Обсудить проект

Персональные данные: что входит, как сохранить и избежать утечек

Персональные данные: что входит, как сохранить и избежать утечек

Категории
Категории
Все публикации
Мобильные приложения
1
События
1
CRM
1
Технологическая гарантия
2
Рекламные инструменты
2
Репутация
3
ИИ
3
Учет времени
4
Контекстная реклама
5
Чат-боты
6
adxCMS
7
Безопасность
8
Цифровой Актив
9
Интервью
10
Видео
11
Программирование
13
Проектирование
14
SMM
15
Обзоры
16
Маркетинг
18
Новости
23
Контент
25
Тренды
26
Сайты
30
Перевод
34
SEO
45
Инструкции
71
Администратор
  • 1 мин
  • 182
Интервью

В конце 2024 года Госдума РФ приняла три законопроекта, направленных на защиту персональных данных от незаконного использования. Новые правила начнут действовать с мая 2025 года. Чем вызваны новшества? Кто отвечает за сохранность персональных данных? Как избежать нарушений? Об этом рассказала начальник отдела по защите прав субъектов персональных данных Управления Роскомнадзора по Томской области Ирина Марарь.

Изменения в работе с персональными данными

– В 2025 году вступают в силу изменения в Кодекс Российской Федерации об административных правонарушениях (статья 13.11 КоАП РФ) – в него добавляются новые составы административных правонарушений в сфере персональных данных. Вводится ответственность за неправомерную передачу персональных данных и непредставление в Роскомнадзор уведомлений об утечке персональных данных. Также добавляется ответственность за невыполнение или несвоевременное выполнение оператором персональных данных обязанности уведомить Роскомнадзор о намерении обрабатывать ПД.

Административные штрафы за незаконную обработку ПД увеличатся, при повторном нарушении они составят:

  • для граждан ─ от 30 тыс. до 600 тыс. руб.; 
  • для должностных лиц ─ от 200 тыс. до 1,2 млн руб.; 
  • для юрлиц и ИП ─ от 500 тыс. руб. до суммы, составляющей от 1 до 3% годовой выручки предприятия (оборотные штрафы).

Уголовная ответственность будет введена за утечку ПД несовершеннолетних, специальной информации (раса, национальность, состояние здоровья) и биометрических данных:

  • штраф до 700 тыс. руб., принудительные работы до 5 лет или лишение свободы на тот же срок; 
  • при корыстной заинтересованности штраф увеличивается до 1 млн руб., принудительные работы ─ до 5 лет, лишение свободы ─ до 6 лет; 
  • при утечке данных за границу ─ лишение свободы до 8 лет, при тяжких последствиях ─ до 10 лет.

Штрафы за неуведомление Роскомнадзора составят:

  • для ИП и любых юрлиц, кроме НКО, ─ от 1 млн до 3 млн руб.

Требования к операторам ПД

– Ключевое требование с нашей стороны и прямая обязанность всех, кто работает с ПД, – выполнять требования закона № 152-ФЗ, направленные на защиту персональных данных граждан. В частности, юрлица должны назначать ответственных лиц и разрабатывать документы, определяющие политику оператора в отношении обработки персональных данных. Также операторы должны применять правовые, организационные и технические меры по обеспечению безопасности ПД.

Другой основной обязанностью является подача уведомления о начале обработки ПД для включения в Реестр операторов персональных данных.

Электронная форма уведомления о начале обработки, а также уведомления об изменении сведений размещена на Портале персональных данных Роскомнадзора по ссылке.

Пример заполнения уведомлений на Портале персональных данных Роскомнадзора.

Право обрабатывать ПД без уведомления действует только в трех случаях:

  • если оператор включен в государственные информационные системы; 
  • обрабатывает ПД исключительно БЕЗ использования средств автоматизации; 
  • если обработка предусмотрена в целях защиты личности, общества и государства в сфере транспорта от актов незаконного вмешательства.

Также предусмотрена обязанность направления в Роскомнадзор уведомления об изменении ранее предоставленных сведений, например, в случае изменения адреса оператора, добавления новой цели обработки ПД.

На территории Томской области зарегистрировано около 48 тыс. юрлиц и ИП, большая часть из которых фактически должна состоять в Реестре (поскольку как минимум обрабатывает ПД своих работников). Управление проводит профилактические мероприятия с операторами, в частности, дает разъяснения о необходимости направить уведомление.

Как проверить, есть ли вы в реестре Роскомнадзора

Проверить, есть ли ваша компания в Реестре, можно по ссылке.

Примеры массовых утечек данных и как их избежать

– В Томской области случаев массовых утечек данных не было. По другим российским регионам, например, в 2024 году Роскомнадзор выявил 135 фактов утечек ПД. В случае утечки персональных данных оператор обязан подать уведомление в Роскомнадзор о факте неправомерной или случайной передачи ПД, повлекшей нарушение прав субъектов персональных данных. Такое уведомление необходимо отправить в течение 24 часов с момента выявления инцидента, а в течение 72 часов нужно уведомить ведомство о результатах внутреннего расследования выявленного инцидента.

Уведомление об утечке можно подать через Портал персональных данных по ссылке.

Для минимизации рисков утечки персональных данных нужно соблюдать принципы и условия обработки персональных данных. Не допускается:

  • обработка персональных данных, несовместимая с целями сбора персональных данных; 
  • объединение баз персональных данных, если цели их обработки несовместимы между собой.

Содержание и объем обрабатываемых данных должны соответствовать целям обработки. Помимо этого, необходимо соблюдать срок хранения персональных данных: хранить данные нельзя дольше, чем этого требуют цели обработки ПД. Оператор персональных данных обязан уничтожать либо обезличивать персональные данные по достижении целей обработки ПД или в случае утраты необходимости в достижении этих целей.

Как избежать утечки персональных данных:

  • минимизировать перечень собираемых и обрабатываемых персональных данных, использовать лишь те данные, которые действительно необходимы для оказания услуг, продажи товаров и иной деятельности организации; 
  • обеспечить раздельное хранение различных категорий персональных данных, в том числе несовместимых между собой по целям обработки; 
  • хранить идентификаторы, указывающие на человека и данные о взаимодействии с ним в разных базах данных; Роскомнадзор рекомендует использовать для связи этих баз синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персональных данных; 
  • отказаться от практики накопления персональных данных «на всякий случай», своевременно уничтожать персональные данные при достижении цели их обработки (например, после оказания услуги); 
  • использовать технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных; напомню, что поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности; 
  • своевременно информировать Роскомнадзор о признаках инцидентов, повлекших распространение персональных данных субъектов; 
  • принимать меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем;
  • назначить в организации ответственного за защиту персональных данных, наделив его необходимыми полномочиями.

Типичные ошибки в Уведомлении об обработке ПД

– В 2024 Управление провело анализ 120 сайтов, в 2025 году количество проверяемых сайтов увеличилось более чем в четыре раза.

Перечислю самые распространенные нарушения:

  • нет согласия на обработку ПД (чек-бокса) рядом с онлайн-формой сбора данных; 
  • не опубликован документ, определяющий политику оператора при обработке ПД; 
  • неуведомление Роскомнадзора о начале обработки ПД; 
  • информация, указанная в Реестре операторов, не соответствует фактической деятельности предприятия, поменялась цель, с которой аккумулируются ПД, а также не указан срок обработки ПД; 
  • распространение сведений о субъекте без согласия на обработку ПД.

Нарушения при работе с ПД в медицине и образовании

– Сразу замечу, что руководители учреждений этих двух социальных сфер ответственно относятся к работе с информацией и обработке ПД. И все же к наиболее распространенным нарушениям в течение 2023–2024 годов здесь можно отнести – некорректное указание сроков обработки ПД, отсутствие форм согласия на обработку ПД, неуведомление Роскомнадзора об изменениях, отсутствие информации о наличии согласия работников на размещение их ФИО, должности, фото.

Штрафы за нарушения обработки персональных данных в 2025 году

– В случае подтверждения нарушений по итогам мероприятия Управление направляет запрос-требование, которое по закону подлежит исполнению в течение 10 рабочих дней со дня получения. В случае неисполнения решается вопрос о привлечении к административной ответственности. По итогам мероприятий за 2024 год все требования Управления исполнены.

Обработка ПД без согласия клиента

– Обработка персональных данных без соответствующего согласия предусмотрена пунктом 1 статьи 6 и пунктом 2 статьи 10 Закона о персональных данных. В частности, обработка без согласия допустима в следующих случаях:

  • если такая обработка необходима для выполнения определенных функций, полномочий и обязанностей, возложенных законодательством РФ на оператора; 
  • если обработка персональных данных связана с участием субъекта персональных данных в каком-либо судопроизводстве; 
  • если обработка персональных данных необходима для исполнения договора.

Что такое персональные данные

Персональные данные – это информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу (субъекту персональных данных), в том числе:

  • фамилия, имя, отчество; 
  • дата рождения; 
  • адрес местожительства; 
  • паспортные данные, СНИЛС, ИНН; 
  • социальное, имущественное, семейное положение; 
  • сведения о доходах, образовании, профессии;
  • номер банковской карты; 
  • фотографические изображения и другие.

Как Роскомнадзор проверяет сайты

– Плановые проверки в сфере ПД предусмотрены в отношении операторов, которые относятся к категории чрезвычайно высокого и высокого рисков. Применительно к работе с персональными данными на 2025 год в Томской области такой категории нет, поэтому проверки на 2025 год не запланированы.

Основанием для внеплановой проверки в сфере ПД, например, может послужить утечка ПД, получение достоверных сведений о причинении вреда, требование прокурора. Чтобы инспектор не пришел с внеплановой проверкой, операторы должны соблюдать законодательство, следить за его изменениями.

Кроме проверок, закон № 248-ФЗ предусматривает обязательные профилактические визиты. Для такого визита также необходимо основание. Так, мы можем прийти с профвизитом к оператору, который относится к категории чрезвычайно высокого или высокого риска.

Роскомнадзор может провести профвизит по запросу оператора, если это малый бизнес, социально ориентированное НКО, государственное или муниципальное учреждение. Заявление рассматривается в течение десяти рабочих дней, и принимается решение.

Как получить консультацию Роскомнадзора по Томской области

– Консультации можно получить по телефонам +7 (3822) 60-90-04, +7 (3822) 60-90-07 (доб. 708, 714, 718), а также направить письменный запрос на электронный адрес: rsockans70@rkn.gov.ru. Этими же контактами можно воспользоваться, чтобы записаться на семинары, которые Управление проводит ежемесячно.

Обновлено 29 июля 2025