Обработка персональных данных: как избежать штрафов в 2025 году

Работу с персональными данными регулирует Федеральный закон №152‑ФЗ «О персональных данных». Вот понятия и термины, которые нам пригодятся:

• Персональные данные — любая информация, которая относится к определенному человеку.
• Субъект персональных данных — человек, которому принадлежат персональные данные и которого по ним можно определить.
• Оператор персональных данных — юридическое или физическое лицо, которое обрабатывает персональные данные.
• Обработка персональных данных — сбор, запись, систематизация, накопление, хранение, уточнение, использование, распространение, уничтожение персональных данных с использованием средств автоматизации или без использования таких средств.

В законодательстве нет конкретного списка персональных данных. К таким данным могут относиться любые сведения о людях: имя, фамилия, пол, возраст, телефон, email, фотография, образование, семейное положение, сведения о зарплате, история предпочтений в интернет‑магазине.

Данные должны четко относиться к конкретному человеку, чтобы считаться персональными. Например, госномер автомобиля сам по себе не указывает, кто им владеет. Если нет других данных, госномер не считается персональными данными.

Персональными данными также считается информация, которую собирают метрические программы — Яндекс.Метрика, Google Analytics и другие.

Руководителю автосервиса обычно легко понять, что относится к личным данным, а что нет. Но иногда даже юристы не сразу могут разобраться в этом вопросе, и им приходится изучать судебную практику. Поэтому, если возникли сомнения, лучше обратиться к юристу, который специализируется на таких вопросах.

Любой, кто собирает информацию о контрагентах, клиентах, работниках или посетителях сайта, должен соблюдать закон о персональных данных, даже самозанятый (ч. 1 ст. 1 152‑ФЗ).

Перед тем как собирать личные данные, компания должна обозначить цель обработки данных. Ее нужно прописать в своей Политике обработки персональных данных (ст. 5 152‑ФЗ).

Цель должна быть законной и конкретной. Например, если вы хотите поднять продажи с помощью смс‑рассылки, лучше указать не «увеличение продаж», а «организация рекламной смс‑рассылки».

Содержание и объем запрашиваемых данных должны соответствовать цели. Например, если вы заключаете договор на абонентское обслуживание автомобиля, вам нужно знать только имя, телефон и электронную почту клиента. Запрос о состоянии здоровья клиента будет избыточным, и за это могут оштрафовать.

Целей обработки данных может быть несколько. Например, «регистрация клиентов в CRM» и «получение отзывов о качестве мойки» — разные цели. Для каждой цели собирают отдельный набор данных. Все цели прописывают в Политике обработки персональных данных.

После достижения цели, оператор обязан прекратить обработку персональных данных (ч. 4 ст. 22 152‑ФЗ).

Политика обработки персональных данных — локальный документ, который регулирует работу с личными данными граждан. Политика обязательна для всех, кто обрабатывает личные данные. Этот документ еще называют политикой конфиденциальности.

Политику конфиденциальности можно составить в произвольной форме, однако закон требует, чтобы в этом документе были указаны цели сбора личных данных, категории данных, объем данных, сроки обработки и меры по защите данных.

Эти требования спрятаны в разных частях Закона о персональных данных и сформулированы не очень понятно. Поэтому Роскомнадзор разработал «Методические рекомендации по разработке «Политики конфиденциальности». С их помощью можно легко создать понятный и правильный документ.

Политика должна быть легко доступна. Если автосервис собирает данные офлайн, документ можно повесить на информационном стенде. Если автосервис собирает данные онлайн, документ следует разместить на сайте и сделать его для всех доступным (ч.5 ст. 18.1 152‑ФЗ).

Вот для примера Политика конфиденциальности на нашем сайте: avtomoika.com/help/privacy/

Оператор должен обрабатывать личные данные только с согласия гражданина. Для каждой цели нужно получить отдельное согласие. Общее правило такое:

Одна форма сбора данных → Одна цель → Одно согласие

Иногда согласие не нужно. Например, без согласия на обработку данных можно передавать данные в пенсионный фонд или устанавливать видеонаблюдение, если это нужно для безопасности граждан (ч.1 ст. 6 152‑ФЗ).

Согласие должно быть отдельным документом или блоком на сайте. Пользователь должен заранее прочитать условия и осознанно согласиться с ними.

В Согласии должно быть (ч. 4 ст. 9 125‑ФЗ):

• наименование оператора;
• цели обработки данных;
• список обрабатываемых данных;
• способы хранения, передачи и удаления данных;
• срок хранения данных;
• способ, которым можно отозвать согласие;
• дата и подпись субъекта.

Под бумажным Согласием человек ставит обычную подпись. Для Согласия на сайте, пользователь устанавливает галочку в специальном поле.

Иногда нужно передать личные данные третьему лицу — например, стороннему бухгалтеру или программисту, который занимается сайтом. В этом случае оператор обязан получить согласие гражданина на передачу его данных (ч. 3‑5 ст. 6. 152‑ФЗ). Также оператор должен заключить с третьим лицом договор поручения на обработку персональных данных, чтобы оградить себя от возможной утечки персональных данных.

Хранить Согласие нужно три года, а при спорах — до момента их разрешения.

Гражданин имеет право отозвать свое Согласие (ч. 2 ст. 9 152‑ФЗ).

Персональные данные — конфиденциальная информация, поэтому оператор обязан принять меры для обеспечения безопасности таких данных (ст. 19 152‑ФЗ). Общие требования к защите персональных данных сформулированы в Постановлении Правительства РФ от 01.11.2012 № 1119.

Оператор, который использует для работы компьютерную систему, обязан хранить личные данные россиян на серверах, расположенных в России (ч. 5 ст. 18 152‑ФЗ). Если оператор использует виджеты или формы, которые передают информацию за границу — например, Google‑формы, — он обязан уведомить Роскомнадзор о трансграничной передаче персональных данных (ст. 12 152‑ФЗ).

Вот общие советы, как оградить себя от массовой утечки персональных данных:

1. Собирайте только необходимые данные.
2. Защитите паролем файлы с анкетами и таблицами.
3. Установите двухфакторную аутентификацию к онлайн‑системам.
4. Укажите в инструкциях работников ответственность за распространение личных данных.
5. Храните данные, сколько нужно для обозначенной цели.
6. Уничтожайте данные, как только они стали не нужны.

В организации должен быть назначен ответственный за обработку персональных данных (ст. 22.1 152‑ФЗ). Индивидуальный предприниматель сам отвечает за обработку персональных данных, если не назначен другой человек.

В инструкции для ответственного лица нужно указать правила хранения персональных данных и ответственность за их утечку.

Если оператор будет использовать для обработки персональных данных автоматизированную систему (компьютер), он обязан сообщить об этом в Роскомнадзор. Это касается всех, будь то крупная компания, ООО, ИП или даже самозанятый (ст. 22 152‑ФЗ).

Вот страница, где можно уведомить Роскомнадзор о начале обработки персональных данных. В уведомлении нужно указать сведения, о которых мы рассказали выше.

За соблюдением закона о персональных данных следит Роскомнадзор (ст. 23 152‑ФЗ, Постановление №228).

Пока автосервис обслуживает клиентов, Роскомнадзор может проверить, где находится сервер с личными данными, соответствует ли обработка данных указанным целям, давали ли люди согласие на обработку данных и так далее. Если найдут нарушения, компанию попросят объяснить, что произошло, и могут оштрафовать.

Оператор несет ответственность за нарушения в области обработки персональных данных (ст. 24 152‑ФЗ). Штрафы за нарушения в этой области указаны в статье 13.11 КоАП РФ.

С 30 мая 2025 года в несколько раз увеличиваются штрафы за отдельные нарушения в работе с личными данными. Вот эти штрафы:

Штраф за неуведомление Роскомнадзора о начале обработки персональных данных (ч.10 ст.13.11 КоАП РФ):

• от 5 000 до 10 000 рублей – для физлиц;
• от 30 000 до 50 000 рублей – для должностных лиц организаций;
• от 100 000 до 300 000 рублей – для ИП;
• от 100 000 до 300 000 рублей – для организаций.

Штраф за неуведомление Роскомнадзора об утечке персональных данных (ч.11 ст.13.11 КоАП РФ):

• от 50 000 до 100 000 рублей – для физлиц;
• от 400 000 до 800 000 рублей – для должностных лиц организаций;
• от 1 до 3 млн рублей – для ИП;
• от 1 до 3 млн рублей – для организаций.

Штраф за утечку персональных данных (ч.12 ст.13.11 КоАП РФ):

• от 100 000 до 400 000 рублей – для физлиц;
• от 200 000 до 600 000 рублей – для должностных лиц организаций;
• от 3 до 15 млн рублей – для ИП;
• от 3 до 15 млн рублей – для организаций.

Закон о персональных данных должны соблюдать все компании вне зависимости от размера и формы собственности.

Правила работы с личными данными должны быть четко прописаны в Политике обработки персональных данных. Этот документ должен быть легко доступен.

Чтобы работать с персональными данными гражданина, нужно получить его согласие.

Если вы хотите обрабатывать личные данные с помощью компьютера, нужно сообщить об этом в Роскомнадзор.

С 30 мая 2025 года штрафы за отдельные нарушения в области обработки персональных данных вырастут во много раз.