Организации, которые обрабатывают данные работников, рискуют получить миллионные штрафы за нарушения новых требований. С 30 мая 2025 года начнут действовать правила, ужесточающие ответственность при незаконной обработке и утечках персональных сведений. Расскажем, что необходимо предпринять и защитить информацию так, чтобы не лишиться внушительных сумм.
С 30 мая 2025 года вступает в силу Закон от 30.11.2024 № 420-ФЗ, который усиливает контроль над обработкой и хранением сведений о сотрудниках. Компании должны не только уведомлять Роскомнадзор о своих действиях, но и правильно обрабатывать персональные данные, чтобы не получить масштабные штрафы. Нарушение закона может обернуться суммами вплоть до 500 млн рублей и даже лишением свободы руководителя.
Ужесточение норм касается всех, кто работает с личными сведениями сотрудников. Новые штрафы зависят от объема утечки и наличия либо отсутствия уведомлений в Роскомнадзор. Появились и оборотные взыскания — до 3% от выручки, если нарушение повторное и серьезное. Чтобы этого избежать, важно контролировать все этапы работы с информацией и знать, как действовать при инцидентах.
Новые штрафы и главные правила: защита персональных данных сотрудников
- Рост штрафов за отсутствие законных оснований обработки данных.
- Ответственность за то, что работодатель не уведомил Роскомнадзор о начале обработки или об утечке.
- Зависимость суммы штрафа от масштабов утечки и введение крупных оборотных взысканий.
- Усиленное наказание за неправомерную работу со специальными и биометрическими данными.
Как избежать санкций за незаконную обработку
Если компания собирает персональные сведения без письменного согласия или вопреки требованиям закона, то руководителю грозит от 50 000 до 100 000 рублей штрафа, а организации — от 150 000 до 300 000 рублей. При повторном нарушении суммы возрастают вдвое.
Чтобы уменьшить риск санкций:
- Всегда берите письменное согласие от сотрудника или кандидата на вакансию.
- Определите четкий список данных, которые необходимы для работы. Не собирайте лишних сведений.
- Включите в Положение о работе с персональными данными полный перечень обрабатываемой информации и закрепить порядок работы. Регулярно проверяйте и корректируйте его. Положение составьте по форме, которую разработали сами.
Некоторые сведения (о состоянии здоровья, судимости, семейном положении) можно обрабатывать только на основании прямого предписания в законе. Без согласия можно работать лишь с данными, которые необходимы для исполнения трудового, налогового или архивного законодательства и прочих обязанностей работодателя.
Уже сейчас рекомендовано проверить внутренние регламенты, пересмотреть формы согласий, определить ответственных и обновить уведомления для Роскомнадзора. При обнаружении уязвимостей лучше устранить их как можно скорее, чем столкнуться с санкциями или уголовной ответственностью.
Примеры, когда не нужно согласие
Работодатель вправе:
- Передавать отчеты по зарплате в Соцфонд, налоговую и другие госорганы.
- Сдавать налоговую отчетность и вести воинский учет.
- Хранить документацию по личному составу, если это регламентировано архивным законодательством.
При любом расширении задач нужна новая цель обработки и новое письменное согласие. Если диплом о высшем образовании был получен для трудоустройства, то использовать его сведения для публикации на сайте уже нельзя без дополнительного подтверждения сотрудника.
Уведомление Роскомнадзора: как не пропустить важный срок
C 30 мая 2025 года появится ответственность за то, что организация не сообщила о начале обработки или о возникновении утечки персонифицированных сведений. Штраф за отсутствие уведомления может доходить до 300 000 рублей.
Чтобы не нарушить закон:
- Проверьте, есть ли ваша компания в Реестре операторов персональных данных (ПДн). Если нет, подайте уведомление, приложив унифицированную форму (Приказ Роскомнадзора от 28.10.2022 № 180).
- Если сведения в Реестре устарели, оперативно обновите информацию, чтобы избежать штрафов.
- При обнаружении утечки нужно сообщить о ней в РКН в течение 24 часов. А за 72 часа предоставить результаты внутреннего расследования.
В уведомлении указывайте все известные детали: какая информация оказалась скомпрометированной, какие причины инцидента, кто будет контактным лицом. Внутреннее расследование оформляйте актом. Полезно заранее разработать регламент действий при утечке, включая распределение обязанностей между кадрами, юристами, IT и службой безопасности.
Бухгалтерия работает с документами, где есть персональная информация. Самый высокий штраф, который грозит за нарушение, – 500 000 руб. Чтобы избежать санкций, смотрите в памятке, за какие действия с персональными данными могут наказать бухгалтера.
Оборотные штрафы за утечку ПДн: сколько придется заплатить и как защититься
Главная новация — дифференциация штрафов в зависимости от количества пострадавших. Чем масштабнее инцидент, тем больше взыскание. При повторном грубом нарушении будет грозить оборотный штраф — до 3% совокупной выручки.
Организациям рекомендуют строго соблюдать комплекс мер безопасности:
- Для автоматизированной обработки данных — установить защитные решения согласно постановлению Правительства № 1119 и приказу ФСТЭК от 18.02.2013 № 21.
- Для бумажных носителей — контролировать доступ к помещениям, вести учет допущенных лиц, использовать защищенные шкафы и сейфы.
- Выделять отдельные зоны хранения сведений разных категорий (например, персональные данные работников и клиентов).
Биометрические данные: особое внимание
До 30 мая 2025 года штрафы за утечку любых персональных сведений были примерно одинаковыми. Теперь за утрату информации биометрического или специального характера наказания выше.
При работе с биометрией сотрудник может отказаться передавать отпечатки пальцев или скан лица, если это не предусмотрено законом (например, в рамках требований антитеррористического законодательства). Специальные категории (о расе, религии, политических взглядах) обрабатывать запрещено без письменного согласия работника, за исключением ситуаций, прямо прописанных в законах.
Телефонные номера и e-mail также считаются персональными, если позволяют точно определить человека. Но если номер закреплен за компанией, чаще всего он не связан конкретно с физлицом.
Как избежать больших штрафов
- Соблюдать режим раздельного хранения разных типов персональной информации.
- Ввести правила разграничения доступа, дать доступ к сведениям только уполномоченным сотрудникам.
- Прописать меры защиты в локальных актах, должностных инструкциях.
- Заручиться поддержкой IT-специалистов, которые проверят сертификацию и лицензионность систем, подготовят документы о принятых мерах информационной безопасности.
Если организацию проверит Роскомнадзор, контроль может затронуть все внутренние документы: от Положения о работе с ПДн до актов уничтожения копий паспортов.
Что предпринять и как подготовиться к новым требованиям
- Актуализируйте документы. Закон № 152-ФЗ регулярно меняется. Проверьте, соответствуют ли локальные акты, формы согласия и политика обработки данных актуальным редакциям.
- Оцените структуру обработки. Сформируйте регламент, назначьте ответственного, внедрите меры защиты для электронных систем и бумажных архивов.
- Проверьте сайт. Если компания получает информацию о персоналиях через веб-формы или cookie-файлы, необходимо разместить политику обработки, корректные согласия и баннеры для уведомления пользователей.
- Готовьтесь к инцидентам. Разработайте алгоритм действий на случай утечки, чтобы без промедления уведомить Роскомнадзор, провести внутреннее расследование и зафиксировать результаты.
- Минимизируйте сбор сведений. Не запрашивайте документы, которые не требуются для трудовых функций или конкретного правового основания.
Лучший путь — профилактика. Добросовестная защита и четкая система контроля заметно снижают риск предъявления крупных претензий.
