18 сентября 2025 г.
В 2025 году Правительство ужесточило контроль за обработку персональных данных. Регулятор может проверить любую организацию, независимо от сферы деятельности и размера штата. А замечания инспекторов иногда становятся для собственников неожиданностью. Например, на ревизии реестра часто «срезают» до 30 % лишних копий баз. А если не уведомить государство об изменении сведений, придётся заплатить штраф до 800 тыс. руб.
Как не превратить письмо от Роскомнадзора в бюджет‑катастрофу, рассказал Никита Володин, руководитель направления по защите персональных данных компании Б-152.
Почему внимание к теме снова выросло
В 2024 году официально зафиксированы 135 утечек персональных данных (ПДн), в сеть ушло 710 млн записей о россиянах. В 2025 году только за 4 месяца Роскомнадзор выявил 30 инцидентов, по пяти делам вынесены штрафы на 240 тыс. руб.
Ценность персональных данных растет, поэтому компании стараются собрать их как можно больше, а злоумышленники разрабатывают новые схемы, чтобы их заполучить. Соответственно, государство ужесточает контроль за обработкой ПДн. Например, с декабря 2024 г. действует ст. 272.1 УК РФ — за незаконный сбор или хранение данных возможен до 6 лет лишения свободы, особенно если пострадала биометрия или сведения о детях.
Кто сегодня занимается защитой данных
В первой половине 2025 года компания Б‑152 провела опрос, в котором приняли участие более 300 специалистов, ответственных за безопасность ПДн. Оказалось, что ровно половина DPO сидит в Центральном федеральном округе. 37 % респондентов — юристы, ещё 26 % — специалисты ИБ. Каждый четвёртый DPO работает в компании со штатом
«Мы потратили меньше недели, чтобы переписать политику и добавить drill‑сценарии. Гораздо дольше ушло на то, чтобы убедить финдиректора застраховать инциденты на 200 млн руб.» — руководитель комплаенс‑отдела крупной e‑commerce‑площадки (имя собеседника не раскрывается).
Наибольшее внимание вопросам обработки персональных данных уделяют компании из сферы технологий, медиа и телекоммуникаций (21%), а также финансовые и страховые организации (12%).
Уровень осведомленности о требованиях законодательства зависит от размера компании. Крупные корпорации с численностью сотрудников более 10 000 человек привлекают лишь 9% специалистов по персональным данным. В то же время даже в небольших фирмах со штатом до 10 человек есть сотрудники, отвечающие за этот участок работы.
Основные проблемы, с которыми сталкиваются компании при реализации
Несмотря на трудности, большинство организаций стремятся повысить уровень защиты персональных данных. 47% компаний проводят самостоятельные аудиты, а 42% специалистов имеют возможность напрямую отчитываться перед генеральным директором.
3 документа, которые открывает инспектор
Ежегодно Роскомнадзор формирует и публикует в открытом доступе план контрольных мероприятий. Но готовиться к возможным проверкам со стороны регулятора стоит всем компаниям. Уже сейчас анализируйте документы, которые будут проверять в первую очередь.
1. Политика по обработке ПДн
Должны быть определены сроки хранения, поставлена ясная цель обработки, указаны категориальный перечень данных, порядок трансграничной передачи, адрес DPO.
Формулировки вроде «обрабатываем любые данные для улучшения сервиса» инспекторы признают «неопределёнными целями» и трактуют как нарушение ст. 5 152‑ФЗ. Это настоящий провал для компании.
2. Реестр процессов
Это «карта линий метро» для данных: какой поезд (процесс) перевозит какие ПДн и на какой станции они выгружаются.
Главная ошибка — отсутствие связи между процессом и бизнес‑целью. Например, если HR‑бот хранит паспортные сканы через год после найма, регулятор точно задаст прямой вопрос — зачем?
3. План реагирования на инциденты
Требования ч.3.1 ст. 21 устанавливают 24 часа на первое уведомление Роскомнадзора и 72 часа — на расширенный отчёт. Шаблонное письмо с полями «объём», «категории», «первые меры» сэкономит драгоценные часы.
Что исправить до конца квартала
Чтобы избежать штрафов за "неуведомление об обработке персональных данных«,подайте соответствующее уведомление (в случае, если ранее оно вами не подавалось). На данный момент штраф за отсутствие такого уведомления составляет от 100 до 300 тысяч рублей.
Учитесь быстро реагировать на инциденты: стучит пожарный, а вы уже знаете, где висит шаблон PD‑IN. Тренируйте 24‑часовой drill. Самый простой способ — смоделировать утечку и пробежаться по плану действий:
-
с 9:00 до 9:45 — изоляция,
-
до 12:00 — уведомление РКН,
-
до 2‑го дня — отчёт и опционально — письмо клиентам.
Куда вкладывать деньги, если бюджет ограничен
С 30 мая 2025 г. уже действуют «оборотные» штрафы. Осенью 2025 г. Роскомнадзор обещает опубликовать XML‑шаблон отчёта об утечке, SIEM‑провайдерам придется доработать коннекторы. В 2026 г. ожидается пересмотр категорий биометрии, возможен отдельный реестр обработчиков.
Уже сейчас стоит сделать 3 шага, которые не требуют больших затрат, но помогут «заткнуть дыры».
-
Шифрование бэкапов (LUKS 2 + pgcrypto) — минимизирует «техническую» утечку.
-
DLP‑правила для паспортов и ИНН — закрывает 80 % инцидентов по объёму.
-
KeePassXC + FIDO2 — убирает фактор «общий пароль «P@ssword2023».
Стоимость — до 150 тыс. руб. лицензий и ≈ два дня интегратора, а штраф в случае инцидента стартует с 3 млн руб.
Итог
Год назад «политика конфиденциальности» лежала в папке «Документы для проверки», то есть фактически клиенты не могли с ней ознакомиться на сайте или в приложении. Теперь это живой файл, который инспектор может запрашивать онлайн во время систематического наблюдения без взаимодействия. Лучшая стратегия — относиться к документам так же, как к коду: указывать версию и владельца, вести журнал изменений, направлять автоматический пуш в репозиторий.
Готовьтесь реагировать на утечки: вы должны быть наготове, как будто они уже произошли. Очень сложно применить на практике теоретические знания — можно споткнуться о подводные камни, потому что невозможно предугадать всё. Банально, всё испортить может человеческий фактор.
Пересмотрите свой подход к рабочей информации. Если раньше сведения собирали просто потому что могли, теперь сбор персональных данных нужно обосновать.
Пока число штрафов измеряется десятками — но стоимость одной ошибки уже измеряется процентами от выручки. Потратьте два летних месяца на перепаковку процессов — в противном случае придется потратить год прибыли на их последствия.
Источник: Никита Володин, руководитель направления по защите персональных данных компании Б-152
