Как минимизировать риск получения штрафов за нарушения 152‑ФЗ — Контур.Эгида

В этой статье

Как минимизировать риск получения штрафов за нарушения 152‑ФЗ

31 июля 2025

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (152-ФЗ) устанавливает строгие требования к обработке и защите персональных данных (ПДн). Несоблюдение этих требований грозит серьезными штрафами для организаций, граждан и должностных лиц.

Фотография Ольга Попова Ольга Попова Ведущий юрист

В этой статье:

В статье рассмотрим ключевые меры, которые помогут избежать штрафов за нарушения 152-ФЗ.

1. Назначить лицо, ответственное за организацию обработки ПДн

В соответствии с ч. 1 ст. 22.1 152-ФЗ оператор обязан назначить лицо, ответственное за организацию обработки персональных данных.

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

  • осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
  • доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
  • организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов

Чаще всего ответственным за организацию обработки персональных данных назначают генерального директора, юриста, руководителя отдела кадров или руководителя службы ИБ. 

2. Разработать и актуализировать внутренние документы

Для соответствия требованиям 152-ФЗ необходимо разработать и утвердить следующие документы:

  • Документ, определяющий политику обработки персональных данных. Он описывает цели, принципы обработки и меры защиты ПДн.
  • Согласие на обработку ПДн. Этот документ подписывают сотрудники и клиенты организации перед передачей своих данных.
  • Локальные нормативные акты по по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований
  • Локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений
  • Журналы учета. Например, журнал учета съемных машинных носителей персональных данных или журнал регистрации инцидентов. 

Регулярное обновление этих документов позволит избежать несоответствий требованиям законодательства.

3. Соблюдать требования к обработке и хранению персональных данных

Чтобы минимизировать риск получения штрафов, важно:

  • Обрабатывать ПДн с согласия субъекта, за исключением случаев, предусмотренных законом.
  • обрабатывать ПДн только в соответствии с конкретными и заранее определенными и законными целями. Например, образовательные организации при подписании договоров собирают данные о родственникам обучающегося. Регуляторы могут посчитать это излишней информацией, которую недопустимо собирать.
  • Не передавать данные третьим лицам без правовых оснований.
  • Обеспечивать безопасность хранения ПДн, в том числе с использованием шифрования и средств защиты информации.
  • Ограничивать доступ сотрудников к персональным данным и проводить обучение по вопросам информационной безопасности.
     

4. Уведомлять Роскомнадзор о начале обработки ПДн

Согласно ст. 22 152-ФЗ, компании, занимающиеся обработкой персональных данных, обязаны уведомить Роскомнадзор о начале деятельности. Сделать это можно тремя способами:

  • Распечатать и подать в бумажном виде в территориальное отделение Роскомнадзора по месту своей регистрации.
  • Через сайт Роскомнадзора в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.
  • Через Госуслуги.

5. Регулярно проводить аудит процессов обработки персональных данных

Аудит соответствия компании требованиям 152-ФЗ — представляет собой комплексную проверку бизнес-процессов компании на предмет соблюдения законодательства в области защиты персональных данных.

Аудит проводят для того, чтобы:

  • оценить степень защищенности информации и состояние информационных систем;
  • проанализировать соответствие уровня безопасности информационных систем актуальным стандартам и нормативно-правовым актам;
  • разработать и передать клиенту рекомендации, которые помогут устранить обнаруженные проблемы и несоответствия.

Аудит включает в себя:

  • анализ сведений о технологических и бизнес-процессах, связанных с персональными данными;
  • определение и описание состава персональных данных с указанием оснований и целей их обработки в организации;
  • определение структурных подразделений и сотрудников, которые задействованы в обработке персональных данных, формирование перечня;
  • определение и описание документов с персональными данными, обрабатываемых вне информационных систем, указание условий хранения таких документов;
  • анализ информационных систем, в которых ведется обработка персональных данных;
  • определение и описание технических и программных средств (в том числе указание на расположение), которые используются информационными системами для обработки персональных данных, это позволит структурировать данные по текущему материально-техническому состоянию;
  • описание и анализ техпроцесса обработки персональных данных в информационных системах;
  • анализ, описание и документирование используемых в информационных системах программных и технических средств защиты информации;
  • описание текущего состояния уровня безопасности. 

6. Провести технические мероприятия по созданию системы защиты персональных данных в соответствии с классом системы мониторинга и предотвращения утечек

Для этого организуют:

  • поставку и внедрение технических средств защиты информации (межсетевые экраны, антивирусы, средства защиты каналов связи VPN, системы обнаружения и предотвращения вторжений и т.д.)
  • настройку средств и систем защиты информации в соответствии с требованиями

Кроме этого аттестуют информационную систему персональных данных и оценивают эффективность принимаемых мер по обеспечению безопасности персональных данных в информационных системах персональных данных

7. Соблюдать сроки хранения и уничтожения персональных данных

В соответствии со ст. 5 152-ФЗ, персональные данные должны храниться не дольше, чем этого требуют цели обработки. По истечении этого срока  необходимо прекратить обработку персональных данных.

8. Быстро реагировать на инциденты и уведомлять Роскомнадзор

Согласно 152-ФЗ оператор данных должен уведомлять Роскомнадзор об утечках данных в течение 24 часов после нарушения. При этом оператор обязан уведомить регулятора, даже если за обработку его данных отвечал облачный провайдер и инцидент произошел на его стороне. 
 

Об оборотных штрафах в сфере ИБ читайте в статье.

Оператор должен отправить два уведомления:

  • Первичное. Отправляется в течение 24 часов после утечки. В нем нужно описать информацию об инциденте, возможных причинах, потенциальном ущербе для субъектов данных и принятых мерах. Также нужно указать контактное лицо, с которым будут взаимодействовать представители Роскомнадзора. 
  • Дополнительное уведомление. Отправляется в течение 72 часов после инцидента. В нем должны быть зафиксированы результаты внутреннего расследования и информация о лицах, которые допустили утечку данных. 

Вывод

Минимизировать риски получения штрафов за нарушение 152-ФЗ возможно при соблюдении всех требований законодательства и внедрении комплексных мер защиты персональных данных. Регулярный аудит, контроль доступа, использование современных средств защиты информации и обучение сотрудников — залог безопасной работы с ПДн и защиты бизнеса от финансовых санкций.

Фотография Ольга Попова Ольга Попова Ведущий юрист
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться