Персональные данные и штрафы: ответственность бухгалтера в 2025 году

Обязанности работодателя, регистрация в Роскомнадзоре, аудит ИБ и реальные штрафы за ошибки — собрали все, что должен знать и применять бухгалтер на практике при работе с персональными данными.

1487

6 мин

2 сентября 2025

С 30 мая 2025 года в России вступили в силу обновленные требования к обработке персональных данных (ПДн). Изменения коснулись всех: от ИП до крупных организаций. Достаточно просто хранить резюме соискателей или данные сотрудников, чтобы считаться оператором персональных данных и попадать под требования закона № 152-ФЗ.

Роскомнадзор получил расширенные полномочия: теперь он может не только проводить проверки, но и запускать автоматический цифровой контроль без визита в офис. Нарушения фиксируются через информационные системы, а штрафы за ошибки выросли в разы. Повторные случаи могут привести к более серьезным санкциям, а при системных нарушениях — к административным расследованиям.

Новые правила Роскомнадзора

Государственный регулятор усилил контроль за операторами персональных данных. Теперь любая компания, имеющая дело с персональными данными, обязана:

уведомить Роскомнадзор и получить разрешение на работу с персональными данными до начала их обработки;
пройти регистрацию в реестре операторов ПДн;
защищать информацию с помощью специальных систем защиты данных;
проводить регулярный аудит информационной безопасности (аудит ИБ).

Новый закон уточняет, что даже базовая работа с данными теперь требует официального оформления и соблюдения всех процедур.

Как подать уведомление в Роскомнадзор

Регистрация в Роскомнадзоре — обязательный шаг до начала любых действий с личной информацией. Что нужно сделать:

зайдите на сайт rkn.gov.ru;
выберите раздел «Операторы персональных данных»;
заполните форму уведомления;
приложите приказ о назначении ответственного;
получите номер регистрации в реестре.

Заявка подается онлайн и занимает не больше 15 минут. Приказ можно составить в свободной форме. Главное, чтобы он был.

Персональные данные: при чем здесь бухгалтер?

Обработка ПДн — это сбор, хранение, передача и удаление данных. А бухгалтер выполняет следующие задачи:

начисляет и выплачивает зарплату;
работает с первичными документами (в том числе с документами контрагентов);
формирует и сдает отчетность.

Специалист ежедневно взаимодействует с конфиденциальной информацией. Поэтому он должен знать, как работать с ней безопасно и в соответствии с законом.

Чтобы не попасть под штрафы Роскомнадзора, важно не только правильно оформлять документы, но и следить за тем, как в компании организована работа с персональными данными.

1. Проверьте наличие согласий. Перед использованием персональных данных нужно иметь письменное согласие от сотрудника, клиента или контрагента.

Что делать:

убедитесь, что у всех сотрудников и контрагентов есть актуальные согласия;
используйте типовые формы (например, бланк согласия от 42Clouds);
обновите документы при изменении условий работы.

2. Контролируйте актуальность документов. Нельзя хранить персональные данные дольше, чем это разрешено по закону.

Что делать:

ориентируйтесь на архивные сроки (например, 75 лет нужно хранить личные дела, 5 лет — приказы на отпуск);
составляйте графики и акты об уничтожении.

3. Обеспечьте безопасность хранения информации. Даже если вы работаете в 1С, данные нужно защищать.

Что делать:

1С: Зарплата и управление персоналом

Арендуйте без покупки лицензий

Обновления включены в стоимость

Тестировать бесплатно

используйте ЭДО, настройте двухэтапную аутентификацию для почты, VPN (подробнее, как обеспечивать безопасность, читайте здесь);
не пересылайте документы с ПДн через мессенджеры;
не храните базы и документы на домашнем ноутбуке или флешке;
ограничьте доступ к документам.

4. Следите за актуальностью политики на сайте. Политика обработки ПДн должна быть опубликована и отражать реальные процессы в компании.

Что делать:

проверьте наличие политики на сайте;
уточните дату последнего обновления;
сообщите, если документ устарел.

5. Сообщите о нарушениях. Если бухгалтер видит, что документы хранятся небезопасно или отсутствуют согласия, нельзя оставить все как есть.

Что делать:

задокументируйте риски и уведомите руководство;
предложите решения. Например, можно подготовить согласия, чтобы сотрудники или контрагенты подписали их, навести порядок в системе хранения.

6. Проверьте подрядчиков и внутренние документы. Даже если обработкой данных занимается внешняя компания, ответственность все равно несете вы.

Что делать:

заключите договоры с прописанными мерами защиты;
проверьте, включен ли подрядчик в реестр операторов;
уточните, как подрядчик передает и хранит данные;
оформите приказ о назначении ответственного за ПДн (внутри компании);
запросите аудит ИБ.

Цена аудита информационной безопасности зависит от объема обрабатываемых данных, количества сотрудников и используемых систем. Но даже базовая проверка может предотвратить серьезные штрафы и утечки. Стоимость такой проверки — от 30 000 руб. в зависимости от подрядчика.

Обработка персональных данных: что будет, если нарушить закон

С 30 мая 2025 года применяются повышенные штрафы за нарушения при работе с персональными данными. При этом суммы, указанные ниже, — верхняя граница. Конкретный размер зависит от тяжести и состава правонарушения. Давайте рассмотрим подробнее, что было и что стало:

Нарушение	Основание	До 30 мая 2025 г.	После 30 мая 2025 г.
Обработка ПД без уведомления Роскомнадзора	ст. 19.7 КоАП РФ	3 000–5 000 руб. (должностные лица), 15 000–30 000 руб. (юрлица)	50 000–100 000 руб. (должностные лица), 100 000–300 000 руб. (юрлица)
Утечка персональных данных	ст. 13.11 ч. 1–2 КоАП РФ	До 100 000 руб.	До 15 млн руб.
Утечка биометрических данных	ст. 13.11 ч. 10–11 КоАП РФ	Не выделялась отдельно	15–20 млн. руб.
Обработка ПД без согласия	ст. 13.11 ч. 1 КоАП РФ	До 75 000 руб.	До 700 000 руб.
Повторное нарушение	ст. 13.11 ч. 12–14 КоАП РФ	Повышенные, но умеренно	До 3 % выручки, но не менее 20 млн руб.
Не уведомили об утечке	ст. 13.11 ч. 6 КоАП РФ	Не регулировалось	от 100 000 до 300 000 руб.

Новые штрафы заметно бьют по бюджету. Чтобы не рисковать, важно действовать на опережение: следить за документами, порядком хранения данных и своевременно реагировать на изменения в законодательстве.

Реальный кейс: штраф за передачу данных по WhatsApp

Роскомнадзор оштрафовал один из российских банков на 200 000 руб. за несоблюдение правил при обработке персональных данных. Сотрудники общались с клиентами через WhatsApp, передавая их персональные данные и сведения о задолженности в мессенджере. Такие действия не соответствуют требованиям законодательства. Это нарушение квалифицировали по части 13.11.2 КоАП РФ — пересылка данных в незащищенный канал без уведомления или согласия.

Даже такие действия, как: переслать файл в мессенджере, оставить бумагу на столе, забыть закрыть документ, могут обернуться серьезным штрафом. Бухгалтеру важно не только знать закон, но и соблюдать его требования в повседневной работе: где хранить данные, как передавать, кому показывать и при каких условиях.

Чек-лист: как бухгалтеру защитить себя и бизнес в 2025 году

Проверьте, зарегистрирована ли компания в реестре Роскомнадзора операторов персональных данных.
Подготовьте или обновите уведомление, отправьте в Роскомнадзор.
Назначьте ответственного за обработку данных.
Проверьте наличие согласий на обработку данных (сотрудники, клиенты).
Пройдите аудит информационной безопасности или запросите его у подрядчиков.
Используйте системы защиты данных: антивирус, шифрование, контроль доступа.
Храните документы в защищенных папках и сервисах с двухфакторной аутентификацией.
При передаче данных третьим лицам заключайте договоры, где пропишите подробно правила обращения с персональными данными и санкции, которые последуют за нарушение этих требований.
Обучите сотрудников правилам безопасной работы с данными.

Вывод

Соблюдение закона — командная работа. И ответственность за защиту персональных данных несет не только бухгалтер. Без общей вовлеченности обеспечить безопасность невозможно. Чем раньше бизнес выстроит устойчивую систему, тем меньше вероятность попасть под санкции.