Персональные данные: от хаоса к системе за 1 месяц

С 30 мая 2025 года бизнес ждёт новое испытание: Роскомнадзор усиливает надзор за обработкой персональных данных, а штрафы за утечку или ошибки в документах достигают 500 миллионов рублей. При этом впервые в российской практике появилась уголовная ответственность за нарушения при работе с персональными данными. Теперь одного формального набора документов недостаточно — важно, чтобы фактические процессы обработки данных совпадали с тем, что зафиксировано на бумаге. Как работодателям подготовиться к новым рискам и выстроить систему работы с персональными данными так, чтобы пройти проверку?

Изменения, которые уже вступили в силу или начнут действовать в ближайшие месяцы, кардинально меняют правила игры. И речь идёт не только об штрафах в проценте от оборота, которые вступят в силу 30 мая (о них мы писали тут). Законодатель не остановился на этом и продолжил усиливать надзор:

Во-первых, с 1 июля 2025 года вступает в силу новая редакция ч. 5 ст. 18 152-ФЗ. Она усложняет трансграничную передачу персональных данных: компаниям запрещается собирать и извлекать персональные данные с использованием баз данных, находящихся за пределами Российской Федерации.

Во-вторых, Роскомнадзор уже начал использовать автоматические системы мониторинга сайтов. Ведомство отслеживает наличие политик обработки персональных данных, фиксирует сбор данных, выявляет факты трансграничной передачи — и всё это без официального запроса к компании. Зафиксированные несоответствия уже становятся основанием для предупреждений и последующих проверок. Например, Роскомнадзор начал массово рассылать предупреждения владельцам сайтов, которые используют иностранную систему Google Analytics.

За последние два года юристы BLS провели 70+ аудитов документов и бизнес-процессов по персональным данным. Какие заблуждения мы выявляем чаще всего? Ниже — список самых распространенных мифов.

🗙 Документы, разработанные два и более года назад, не потеряли актуальность и соответствуют законодательству

🗙 Не обязательно разрабатывать отдельно Политику обработки персональных данных и Положение об обработке персональных данных — достаточно подписать с работниками один документ и выложить его на сайт

🗙 Не все документы, упомянутые в законе, должны быть в компании, например, необязательны следующие ЛНА:

🗙 Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

🗙 План осуществления внутреннего контроля соответствия обработки ПДн требованиям к их защите и др.

🗙 Можно сделать одно согласие на несколько целей обработки, просто перечислив цели и собираемые данные в формате таблицы или разбивки по группам

🗙 Стоит собирать данные в согласии «с запасом», если они пригодятся работодателю в будущем

🗙 Можно установить срок действия согласия «до момента отзыва» или «бессрочно», чтобы не вести работу по уничтожению данных при истечении срока

🗙 Отдельное согласие на распространение персональных данных неограниченному кругу лиц брать не нужно

🗙 Лучше не подавать уведомление в Роскомнадзор об обработке персональных данных, чтобы ведомство «не узнало» о компании

🗙 Достаточно подать уведомление один раз и не отслеживать актуальность данных в нём

🗙 Компания считает, что не отправляет данные за рубеж, и поэтому не подаёт уведомление о трансграничной передаче данных

🗙 Страна, в которую передаются данные при трансграничной передаче, не имеет значения

Все эти ошибки объединяет одно: каждая из них — риск штрафов и предписаний Роскомнадзора.

Многие компании до сих пор надеются решить проблему с персональными данными покупкой шаблонного пакета документов. Но сегодня такой подход уже не спасает от ответственности.

Дело в том, что при проверке Роскомнадзор сопоставляет содержимое документов с реальными процессами в компании. Несоответствие становится нарушением даже при формальном наличии всех обязательных документов. Если в вашей компании ведётся трансграничная передача данных, но в уведомлении она не отражена, или в политике не прописаны все цели обработки — штрафа не избежать.

Пакет документов в персональных данных должен отражать реальные бизнес-процессы компании. В итоге, компаниям нужно учитывать сразу несколько факторов при разработке документов по персональным данным:

На юридическую значимость документов по работе с персональными данными влияют три основных фактора. Во-первых, наличие этапа определения бизнес-процессов, связанных с персональными данными, чтобы документы отражали реальные процедуры компании. Во-вторых, наличие аудита бизнес-процессов перед разработкой документов — это сокращает риск расхождений между фактической обработкой данных и закреплёнными в документах правилами. В-третьих, своевременное отражение изменений в бизнес-процессах — это поддерживает документы в актуальном состоянии и гарантируют, что они готовы к проверке в любой момент времени.

Собрать информацию обо всех этих разрозненных процессах невозможно без специальной методологии и опыта. Вот как мы реализуем проекты в персональных данных:

2025 год становится переломным в регулировании персональных данных. Работодателям больше нельзя полагаться на старые документы и шаблоны: риск штрафов и уголовной ответственности слишком высок. Единственный способ защитить бизнес — выстроить индивидуальную, юридически корректную систему работы с персональными данными.

До 30 мая у компаний остаётся время, чтобы провести аудит, устранить нарушения и подготовиться к новой волне проверок. Использовать это время разумно — значит сохранить устойчивость бизнеса в новых условиях.