Статьи

Что важно знать о политике обработки персональных данных

2025-10-30 10:58 ОФД

Какие данные считаются персональными: юридические тонкости и примеры

Персональными признаются любые сведения, прямо или косвенно относящиеся к определённому или определяемому физическому лицу. Это не только ФИО, паспортные данные и СНИЛС, но и электронная почта, IP-адрес, cookies, данные геолокации и биометрические идентификаторы. Ключевой критерий — возможность идентифицировать человека на основе этих данных, пусть даже с привлечением дополнительной информации.
Закон различает общие, специальные и биометрические персональные данные. К специальным относят данные о расовой принадлежности, религии, политических взглядах, здоровье. Биометрическими считаются те, которые позволяют установить личность на основании физиологических и биологических характеристик — например, отпечатки пальцев, изображение лица, скан радужки. Даже поведенческий профиль пользователя на сайте может попасть в категорию персональных данных, если его можно связать с конкретной личностью.

Федеральный закон 152-ФЗ: что нужно знать каждому оператору фискальных данных

Закон «О персональных данных» №152-ФЗ регулирует сбор, обработку, хранение и передачу персональных данных на территории России. Он применяется ко всем организациям, включая операторов фискальных данных (ОФД), поскольку они выступают как операторы и обрабатывают огромный объём информации о физических лицах.
Согласно закону, каждый оператор обязан определять цели обработки данных, использовать только те сведения, которые соответствуют заявленным целям, обеспечивать безопасность на всех этапах — от сбора до удаления. Обработка персональных данных без согласия пользователя разрешается лишь в строго ограниченных случаях (например, при исполнении договора или требования закона).
ОФД обязаны принимать правовые, организационные и технические меры для защиты информации. Среди них — создание и внедрение локальных актов (в том числе политики конфиденциальности), проведение внутреннего аудита, регистрация в Роскомнадзоре и ведение учета инцидентов. Нарушение этих требований может привести к предписаниям, приостановке деятельности и штрафам.

Обязанности оператора фискальных данных при хранении персональной информации

Оператор фискальных данных несет повышенную ответственность при обработке и хранении персональной информации, поскольку выполняет роль связующего звена между бизнесом и государством. Основная задача ОФД — зафиксировать и передать в налоговую службу фискальные данные от кассовой техники. При этом в информационные системы может попадать персональная информация пользователей — телефон клиента, адрес электронной почты для получения электронного чека, а в ряде случаев — имя и фамилия покупателя, ИНН, банковские реквизиты.
Согласно статье 19 Федерального закона №152-ФЗ, оператор обязан обеспечить конфиденциальность, целостность и доступность персональных данных. Это означает, что необходимо:
  • разработать и утвердить политику обработки персональных данных;
  • назначить ответственное лицо за защиту информации;
  • определить перечень обрабатываемых данных и цели их использования;
  • применять сертифицированные средства защиты — от антивирусов до криптографических систем;
  • регулярно проводить инструктажи сотрудников и тестирование систем безопасности;
  • внедрить процедуры резервного копирования, учета доступа и реагирования на инциденты.
Кроме того, оператор должен обеспечить локализацию персональных данных граждан РФ — то есть хранить и обрабатывать их с использованием баз данных, расположенных в РФ. Это требование вступило в силу в 2015 году и строго контролируется.
Особое внимание уделяется согласиям на обработку данных. Если вы получаете телефон для отправки чека, об этом следует уведомлять клиента в момент сбора данных. Согласие должно быть конкретным, информированным и оформленным таким образом, чтобы при необходимости его можно было подтвердить (например, средствами логирования или электронной подписью).
Важно также учитывать, что политика обработки персональных данных — не формальный документ, а основной правовой инструмент компании в области информационной безопасности. Он должен быть размещён на сайте, легко доступен, написан простым языком и соответствовать текущей практике оператора. Отсутствие такой политики на сайте уже трактуется как нарушение, с соответствующим риском штрафных санкций.

Нарушение требований: когда компания рискует получить штраф

Ответственность за нарушение правил обработки персональных данных предусмотрена как административная, так и уголовная. Основные основания для привлечения — отсутствие согласия на обработку данных, нарушение порядка хранения, несоблюдение уведомительного порядка регистрации, а также отсутствие или недостоверность документов, регулирующих политику конфиденциальности.
Наиболее распространённые нарушения, за которые можно получить штраф:
  • отсутствие политики обработки персональных данных на сайте организации;
  • несоответствие формы согласия требованиям закона;
  • незаконная передача персональных данных третьим лицам без получения согласия субъекта;
  • нарушение сроков хранения или уничтожения информации;
  • несоблюдение принципа минимизации и конфиденциальности данных.
Согласно КоАП РФ, на юридическое лицо может быть наложен штраф в размере от 30 000 до 75 000 рублей за одно нарушение (ч.1 ст.13.11). При повторных нарушениях — сумма увеличивается до 500 000 рублей. Кроме того, сотрудники организации, ответственные за обработку данных, также могут быть привлечены к административной ответственности.
В 2023 году Роскомнадзор значительно активизировал надзорную деятельность: было инициировано свыше 12 000 проверок, более 4 000 организаций получили предписания об устранении выявленных нарушений. Доля дел по факту отсутствия понятной и открытой политики размещения персональных данных — более 25% от всех составленных протоколов.
Особенно строго проверяются операторы, работающие с большим объёмом клиентской информации — операторы фискальных данных, интернет-магазины, финансовые и медицинские учреждения. Под прицел также попадают СМБ-компании, которые пренебрегают политиками приватности, считая их необязательными. Однако именно среди малого бизнеса зафиксированы самые крупные штрафы, связанные с отсутствием документа о политике конфиденциальности: до 1 млн рублей в случае совокупного выявления нарушений по нескольким статьям.

Чек-лист для проверки соответствия требованиям по защите персональных данных

Системный подход к защите персональных данных начинается с внутренней оценки соответствия компании основным требованиям 152-ФЗ. Ниже — чек-лист, с помощью которого оператор фискальных данных может провести экспресс-аудит своей работы и минимизировать риски штрафов.
  1. Политика обработки персональных данных: документ опубликован на сайте, доступен с главной страницы, содержит цели обработки, перечень собираемых данных, способы хранения и основания для передачи третьим лицам.
  2. Назначен ответственный специалист: в компании обозначено лицо (или отдел), отвечающее за соблюдение политики конфиденциальности и взаимодействие с Роскомнадзором.
  3. Уведомление в Роскомнадзор: компания зарегистрирована в реестре операторов персональных данных, если такая регистрация обязательна по характеру деятельности.
  4. Согласие на обработку: сбор осуществляется на законных основаниях, имеются оформленные согласия с пользователя (в том числе в электронной форме с отметкой даты и времени).
  5. Локализация хранения: используемые серверы и хостинг провайдеры физически располагаются на территории РФ в соответствии с законом.
  6. Информационная безопасность: применяются технические меры защиты: антивирусное ПО, ограничение доступа, шифрование каналов передачи данных, регулярные аудит и резервное копирование.
  7. Обработка инцидентов: установлен порядок реагирования на утечку данных, ведётся учёт таких инцидентов и организовано расследование нарушений.
Этот список подойдёт не только ОФД, но и любому бизнесу, который обрабатывает пользовательские данные. Регулярное прохождение чек-листа позволяет выявить слабые места до вмешательства регулятора и сократить вероятность штрафных санкций.

Реальные кейсы: кто и за что получил штрафы за отсутствие политики

Роскомнадзор активно применяет санкции к компаниям, не разместившим политику обработки персональных данных на сайте. Один из самых заметных случаев в 2022 году — штраф в размере 60 000 рублей для регионального интернет-магазина бытовой техники. Проверка установила, что сайт собирал номера телефонов и адреса электронной почты клиентов для рассылки чеков, но не публиковал политику обработки, не получал согласие и не регистрировался как оператор. Компания исправила нарушения только после суда.
Другой прецедент — штраф 120 000 рублей, наложенный на небольшую логистическую компанию. Она использовала форму обратной связи на сайте, в которой собирала ФИО и номера телефонов. Политика в нижней части сайта отсутствовала, форма не содержала уведомления о согласии. Несмотря на то что бизнес не занимался массовой обработкой, факт утечки данных двух клиентов через внешний сервис стал поводом для внеплановой проверки.
Часто нарушают требования микропредприятия и самозанятые, особенно при использовании типовых лендингов. Один из сервисов онлайн-записи на маникюр был оштрафован после жалобы клиента в Роскомнадзор: сайт собирал имя и телефон, но политика обрабатывающих данных ссылалась на другое юрлицо и не соответствовала реальной деятельности. Итог — предупреждение, штраф 30 000 рублей и требование внести правки в документы в течение 10 дней.
Эти случаи показывают: штраф за отсутствие политики обработки персональных данных может быть наложен даже при минимальном объёме собираемой информации. Регулятора интересует не масштаб, а факт несоблюдения процедуры. Наличие корректной политики на сайте — это не формальность, а правовая защита самой компании.