Как работать с персональными данными по новым требованиям, чтобы избежать штрафов

С сентября 2025 года действует новое требование к оформлению согласия на обработку персональных данных (ПД). Его невыполнение грозит крупными штрафами.

Наши эксперты подготовили пошаговый алгоритм, который поможет организовать процесс в соответствии с рекомендациями Роскомнадзора и с учетом результатов проведенных проверок. Советы специалистов позволят предотвратить возможные нарушения закона и избежать санкций.

Частые ошибки в работе

Соблюдение правил обязательно для всех организаций и ИП, включая тех, кто ведет деятельность без наемных сотрудников, и даже для самозанятых.
В такой ситуации повышенную ответственность несет бухгалтерия: сюда поступают документы, содержащие сведения о сотрудниках, собственниках бизнеса, контрагентах и других участниках хозяйственных процессов.

Бухгалтер может допустить ошибку из-за незнания законов или элементарной невнимательности. Приведем несколько примеров.
1. Отвечая на звонок «из банка» бухгалтер назвал должность и зарплату конкретного сотрудника.
2. В личных делах работников находились копии паспортов, свидетельств о рождении детей и дипломов. Такое хранение является незаконным.
3. Обработка ПД осуществлялась без оформления разрешения человека.

За нарушение правил работы с ПД предусмотрено наказание вплоть до уголовного. Последствия зависят от того, является ли бухгалтер ответственным за обработку ПД в рамках фирмы и совершил ли он какие-либо противозаконные действия.

Инструкция по работе с персональными данными

Настройка и сложность процессов зависят от масштаба фирмы, формата документооборота, используемых сведений, целей их применения и других факторов.
Наш комплекс правил позволит обеспечить всесторонний полноценный учет и защиту частной информации.

Шаг 1. Систематизировать персональные данные и сопутствующие документы

К сведениям личного характера относится любая информация, с помощью которой можно идентифицировать конкретного гражданина.
Закон не содержит полного перечня таких сведений. Информация приобретает статус персональных данных только при комплексном использовании. Например, по одной лишь фамилии или дате рождения невозможно однозначно определить человека.
Разъясняя этот аспект, Роскомнадзор выделяет три вида персональных данных:

• общие;
• специальные;
• биометрические.

От категории зависят применяемые меры защиты, оценка возможного ущерба и величина штрафа в случае утечки.
В представленной ниже таблице указаны конкретные типы данных, принадлежащие каждой группе.

Персональные данные сотрудников
В основном бухгалтер получает доступ к персональным сведениям работников через документы. Часть из них соискатель представляет при трудоустройстве, другие приходят от Социального фонда или формируются самим предприятием в процессе трудовых отношений.
Документы, содержащие информацию личного характера о штатных специалистах, приведены в таблице ниже.

Помимо перечисленных документов, бухгалтер может подготовить для внутреннего анализа, оценки или проверки вспомогательные таблицы, содержащие личные сведения о персонале. Незаконное распространение информации из таких файлов квалифицируется как нарушение порядка работы с ПД.

Персональные данные контрагентов
Сюда относятся сведения, которые помогают идентифицировать физическое лицо, выступающее контрагентом или представляющее интересы компании. Состав информации варьируется в зависимости от характера заключенного соглашения и статуса сторон сделки.
Например, договор на оказание услуг может включать ФИО, реквизиты паспорта, банковской карты и адрес, если производится доставка.
Целями обработки могут быть, например, информирование о товарах и услугах или техническая поддержка клиентов.

Шаг 2. Назначить ответственного

До начала работы с персональными данными оператор должен утвердить соответствующие локальные нормативные акты и направить заявление о своих намерениях в Роскомнадзор.
В документе необходимо указать ответственного за защиту и обработку идентификационных сведений. Этот человек подчиняется непосредственно генеральному директору и взаимодействует с Роскомнадзором. Он контролирует соблюдение законодательства внутри организации, информирует персонал о действующих правилах и работает с обращениями субъектов ПД.

Ответственным за обработку персональных данных может быть любой сотрудник предприятия или сторонняя фирма. Привлеченный специалист отвечает за свои ошибки в рамках заключенного договора.
Закон не устанавливает специальных квалификационных требований к этому лицу. Ответственным можно назначить генерального директора, начальника отдела кадров, руководителя службы информационной безопасности, юриста или главного бухгалтера. Решение принимается исходя из особенностей организационной структуры и специфики работы компании.

Примеры и обоснование выбора

1. Генеральный директор. Такое решение характерно для малых компаний, где руководитель контролирует все ключевые функции.

2. Начальник отдела кадров. Специалиста назначают, если основная работа связана с личной информацией персонала.

3. Руководитель службы информационной безопасности. Подходит организациям с солидными информационными базами и различными категориями обрабатываемых сведений.

4. Штатный юрист. Как правило, специалиста назначают из-за того, что компании придется иметь дело с выполнением сложных законодательных требований. Этот работник лучше остальных разбирается в указанном вопросе.

5. Главный бухгалтер. Такое решение характерно для маленьких фирм, где главбух выполняет обязанности специалиста по кадрам и юриста.

Несмотря на формальное назначение единственного ответственного лица, фактическая реализация мероприятий по защите данных нередко распределяется на нескольких сотрудников. Например:

• руководитель кадровой службы контролирует сохранность сведений о персонале и кандидатах на вакантные должности;
• юрист следит за корректностью внутренней документации, связанной с персональными данными;
• специалист по информационной безопасности обеспечивает техническую защиту серверов;
• главный бухгалтер обеспечивает сохранность информации, используемой в финансовой сфере.

Руководители отделов могут быть назначены ответственными за обработку ПД внутри своего подразделения, но взаимодействие с Роскомнадзором должен осуществлять единый контактный центр в лице официально назначенного уполномоченного лица.

Его назначение утверждается внутренним приказом организации, а обязанности прописываются в должностной инструкции.
В случае смены ответственного сотрудника компания обязана отправить уведомление в Роскомнадзор.

Шаг 3. Подготовить необходимые документы

При проведении проверки Роскомнадзор прежде всего запрашивает внутренние нормативные акты, регулирующие обработку персональных данных.
Точный перечень в законе не установлен. Определены лишь три основные цели, которым должны соответствовать документы каждой фирмы:

• формирование политики компании по вопросам обработки ПД;
• определение категорий и состава сведений, их владельцев, методов обработки, продолжительности хранения и порядка уничтожения информации;
• регламентирование действий при выявлении нарушений и устранении их последствий, а также при проведении профилактических мероприятий и исправлении недоработок.

Мы подготовили минимальный пакет документов, который необходим каждой организации. Список доступен в предлагаемом чек-листе.

Чек-лист можно расширить дополнительными документами, учитывая специфику конкретной организации. Обычно подготовкой таких документов занимается сотрудник, назначенный ответственным за обработку ПД. Иногда требуется участие других специалистов: юристов, представителей службы информационной безопасности, ИТ-службы или отдела кадров.
Порядок взаимодействия между различными структурами целесообразно закрепить отдельным положением, например, дополнительным пунктом к приказу о назначении ответственного лица.

Шаг 4. Отправить уведомление в Роскомнадзор

Уведомление в Роскомнадзор обязаны подавать все, кто намерен осуществлять обработку ПД физических лиц, будь то организации, ИП или самозанятые.

Независимо от количества обрабатываемых данных (даже если речь идет о единственном сотруднике или клиенте) уведомление должно быть отправлено до начала работы с частной информацией граждан. То есть до того, как фактически начинается сбор, обработка, передача, обезличивание и аналогичные действия.

Получив уведомление, Роскомнадзор вносит заявителя в единый реестр операторов персональных данных.
Рекомендуем зайти на портал государственного ведомства и через ИНН убедиться, что ваша компания там зарегистрирована. Если запись есть, повторная подача документа не требуется.

Важно! Форма уведомления была изменена в конце 2022 года. Если вы до этого отправляли заполненный бланк, проверьте правильность и полноту сведений относительно вашей компании.
С большой вероятностью придется представить информационное письмо о корректировке. Этот документ можно подготовить на сайте Роскомнадзора.

Основаниями для отправки уведомления также являются:

• изменение целей обработки и смена ответственного лица;
• прекращение обработки информации;
• обнаружение утечки ПД.

В законе есть исключения, при которых допускается обработка ПД без информирования надзорного ведомства. Но эти условия таковы, что крайне мало фирм может их выполнить. Например, работа с личными сведениями осуществляется вручную, без автоматизированных инструментов, включая программы для сдачи отчетности.

Практический вопрос

Обязан ли ИП без сотрудников и самозанятый подавать уведомление в Роскомнадзор?

Это необходимо сделать, если граждане собираются обрабатывать или уже используют персональные данные физических лиц. Например, при реализации товаров через торговые площадки или при заключении договоров с организациями, чьи сотрудники предоставляют личную информацию, такую как имена, телефоны и электронные адреса.
Некоторые бизнесмены ошибочно полагают, что уведомления не нужны, если продажа осуществляется исключительно через личный кабинет маркетплейса. То есть процедура проходит без сбора дополнительных сведений о клиенте, например, телефона или адреса доставки. Тем не менее в договоре с платформой может предусматриваться обработка данных сотрудников торговой площадки, поэтому уведомление все же необходимо.

Отправить уведомление можно как в распечатанном виде, так в электронном варианте через портал Роскомнадзора. Цифровая форма более удобная для заполнения.

Обратите внимание! Если штат сотрудников увеличился, но цели и процессы обработки ПД остались прежними, повторно подавать уведомление не требуется.

Шаг 5. Получить согласие на обработку персональных данных

Оформлением согласий занимается ответственный за обработку ПД либо другие работники согласно их должностным обязанностям. Например, сотрудник отдела кадров при трудоустройстве соискателя или менеджер при заключении договора с физическим лицом.

Важное изменение!
С сентября 2025 года согласие на обработку персональных данных допускается оформлять только отдельным документом.
На практике текст разрешения часто включался в типовой договор, заявление и анкету. В результате человек соглашался на обработку информации даже не подозревая об этом.
За несоблюдение правила предусмотрены крупные штрафы.

Проверьте существующие шаблоны документов. Для дальнейшего использования удалите из них пункты, касающиеся разрешения на обработку частных сведений. Подготовьте отдельный бланк, учитывающий новые требования.
Разрешения, полученные до указанной даты, оформлять задним числом не нужно.

Необходимость получения согласия на обработку ПД зависит от того, кем являются физические лица – сотрудниками или контрагентами.

Согласие работников не требуется в следующих случаях:

• сдача отчетности в ФНС, СФР и военкомат;
• предоставление сведений по запросу прокуратуры, трудовой инспекции, органов МВД и других государственных структур;
• направление на обязательный медосмотр.

Во всех перечисленных ситуациях компания исполняет обязанности, возложенные на нее законом.

Получить разрешение сотрудников необходимо:

• при передаче информации в банк в рамках зарплатного проекта;
• при поступлении запросов от бывших или будущих работодателей, коллег, родственников и коллекторов.

Помните, что в одном документе нельзя объединять несколько видов согласий для разных целей. Основное правило при работе с ПД: одна цель – одно согласие.

Что касается клиентов и контрагентов, то запрашивать разрешение не требуется:

• при оформлении договора с ИП или самозанятым;
• для передачи сведений по запросу ФНС.

Разрешение придется подготовить при продажах через интернет-магазин или для рассылки рекламных материалов.

Шаг 6. Установить ограничения на доступ к персональным данным

В каждой организации должен быть перечень сотрудников, имеющих доступ к сведениям личного характера.
Список утверждают с помощью отдельного приказа. Проект распоряжения разрабатывает специалист, ответственный за обработку ПД. При необходимости он может привлечь к сотрудничеству руководителей кадровой службы, ИТ-подразделения, юридического отдела и главного бухгалтера.

Обычно доступ к информации личного характера предоставляется работникам бухгалтерии, специалистам по кадрам и секретарям.
Законом не установлен единый порядок допуска сотрудников к частным сведениям. Поэтому организация разрабатывает собственные регламенты. Можно разработать два отдельных документа: первый регулирует доступ к данным персонала компании, второй – к информации о клиентах и контрагентах.

Шаг 7. Организовать меры защиты персональных данных

Этими вопросами чаще всего занимается сотрудник, ответственный за обработку ПД.
Главный бухгалтер, как правило, должен обеспечить безопасность обработки информации в рамках своего подразделения.
Прежде всего, следует определить, у кого из сотрудников бухгалтерии есть доступ к персональным данным. С каждым из них необходимо заключить соглашение о соблюдении конфиденциальности. Соответствующее условие может быть прописано в дополнительном соглашении к трудовому договору.
Проверьте наличие таких документов и при отсутствии сообщите ответственному по защите ПД.

Совет экспертов. Лучше провести разъяснительную работу со всем коллективом фирмы и довести до каждого работника запрет передачи персональных данных третьим лицам. Это требование должно распространяться на весь персонал, независимо от фактического доступа к информации или подписанного обязательства о неразглашении.
Нарушение установленного запрета может грозить виновному лицу привлечением к уголовной ответственности. По таким делам уже сформировалась судебная практика.

Бухгалтерия часто работает с бумажными и электронными документами, которые содержат ПД. Для защиты сведений используйте следующие правила.
1. Подготовьте приказ об определении мест хранения ПД в бумажном формате. Это может быть сейф, отдельное помещение или архив.
2. Установите перечень сотрудников, которым предоставлен доступ к местам хранения.
3. Запретите выносить документы, содержащие ПД, за пределы рабочего помещения.
4. Убедитесь, что информационные базы надежно защищены.
5. Проведите разъяснительную работу о том, чтобы на рабочих столах и мониторах компьютеров не было конфиденциальной информации в открытом доступе для других бухгалтеров и работников фирмы.

Шаг 8. Соблюдать правила получения, передачи, хранения и уничтожения персональных данных

Государственными органами сформулированы четкие правила, регулирующие порядок работы с ПД. Ниже представлен алгоритм действий для каждого этапа работы с частной информацией.

Этап 1. Получение. Собирайте сведения только из официальных документов и обязательно получайте согласие субъекта на обработку.

Этап 2. Передача. Определите, необходимо ли получить разрешение. Соблюдайте правила его оформления.

Этап 3. Хранение. Сведите к минимуму объем хранимой информации и обеспечьте ее защиту.

Этап 4. Уничтожение. Удаляйте данные по истечении сроков хранения или завершения обработки. Обеспечьте невозможность восстановления.

На каждом этапе руководствуйтесь соответствующей инструкцией. Обучите сотрудников правилам работы и отслеживайте изменения законодательных норм. Так вы минимизируете риски санкций и негативных последствий.

Шаг 9. Проинформировать при обнаружении утечки данных

О случившемся следует незамедлительно сообщить в Роскомнадзор. Это должен сделать уполномоченный специалист.

Сроки для реагирования чрезвычайно сжатые. Так, уведомление необходимо отправить не позднее 24 часов после выявления инцидента. В нем указывают предполагаемые причины, возможный вред и принятые меры по ликвидации последствий.

Кроме того, фирма должна инициировать внутреннее расследование и проинформировать о его результатах в течение 72 часов с момента обнаружения утечки. Сообщения можно направить через специальные формы на сайте ведомства.

Обратите внимание! Если о происшествии стало известно в выходной или праздничный день, сроки оповещения не сдвигаются.

Для проведения расследования создается комиссия. По итогам ее работы составляют акт в произвольной форме.
Порядок действий в такой ситуации лучше заранее прописать во внутреннем регламенте.

Закон обязывает оператора ПД сообщить об утечке независимо от того, что явилось ее причиной и о каком объеме информации идет речь. Это может быть кибератака злоумышленников или случайная передача третьим лицам, единичный инцидент или целенаправленное похищение данных.

Шаг 10. Провести самостоятельные проверки

Для контроля защиты ПД предприятия обязаны проводить внутренние проверки не реже, чем один раз каждые три года. При этом закон не запрещает организовывать такие мероприятия чаще. Например, ежегодно или в случае изменений в нормативной базе.

Варианты проведения проверок:

• самостоятельно. В такой ситуации следует ориентироваться на контрольные вопросы из проверочного листа Роскомнадзора, фиксировать результаты в протоколах и разработать план по устранению недостатков;
• с привлечением сторонних специалистов. Это лицензированные организации и ИП, оказывающие услуги по технической защите конфиденциальной информации.

Если с проверкой приходят представители Роскомнадзора, они запрашивают комплект документов по внутреннему контролю.

Специалисты аутсорсинговой компании подготовят регламенты, согласия и политику обработки персональных данных. Эксперты проверят действующие локальные акты, обучат сотрудников и подскажут, как избежать штрафов.