Регистрация
Уже зарегистрированы? Авторизоваться
Забыли пароль?
Введите e-mail, и мы поможем его восстановить
Вспомнил пароль! — Войти
Проверяйте почту, чтобы сменить пароль
Вспомнил пароль! — Войти
Вы авторизованы
Входим в ТОП50
юридических фирм
+7 495 150-50-45
Москва
+7 812 603-45-25
Санкт-Петербург
Ru
Ru
En
De
Ch
Юридические услуги
Судебные споры
Арбитражные споры
Споры с застройщиком
Пересмотр кадастровой стоимости
Разрешение международных арбитражных споров
Разрешение споров в судах общей юрисдикции
Исполнительное производство
Расторжение договоров
Споры по договорам поставки
Сопровождение судебных экспертиз
Сопровождение споров в МКАС при ТПП РФ
Корпоративное право и споры
Корпоративные споры
Регистрация юридических лиц
Регистрация и ликвидация некоммерческих организаций
Конвертируемый заём
Юридические услуги в области подготовки IPO
Сделки слияния и поглощения (M&A)
Регистрация личных фондов
Корпоративные договоры
Реорганизация юридического лица
Консультирование
Сопровождение некоммерческих организаций
Соглашение о предоставлении опциона
Ликвидация юридического лица
Интеллектуальная собственность
Регистрация товарных знаков
Авторское право
Включение в реестр российского ПО
Международная регистрация товарных знаков
Борьба с контрафактом
Получение патента
Сопровождение IT-проектов
Франчайзинг
Таможенная защита интеллектуальной собственности
Охрана результатов интеллектуальной деятельности
Охрана ноу-хау
Оформление прав на IT-продукты
Защита интеллектуальной собственности
Art Law (культура и искусство)
Регистрация программ для ЭВМ и баз данных
Энергетика
Электроэнергетика
Оптимизация в сфере энергетики
Аналитика и расчет тарифов на производство и передачу тепловой энергии
Теплоэнергетика
Естественные монополии: консультирование, правовая помощь, досудебная и судебная защита
Крупным предприятиям: услуги в сфере энергетики
Коммунальная сфера
Помощь при необоснованном взимании платы за негативное воздействие на работу централизованной системы водоотведения
Международное право
Сопровождение международных сделок с недвижимостью
Юридические услуги/Казахстан
Избежание двойного налогообложения
Таможенное право и внешнеэкономическая деятельность (ВЭД)
Аккредитация представительств и филиалов иностранных компаний
Отчетность по зарубежным счетам
Легализация решений иностранных судов
Штрафы КИК
Сопровождение инвестиционных проектов
КИК: Уведомления и отчетность. Споры
Санкционное право
Разрешение международных арбитражных споров
Налоговое право и споры
Налоговые споры
Сопровождение налоговых проверок
Бизнес-планирование и финансовый анализ деятельности компании
Налоговое консультирование
Налоговый и финансовый аудит
Оспаривание кадастровой стоимости объектов недвижимости
Защита при обвинении в налоговых преступлениях
Налогообложение в IT-сфере
Налоговое структурирование бизнеса в условиях налоговой реформы 2025 года
Недвижимость
Сопровождение сделок с недвижимостью
Аренда коммерческой недвижимости
Юридические услуги по земельным отношениям
Международные сделки с недвижимостью
Проверка чистоты сделок Due Diligence
Юридические консультации по недвижимости
Покупка, продажа, аренда коммерческой недвижимости
Оспаривание кадастровой стоимости объектов недвижимости
Юридическая помощь в судебных спорах по недвижимости
Закупки (44-ФЗ, 223-ФЗ)
Правовое сопровождение закупочной деятельности (223-ФЗ и 44-ФЗ)
IT и электронная коммерция
IT и электронная коммерция
Персональные данные
Маркетплейсы
Регистрация программ для ЭВМ и баз данных
Реестр МТК
Реестр российского ПО
Налогообложение в IT-сфере
Льготы в IT-отрасли
Разрешение ИТ-споров
Готовые документы для бизнеса
Оформление прав на IT-продукты
Аккредитация ИТ-компаний
Составление документов для разработчиков софта и видеоигр
Налоговое структурирование бизнеса
Включение в реестр российского ПО
Банкротство
Субсидиарная ответственность
Оспаривание сделок в банкротстве
Другие услуги в сфере банкротства
Абонентское обслуживание бизнеса
Due Diligence
Все услуги...
+7 495 150-50-45
Москва
+7 812 603-45-25
Санкт-Петербург
Отправить заявку
Просто оставьте нам свои контактные данные, наши менеджеры свяжутся с вами и ответят на все интересующие вас вопросы, пришлют больше информации
Нажимая кнопку "Отправить" и отправляя данную форму, Вы соглашаетесь с Политикой конфиденциальности
Спасибо! Ваше сообщение получено
Задать вопрос специалисту
Напишите свой вопрос и оставьте контактные данные, чтобы специалист связался с Вами для ответа
Нажимая кнопку "Отправить" и отправляя данную форму, Вы соглашаетесь с Политикой конфиденциальности
Спасибо! Ваше сообщение получено
Получить коммерческое предложение
Опишите, пожалуйста, свою ситуацию, и мы сформируем для Вас коммерческое предложение. В нем будет указаны объем услуг, цены и сроки.
Спасибо! Ваше сообщение получено

Как организовать обработку персональных данных в 2025 году: обязательные документы и процедуры

Ужесточение штрафов за нарушения в области персональных данных подтверждает, что безопасность этих данных — ключевое требование для организаций
Дружинин Максим Игоревич
10.12.2024
Статьи и практика Правовая охрана персональных данных (152-ФЗ)
В мае 2025 года в силу вступят изменения в КоАП РФ, усиливающие административную ответственность операторов персональных данных. В частности, отсутствие законного основания для обработки персональных данных (например, согласия) может повлечь наложение штрафа в размере до 300 000 рублей, а при повторном нарушении - до 500 000 рублей.

Кроме того, вступают в силу изменения в УК РФ, устанавливающие уголовную ответственность за незаконную обработку персональных данных, полученных путем неправомерного доступа к ним.

В этой статье разберем основные шаги оператора при организации обработки персональных данных в организации, перечень документов, которые необходимо разработать и утвердить для соблюдения требований действующего законодательства, а также для успешного прохождения проверки Роскомнадзора.
1. Шаг первый – анализ бизнес-процессов оператора и разработка организационно-распорядительной документации 2. Шаг второй – определение технических и организационных мер для защищенности персональных данных в информационных системах 3. Шаг третий – внедрение режима контроля за соблюдением законодательства о персональных данных 4. Шаг четвертый - уведомление о начале обработки персональных данных в уполномоченный орган 5. План действий по защите персональных данных 6. Заключение
1
Шаг первый – анализ бизнес-процессов оператора и разработка организационно-распорядительной документации
На этой стадии оператор выявляет источники обработки данных, разрабатывает и утверждает локальные акты, регулирующие их обработку, предотвращение нарушений закона при обработке и устранение последствий. Также оформляются документы об ознакомлении сотрудников с этими актами. В их число входят:

  • политика обработки персональных данных (политика конфиденциальности) – основной информационный документ как для субъектов персональных данных, так и для надзорного органа;
  • инструкции и регламенты (инструкция лица, ответственного организацию за обработки персональных данных; план мероприятий по приведению в соответствие с требованиями законодательства в области персональных данных; инструкция ответственного за обеспечение информационной безопасности, регламент по определению уровней защищенности в информационных системах);
  • положения (об обработке и защите персональных данных, о комиссии по приведению деятельности организации в соответствие с требованиями законодательства в области персональных данных и пр.);
  • перечни (должностей и третьих лиц, допущенных к обработке, применяемых средств защиты информации, помещений для обработки персональных данных, обрабатываемых персональных данных, информационных систем персональных данных);
  • приказ о назначении ответственного за организацию обработки персональных данных;
  • приказ о назначении Комиссии по защите персональных данных;
поручение на обработку персональных данных с контрагентами;
Важно отметить, что для подтверждения введения каждого из перечисленных локальных нормативных актов, исполнительный орган оператора должен издать приказ об их утверждении.
Как правило, на этом этапе оператор также проводит детальный аудит своих сайтов (даже если они обрабатывают только cookie-файлы), договоров с контрагентами и иных источников получения или передачи персональных данных субъектов, не являющихся работниками оператора.
2
Шаг второй – определение технических и организационных мер для защищенности персональных данных в информационных системах
Уровень защищённости определяется в соответствии с количеством и категориями субъектов, а также с типом актуальных для информационной системы оператора.

Перечень локальных актов, подтверждающих выполнение этого требования:
  • акты определения уровней защищенности персональных данных в информационных системах персональных данных;
  • протокол определения ущерба субъекту персональных данных; модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • регламент по определению уровней защищенности персональных данных в информационных системах персональных данных.
3
Шаг третий – внедрение режима контроля за соблюдением законодательства о персональных данных
В рассматриваемой стадии разрабатываются и утверждаются:
  • локальные нормативно-правовые акты, регламентирующие порядок допуска сотрудников и третьих лиц к обработке персональных данных;
  • требования к учету и хранению носителей, порядок осуществления трансграничной передачи персональных данных;
  • сведения о средствах и способах резервного копирования и уничтожения персональных данных, а также проведение контрольных мероприятий и реагированию на инциденты информационной безопасности.

Кроме этого, организация должна издать следующие акты:
  • Инструкция пользователя информационных систем персональных данных;
  • Перечень работников, которым предоставляется доступ к информационной системе персональных данных;
  • Положение об обеспечении безопасности персональных данных в информационных системах.
Рекомендуется разработать унифицированные формы согласий субъектов на обработку персональных данных, а также журналов ознакомления. Благодаря этому оператор может быть уверенным в том, что согласие субъекта соответствует всем требованиям, а также иметь доказательства ознакомления сотрудников с локальными актами.
4
Шаг четвертый - уведомление о начале обработки персональных данных в уполномоченный орган
Уведомление подается в бумажном или электронном формате с подписью уполномоченного лица до начала обработки в Роскомнадзор. Уведомление должно содержать:
  • наименование и адрес оператора;
  • цель обработки;
  • категории персональных данных;
  • категории субъектов персональных данных;
  • правовое основание обработки;
  • описание способов обработки;
  • перечень принятых мер по безопасности обработки;
  • дата начала и срок (условие) прекращения обработки.
Обращаем внимание, что сегодня ответственность за неподачу уведомления об обработке (начале обработки) персональных данных в Роскомнадзор предусмотрена по ст. 19.7 КоАП РФ со штрафом до 5 000 рублей для юридического лица. Однако с мая 2025 года вступит в силу новая статья, увеличивающая штраф до 300 000 рублей.
Также на операторе лежит обязанность актуализировать переданные в надзорный орган сведения об обработке персональных данных в срок не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения.
5
План действий по защите персональных данных
Обобщая описанные выше этапы, можно составить план действий по защите персональных данных:

1. Издайте документы, определяющие обработку персональных данных:
  • разработайте, утвердите и разместите в открытом доступе (например, на сайте оператора) политику конфиденциальности оператора;
  • издайте и утвердите локальные акты, касающиеся вопросов обработки персональных данных, а также документы, определяющие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, с обязательным ознакомлением работников.


2. Определите актуальные угрозы безопасности в рамках информационной системы персональных данных.

3. Оцените потенциальный вред, который может быть причинен субъектам персональных данных в случае нарушения законодательства.

4. Определите порядок уточнения (актуализации), блокирования, прекращения обработки и уничтожения персональных данных.

5. Контроль и безопасность:
  • организуйте регулярный контроль за принимаемыми мерами по обеспечению безопасности персональных данных;
  • установите режим безопасности в помещениях, где размещены сервера оператора;
  • определите и реализуйте организационные и технические меры, необходимые для обеспечения установленного уровня защищенности персональных данных, включая требования информационной безопасности.

6. Проинформируйте субъектов персональных данных на сайте:
  • скорректируйте и разместите под всеми формами сбора персональных данных на сайте документ, который будет служить основанием для обработки в соответствии с требованиями законодательства. На всех страницах сайта, где осуществляется сбор персональных данных также следует разместить политику конфиденциальности оператора; 
  • разместите уведомление или дисклеймер о факте сбора cookie-файлов. В документ, определяющий политику по обработке персональных данных, необходимо включить информацию об используемых сервисах веб-аналитики.

7. Направьте в Роскомнадзор информацию о начале обработке персональных данных или о внесении изменений в Реестр операторов после разработки и опубликования документа, определяющего политику конфиденциальности.

8. Доступ к обработке и защита работников:
  • разработайте и утвердите правила доступа работников к обработке персональных данных;
  • ознакомьте работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации, включая требования к их защите, а также с документами и локальными актами по вопросам обработки персональных данных.
6
Заключение
Обеспечение безопасности персональных данных — это не только законодательно установленное требование, но и важный аспект репутации и доверия к вашей организации. Безусловно, формальное наличие документов не свидетельствует о соблюдении требования законодательства, предъявляемым к оператору. Вести эффективную работу в этом направлении возможно только при наличии четко налаженных процедур, соответствующих требованиям законодательства.
Для обеспечения надежности бизнес-процессов, связанных с обработкой персональных данных, и минимизации потенциальных рисков, обращайтесь к нашим экспертам. Юристы ЦПО групп помогут разработать все необходимые документы, настроят процедуры и сопроводят проверку Роскомнадзора.

Дружинин Максим Игоревич

Младший юрисконсульт практики «ИТ и персональные данные»
+7 (812) 603-45-25 (доб. 356)
E-mail: cpo52@pravorf.ru
Получить консультацию


Правовая охрана персональных данных
Комплексное сопровождение бизнеса по вопросу правовой охраны персональных данных
Подробнее
Готовые документы для бизнеса
Шаблоны документов ускоряют внутренний документооборот и взаимодействие с клиентами и подрядчиками, экономят время на подготовку и помогают стандартизировать процессы
Подробнее
Все услуги
Читайте в разделе Персональные данные (152-ФЗ)
Получить консультацию
Спасибо! Ваше сообщение получено
Итоги рейтинга «Право-300» 2024: ЦПО групп в числе лидеров юридического рынка
Продать долю без разрешения Правительственной комиссии: невозможное возможно?
+7 495 150-50-45
Москва
+7 812 603-45-25
Санкт-Петербург

Юридический консалтинг
Арбитражные споры
Судебные споры
Сделки с недвижимостью
Налоговое право
Трудовое право
Интеллектуальная собственность
IT и персональные данные
Антимонопольные дела
Юрист по энергетике

Сопровождение бизнеса
Корпоративное право
Обслуживание бизнеса
Регистрация НКО
Помощь по 115-ФЗ
Due Diligence
Закупки 44-ФЗ и 223-ФЗ
Банкротство юридических лиц
Опционные соглашения
Включение в реестр российского ПО

Международное право
Таможенное право и ВЭД
Зарубежные активы
Регистрация зарубежных компаний
Недвижимость за границей
Контролируемые иностранные компании
Юрист-международник
Международные сделки
Международная регистрация товарных знаков