2025 год принёс серьёзные изменения в регулирование защиты и обработки персональных данных. Если раньше ФЗ-152 казался чем-то далёким, и соответствие было редко проверяемым — теперь требования ужесточаются, штрафы растут, контроль становится особенно пристальным.
Давайте вместе разберёмся, кто уже находится под прицелом и что делать, чтобы не попасть впросак.
Все организации, ИП и физлица, которые хоть в какой-то мере собирают, хранят или обрабатывают данные клиентов или представителей компаний — даже минимально.
Сотрудники с доступом к данным — тех, кто работает «на заднем плане», но имеет контакт с личной информацией.
Сервисы (государственные, образовательные, медицинские, коммерческие), где пользователь оставляет анкеты, регистрируется, где используются куки, метрики и аналитика.
Владельцы сайтов, даже без форм обратной связи — если на сайте стоят аналитические инструменты (Google Analytics, Яндекс.Метрика и др.) или шрифты/объекты, загружаемые с внешних серверов — поздравляю, вы в игре.
Бэкап баз 1с происходит на гугл диск - снова поздравления! Трансграничные!ПНПД (т.н. самозанятый) выдает чеки, но не уведомил Роскомнадзор? Да-да.На сайте используются гугл фонтс? В яблочко!Перекинули в телеге скрин паспорта? Ну, сами понимаете.А знаете, кому не надо? Скажем, вот ИП, сотрудников у него нет. Корова есть у него, и понятное дело — молоко. Приезжает во двор с бочкой, люди с бидонами подходят. Распродался, поехал домой. Вот ему — не надо. Но стоит ему хотя бы раз подписаться на доставку и взять у одного клиента телефонный номер и адрес... Та-дамм!!!
Помним: Если в адресной книге бизнеса хранится хотя бы один телефон или имейл клиента рядом с именем — вы уже в зоне контроля. А поскольку без этого вести дела невозможно, то вывод следует сделать однозначный:
Кому надо? Всем надо!
Многие думают, что проверки касаются лишь «больших организаций». Но с 2025 года косвенные признаки обработки данных становятся достаточным основанием для внеплановой проверки. Даже если уведомление в Роскомнадзор не подано — факт обработки уже делает вас оператором данных.
Нарушение норм по работе с ПДн теперь наказывается жёстче:
Неуведомление РКН до начала обработки — до 300 000 руб.
Отсутствие публичной политики обработки данных — штраф около 20 000 руб.
Цели обработки указаны одни, а реализуются другие — до 100 000 руб. за первое нарушение, до 500 000 руб. — при повторении. (рассылки!)
Обработка без согласия (когда оно требуется) — до 300 000 руб.; при повторе — до 1,4 млн руб.
Утечка персональных данных — от миллионов в зависимости от числа затронутых лиц.
Повторные утечки — оборотный штраф: 1–3 % от годовой выручки (но не менее 20 млн руб.).
Передача данных за рубеж без уведомления или без разрешения — до 6 млн руб. (первое нарушение); при повторении — до 18 млн руб.
В ст 13.11 КоАП мы можем детально ознакомиться с возможными нарушениями и санкциями за них.
В 2025 не обращать внимание на 152-ФЗ "О персональных данных" стало гораздо больнее, штрафы выросли, сотни тысяч и миллионы (это уже в основном за утечки).
Помним: штраф — не просто цифра или про средства. Это удар по репутации, потеря доверия, судебные иски, удалённые проверки, внеплановые визиты контролирующих органов.
Проведите внутренний аудит
Проверьте, где и как хранятся данные, кто к ним имеет доступ, какие технологии используются (облачные сервисы, синхронизация и т.п.).
Закройте внутренние уязвимости
Напишите политики обработки, формы согласий, разграничьте права доступа, внедрите шифрование и многофакторную аутентификацию.
Уведомьте Роскомнадзор
Сделайте это после того, как «внутренний дом» приведён в порядок. Не делайте наоборот — иначе будете уведомлять и хвалиться уязвимостями.
Подготовьтесь к проверкам
Заранее имейте всё готовое: документацию, отчёты, журналы, схемы, планы реагирования. Это не просто хорошо организованная защита ПДн — это ваш щит перед проверяющими.
Проверка на регулярной основе
Соответствие нормам — не разово. Плановые проверки, ревизии — минимум раз в три года, а лучше чаще.
Помним: любая ожидаемая проверка помогает прежде всего проверяемому. Так обеспечивается и поддерживается готовность.
Контролирующие органы получают мощные инструменты для мониторинга, у них растут полномочия.
Сигналом к началу полномасштабной проверки может стать даже косвенный признак обработки данных.
Ваша заинтересованность проявляется для надзора через готовность реагировать, исправлять и показывать внутреннюю дисциплину.
Активная защита ИТ и соблюдение правил обработки ПДн — это конкурентное преимущество: меньше рисков, выше доверие клиентов.
2025 год принёс много изменений: мы видим, что игнорировать правила работы с персональными данными стало опаснее, но управляемость процессами может улучшиться, и это сыграет бизнесу на руку.
Если вы уже в сфере обработки данных — не ждите, когда к вам придут. Возьмите инициативу:
проведите аудит,
внедрите защиту,
уведомьте РКН,
поддерживайте готовность к проверкам.
Как нам всем давно известно, "мы не знали" - не помогает. Мы можем вместе проанализировать вашу ситуацию, оценить риски и помочь привести всё в соответствие — без штрафов и потерь.
требованиям 104-ФЗ, принесшему изменения в КоАП РФ и (Статья 13.12 и др.) др.,
требованиям 152-ФЗ «О персональных данных»
требованиям 63-ФЗ «Об электронной подписи»
Приглашаем вас оставить заявку на нашем сайте administrators.ru, или связаться с нами удобным образом - звоните на +7-98-98-11-13-98 (тап), пишите на get1@administrators.ru, а ещё можно сделать заказ на бирже kwork
Помните, что проверка соответствия предусмотренным нормам безопасности должна осуществляться не реже одного раза в три года.
P.S. следите за нашими анонсами в нашем телеграм канале @RuAdminGuild
13.11 КоАП ссылка на статью 13.11 в к+
ссылка на Банк данных угроз безопасности информации. ФСТЭК России
==