Рубрики:
Миллионные штрафы за персональные данные действуют с 30 мая 2025 года, и в 2026 году за нарушение правил обработки персональных данных компании рискуют получить санкции до 15 млн рублей, а при повторных нарушениях — штраф до 3% выручки, но не менее 20–25 млн рублей.
В 2026 году тема персональных данных стала для бизнеса еще более чувствительной из‑за усиления контроля: отраслевые источники и публикации о правоприменительной практике сообщают о массовизации проверок сайтов и более детальной сверке фактической обработки данных с уведомлениями и локальными документами. При этом Роскомнадзор отдельно предупредил о мошеннической рассылке писем о якобы проведенном «автоматическом анализе» сайтов: такие письма не являются официальными проверками ведомства, а указанный формат рассылки сам регулятор назвал фейком.
Посмотрите, какие документы по персональным данным проверить прямо сейчас и какие обязанности выполняют работодатели в 2026 году, когда Роскомнадзор усилил внимание к операторам персональных данных, а ошибки выявляют не только в содержании документов, но и в фактической настройке сайта, форм и аналитических сервисов
Содержание
С 30 мая 2025 года действуют повышенные штрафы за обработку персональных данных без законных оснований или в целях, не соответствующих их сбору, — такие изменения внес Федеральный закон от 30.11.2024 № 420‑ФЗ. Базовые штрафы для организаций по части 1 статьи 13.11 КоАП РФ составляют 300–500 тыс. руб., а отдельные составы по утечкам персональных данных предусматривают для компаний санкции до 15 млн руб. в зависимости от масштаба нарушения.
Закрепите в положении о работе с персданными, какие сведения обрабатываете. Укажите цели, способы, правовые основания и сроки обработки персональных данных, а также порядок их уничтожения или обезличивания. Такое требование прямо вытекает из статьи 18.1 Закона № 152‑ФЗ. Не включайте в положение об обработке персональных данных нормы, которые ограничивают права работников. Например, нельзя устанавливать обязанность работника предоставлять сведения о частной жизни, политических и религиозных убеждениях, если такая обязанность не предусмотрена законом.
В 2026 году имеет смысл отдельно выделить в положении порядок работы с биометрическими персональными данными, если компания использует системы контроля доступа, видеонаблюдение, фото сотрудников на сайте, сервисы распознавания лиц или иные инструменты, позволяющие идентифицировать человека по биометрическим признакам. Также в положении полезно прямо прописать, используются ли на сайте формы обратной связи, онлайн‑чаты, CRM‑системы, коллтрекинг, Яндекс.Метрика, Google Analytics и иные сервисы, через которые фактически собираются персональные данные пользователей. Это важно не только для юридической чистоты документа: по сообщениям о новой практике контроля проверяющие сверяют текст уведомления, политику обработки, согласия и фактические сценарии сбора данных на сайте, а несоответствие между документами и реальной обработкой повышает риск предписания.
Практический вывод: если в положении указано, что компания работает только с данными работников, но на сайте есть форма заявки, подписка, онлайн‑чат, аналитика или пиксели рекламных систем, документ нужно срочно корректировать под фактическую модель обработки.
Ваша компания, ИП или даже физлицо нанимает сотрудников, хранит контакты клиентов, собирает данные через сайт или соцсети? Значит, вы — оператор персональных данных и обязаны уведомить Роскомнадзор. Не уведомите — поучите штраф 300 000 руб. для компании + 50 000 руб. для руководителя. Не указали в уведомлении все цели обработки, тоже будет штраф!
Без уведомления работа с данными незаконна, Роскомнадзор проводит массовые проверки, особенно в 2026 году.
Как избежать штрафов?
Главбух Ассистент возьмет всю работу с персональным данными на себя:
✅ Подадим уведомление в Роскомнадзор — правильно заполним и отправим.
✅ Подготовим все документы: согласия, регламенты, политику обработки.
✅ Проверим ваш сайт на соответствие 152-ФЗ.
Все уже включено в тариф — никаких доплат!
По закону обрабатывать персональные данные физлиц можно не только с их согласия, но и при наличии иных законных оснований, перечисленных в части 1 статьи 6 Закона № 152‑ФЗ. Поэтому утверждение, что согласие требуется всегда, некорректно.
Согласие не нужно, если речь идет о сотрудниках и обработка их персональных данных необходима для исполнения трудового договора, ведения кадрового учета, расчета зарплаты, уплаты налогов и сдачи обязательной отчетности.
Без согласия работника можно передавать персональные данные в различные ведомства, если обязаны делать это по закону. Например, согласие не требуется для передачи сведений в налоговую инспекцию, СФР или военный комиссариат. Но если компания передает персональные данные работников или клиентов внешнему бухгалтерскому, кадровому, IT‑ или маркетинговому подрядчику, нужно проверить правовое основание такой передачи, договорные формулировки и, при необходимости, оформить отдельные согласия либо договор поручения на обработку персональных данных.
Проверьте действующие согласия: с 1 сентября 2025 года согласие на обработку персональных данных должно оформляться как отдельный самостоятельный документ, а не включаться в текст другого договора или заявления.
Сведения о работнике берите из его документов. Сведения о состоянии здоровья, наличии судимости и семейном положении запрашивайте только если обязаны это делать по закону. Даже при наличии согласия хранение копий паспорта, СНИЛС, ИНН, военного билета и иных личных документов остается рискованным из‑за принципа минимизации персональных данных: контролеры могут расценить такие копии как избыточные сведения по отношению к целям обработки.
Можно ли хранить копии личных документов в деле работника
Порядок хранения и использования персональных данных работников устанавливается работодателем в локальном нормативном акте. При этом важно различать сведения, содержащие персональные данные, и копии документов, содержащих такие сведения. Безопаснее не хранить в личных делах копии паспорта, СНИЛС, ИНН и документов об образовании, если для этого нет отдельной нормативной обязанности и четко подтвержденной цели обработки.</mark>
Все персональные данные получайте только у работника. Перепишите сведения из документов в личную карточку или внесите в учетную программу.
Для сайтов и онлайн‑форм в 2026 году особую роль играет не только наличие согласия, но и способ его получения: предварительно отмеченные чекбоксы, размытые формулировки, объединение нескольких согласий в один блок и отсутствие отдельной ссылки на политику обработки повышают риск претензий.
Практический вывод: проверьте все формы на сайте, формы отклика на вакансии, подписки на рассылку, заявки на обратный звонок и онлайн‑чаты — пользователь должен совершать активное действие для выражения согласия, а текст согласия должен быть конкретным и предметным.
Работодатель должен сообщить в Роскомнадзор о том, что является оператором персональных данных, даже если работает только с данными сотрудников (ч. 2 ст. 22 Закона № 152-ФЗ). Такая обязанность была и раньше, но теперь за ее неисполнение ввели отдельный штраф — до 150 тыс. руб. для малых компаний (ч. 10 ст. 13.11 КоАП).
Проверьте наличие компании в реестре операторов персданных. С главной страницы сайта Роскомнадзора зайдите на портал персональных данных (pd.rkn.gov.ru). Затем перейдите в реестр операторов и воспользуйтесь поиском. Сервис покажет дату регистрации уведомления (скриншот). Нажмите на наименование компании и посмотрите подробные сведения — цели обработки, правовое основание и т. д. Все в порядке, если компания есть в реестре и сведения о ней верны. Далее смотрите, что делать, если данные изменились или сервис не нашел компанию.
Скорректируйте неверные сведения о компании в реестре операторов персданных. Направьте в Роскомнадзор уведомление (приложение № 2 к приказу Роскомнадзора от 28.10.2022 № 180). Вы обязаны сообщить об изменениях не позднее 15-го числа месяца, следующего за месяцем, в котором такие изменения возникли (п. 7 ст. 22 Закона № 152-ФЗ). Поэтому не затягивайте с документом. Подать его можно на бумаге, в электронном виде с использованием УКЭП или средств аутентификации ЕСИА.
Направьте уведомление об обработке персональных данных. Это нужно сделать, если сервис не нашел компанию в реестре операторов. Заполните и отправьте бумажный вариант (приложение № 1 к приказу Роскомнадзора № 180). Также вы можете направить уведомление в электронном виде через сайт pd.rkn.gov.ru. По закону уведомлять Роскомнадзор нужно еще до начала обработки персональных данных (п. 1 ст. 22 Закона № 152-ФЗ). Поэтому, если раньше вы этого не сделали, направьте документ в ведомство как можно скорее. В уведомлении укажите дату начала обработки персональных данных, цель обработки и другие обязательные сведения.
Семь ошибок при заполнении уведомления об обработке персональных данных
Заполнять уведомление рекомендуется на сайте Роскомнадзора https://pd.rkn.gov.ru/operators-registry/notification/form/. Это поможет не пропустить какие-нибудь поля. При заполнении уведомления об обработке персональных данных обратите внимание на следующие моменты. Управление Роскомнадзора по Брянской области назвало семь самых распространенных ошибок:
— документ оформлен не на бланке организации;
— в поле «Наименование (фамилия, имя, отчество), адрес оператора» не указывается или не полно указывается адрес оператора. Наименование организации в уведомлении не соответствует указанному на бланке и (или) печати, сведениям в ЕГРЮЛ;
— в поле «Категории персональных данных» указываются персональные данные конкретных физических лиц – работников, клиентов, абонентов и т.д., используются фразы «и др.», «и т.п.», «другая информация», «анкетные данные»;
— в поле «Категории субъектов, персональные данные которых обрабатываются» указываются не все категории субъектов персональных данных, применяются фразы «и др.», «и т.п.», «другая информация», упоминаются сторонние юридические лица;
— в поле «Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных» копируется текст, приведенный в примерах для заполнения;
— уведомление подписано неуполномоченным лицом;
— не указан исполнитель, контактная информация исполнителя.
В 2026 году к этому списку фактически добавился еще один риск: уведомление выглядит формально корректным, но не совпадает с тем, как компания реально собирает данные через сайт, аналитику, CRM или подрядчиков.
Если нет времени разбираться в законодательстве и в оформлении документов на обработку персональных данных, передайте эту работу на аутсорсинг в Главбух Ассистент. Эксперты подготовят для вашей компании политику оператора по обработке персональных данных, другие положения, необходимые приказы, бланки согласий, так чтобы не было претензий от Роскомнадзора. Вы получите не только персональные решения по сбору, обработке и хранению персональных данных, но и полноценное ведение бухгалтерского, кадрового учета и налогов. Подберите подходящий тариф с помощью калькулятора.
С 30 мая 2025 года действуют отдельные штрафы за утечку персональных данных — действия или бездействие компании, повлекшие доступ посторонних лиц к сведениям без законных оснований. Размеры штрафов зависят от объема утечки. Например, при утечке данных от 1 000 до 10 000 субъектов организации грозит штраф от 3 млн до 5 млн руб., а должностному лицу — от 200 тыс. до 400 тыс. руб. (ч. 12 ст. 13.11 КоАП). Чтобы определить сумму, проверяющие учитывают количество субъектов или уникальных идентификаторов (п. 4 примечания к ст. 13.11 КоАП).
Включите в положение меры защиты персональных данных согласно ст. 18.1 и 19 Закона №152-ФЗ. Выбор мер зависит от способа обработки — вручную или через компьютерные программы. Например, укажите назначение ответственных за защиту ПДн, установку антивирусных программ, firewalls и средств контроля доступа.
Обеспечьте условия хранения персональных данных. Физические носители храните в сейфах или отдельных закрываемых помещениях с ограниченным доступом.
Совместно с IT-специалистами разработайте систему хранения и доступа уполномоченных лиц к электронным персональным данным, включая логирование действий.
Утвердите перечень уполномоченных лиц, которые по должности обрабатывают личные сведения сотрудников, в отдельном приказе или положении о защите ПДн. Назначьте ответственного за защиту персональных данных — он должен подчиняться напрямую руководителю компании (ч. 2 ст. 22.1 Закона №152-ФЗ).
Отдельно проверьте сайт компании, потому что в 2026 году именно сайт часто становится первой точкой выявления нарушений в сфере персональных данных.
Минимальный чек‑лист для проверки:
Особое внимание уделите Google Analytics, Яндекс.Метрике, пикселям рекламных систем, онлайн‑чатам, формам заявок и интеграциям с CRM: именно через эти инструменты чаще всего возникает расхождение между «бумагой» и реальной обработкой.
Если сайт собирает персональные данные, а уведомление подано только под кадровую обработку, это явный риск. Если на сайте есть фотографии сотрудников, раздел «Команда», отзывы клиентов, кейсы с именами представителей контрагентов или запись звонков, проверьте правовые основания и тексты согласий.
Да. Работодатель, который обрабатывает персональные данные работников, как правило, признается оператором персональных данных и должен уведомить Роскомнадзор, если не подпадает под исключения, предусмотренные законом.
Лучше избегать хранения копий личных документов без прямой нормативной необходимости и четко подтвержденной цели обработки, поскольку это повышает риск претензий по принципу минимизации персональных данных.
Нет. В 2026 году значение имеет не только наличие политики, но и соответствие сайта, форм согласия, уведомления в реестре и фактических процессов обработки данных друг другу.
Роскомнадзор сообщил, что письма о якобы проведенном «автоматическом анализе» сайтов, выявленных нарушениях и будущей административной ответственности могут быть частью мошеннической рассылки. Официальные письма ведомства и его территориальных органов должны содержать электронную подпись в формате .sig, а адрес отправителя должен относиться к домену вида name@rkn.gov.ru.
Даже если информация о массовой автоматизированной проверке обсуждается в профессиональной среде, реагировать нужно не паникой, а аудитом: сверить уведомление в реестре, локальные документы, формы на сайте, тексты согласий, аналитику и подрядчиков.
Если пришло письмо с угрозами санкций, проверьте домен отправителя, наличие электронной подписи и содержание письма. Не оплачивайте «услуги по снятию нарушений» и не переходите по сомнительным ссылкам, пока не убедитесь, что письмо действительно исходит от ведомства.
Рубрики:
Закажите обратный звонок, и мы свяжемся с вами в течение 5 минут
Проконсультируйтесь с нашими специалистами по индивидуальным условиям
Оставить заявку
Нажимая «OK», вы разрешаете использовать файлы cookie и данные о вашем поведении на сайте. Это нужно для аналитики и помогает сделать сайт удобнее. Чтобы отказаться от этого, вы можете запретить обработку cookie в настройках браузера.
