Работа с персональными данными: как компании защититься от проверок, утечек и штрафов Роскомнадзора

13.2.2026
Работа с персональными данными: как компании защититься от проверок, утечек и штрафов Роскомнадзора
  • Даже простая форма с «Имя» и «Телефон» делает бизнес оператором ПДн и требует соблюдения закона.
  • Роскомнадзор проверяет уведомление, политику, согласия, хранение в РФ и обработку запросов граждан.
  • Нарушения грозят штрафами до 15 млн ₽, блокировкой сайта и репутационными рисками.
  • Ответственность ложится и на подрядчиков — без правильных договоров штраф получит ваша компания.
  • Аудит, DLP-системы и обучение сотрудников помогают избежать утечек и проверок.
5 минут

Многие компании не знают, что даже простая форма на сайте с полем «Имя и телефон» уже попадает под действие закона о персональных данных. Рассказываем, что считается персональными данными, как устроен контроль со стороны Роскомнадзора, какие штрафы применяются за нарушения и как защитить компанию от проверок и утечек. Покажем реальные кейсы, дадим чек-лист и объясним, как подготовиться к проверке.

{{cta}}

Что такое персональные данные и кто такой оператор

Персональные данные (ПДн) — это информация, по которой можно узнать конкретного человека, даже если она указана не полностью. Закон не приводит полного списка, поэтому сюда может попасть многое:

  • ФИО, телефон, дата рождения, email.
  • Паспорт, ИНН, СНИЛС, права.
  • Фото, видео, отпечатки пальцев (если используются для идентификации).
  • Данные о здоровье, национальности, судимости.

Оператор персональных данных — это компания или ИП, которые сами решают, какие данные собирать и зачем. Если у вас есть клиентская база, вы принимаете заявки с сайта или ведете учет сотрудников — вы оператор. То есть: почти любой бизнес, работающий с информацией о людях, подпадает под требования закона о ПДн.

Кто такой Роскомнадзор и как он связан с операторами

Роскомнадзор (РКН) — это государственный орган, который следит за тем, чтобы организации правильно обрабатывали персональные данные. Его задача — защита прав граждан и контроль за соблюдением закона. Вот что он делает:

  • Ведет реестр операторов — компании обязаны сообщить о начале обработки ПДн. После получения уведомления организацию внесут в реестр операторов. 
  • Проверяет соблюдение закона — проверки бывают плановыми (по расписанию) и внеплановыми — если поступила жалоба. 
  • Контролирует ключевые требования — это локализация данных в России, оформление согласий на обработку и наличие внутренней документации.

Для бизнеса Роскомнадзор — основной регулятор по теме ПДн. Его требования обязательны: от того, насколько хорошо вы к ним готовы, зависит, получите ли вы штраф и сможете ли продолжать работать с клиентскими данными.

Что обязан делать оператор персональных данных

Работа с ПДн требует регулярного контроля и настроенных процессов. Ниже — ключевые шаги, которые необходимо предпринять оператору, чтобы не получить штраф от Роскомнадзора.

Проверьте, насколько ваша компания под риском

Регулятор в первую очередь проверяет тех, кто обрабатывает данные более 100 000 человек, использует биометрию или медицинскую информацию, а также передает сведения за границу. Если вы подходите под один или несколько из этих пунктов — уделите особое внимание защите данных и правильному оформлению процессов.

Назначьте ответственного за ПДн

Это может быть HR, юрист или отдельный специалист. Он будет отвечать за документы, информирование сотрудников и взаимодействие с регулятором.

Собирайте минимум данных

Не просите у клиентов лишнего. Например, для доставки заказа нужны только ФИО, адрес и телефон. Чем меньше данных — тем ниже риски. Перепроверьте формы на сайте и в офисе — возможно, вы запрашиваете лишнее.

Не забудьте направить уведомление регулятору

Это можно сделать через сайт РКН или Госуслуги. Направить документ важно до начала обработки конфиденциальной информации. Штраф за отсутствие — от 100 000 рублей. Если вы меняете цели обработки или ответственного — также нужно подать обновленную информацию.

Пример нарушения: компания подала уведомление, но не указала стороннюю CRM-систему. Роскомнадзор выявил нарушение, выдал предписание и штраф — организации пришлось срочно переделывать документы.

Подготовьте обязательные внутренние документы

  • Политика обработки ПДн — разместите на сайте.
  • Формы согласий — на каждую цель отдельно.
  • Приказ, который назначает ответственного сотрудника.
  • Инструкции для сотрудников.

Важно! Согласие должно быть отдельным документом, а не строкой в договоре. Если вы передаете сведения (например, курьеру) — нужно отдельное согласие.

Храните данные в России 

Все ПДн граждан РФ должны находиться на отечественных серверах. Подключение иностранного сервиса подразумевает трансграничную передачу — для нее нужно отдельное согласие и дополнительные меры. Используете зарубежный сервис (например, CRM) — вы в зоне риска.

Обрабатывайте запросы граждан 

Человек может запросить информацию о своих данных, потребовать удалить или изменить их. На ответ — 30 дней. Создайте email для таких запросов, обучите сотрудников и ведите журнал обращений.

Работа с ПДн — это системный процесс. Начните с оценки рисков и назначения ответственного. Затем выполните обязательные шаги: уведомление в Роскомнадзор, настройка внутренних процессов, согласия, локализация и ответы на обращения. Так вы сможете защитить компанию от проверок и штрафов.

Как контролирует Роскомнадзор персональные данные: проверки и санкции

Регулятор следит за тем, как компании соблюдают закон о персональных данных. Но он делает это не один — контроль разделен между тремя ведомствами, и каждое отвечает за свою часть:

  1. РКН проверяет юридическую сторону: уведомление о начале обработки, наличие политики, корректность согласий.
  2. ФСТЭК оценивает техническую защиту: есть ли нужное ПО, как настроены серверы и защищена ли сеть.
  3. ФСБ подключается, если вы используете шифрование или работаете с биометрией.

Если у вас сложная IT-система или вы собираете чувствительные данные — будьте готовы взаимодействовать с несколькими ведомствами.

Что именно проверяет Роскомнадзор

Проверка часто начинается с мониторинга сайта. Автоматические системы ищут ошибки — например, нет политики конфиденциальности или форма сбора согласия не соответствует требованиям. Такие нарушения могут стать основанием для более глубокой проверки.

Инспекторы оценивают:

  • Документы — есть ли политика обработки данных, опубликована ли она на сайте, правильно ли оформлены согласия.
  • Уведомление — подано ли оно в РКН, актуальны ли в нем данные.
  • Организация процессов — назначен ли ответственный за ПДн, проведено ли обучение сотрудников, есть ли механизм обработки запросов граждан.
  • Передача данных — указаны ли в договорах с подрядчиками условия по защите и конфиденциальности данных.

Проверки бывают плановые (по графику) и внеплановые — например, из-за жалобы пользователя или утечки данных. О внеплановой проверке предупреждают минимум за 24 часа.

Как часто проверяют: категории риска

Роскомнадзор распределяет компании по категориям в зависимости от потенциального ущерба от нарушений — проверяют в первую очередь тех, кто:

  • обрабатывает данные более 100 000 человек;
  • использует биометрию или чувствительные данные (здоровье, национальность и др.)
  • применяет иностранное ПО для сбора или хранения данных
  • передает данные за границу

Чем выше риск, тем чаще плановые проверки: от одного раза в 2 года до одного раза в 6 лет. Но даже при низкой категории риска возможны внеплановые проверки.

Штрафы за нарушения

  • Не подали уведомление в РКН — до 300 000 ₽.
  • Обрабатываете данные без согласия — до 700 000 ₽.
  • Нарушили требования по локализации — до 6 000 000 ₽.
  • Допустили утечку данных — до 15 000 000 ₽, при повторе — до 500 000 000 ₽.

Что делать, чтобы снизить риск: если вы еще не направили уведомление — сделайте это. Это простой способ показать, что вы работаете по правилам. Отсутствие в реестре — явное нарушение, которое почти гарантирует внеплановую проверку. Добровольное уведомление не «привлекает внимание», а наоборот — снижает риски. Это ваш первый шаг к законной и безопасной работе с персональными данными.

{{cta}}

Кейсы из практики: как компании отвечают за нарушения в работе с ПДн

Разберем реальные примеры, когда компании нарушили закон о персональных данных и столкнулись с последствиями.

Утечка данных в «Яндекс.Еде»

Что произошло: в 2022 году в сеть попали данные о заказах клиентов сервиса «Яндекс.Еда»: номера телефонов, адреса, имена и суммы заказов. Утечка затронула около 6,9 млн записей. Данные визуализировали на интерактивной карте, и часть клиентов смогли идентифицировать себя.

Причина: изначально компания заявила, что виноват сотрудник. Однако позже выяснилось, что уязвимость была связана с внешним хостингом, унаследованным от другой компании.

Реакция: Роскомнадзор провел проверку и оштрафовал ООО «Яндекс.Еда» на 60 000 рублей. Также было возбуждено уголовное дело, а некоторые пользователи получили компенсации через суд.

Что сделала компания:

  • Извинилась перед клиентами.
  • Перевела данные в защищенное хранилище.
  • Сократила число сотрудников с доступом к данным.
  • Усилила аудит ИБ-процессов.

Утечка — это не только штраф. Это репутационные потери, риски уголовных дел и судебных исков. Инцидент выявил слабые места в инфраструктуре и управлении доступом.

Утечка данных в «СберЛогистике»

Что произошло: в 2023 году в открытом доступе оказались личные сведения клиентов и сотрудников логистического подразделения «Сбера». Масштаб — более 1,3 млн строк данных с 2016 по 2023 год.

Причина: по информации специалистов, утечку реализовала группа хакеров, ранее атаковавшая другие компании. Подозрение пало на слабое звено — подрядчиков или внутренние системы.

Реакция: «СберЛогистика» не подтвердила достоверность данных сразу, ссылаясь на возможную компиляцию старых баз. Информации о штрафах публично не раскрывали.

Даже крупные холдинги уязвимы через свои дочерние структуры и подрядчиков. Без единых стандартов безопасности по всей цепочке риски остаются высокими.

Утечка данных Delivery Club

Что произошло: в 2021 году конфиденциальная информация из базы данных Delivery Club попала в сеть. Утечка затронула более 1 миллиона записей. В них были: ФИО клиентов, телефоны, адреса доставки (с этажами и кодами домофонов), email, состав и сумма заказов за определенный период.

Причина: компания подтвердила утечку и принесла извинения. Отдельно подчеркнули, что платежные данные клиентов не пострадали. Однако точная причина инцидента публично не раскрывалась.

Последствия: хотя финансы не были затронуты, раскрытие привычек, маршрутов и адресов доставки создало серьезную угрозу приватности пользователей. Важно защищать не только платежные данные. Контактная информация, история заказов, предпочтения клиентов — все это тоже персональные данные и несет ценность для злоумышленников. Репутационные риски от такой утечки сопоставимы с утратой банковских данных.

Каждый такой случай — напоминание: недостаточно один раз настроить защиту ПДн. Важно регулярно пересматривать, кто и как получает доступ к данным, какие системы используются, и есть ли контроль над аффилированными структурами. Чем раньше выстроена система защиты и контроля, тем ниже риски репутационных потерь, штрафов и проверок.

Защита ПДн: непрерывный аудит и мониторинг 

Регуляторы обращают внимание не столько на наличие документов, сколько на то, насколько реально защищены системы. Проактивный подход позволяет находить слабые места до того, как ими воспользуются злоумышленники или надзорные органы.

Главный источник рисков — сотрудники. До 70% инцидентов происходят из-за действий персонала: по ошибке или намеренно. Чтобы вовремя заметить проблему, используют системы класса DLP и DCAP, которые анализируют поведение сотрудников и помогают отследить попытки пересылки персональных данных. Задача таких систем — не слежка, а контроль за потенциально опасными действиями.

Аудит должен работать постоянно. Проверять безопасность раз в год — неэффективно. Надежная защита требует регулярного мониторинга. В крупных компаниях для этого создают центры мониторинга (SOC), которые следят за событиями в системе 24/7. Если вы — малый или средний бизнес, свой SOC может быть избыточен. Но вы можете подключить нужные инструменты или передать аудит на аутсорс.

Что использовать — инструменты и их польза для бизнеса:

Что контролируют Примеры инструментов Что получает бизнес
Действия сотрудников с данными DLP, DCAP (системы контроля и анализа данных), системы мониторинга пользовательской активности Выявление рискованных действий, предотвращение утечек, снижение влияния человеческого фактора
Атаки и киберугрозы SIEM и EDR-решения, Threat Intelligence (аналитика угроз), сетевые системы обнаружения NDR Быстрое обнаружение атак, блокировка заражённых устройств, минимизация ущерба
Соответствие требованиям регуляторов СЗИ, СКЗИ, сканеры уязвимостей, сертифицированные решения Подтверждение соответствия закону — критично для проверок, лицензий и аудитов
Регулярный аудит и контроль — часть обязательной работы с ПДн. Инвестируйте не только в ПО, но и в проверку его эффективности, обучение сотрудников и настройку рабочих процессов. Это снижает риски штрафов, утечек и проблем с репутацией — последствий, которые особенно болезненны для бизнеса.

Как проверить свою компанию на соответствие требованиям Роскомнадзора 

Эксперты прогнозируют, что в 2026 году киберугрозы будут развиваться, а регуляторы продолжат усиливать контроль. Чтобы не столкнуться с внезапными проверками и штрафами, бизнесу стоит регулярно проверять, как устроена работа с персональными данными. Наш чек-лист поможет вам оценить готовность компании.

Важно: Роскомнадзор теперь обращает внимание не только на ваши внутренние документы, но и на то, как вы передаете данные подрядчикам — логистике, колл-центрам, маркетинговым агентствам. Если в договоре нет конкретного списка передаваемых данных, целей и условий защиты — вы отвечаете и за их ошибки. Это одна из самых частых причин штрафов.

Более того, РКН использует автоматические системы и ИИ для поиска нарушений — например, сканирует сайты на наличие обязательных документов и анализирует утечки в открытых источниках, что позволяет начинать проверки даже без жалоб.

Совет: не ждите, пока сайт окажется заблокирован или клиент подаст жалобу. Делайте самопроверку хотя бы раз в 6-12 месяцев. Это дешевле и проще, чем потом разбираться с внеплановой проверкой.

Чек-лист: самопроверка перед проверкой Роскомнадзора

1. Документы и уведомление регулятора.

  • Актуальны ли в уведомлении сведения (цели, ответственный и др.)?
  • Есть ли на сайте политика обработки ПДн, доступна ли она с любой страницы?
  • Оформлены ли согласия на обработку отдельными документами, указаны ли в них цели?
  • Назначен ли ответственный за работу с личной информацией официальным приказом?

2. Процессы внутри компании.

  • Собираете ли вы только нужные для работы данные (без избыточных полей)?
  • Есть ли согласие клиента или договор, если данные передаются подрядчику (например, курьеру)?
  • Готов ли порядок обработки запросов граждан (уточнение, удаление, копия)? Укладываетесь ли в 30 дней?
  • Проходят ли сотрудники обучение по работе с ПДн?

3. Техническая защита.

  • Храните ли вы базы с данными россиян на серверах в России?
  • Используется ли многофакторная аутентификация для доступа к системам с ПДн?
  • Установлены ли лицензированные антивирусы и настроено ли обновление ПО?
  • Ведутся ли журналы учета обработки данных и обращений граждан?

Чем раньше вы выявите слабые места, тем меньше риск проверок, штрафов и конфликтов с клиентами. Убедитесь, что у вас есть не только формальные документы, но и рабочие процессы, которые реально защищают данные.

FAQ: частые вопросы о работе с персональными данными

1. Что считается персональными данными?
Все, что позволяет узнать человека: ФИО, номера телефонов, адреса, email, фото, истории заказов. Есть отдельные категории — чувствительные (например, здоровье) и биометрические (отпечатки пальцев, видео, фото для распознавания).

2. Всегда ли нужно получать согласие?
Не всегда. Согласие обязательно, если вы используете данные для маркетинга, передаете партнерам (например, курьеру) или работаете с биометрией. А вот для выполнения договора (доставка, зарплата) согласие не требуется, но данные всё равно нужно защищать.

3. Обязательно ли хранить данные в России?
Да. Если вы обрабатываете данные российских граждан, вы обязаны хранить их на серверах в России. Использование зарубежных CRM, хостинга или облачных сервисов без согласия клиента — это уже трансграничная передача и потенциальное нарушение.

4. Какие штрафы за утечку данных?
Штрафы за утечку достигают 15 млн рублей. В случае повторного нарушения — до 500 млн рублей или 3% от оборота компании. Важно уведомить регулятор в течение суток, иначе штраф увеличивается.

5. Как часто бывают проверки?
Роскомнадзор действует по риск-ориентированной модели. Чаще всего проверяют тех, кто работает с биометрией, обрабатывает данные более 100 000 человек или использует иностранное ПО. Компании с низким риском проверяют реже.

6. Может ли Роскомнадзор проверить сайт удаленно?
Да. Автоматическая система проверки ищет нарушения на сайтах: отсутствие политики конфиденциальности, неправильные формы согласия и другие проблемы. Проверка может начаться без предупреждения.

7. Что делать, если клиент или сотрудник просит удалить его данные? 

Вы обязаны прекратить обработку и удалить сведения в течение 30 дней с момента получения запроса — если нет законных оснований для их хранения (например, выполнение договора или требования налогового учета).

Важно: должен быть внутренний порядок обработки таких обращений — с ответственным сотрудником, фиксированными сроками и шаблоном ответа. Это защитит от жалоб и претензий.

8. С чего начать, чтобы не нарушить закон?

  • Определите, какие данные вы собираете и зачем.
  • Подайте уведомление в Роскомнадзор.
  • Разместите на сайте Политику обработки данных.
  • Настройте согласия и документы внутри компании.
  • Проверьте, где хранятся данные — перенесите на российские серверы, если нужно.

Эти шаги помогут избежать проблем и показать, что вы работаете по правилам.

{{cta}}

Смотреть

Пришлем вам необходимые материалы или КП

Ответим в течение 30 минут!
Оглавление
Другие статьи

Смотреть все

Диадок 1С интеграция для электронного документооборота

26/8/2025

Подробнее

Как крупным компаниям выстроить надежную информационную безопасность в 2025 году: угрозы, стратегии и практики защиты

14/10/2025

Подробнее

Как продавать через маркетплейсы и интернет-магазины

11/8/2025

Подробнее

Смотреть все

Мы используем файлы cookie, чтобы предоставить наилучшие возможности сайта

Ок
Спасибо!
Менеджер свяжется с вами в ближайшее время.

Не хотите ждать? Напишите нам !
Что-то пошло не так! Пожалуйста, попробуйте еще раз.

Получите pdf-материалы с наших воркшопов, тренингов и КПшек

Спасибо! Отправим материалы в ближайшее время
Oops! Something went wrong while submitting the form.