Разбор для бизнеса: поправки в 152-ФЗ «О персональных данных»

Оглавление

Четкое законодательное разделение ролей: Оператор и Обработчик

Понятия «оператор» и «обработчик» существовали и ранее, но их правовой статус и, что важнее, зоны ответственности были размыты на практике и определялись условиями договора.

Законодатель внес четкие дефиниции и установил иерархию ответственности.

• Оператор — это лицо, которое определяет цели обработки персональных данных, состав обрабатываемых данных и действия (операции), совершаемые с данными. Именно оператор несет основную ответственность перед субъектом ПДн и регулятором (Роскомнадзором).
• Обработчик — это лицо, которое осуществляет обработку персональных данных исключительно по поручению оператора. Обработчик не имеет права определять цели и состав данных самостоятельно. Его деятельность строго ограничена договором с оператором.

Теперь просто указать в договоре «компания А является обработчиком» недостаточно. Необходимо:

1. Провести аудит всех процессов: Четко определить, в каких процессах вы выступаете оператором (например, обработка данных своих сотрудников и клиентов), а в каких — обработчиком (например, когда оказываете услуги по ведению кадрового учета для другой компании).

2. Кардинально пересмотреть договоры: Во всех договорах, где происходит передача данных (аутсорсинг, хостинг, CRM-обслуживание, рассылки и т.д.), необходимо прописать:

• Конкретный перечень действий (операций) с данными, которые поручаются обработчику.
• Цели обработки.
• Обязательство обработчика соблюдать конфиденциальность и правила обработки, установленные оператором.
• Порядок возврата или уничтожения данных после прекращения договора.
• Важно! Положение о том, что обработчик несет ответственность перед субъектом ПДн наравне с оператором, теперь прямо закреплено в законе.
Подробные разъяснения указаны в третьей статье 152-ФЗ в новой редакции.

Введение обязанности по принятию локального акта об обработке ПДн

У многих компаний была политика в отношении обработки ПДн, которая часто носила формальный, «шаблонный» характер и была ориентирована на публикацию на сайте.

Для всех операторов (за исключением случаев, прямо указанных в законе, например, для физлиц, ведущих архив) вводится обязанность иметь внутренний локальный акт об обработке персональных данных.

Это внутренний рабочий документ, который должен детально описывать:

• Все процессы обработки ПДн внутри компании (сотрудники, клиенты, контрагенты).
• Конкретные перечни обрабатываемых данных в рамках каждого процесса.
• Способы, правила и сроки обработки.
• Порядок обеспечения безопасности данных.
• Порядок исполнения запросов субъектов ПДн (на доступ, уточнение, уничтожение).
• Ответственных сотрудников.

Для подготовки акта требуется:

1. Провести инвентаризацию. Необходимо проанализировать работу всех отделов (HR, маркетинг, продажи, IT), чтобы зафиксировать, какие именно данные, кем, какими способами и для каких целей обрабатываются в каждом бизнес-процессе.

2. Разработать документ. На основе полученных данных создать подробный, практический и работоспособный локальный акт, а не формальную бумагу. Он должен включать перечни данных, цели и способы их обработки, меры безопасности, порядок работы с запросами граждан и ответственных сотрудников.

3. Обучить сотрудников. Довести положения утвержденного акта до всех работников, которые имеют доступ к персональным данным, и обеспечить их соблюдение в повседневной деятельности.

Этот акт не нужно публиковать на сайте, но нужно быть готовыми предъявить документы Роскомнадзору при проведении проверки.

Усиление контроля и прав субъектов ПДн

Поправки усиливают гарантии для граждан:

• Сокращены сроки ответа на запросы субъектов ПДн о предоставлении информации об обработке их данных (в некоторых случаях с 30 до 15 рабочих дней).
• Установлен исчерпывающий перечень оснований для отказа в удовлетворении запроса субъекта. Отказ «по иным причинам» более невозможен.
• Оператор обязан в простой и доступной форме предоставлять субъекту информацию о том, какие именно его данные и с какой целью обрабатываются.

Каждой компании необходимо:

• Обновить регламенты работы с входящими обращениями граждан.
• Настроить процессы для быстрого поиска и предоставления информации по конкретному лицу из всех систем.
• Подготовить шаблоны ответов, соответствующие новым требованиям.

Подробные разъяснения можно найти в статьях 14, 20, 21 152-ФЗ в новой редакции.

Хотя изменения в КоАП РФ (ст. 13.11) чаще всего принимаются отдельными законами, данная реформа напрямую закладывает основу для ужесточения санкций. Ожидается, что штрафы для юридических лиц за систематические нарушения, особенно связанные с неправомерным доступом к данным и несоблюдением порядка их обработки, будут существенно увеличены. Отдельная ответственность может быть введена за отсутствие локального акта.

Что делать бизнесу — пошаговый план

1. Аудит. Проведите полный аудит процессов обработки ПДн. Определите, где вы оператор, а где обработчик.

2. Договоры. Приведите все договоры с контрагентами в соответствие с новыми требованиями к разграничению ответственности.

3. Локальный акт. Разработайте и утвердите внутренний локальный акт об обработке ПДн.

4. Документооборот. Обновите формы согласий, политику конфиденциальности на сайте и внутренние регламенты работы с запросами граждан.

5. Обучение. Регулярно обучайте сотрудников, работающих с персональными данными.

Поправки в 152-ФЗ, вступившие в силу 1 сентября 2025 года, — это эволюция закона от формальных требований к системному compliance. Бизнесу необходимо отнестись к этим изменениям максимально серьезно: пересмотреть внутренние процессы, документацию и договорные отношения. Те компании, которые сделают это заранее и обдуманно, не только избегут рисков многомиллионных штрафов, но и выстроят более доверительные отношения с клиентами и партнерами, повысив свою деловую репутацию.