Главная страница » Новости и блог » База знаний » Обеспечение безопасности персональных данных в организации в 2025 году

Обеспечение безопасности персональных данных в организации в 2025 году

Почему защита персональных данных — критически важный вопрос для любого бизнеса в 2025 году

В 2025 году вопрос защиты персональных данных вышел за рамки формальности: с каждым месяцем усиливается надзор со стороны Роскомнадзора, растут суммы штрафов, а судебная практика становится всё более жёсткой по отношению к организациям, которые не выполняют требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ).

Многие ошибочно считают, что подача уведомления в Роскомнадзор о обработке персональных данных – достаточная мера для обеспечения соблюдения законодательства 152-ФЗ. ЭТО НЕ ТАК. Это лишь одна из обязанностей организации в сфере законодательства о персональных данных.

Как подать уведомление в Роскомнадзор о намерении осуществлять обработку персональных данных читать тут

Сегодня даже небольшой бизнес — магазин, фитнес-центр или ИП, ведущий онлайн-продажи — автоматически становится оператором персональных данных и обязан соблюдать все требования 152-ФЗ. Иначе — штрафы, которые могут достигать миллионов рублей. Подробнее о штрафах с 2025 года тут.

Что изменилось к 2025 году:

Увеличился размер административной ответственности по статье 13.11 КоАП РФ — штрафы за нарушение правил обработки ПДн теперь составляют от 6 000 до 2 000 000 рублей для должностных лиц и до 20 000 000 рублей для юридических лиц, в зависимости от вида нарушения.
Роскомнадзор проводит регулярные плановые и внеплановые проверки организаций любых форм собственности.
Общество стало более информированным: жалобы граждан на незаконную обработку или утечки данных приводят к проверкам и серьёзным санкциям.

Что это значит для бизнеса:

Без правильно оформленной организационно-распорядительной документации (ОРД) и выстроенных процессов безопасности организация уязвима перед проверками и жалобами.
Документы и регламенты — это не «бумажки для галочки», а фактическое доказательство добросовестного соблюдения 152-ФЗ, которое реально защищает от штрафов.

Нет времени разбираться в нюансах?

Подготовим пакет документов по 152-ФЗ под ключ

Закажите разработку актуальной документации по защите персональных данных и будьте спокойны при проверках!

Требования 152-ФЗ на понятном языке

Федеральный закон № 152-ФЗ «О персональных данных» регулирует, как именно организации обязаны собирать, хранить и обрабатывать данные клиентов, сотрудников и любых других субъектов персональных данных.

Кто обязан соблюдать 152-ФЗ

Любая компания или индивидуальный предприниматель, если в работе используются:

паспортные данные сотрудников;
телефон или e-mail клиента;
данные из анкет, заявлений или онлайн-форм;
видеонаблюдение или биометрия;
передача данных подрядчикам.

Что конкретно требует 152-ФЗ

Чтобы не нарушить 152-ФЗ и не получить штраф по статье 13.11 КоАП РФ, организация обязана:

Собирать только те данные, которые действительно нужны
Основание: статья 5, часть 5 152-ФЗ
Данные должны быть адекватными, релевантными и не избыточными по отношению к целям обработки.
Информировать человека, данные которого собираются и уполномоченный орган о намерении обрабатывать персональные данные (через политику в отношении обработки персональных и согласия).
Основание: статья 18.1, часть 2, статья 22 152-ФЗ
До начала обработки оператор обязан уведомить Роскомнадзор (если требуется) и предоставить субъекту всю информацию о целях и способах обработки.
Назначить ответственного за обработку персональных данных
Основание: статья 22.1 152-ФЗ
В каждой организации должен быть назначен ответственный приказом или иным распорядительным актом.
Подготовить и утвердить организационно распорядительную документацию
Основание: статьи 18.1, 19 152-ФЗ
Оператор обязан принимать организационные меры защиты данных — для этого разрабатываются политика обработки ПДн, положение о конфиденциальности, приказы и регламенты.
Обеспечить безопасность ПДн техническими и организационными мерами
Основание: статья 19 152-ФЗ
В том числе использование антивирусов, шифрования, контроль доступа к базам данных.
Принимать меры при утечке или инциденте — иметь план реагирования.
Основание: статья 19 152-ФЗ
Оператор обязан принимать меры при выявлении фактов несанкционированного доступа и утечки.
Вести учет обработки и передачи данных
Основание: статьи 18.1 и 19 152-ФЗ + требования ФСТЭК России (Приказ № 21)
На практике это журналы учета носителей, регистрация операций, акты уничтожения.
Проходить проверки и своевременно предоставлять сведения Роскомнадзору
Основание: статья 23 152-ФЗ и статья 19.7 КоАП РФ
Оператор обязан сотрудничать с надзорным органом и предоставлять документы по запросу.

Выполнение этих требований — не добровольное желание, а строгое обязательство, нарушение которого влечет административную ответственность по статье 13.11 КоАП РФ.

Что проверяют инспекторы Роскомнадзора чаще всего

Наличие и актуальность политики обработки ПДн.
Согласия субъектов с обработкой персональных данных.
Организационно распорядительную документацию (политики, регламенты и т.д.).
Журналы учёта обработки и передачи данных.
Доказательства, что сотрудники ознакомлены с правилами обработки данных и применяют их в работе.

Простыми словами: 152-ФЗ не требует «каких-то абстрактных бумаг» — он требует конкретный пакет документов и процессы, которые реально должны работать в компании каждый день. Если чего-то из этого нет — значит, нарушение закона уже есть, и проверка может закончиться многомиллионными штрафами.

Какие документы нужны для уверенной работы с персональными данными по 152-ФЗ

Чтобы организация могла законно обрабатывать персональные данные и быть готовой к проверке Роскомнадзора, одного согласия клиента или «шаблона политики» недостаточно. Закон 152-ФЗ и практика надзора требуют, чтобы в компании был полный комплект актуальной организационно распорядительной документации, отражающий все процессы работы с персональными данными.

Ниже — минимальный набор документов, который обычно проверяют первым делом.

Обязательный комплект документов

В обязательный комплект документов по 152-ФЗ для организаций входит более 60 документов, включающих в себя политики, регламенты, приказы, порядки, рекомендации, журналы, формы, акты

Политика обработки персональных данных
Основа всего — документ, который открыто описывает:
- Какие данные вы собираете: категории персональных данных, их объем, категории субъектов персональных данных.
- Цели обработки персональных данных: ведение кадрового и бухгалтерского учета, продвижение товаров и услуг, заключение договоров и т.д.
- Правовые основания обработки персональных данных: нормативные акты и документы.
- Порядок и условия обработки персональных данных: принципы обработки персональных данных, обработка специальных категорий персональных данных
  поручение обработки персональных данных другим лицами, передача персональных данных, конфиденциальность персональных данных, использование средств обработки персональных данных, меры по обеспечению безопасности обработки персональных данных
- Актуализация, исправление, удаление и уничтожение персональных данных: права субъектов персональных данных, обязанности оператора персональных данных, меры обеспечения выполнения обязанностей оператора и т.д.
- Сферы ответственности: ответственные лица, их функции и обязанности
Формы согласия на обработку персональных данных.
Индивидуальные согласия сотрудников, клиентов или пользователей сайта. Должны быть согласованы по форме и содержанию с политикой.
Приказы, регламенты, правила, инструкции
- назначение ответственного за обеспечение безопасности ПДн
- правила обработки ПДн
- утверждение форм документов в области защиты информации
- утверждение перечня информационных систем и реализация мер по защите информации в них
- утверждение перечня программного обеспечения, используемого в информационных системах
- утверждение перечня обрабатываемых ПДн
- утверждение перечня сотрудников осуществляющих обработку ПДн
- обеспечение безопасности материальных носителей ПДн
- обеспечение безопасности помещений с системами данных носителями данных
- разграничение доступа в информационных системах
- уничтожение персональных данных
- проведение внутреннего контроля соответствия правил обработки с ПДн
- выявление инцидентов информационной безопасности и информирования о них
- другие.
Журналы учёта, инструктажей и контроля
- учет инструктажей
- учет передачи ПДн
- учет и выдача носителей персональных данных
- резервное копирование данных
- проведение внутреннего контроля соответствия обработки ПДн
- учет средств защиты информации
- открытие/закрытие помещений хранения ПДн
- и другие
Акты, отчеты, протоколы, формы
- об уничтожение персональных данных
- определение уровня защищенности ПДн при их обработка в информационных системах
- результаты проведения внутренних проверок обработки ПДн
- оценка возможного вреда субъектам ПДн
- уведомление об инциденте
- проведение внутреннего расследования по инцидентам ПДн
- листы ознакомления

ВАЖНО! Все эти документы должны быть:

Актуальны (учитывать изменения законодательства 2025 года);
Подготовлены под специфику бизнеса, а не скачаны «из интернета»;
Доступны для проверки уполномоченному органу или по запросу субъекта данных.

Нет времени разбираться в документах?

Составим полный комплект по 152-ФЗ под ваш бизнес

Гарантируем актуальные документы по защите персональных данных — вы спокойно пройдёте любую проверку.

Какие процессы важно внедрить, кроме документации по 152-ФЗ

Оформить организационно распорядительную документацию по 152-ФЗ — это только первый шаг. Чтобы реально выполнить требования 152-ФЗ и успешно пройти проверку Роскомнадзора, важно не просто иметь бумаги, но и выстроить работающие процессы защиты персональных данных в ежедневной деятельности.

Ниже — ключевые процессы, которые инспекторы чаще всего проверяют на практике:

Назначить ответственного за обработку ПДн
Даже если приказ оформлен, важно, чтобы назначенное лицо реально понимало свои обязанности: контролировало исполнение требований, вело учёт документации и взаимодействовало с Роскомнадзором.
Основание: ст. 22.1 152-ФЗ.
Обучить сотрудников работе с персональными данными
Все сотрудники, которые так или иначе имеют доступ к ПДн (менеджеры, HR, IT-специалисты), должны быть ознакомлены с политикой обработки, положением о конфиденциальности и инструкциями. Это фиксируется листами ознакомления или журналом ознакомления.
Основание: ст. 18.1, 19 152-ФЗ.
Вести журналы учёта обработки и передачи данных
Учёт должен вестись не «для отчёта», а постоянно: кто, когда, какие данные обработал или передал, на каком основании и когда уничтожил. Это ключевой аргумент при проверке.
Основание: ст. 18.1, 19 152-ФЗ, требования ФСТЭК.
Организовать технические меры защиты данных
Для защиты от утечек и несанкционированного доступа используются антивирусы, пароли, шифрование каналов связи, настройка прав доступа в системах.
Основание: ст. 19 152-ФЗ.
Разработать и использовать план реагирования на инциденты
Что делать, если произошла утечка или несанкционированный доступ? У ответственного должно быть готовое пошаговое руководство: кто уведомляет Роскомнадзор и субъектов, как локализовать инцидент и устранить нарушение.
Основание: ст. 19 152-ФЗ.
Проводить регулярные внутренние аудиты
Не реже одного раза в год организация должна проверять соблюдение своих же регламентов: сверять актуальность документов, правильность хранения согласий, работу журналов учёта.
Основание: ст. 18.1 152-ФЗ.

Что это даёт бизнесу:

Снижение риска ошибок сотрудников
Гарантия законной обработки данных
Уверенность при плановой или внеплановой проверке
Готовность быстро устранить возможные нарушения

Что будет, если нет документов и работа не организована

Многие руководители считают, что до их бизнеса руки Роскомнадзора не дойдут или что «проверка обойдёт стороной». Практика 2023–2024 годов доказывает обратное: надзорные органы активно проверяют не только крупные компании, но и ИП, микробизнес и онлайн-проекты.

Что показывает практика:

Плановые проверки.
Роскомнадзор публикует ежегодный план проверок, куда попадают компании всех форм собственности — от школ до интернет-магазинов. Проверки идут по чёткому чек-листу, и отсутствие хотя бы одного обязательного документа фиксируется как нарушение.
Внеплановые проверки.
Обычно начинаются по жалобе клиента, бывшего сотрудника или из-за утечки данных. В этом случае инспектор не предупреждает заранее и требует показать все документы и доказательства соблюдения закона.
Онлайн-контроль.
Роскомнадзор регулярно мониторит сайты на наличие политики обработки ПДн и корректных форм согласия. Отсутствие информации — автоматический повод для предписания и проверки.

Реальные последствия (по статье 13.11 КоАП РФ):

От 50 000 до 300 000 руб. — за отсутствие политики или неверную форму согласия (ч. 1).
От 100 000 до 700 000 руб. — за обработку данных без согласия субъекта (ч. 2).
До 800 000 руб. для должностного лица и до 18 000 000 руб. для юрлица — за повторные или грубые нарушения (ч. 8, ч. 9).
Выдача предписания об устранении нарушений в жёсткие сроки, часто с повторной проверкой.

Что ещё теряет бизнес:

Репутационные риски: информация о штрафах часто попадает в открытые источники и СМИ.
Финансовые потери: кроме штрафа, компания тратит деньги на срочную подготовку документов «задним числом» и оплату штрафов.
Возможная приостановка обработки данных: если нарушения серьёзные, Роскомнадзор может ограничить или временно запретить работу с ПДн.

Вывод:
Отсутствие актуальной организационно распорядительной документации и работающих процессов — прямой путь к штрафам, блокировке и потере доверия клиентов.

Почему стоит доверить подготовку документации по 152-ФЗ профессионалам

Многие компании сначала пытаются решить вопрос защиты персональных данных «своими силами» — скачивают шаблоны из интернета или просят юриста «что-то составить». На практике такие документы редко выдерживают проверку, так как не отражают реальные процессы и не учитывают специфику конкретного бизнеса.

Почему самостоятельная подготовка — не выход

Требует времени и экспертизы.
152-ФЗ и подзаконные акты часто меняются, а шаблон, скачанный год назад, уже не соответствует новым требованиям.
Не учитывает специфику компании.
У интернет-магазина, образовательного центра и медклиники — разные типы данных, разные риски и разные обязанности. Один «типовой пакет» не может закрыть всё.
Риски штрафа остаются.
Даже красиво оформленный шаблон не спасает, если в реальности процессы не выстроены, а сотрудники не знают свои обязанности.

Почему разработку документов по 152-ФЗ доверяют нам:

Наша компания специализируется именно на разработке и внедрении организационно распорядительной документации по защите персональных данных под ключ.
Что мы делаем для клиентов:

Готовим документы под конкретный бизнес.
Никаких «голых шаблонов» — всё под задачи клиента: от ИП до крупной компании.
Обновляем пакеты под последние изменения закона.
Все проекты соответствуют актуальной редакции 152-ФЗ и связанным приказам Роскомнадзора и ФСТЭК.
Выстраиваем процессы под ключ.
Приказы, политики, журналы — плюс инструкции для сотрудников и рекомендации по техническим мерам.
Консультируем и сопровождаем.
Помогаем ответить на запросы Роскомнадзора и проходим проверки вместе с клиентом.
Экономим время и нервы.
Вы фокусируетесь на бизнесе — мы закрываем все вопросы по персональным данным.

Очевидная выгода для бизнеса:

Минимизация риска штрафов и блокировок
Уверенность при любой проверке
Экономия времени и бюджета
Спокойствие руководителя и сотрудников

Не откладывайте: чем раньше компания приведёт обработку персональных данных в порядок, тем меньше риск попасть под санкции и срочные расходы.

Важно:
Инспектору достаточно увидеть хоть одно несоответствие или отсутствие актуальных документов, чтобы зафиксировать нарушение. В этом случае ссылаться на «мы скачали типовой шаблон» не помогает: ответственность остаётся на операторе.

Не хотите рисковать штрафами?

Доверьте защиту персональных данных профессионалам

Создадим индивидуальный пакет документов и выстроим систему защиты данных под ваш бизнес под ключ.