Проблема утечек персональных данных не теряет своей актуальности, более того, в последние годы утечек становится все больше. Персональные данные лежат в основе современного маркетинга, они являются ценной информацией для бизнеса, которая помогает лучше узнать своих потенциальных клиентов, прогнозировать их поведение и персонализировать коммерческие предложения. Методы агрессивного маркетинга допускают использование незаконно приобретённых баз персональных данных для навязывания рекламы товаров и услуг. Самая большая угроза - это различные мошеннические схемы, целью которых является уже не навязывание рекламы, а банальное воровство финансовых средств или ценной чувствительной информации.Соблюдение закона о защите персональных данных — это не просто формальность, а необходимое условие для успешного ведения бизнеса. Это помогает защитить интересы как предпринимателей и компаний, так и их клиентов, обеспечивая стабильную работу и развитие. Доверие клиентов напрямую зависит от того, как компания обращается с их персональными данными. Нарушение конфиденциальности может привести к плачевным последствиям.

Актуализация сферы персональных данных

За последние годы неоднократно корректировалось законодательство и принимались меры по ужесточению ответственности за нарушения при обработке персональных данных. Основные и самые значимые нововведения вступили в силу в 2025 году. Так с 30 мая 2025 года значительно были повышены штрафы за нарушения в области обработки персональных данных. Одним из важнейших изменений стало то, что ИП в некоторых правонарушениях, стали нести такую же ответственность, как и юрлица. Также впервые была введена ответственность уголовного характера. Был расширен перечень нарушений, за которые оператор привлекается к административной ответственности.

Требования к локализации собираемых персональных данных также были пересмотрены. Теперь хранить полученные данные операторы обязаны на территории России, то есть не используя иностранные серверы, программное обеспечение или другие программные возможности, например, «облачные» хранилища или CRM.
С 1 сентября 2025 года вступили в силу новые важные поправки, касающиеся,
в частности, подхода к оформлению согласия на обработку персональных данных.

В настоящем цикле статей обозначим основные моменты, на которых следует заострить внимание индивидуальным предпринимателям, учредителям ООО, самозанятым и физлицам и соберем в одном месте информацию о штрафных санкциях, разобравшись в которых будет легче продумать стратегию действий для грамотного построения информационных систем персональных данных с целью соответствия законодательству и сохранности необходимого уровня конфиденциальности.

Определение оператора персональных данных напрямую закреплено в Федеральном законе №152 – ФЗ «О персональных данных».

Таким образом, получается, что даже будучи в статусе самозанятого, необходимо проанализировать свою деятельность и определить необходимость соблюдения норм вышеуказанного закона. По факту, если вы получаете персональные данные ваших клиентов, или контрагентов, вы уже являетесь оператором. Вы обрабатываете персональные данные клиентов для заключения договоров, вам необходимы персональные данные соискателей при поиске новых сотрудников и персональные данные работников, которые уже трудятся в вашей компании. Если у вас есть сайт, это еще одна сфера, связанная со сбором и обработкой персональных данных. Потенциальные клиенты оставляют их в формах для получения обратного звонка
в случае проявления интереса к оказываемым вами услугам, обезличенные данные собираются для формирования статистической базы при подключении метрик
с помощью cookie – файлов.

Получается, что лишь немногие виды деятельности не подразумевают наличие обработки персональных данных, всем остальным следует внимательно отнестись к данному разделу законодательства, чтобы избежать непредвиденных расходов и проблем с репутацией.

Допустим, мы точно определились, являемся ли мы оператором персональных данных. Следующим важным шагом будет решение о необходимости подачи уведомления
в Роскомнадзор о намерении осуществлять обработку персональных данных. Уведомление в Роскомнадзор о намерении осуществлять обработку персональных данных - это документ, который обязаны подавать операторы до начала обработки персональных данных:

В соответствии с ч. 2 ст. 22 исключениями являются случаи, когда:

• обрабатываются данные, включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства
• и общественного порядка;
• оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;
• данные обрабатываются в целях, предусмотренных законодательством РФ
• о транспортной безопасности, для обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Как можно понять из приведенных тезисов к первой и третьей группе маловероятно будут относиться данные, обрабатываемые в процессе общепринятой коммерческой деятельности, к которой будут причастны ИП, ООО или самозанятые, а что касается обработки исключительно без средств автоматизации, то тут возникает скользкий момент. Что можно считать обработкой без использования средств автоматизации? На помощь в данном случае приходит Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». В нем сказано:

а также:

Следовательно, если персональные данные хранятся на жестком диске компьютера, вносятся, корректируются и удаляются вручную, к примеру, с использованием текстовых редакторов, это не является обработкой с использованием средств автоматизации, т.к. процесс происходит с непосредственным участием человека. И такая обработка не может быть признана осуществляемой с использованием средств автоматизации только на основании того, что данные содержатся в цифровом виде. Обоснованно можно предположить, что в таком случае подавать уведомление для регистрации в реестре операторов нет необходимости. Но, незаметно для самого оператора может наступить момент, когда обработка персональных данных естественно и непринужденно перейдет в статус автоматизированной. А именно, имеющиеся в цифровом виде данные будут подвергнуты систематизации или корректировке с помощью одной из CRM систем, которую предприниматель решит использовать для оптимизации взаимодействия
с клиентами, данные будут автоматически заполняться в договоры, в случае начала использования одного из сервисов онлайн-бухгалтерии, либо оператор решит загрузить адреса электронной почты клиентов в один из сервисов e-mail рассылки.

Необходимо скурпулезно подходить к оценке своей деятельности с точки зрения обработки персональных данных. Планировать и прогнозировать все варианты и исходя, из принятых решений и намеченной модели деятельности выстраивать работу
с надзорными ведомствами и разрабатывать необходимую документацию.

Еще один довод в пользу того, что лучше перестраховаться и все же подать уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор заключается в том, что если со временем становится понятно, что данные обрабатываются все же без использования средств автоматизации, то всегда есть возможность просто подать еще одно уведомление о прекращении обработки персональных данных для исключения из реестра.

Важным аспектом является то, что уведомление в Роскомнадзор подается до начала обработки персональных данных или с момента внесения изменений. Таким образом, перед подачей уведомления необходимо провести аудит своей деятельности, точно определить какие категории персональных данных будут собираться, какие виды обработки будут применяться и с какими целями. Четко сформулировать правовые основания сбора персональных данных, при этом учесть, что с точки зрения самого Роскомнадзора Федеральный закон №152-ФЗ «О персональных данных» не является правовым основанием, он в целом регламентирует все процессы в данной сфере.

При заполнении уведомления в Роскомнадзор о намерении осуществлять обработку персональных данных важно правильно указать дату начала обработки. Указывается реальная дата начала обработки персональных данных, либо, как чаще всего бывает, дата регистрации организации (дата присвоения ОГРН). Важно указывать реальную дату, даже если организация работает давно, а уведомление подается только сейчас.

Государством был обозначен срок, до которого было необходимо подать уведомления всем уже действующим операторам персональных данных - 30 мая 2025 года. В случае, если организация действует давно, а уведомление до сих пор не подано следует незамедлительно исправить эту ситуацию. Целью Роскомнадзора является не массовый сбор многотысячных штрафов, а постепенный вывод из тени операторов персональных данных. Поэтому надзорные органы идут навстречу тем, кто добровольно стремится устранить нарушение. Тем более, в связи с ажиотажным потоком подачи уведомлений, сайт Роскомнадзора просто не справлялся с такой нагрузкой и до сих пор встречаются случаи, когда поданные полгода назад уведомления находятся в статусе обработки. Согласно ч. 10 ст. 13.11 КоАП РФ установлены следующие штрафы за Невыполнение или несвоевременное выполнение оператором обязанности уведомлять Роскомнадзор
о намерении осуществлять обработку персональных данных:

• для граждан — в размере от 5000 до 10 000 руб.;
• для должностных лиц государственного или муниципального органа либо НКО — от 30 000 до 50 000 руб.;
• для организаций, которые не являются государственным или муниципальным органом или НКО, и ИП — от 100 000 до 300 000 руб.

Фокусируем внимание на том, что в вышеуказанной ч. 10 ст. 13.11 КоАП РФ индивидуальные предприниматели несут административную ответственность как юридические лица. Под должностным лицом понимается должностное лицо государственного или муниципального органа либо некоммерческой организации. А под юридическим лицом понимается оператор - юридическое лицо, не являющееся государственным или муниципальным органом либо некоммерческой организацией.

Несмотря на огромный штраф за несвоевременную подачу уведомления существует норма закона, которая может быть применена при добровольном стремлении устранить правонарушение. За первое нарушение организация может получить предупреждение по ч. 1 ст.4.11 КоАП. При этом ответственность по ч. 10 ст. 13.11 КоАП наступит, если игнорировать подачу уведомления длительный срок.

Гораздо хуже будут обстоять дела, если при проверке Роскомнадзор самостоятельно выявит факт невыполнения оператором обязанности об уведомлении о намерении осуществлять обработку персональных данных. Если же при не поданном уведомлении произойдет неправомерная или случайная передача персональных данных, повлекшая нарушение прав субъектов таких данных, то штраф для ИП может достигать невероятных значений - до 3 млн. руб.

Проверить факт внесения в реестр операторов персональных данных, можно заполнив свой ИНН в соответствующую форму на сайте Роскомнадзора. Если поиск не дал результатов, значит, оператор в реестре не числится и необходимо как можно скорее это исправить. Если оператор в списке присутствует, но сведения не актуальны, необходимо подать уведомление о внесении изменений и откорректировать данные.

Персональные данные, это важно. Не стоит пренебрегать этим аспектом при ведении бизнеса, последствия халатного отношения могут возникнуть неожиданно и быть довольно ощутимыми. Настройка процесса обработки и защиты персональных данных, это такой же элемент деловой активности, как и забота о правильности и своевременности ведения бухгалтерского и налогового учета.

Следует заблаговременно выстроить модель деятельности организации и на ее основании начинать выстраивать алгоритмы работы с персональными данными.

Подать уведомление в Роскомнадзор о намерении осуществлять обработку персональных данных необходимо своевременно. Но даже, если это не было сделано от лица уже действующей организации, еще есть шанс выстроить конструктивное взаимодействие с надзорными органами и выйти из тени.