Электронный документооборот
Учет и отчетность
Участие в закупках
Торговля и ритейл
Автоматизация бизнеса
Управление HR‑процессами
Проверка контрагентов
Обучение
Коммуникации
Сделки с недвижимостью
Банковские услуги
Продажи и маркетинг
Информационная безопасность
В 2025 защита персональных данных со стороны законодательства продолжает усиливаться: растут штрафы за нарушения, вводится уголовная ответственность. В статье рассказываем, как работодателю правильно работать с персданными, не допустить нарушений при их обработке, не получить штраф или уголовное наказание.
В этой статье:
- Как работодателю организовать обработку персональных данных
- Как хранить и защищать персональные данные
- Когда нужно уничтожить персональные данные
- Таблица штрафов в сфере персональных данных в 2025 году
- Отдельные штрафы в области защиты персональных данных
- Уголовная ответственность за утечку персональных данных
Персональные данные — это любая информация о человеке, которая позволяет его идентифицировать. Она может включать фамилию, имя, отчество, дату и место рождения, адреса проживания, данные паспорта, сведения об образовании, СНИЛС, данные военного билета, семейное положение, имена детей, сведения о доходах и имуществе, ИНН, а также биометрию.
Персональные данные используют для оформления трудовых отношений, учета рабочего времени, расчета заработной платы, ведения кадрового делопроизводства и выполнения других задач, связанных с деятельностью сотрудника.
Переведите кадры в онлайн
В сервисе Контур.КЭДО вы можете создавать, подписывать и отправлять кадровые документы в электронном виде.
Обработкой персданных считается: сбор, систематизация, использование, распространение, уничтожение. Иными словами — любой вид взаимодействия оператора персональных данных с ними.
Как работодателю организовать обработку персональных данных
Федеральный закон № 152-ФЗ требует от работодателей предотвращать утечку личных данных сотрудников, поэтому важно правильно организовать работу с ними. В ст. 18.1 зафиксированы меры, которые должен предпринять работодатель как оператор персданных.
Вот основные:
Разработайте локальный нормативный акт — политику оператора в отношении обработки персональных данных. Его отсутствие приведет к штрафу: для граждан в размере от 1500 до 3000 рублей, для должностных лиц — от 6000 до 12000 рублей, для ИП — от 10000 до 20000 рублей, для ЮЛ — от 30000 до 60000 рублей. В ЛНА должны быть прописаны правила обработки, хранения и использования персональных данных, список лиц, имеющих к ним доступ, перечень документов, содержащих такие данные, порядок передачи данных внутри организации и третьим лицам, а также ответственность за нарушения.
Назначьте ответственное лицо, которое будет отвечать за организацию работы с персональными данными на предприятии.
Определите круг лиц, имеющих доступ к персданным. Только определенные сотрудники должны иметь доступ к таким данным в зависимости от своих должностных обязанностей. С каждого сотрудника, имеющего доступ к персданным, нужно взять обязательство о неразглашении.
Проверьте, когда требуется письменное согласие на обработку персональных данных.
Создайте формы согласия на обработку персональных данных, соответствующие требованиям 152-ФЗ. Скачать готовую форму согласия на обработку персданных можно здесь.
До начала обработки персданных предупредите об этом Роскомнадзор. Подать уведомление можно в электронном виде на портале регулятора.
Как хранить и защищать персональные данные
Для безопасного хранения персданных необходимо учитывать способ их обработки. Если данные обрабатываются автоматически, то необходимо соблюдать требования приказа ФСТЭК от 18.02.2013 № 21, включая ограничение доступа к электронным базам данных и периодическую смену паролей. При неавтоматизированной обработке данных, когда они хранятся на бумаге, важно определить места для хранения материальных носителей и установить перечень лиц, которые осуществляют обработку персональных данных или имеют к ним доступ. Дополнительно нужно создать условия, в которых персданные будут защищены от внешних и внутренних угроз, например установить систему видеонаблюдения и сигнализации (постановление правительства РФ от 15.09.2008 № 687).
Сервис Контур.КЭДО надежно хранит кадровые электронные документы и персональные данные сотрудников в соответствии с требованиями 152-ФЗ. Подробнее о соблюдении безопасности при электронном обмене документами в КЭДО от Контура рассказываем в статье.
Когда нужно уничтожить персональные данные
Персональные данные должны быть уничтожены в предусмотренных законом случаях. Это означает, что восстановить данные в информационной системе после уничтожения не получится. А если они хранились на бумаге, то уничтожается сам материальный носитель.
Персональные данные следует уничтожить в таких случаях:
- Достигнуты цели обработки данных или больше нет необходимости в их достижении.
- Есть сведения о незаконном получении данных или их ненужности для заявленной цели обработки.
- Установлена неправомерная обработка данных.
- Отозвано согласие на обработку данных и отсутствует необходимость в их сохранении для целей обработки, если нет других условий в соглашении сторон или законе.
Работодатель сам выбирает, как уничтожать данные. Он может собрать команду специалистов или поручить это одному сотруднику. Работодатель обязан следовать требованиям Роскомнадзора, чтобы доказать уничтожение данных.
Если с данными работают вручную, нужно составить акт об уничтожении. Если данные обрабатываются автоматически или смешанным способом, оператор добавляет отчет из журнала регистрации событий в системе персональных данных. Этот акт можно сделать в электронном виде или распечатать и хранить его три года после уничтожения данных.
Таблица штрафов в сфере персональных данных в 2025 году
Федеральный закон от 30.11.2024 № 420-ФЗ ввел новые наказания за обработку персданных без необходимой цели. С 30 мая 2025 года действуют следующие штрафы за нарушения:
| Нарушитель | Старые размеры штрафов, в рублях | Новые размеры штрафов, в рублях | ||
|---|---|---|---|---|
| Первое нарушение | Повторное нарушение | Первое нарушение | Повторное нарушение | |
| Гражданин | От 2 000 до 6 000 | От 4 000 до 12 000 | От 10 000 до 15 000 | От 15 000 до 30 000 |
| Должностное лицо | От 10 000 до 20 000 | От 20 000 до 50 000 | От 50 000 до 100 000 | От 100 000 до 200 000 |
| Юрлицо, ИП | От 60 000 до 100 000 | От 100 000 до 300 000 | От 150 000 до 300 000 | От 300 000 до 500 000 |
Отдельные штрафы в области защиты персональных данных
Закон 152-ФЗ устанавливает особые правила для определенных видов данных, неправильное обращение с которыми может навредить человеку. Это касается специальных категорий персданных и биометрических данных.
Специальные категории данных включают информацию о национальности, расе, политических взглядах, религии, здоровье и личной жизни. Их использование без разрешения человека запрещено.
За утечку специальных персональных данных с 30 мая 2025 года действует повышенная ответственность. Штраф для граждан составит от 300 000 до 400 000 рублей, для должностных лиц — от 1 млн до 1,3 млн рублей, для юридических лиц и ИП — от 10 млн до 15 млн рублей.
Биометрические данные помогают идентифицировать человека. Их часто используют в системах контроля доступа в здания работодателя.
В 2023 году в КоАП РФ ввели штрафы за нарушения в обработке биометрии для должностных лиц в размере от 100 000 до 300 000 рублей, а для ЮЛ — от 500 000 до 1 млн рублей.
С 30 мая 2025 года действуют дополнительные штрафы за нарушения при обработке биометрических персданных. Так, например, непринятие мер безопасности в информационных системах с аутентификацией по биометрии влечет наложение штрафа для должностных лиц — от 300 000 до 500 000 рублей, а для ЮЛ — от 1 млн до 1,5 млн рублей.
За утечку биометрии штрафы еще выше. Для граждан — от 400 000 до 500 000 рублей, для должностных лиц — от 1,3 млн до 1,5 млн рублей, на юридических лиц — от 15 млн до 20 млн рублей.
С Контур.КЭДО вы сможете вести почти все кадровые документы в цифровом виде — это позволит хранить данные в защищенном электронном архиве и оперативно предоставлять их для аудита
Штрафы за обработку персональных данных, полученных без согласия
С 23 декабря 2023 года действуют новые штрафы за обработку персональных данных без письменного согласия. Они значительно жестче предыдущих, поэтому стоит быть внимательнее при работе с ними.
Штраф для граждан составит от 10 000 до 15 000 рублей, для должностных лиц — от 100 000 до 300 000 рублей, для ЮЛ — от 300 000 до 700 000 рублей.
При повторном нарушении штрафы выше: для граждан — от 15 000 до 30 000 рублей, для должностных лиц — от 300 000 до 500 000 рублей, для ИП — от 500 000 до 1 млн рублей, для ЮЛ — от 1 млн до 1,5 млн рублей.
Штрафы за разглашение информации с ограниченным доступом
Статья 13.14 КоАП РФ предусматривает санкции за разглашение информации с ограниченным доступом, которую человек получил на работе. Этот проступок может стоить рядовому сотруднику от 5 000 до 10 000 рублей, руководителю — от 40 000 до 50 000 рублей, компаниям — от 100 000 до 200 000 рублей. Руководителю могут запретить занимать руководящие должности на срок до трех лет.
Новые нарушения и штрафы в области персональных данных
Закон 420-ФЗ ввел новые нарушения и штрафы в области персональных данных.
За неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных штраф для граждан составит от 5 000 до 10 000 рублей, для должностных лиц — от 30 000 до 50 000 рублей, для юридических лиц — от 100 000 до 300 000 рублей. Если неуведомление повлекло нарушение прав субъектов, суммы выше.
Штрафы за утечку персональных данных зависят от количества субъектов и идентификаторов1:
| Количество субъектов ПД | Количество идентификаторов ПД | Штраф на юридических лиц, в рублях |
|---|---|---|
| 1 000 — 10 000 | 10 000 — 100 000 | от 3 млн до 5 млн |
| 10 000 — 100 000 | 100 000 — 1000 000 | от 5 млн до 10 млн |
| Более 100 000 | Более 1000 000 | от 10 млн до 15 млн |
При повторных утечках установлены оборотные штрафы в размере от 1 до 3 процентов совокупной выручки за предыдущий календарный год, но не менее 20 млн рублей и не более 500 млн рублей. Для кредитных организаций размер штрафа определяет процент от собственных средств.
Уголовная ответственность за утечку персональных данных
В Уголовном Кодексе РФ с декабря 2024 года начала действовать статья 272.1. Она предусматривает уголовное наказание за незаконное использование, передачу, сбор и хранение компьютерной информации, содержащей личные данные граждан, а также за создание и поддержку интернет-ресурсов, предназначенных для хранения и распространения такой информации.
Общая тенденция на усиление ответственности в области защиты персональных данных в 2025 году сохраняется.
Попробуйте сервис Контур.КЭДО бесплатно. Посмотрите, как все работает и отправьте первые кадровые документы онлайн.
1 Под идентификатором понимается уникальное обозначение сведений о физическом лице, содержащееся в информационной системе персональных данных оператора и относящееся к такому лицу.