы за неуведомление для ИП и коммерческих организаций с 30 мая составляют 100-300 тысяч рублей. 

Если вы уже зарегистрированы в реестре Роскомнадзора, проверьте достоверность указанных там сведений – цели сбора, хранения и обработки, перечень персональных данных. Если что-то некорректно, следует подать уведомление об изменении сведений. Его можно отправить в бумажном виде по почте, через «Госуслуги» или по электронной почте (но в этом случае уведомление должно быть подписано усиленной квалификационной электронной подписью). 

Чтобы не попасть на штрафы, бизнесу необходимо знать, что происходит с собранными персональными данными. Особенно если они уходят на сторону: к сервисам, которые обрабатывают их и используют для каких-либо задач. Не важно, насколько «незначительны» эти данные, в каком объёме они собираются, хранятся и обрабатываются. 

Например, бизнес пользуется сервисами рассылок писем, сообщений и SMS. Он собирает персональные данные своих клиентов – e-mail, номера телефонов – и передаёт эту информацию сервису, через который происходит электронная рассылка или отправка чека за покупку. 

Передача персональных данных на серверы других стран без уведомления Роскомнадзора и их обработка, считаются прямым нарушением закона. Поэтому стоит пересмотреть всех контрагентов и убедиться, что они хранят и обрабатывают данные ваших клиентов исключительно на российских серверах. Чтобы это проверить, обратитесь к сервису с запросом предоставить информацию об инфраструктуре и правилах хранения персональных данных. Нельзя исключать, что остались российские сервисы, работающие на зарубежной инфраструктуре. Обращающаяся к ним за услугой компания может этого не знать и тем самым неосознанно нарушать закон. 

Если серверы зарубежные, бизнесу лучше переехать на сервис, у которого есть инфраструктура в России. Раньше это не играло большой роли, потому что за передачу персональных данных иностранным серверам никто не штрафовал, проверок не было. Сейчас же они могут начаться, и это станет большой проблемой. 

При переезде вы можете потребовать уничтожить персональные данные на серверах сервиса, от которого уходите. Это нужно, чтобы оставшиеся данные не создали неожиданных проблем в случае утечки. 

Передача и обработка персональных данных зарубежным серверам допускается, но на определённых условиях. Обязательно требование по защите прав субъектов персональных данных, чтобы обеспечить им полную конфиденциальность. Компания обязана уведомить Роскомнадзор о том, что начинает передавать данные за рубеж, и дать обоснование этому действию. Если Роскомнадзор в ответ не пришлёт запрет, можно делиться данными с иностранным сервером. 

Некоторые компании уже во время поиска ответов на вопрос «Кто взаимодействует с данными?» придут к идее провести аудит сайта. Если на нём собираются персональные данные пользователей – например, email для рассылок и учётные данные для личного кабинета, надо проверить подключённые к нему сервисы. Уберите всё, что собирает и передает данные на зарубежные серверы. Например, у Google Analytics иностранные серверы, и он хранит персональные данные. Его можно заменить на «Яндекс Метрику» или Roistat. 

Что еще нужно проверить: 

• формы обратной связи – это часто Google Forms;

• виджеты – например, для перехода в иностранные мессенджеры;

• скрипты YouTube. 

Любые сервисы с иностранной инфраструктурой попадают под изменения закона и могут стать риском для бизнеса. 

Проанализируйте, как происходит работа с персональными данными. Надо пересмотреть все точки касания с ними, бизнес-процессы и регламенты работы с данными внутри компании, чтобы определить зоны риска и составить план по управлению ими. 

Во время аудита текущих процессов сбора, хранения и обработки данных необходимо выяснить: 

• Какие данные собирает компания: общие (ФИО, номер телефона), идентификаторы (номера договоров или логины), специальные (биометрические).
  
  

• У кого есть доступ к данным (помимо сторонних сервисов): кто из сотрудников может взаимодействовать с этой информацией. Проблемы утечки и незаконного использования данных часто связаны с человеческим фактором.
  
  

• Какие предпринимаются меры для защиты персональных данных. В первую очередь речь идёт о технических решениях: двухфакторная аутентификация, шифрование информации, обновление системы для устранения уязвимостей. Не лишними будут регулярные аудиты и тестирования информационной безопасности в компании. 

Чтобы упростить анализ, можно использовать список контрольных вопросов из проверочного листа, приложенного к приказу Роскомнадзора от 24 декабря 2021 года №253. Нужно отметить, какие требования соблюдаются в вашей компании, а какие нет – или какие не применимы к бизнесу. Например, не раскрывает ли бизнес персональные данные третьим лицам без согласия субъекта персональных данных. Дополнительно в списке указаны нормативные акты, которые разъясняют те или иные требования – это упростит их понимание. 

Перепроверьте всю документацию, которая касается обработки персональных данных. Во-первых, это большой перечень публичных документов – они должны присутствовать на сайте компании так, чтобы их легко нашёл любой пользователь. 

Два обязательных документа: 

• Политика конфиденциальности или политика обработки персональных данных. Это главный документ, который определяет, какие данные компания собирает, зачем и как их защищает.
  
  

• Согласие пользователей на обработку персональных данных. Это отдельный от политики конфиденциальности документ. Посмотрите, как он оформлен и присутствует ли вообще на сайте. 

Также каждый пользователь сайта должен видеть чек-бокс или уведомление о согласии на обработку данных. Это обязательное требование везде, где человек может оставить свои данные. 

Кроме того, в компании должны быть локальные документы: должностные инструкции для сотрудников, правила поведения при утечке или при обнаружении попыток несанкционированного доступа к данным. 

И не забудьте перепроверить договоры с контрагентами – какая ответственность в них прописана. Если база «ходит» между подрядчиками без договоров, пора срочно это исправить. Актуализируйте локальные документы, если это необходимо. 

Обновления законодательства и увеличение сумм штрафов с высокой вероятностью приведут к тому, что теперь Роскомнадзор будет пристальнее следить за бизнесом – и не только крупным. Компании должны уделить больше внимания тому, как именно они взаимодействуют с персональными данными, кому передают базу и соблюдают ли правила при её подписании, остаются ли данные на российской инфраструктуре. Любые пробелы в понимании, что происходит с данными, могут стоить сотен тысяч, а то и миллионов рублей. 

Поэтому лучше сейчас провести анализ и необходимую корректировку работы с данными, чем рисковать не только деньгами, но и репутацией. А учитывая множество вопросов и нюансов, которые возникают вокруг темы, связанной с законом о персональных данных, бизнесу полезно консультироваться с профессиональным юристом – штатным или на подряде.

Чтобы не пропустить интересную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал и страницу в «ВКонтакте».
biz360