Миллионные штрафы с 30 мая: какие документы срочно перепроверить

Чек-лист документы по персональным данным, пока не заработали новые штрафы

Воспользуйтесь чек-листом и убедитесь, что ваши документы по персональным данным содержат нужную информацию. В мае заработают новые требования, и теперь за нарушение правил обработки персданных можно получить миллионный штраф. Посмотрите, что исправить в документах уже сейчас и какие новые обязанности нужно исполнять работодателям с мая.

Положение об обработке персональных данных

С 30 мая 2025 года вырастут штрафы за обработку персональных данных без законных оснований или в целях, которые не соответствуют их сбору (Федеральный закон от 30.11.2024 № 420-ФЗ). Законодатели увеличили почти все штрафы в несколько раз. Скачивайте таблицу с новыми штрафами для малых компаний и должностных лиц. Штрафы для крупных компаний будут еще выше

Закрепите в положении о работе с персданными, какие сведения обрабатываете. Укажите цели, способы и сроки обработки (п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ). Не включайте в положение об обработке персданных нормы, которые ограничивают права работников. Например, нельзя установить в положении обязанность работника предоставлять сведения о его частной жизни или политических и религиозных убеждениях. 

С 30 мая 2025 года Роскомнадзор будет штрафовать 99 % компаний, ИП и даже физлиц!

Ваша компания, ИП или даже физлицо нанимает сотрудников, хранит контакты клиентов, собирает данные через сайт или соцсети? Значит, вы — оператор персональных данных и обязаны уведомить Роскомнадзор до 30 мая 2025 года. Пропустите срок — и штраф 300 000 руб. для компании + 50 000 руб. для руководителя. Не указали в уведомлении все цели обработки – штраф!

Без уведомления — работа с данными незаконна, а с 30 мая Роскомнадзор начнёт массовые проверки.

Как избежать штрафов?

Главбух Ассистент возьмёт всю работу с персональным данными на себя:

✅ Подадим уведомление в Роскомнадзор — правильно заполним и отправим.

✅ Подготовим все документы: согласия, регламенты, политику обработки.

✅ Проверим ваш сайт на соответствие 152-ФЗ.

✅ Обучим сотрудников и поможем с защитой данных.

Всё уже включено в тариф «Бухгалтерия + Кадры» — никаких доплат! Оставьте заявку — подготовим индивидуальное коммерческое предложение для вашей компании.

Согласие на обработку персональных данных

По закону обрабатывать персональные данные физлиц можно только с их согласия (п. 1 ч. 1 ст. 6 Закона № 152-ФЗ).

Согласие не нужно. Если речь идет о сотрудниках, для обработки их персональных данных достаточно заключить трудовой договор. В таком случае вы получаете и храните сведения на основании Трудового кодекса, бухгалтерского, налогового и социального законодательства, поэтому брать согласие не нужно (п. 5 ч. 1 ст. 6 Закона № 152-ФЗ).

Без согласия работника можно передавать персональные данные в различные ведомства, если обязаны это делать по закону (подп. 2 ч. 1 ст. 6 Закона № 152-ФЗ). Например, согласие не нужно для передачи отчетных сведений в налоговую инспекцию, СФР или военный комиссариат. Если же бухгалтерию в компании ведет сторонняя организация, от всех работников нужны согласия на обработку и отдельные согласия на распространение данных (ч. 1 ст. 10.1 Закона № 152-ФЗ). Также потребуется согласие на обработку персданных, если нужно разместить сведения о сотруднике на корпоративном портале.

Сведения о работнике берите из его документов. Сведения о состоянии здоровья, наличии судимости и семейном положении запрашивайте у работников, только если обязаны это делать по закону. С 30 мая малую компанию оштрафуют минимум на 75 тыс. руб., если соберете лишние данные о работнике (ч. 1 ст. 13.11 КоАП).

Нормами действующего законодательства правила ведения личного дела работника не установлены. При приеме сотрудников на работу бухгалтеры часто делают копии личных документов и хранят эти копии в личном деле. Некоторые специалисты в Роструде полагают, что хранить в личном деле копии документов можно с письменного согласия сотрудника (см. ответ на вопрос от 27.03.2025 № 219163 на онлайнинспекция.рф). Без письменного согласия копии документов нужно вернуть или уничтожить.

Но есть и другое мнение, в соответствии с которым даже при наличии согласия опасно хранить копии паспорта, СНИЛС, военного билета и т. д. Если контролеры обнаружат копии документов в личном деле сотрудника, сочтут, что компания обрабатывает избыточные сведения (комментарий). Документы, которые содержат специальные категории персональных данных, например информацию о национальности, можно обрабатывать только в исключительных случаях с согласия физлица (ст. 10 Закона № 152-ФЗ).

Можно ли хранить копии личных документов в деле работника

Порядок хранения и использования персональных данных работников устанавливается работодателем в локальном нормативном акте. При этом следует различать понятия «сведения, содержащие персональные данные», которые могут храниться в бумажном или электронном виде, например в личной карточке или в кадровых и бухгалтерских программах, и «копии документов, содержащие такие сведения», требования хранения которых законом не установлены.

Не рекомендуется хранить в личных делах работников копии документов, содержащих персональные данные, — копии паспорта, СНИЛС, ИНН, документов об образовании. Это может быть расценено как хранение персональных данных, избыточных по отношению к заявленным целям. Для хранения персональных данных, связанных с воинской обязанностью, законом установлен отдельный порядок. В любом случае хранение и обработка персональных данных должны соответствовать целям их обработки.

Все персональные данные получайте только у работника. Перепишите сведения из документов в личную карточку № Т-2 или внесите в программу, которой пользуетесь для ведения бухгалтерского и налогового учета.

Проверьте действующие согласия. Сейчас вы берете согласия на обработку персданных в той форме, которую разработали сами. Например, некоторые компании включают согласие на обработку персданных в трудовой договор. Но в ближайшее время оформлять согласия нужно будет отдельно от иной информации или документов (законопроект № 679980-8 на sozd.duma.gov.ru).

Изменения по форме согласия в статье 9 Закона № 152-ФЗ должны были вступить в силу 1 марта, но пока законопроект прошел только первое чтение. Чтобы потом не переделывать бумаги, рекомендуем сейчас перейти на отдельный документ.

Уведомление о начале обработки персональных данных

Работодатель должен сообщить в Роскомнадзор о том, что является оператором персональных данных, даже если работает только с данными сотрудников (ч. 2 ст. 22 Закона № 152-ФЗ). Такая обязанность была и раньше, но теперь за ее неисполнение ввели отдельный штраф — до 150 тыс. руб. для малых компаний (ч. 10 ст. 13.11 КоАП).

Проверьте наличие компании в реестре операторов персданных. С главной страницы сайта Роскомнадзора зайдите на портал персональных данных (pd.rkn.gov.ru). Затем перейдите в реестр операторов и воспользуйтесь поиском. Сервис покажет дату регистрации уведомления (скриншот). Нажмите на наименование компании и посмотрите подробные сведения — цели обработки, правовое основание и т. д. Все в порядке, если компания есть в реестре и сведения о ней верны. Далее смотрите, что делать, если данные изменились или сервис не нашел компанию.

Скорректируйте неверные сведения о компании в реестре операторов персданных. Направьте в Роскомнадзор уведомление (приложение № 2 к приказу Роскомнадзора от 28.10.2022 № 180). Вы обязаны сообщить об изменениях не позднее 15-го числа месяца, следующего за месяцем, в котором такие изменения возникли (п. 7 ст. 22 Закона № 152-ФЗ). Поэтому не затягивайте с документом. Подать его можно на бумаге, в электронном виде с использованием УКЭП или средств аутентификации ЕСИА.

Направьте уведомление об обработке персональных данных. Это нужно сделать, если сервис не нашел компанию в реестре операторов. Заполните и отправьте бумажный вариант (приложение № 1 к приказу Роскомнадзора № 180). Также вы можете направить уведомление в электронном виде через сайт pd.rkn.gov.ru. По закону уведомлять Роскомнадзор нужно еще до начала обработки персональных данных (п. 1 ст. 22 Закона № 152-ФЗ). Поэтому, если раньше вы этого не сделали, направьте документ в ведомство как можно скорее. В уведомлении укажите дату начала обработки персональных данных, цель обработки и другие обязательные сведения.

Семь ошибок при заполнении уведомления об обработке персональных данных

Заполнять уведомление рекомендуется на сайте Роскомнадзора https://pd.rkn.gov.ru/operators-registry/notification/form/. Это поможет не пропустить какие-нибудь поля. При заполнении уведомления об обработке персональных данных обратите внимание на следующие моменты. Управление Роскомнадзора по Брянской области назвало семь самых распространенных ошибок:

— документ оформлен не на бланке организации;

— в поле «Наименование (фамилия, имя, отчество), адрес оператора» не указывается или не полно указывается адрес оператора. Наименование организации в уведомлении не соответствует указанному на бланке и (или) печати, сведениям в ЕГРЮЛ;

— в поле «Категории персональных данных» указываются персональные данные конкретных физических лиц – работников, клиентов, абонентов и т.д., используются фразы «и др.», «и т.п.», «другая информация», «анкетные данные»;

— в поле «Категории субъектов, персональные данные которых обрабатываются» указываются не все категории субъектов персональных данных, применяются фразы «и др.», «и т.п.», «другая информация», упоминаются сторонние юридические лица;

— в поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» копируется текст, приведенный в примерах для заполнения;

— уведомление подписано неуполномоченным лицом;

— не указан исполнитель, контактная информация исполнителя.

Если нет времени разбираться в законодательстве и в оформлении документов на обработку персональных данных, передайте эту работу на аутсорсинг в Главбух Ассистент. Эксперты подготовят для вашей компании политику оператора по обработке персональных данных, другие положения, необходимые приказы, бланки согласий, так чтобы не было претензий от Роскомнадзора. Стоимость обслуживания в Главбух Ассистент — от 27 480 рублей. За эти деньги вы получите не только персональные решения по сбору, обработке и хранению персональных данных, но и полноценное ведение бухгалтерского, кадрового учета и налогов. Закажите бесплатный звонок, и мы расскажем, что конкретно входит в каждый пакет услуг.

Положение о защите персональных данных

С 30 мая 2025 года начнут действовать отдельные штрафы за действия или бездействие компании, которые повлекли доступ к персональным данным посторонних лиц без законных оснований, то есть за утечку сведений. Размеры штрафов будут зависеть от объема утечки. Например, если малая компания впервые допустила утечку персональных данных от 1000 до 10 000 субъектов, ей грозит штраф от 1,5 млн до 2,5 млн руб., а директору — от 200 тыс. до 400 тыс. руб. Все новые штрафы смотрите в табл. 2 на с. 100. Чтобы определить сумму штрафов, проверяющие посчитают, сколько субъектов утратили сведения или какое количество идентификаторов неправомерно передали. Идентификатор — уникальное обозначение сведений о физлице, содержащееся в информационной системе персданных оператора и относящееся к такому лицу (п. 4 примечания к ст. 13.11 КоАП).

Включите в положение меры по защите персональных данных. Выбор мер защиты зависит от того, каким способом компания обрабатывает персональные данные — вручную или через компьютерные программы. Например, укажите, что назначили ответственных за защиту персональных данных, установили антивирусные программы и т. д. 

Обеспечьте условия для хранения персональных данных. Физические носители с персональными данными храните в сейфах и отдельных закрываемых помещениях.

Совместно с IT-специалистами разработайте систему хранения и доступа уполномоченных специалистов к электронным персональным данным.

Утвердите перечень уполномоченных лиц, которые по долгу службы обрабатывают личные сведения сотрудников и имеют доступ к документам, в отдельном приказе или в положении о защите персональных данных. Назначьте ответственного сотрудника за защиту персональных данных. Этот сотрудник должен напрямую подчиняться руководителю компании (ч. 2 ст. 22.1 Закона № 152-ФЗ).