Представляем вам текстовую версию второго выпуска АльфаПодкаст. В нём руководитель департамента клиентских решений НПЦ «КСБ» Вера Скопинцева и продуктовый маркетолог Андрей Петренко обсудили самые важные изменения законодательства, связанные с обработкой персональных данных.
— добрый день! Сегодня мы, поговорим про персональные данные, про законодательство в сфере персональных данных и про то, что же произошло после 30 мая 2025 года. Прошло 150 дней, время подвести какие-то предварительные итоги. Вера, привет!
— привет, Андрей!
— давай начнём. Бум по отправке уведомлений в Роскомнадзор. Он начался примерно в середине мая и достиг своего пика в последних числах месяца. Как это было? С какими трудностями столкнулись организации? Что вообще происходило в этот момент?
— было сложно, сразу могу сказать. Наверное, это подтвердят те, кто нас смотрит и те, кто пытался в эти даты отправить уведомление в Роскомнадзор, потому что в последние числа мая портал персональных данных Роскомнадзора, через который как раз происходит отправка уведомлений, он просто не работал. Ну, вероятнее всего, система просто не выдержала того потока записей, которые пытались пробиться через этот портал. Потому что, как приводит статистику сам Роскомнадзор, до 30 мая в реестре операторов было порядка 700 тысяч записей, то сейчас в реестре операторов более 2,5 миллиона записей. То есть количество организаций увеличилось примерно в три раза. И надо понимать, что все эти организации, пытались запрыгнуть в последний вагон и отправить уведомление, а система просто не справлялась. Поэтому основная проблема, с которой сталкивалась любая организация, это то, что портал просто не работал.
— когда примерно начал вот этот бум спадать, и всё более или менее нормально заработало?
— если мне не изменяет память, в течение недели работа портала восстановилась. Причём он периодически: то он работал, и организации пытались отправить уведомление, потом снова раз — и ошибка. Где-то уже к середине июня портал пришёл в работоспособное состояние.
— каким образом программные продукты, в том числе и наш АльфаДок, помогают организациям-операторам персональных данных взаимодействовать с Роскомнадзором, в частности, в таких сложных ситуациях?
— начну с того, что уведомление из АльфаДок отправляется также через портал персональных данных Роскомнадзора, и если портал не работал, к сожалению, мы здесь помочь не могли. Мы облегчили отправку уведомления тем, что операторам не нужно было после каждого сбоя на портале заполнять формы вручную: всё подтягивалось браузерным расширением автоматически. Это значительно облегчило жизнь операторам.
— с момента вступления в силу изменений в КоАП 30 мая 2025 года прошло уже более 150 дней. Что вообще сейчас происходит? Сохраняется ли такая же активность у пользователей?
— активность однозначно снизилась. Это подтверждается тем, что портал персональных данных работает без сбоев. Но даже спустя 150 дней многие организации сталкиваются с тем, что их до сих пор нет в реестре операторов персональных данных. Видимо, они попали в тот момент, когда был сбой, и не только в самой системе, но и, может быть, рук не хватало у сотрудников Роскомнадзора принимать и обрабатывать все заявки.
— что в этом случае делать?
— надо проверить статус своего уведомления. Нужно зайти на портал персональных данных Роскомнадзора, в реестр операторов и по ИНН проверить, есть ли ваша организация там. Если ваша организация есть, то поздравляем: вам удалось отправить уведомление в Роскомнадзор. И если организации нет, это повод задуматься. Если отправлялось уведомление об изменении, то надо зайти внутрь и посмотреть, отображается ли информация по новой или ещё по старой форме.
— допустим, представитель организации зашёл в реестр и увидел, что у него изменений нет: не отправились, либо отправились, но не дошли. Что ему делать?
— здесь мы рекомендуем связаться с представителями того управления Роскомнадзора, в которое было отправлено уведомление. Потому что бывает, что у уведомления стоит статус «черновик». Это значит, что произошло что-то, и уведомление просто не ушло. Ещё один статус, с которым мы сталкиваемся, нам даже пользователи звонят и говорят об этом, статус «на рассмотрении». Это значит, что уведомление получено, но оно не рассмотрено и не обработано. С чем это может быть связано? У нас в службе поддержки есть теория, что большинство организаций, когда отправляют уведомление, выбирают способ отправки в бумажном виде. То есть когда нужно и через систему отправить, и потом физическую копию дослать. И когда организация выбирает такой способ, это значит, что им в бумажном виде нужно дослать обязательно. И у нас есть предположение, что через систему уведомление ушло, а в бумажном виде оно просто не дошло. Поэтому в любом случае необходимо звонить в Роскомнадзор и уточнять статус по своему уведомлению.
— хорошо, что грозит тем, кто не отправил уведомление?
— изменения, которые произошли с 30 мая, были очень громкие, и в основном все говорили про оборотные штрафы. Вся информационная среда просто была заполнена этими новостями, но очень многие упускали тот момент, что у нас значительно увеличили штрафные санкции по основным статьям. В том числе появились новые статьи, которых раньше не было. Например, пункт статьи 13.11 за неотправленное уведомление в Роскомнадзор. Штраф там большой, то есть если раньше за неотправленное уведомление или за неактуальные сведения в уведомлении штраф предусматривался по статье 19.7 КоАП РФ, и штраф был до 5 тыс. рублей на юридическое лицо, сейчас штраф до 300 000 рублей. У нас был вебинар, где мы всё это подробно разбирали.
— оборотные штрафы. Есть ли реальные случаи?
— нет, реальных случаев привлечения к оборотным штрафам нет. Важно понимать, что такое оборотные штрафы, и как организации могут их получить. Оборотные штрафы назначаются, прежде всего, по определённым статьям и в случае, если в течение года с момента первого выявленного нарушения совершено повторное, по этой же статье. Но буквально недавно я читала выдержку из выступления представителя Минцифры Российской Федерации, что с 30 мая 2025 года, пока ни к кому оборотные штрафы применены не были.
— сейчас есть предложения об установке оборотного штрафа за первую утечку, а не за повторную.
— я слышала, что такое предложение было направлено в Правительство Российской Федерации, установить сразу оборотный штраф за первую утечку, но только для бизнеса, и минимальное значение штрафа должно быть 25 миллионов рублей. Пока это было в виде новости.
— у нас ведь не только административная ответственность поменялась? Вступили в силу изменения в Уголовный кодекс, ещё в декабре прошлого года. Есть ли случаи привлечения по этим статьям?
— здесь всё гораздо более живо Изменения в Уголовном кодексе вступили в конце 2024 года, и появилась новая статья 272.1, которая касается именно нарушений в области обработки персональных данных.
— кому стоит бояться уголовной ответственности?
— бояться надо тем, кто, намеренно, понимая весь состав преступления, что-то передал из персональных данных. На текущий момент известно уже о более чем 300 случаях возбуждения уголовных дел по статье 272.1.
— какие основные нарушения, по которым возбуждают уголовные дела?
— вещи иногда доходят до смешного: работник медорганизации, например, уборщица или технический персонал, не имея легитимного доступа к информационной системе, просто фотографирует монитор и отправляет через мессенджер своим. В одном регионе вынесен штраф 10 000 рублей такому сотруднику медорганизации. Такие же случаи есть в области сотовой связи, да. На сегодня возбуждено более 300 уголовных дел.
— есть какая-то статистика, чем вообще заканчиваются эти уголовные преследования?
— мне кажется, ещё прошло очень мало времени, прежде чем приводить какую-то статистику, по крайней мере, в открытых источниках её нет.
— согласия на обработку персональных данных. Что там изменилось?
— изменения затронут практически все организации, которые в своей деятельности не имеют какого-то иного основания для обработки персональных данных и используют согласие. А, начну с основного, что с 1 сентября 2025 года у нас внесены поправки в часть 1 статьи 9 Федерального закона о персональных данных. Там появилась новая фраза, что теперь согласие должно быть конкретным, предметным, однозначным, то есть все эти эпитеты к согласию они сохранены в новой редакции, при этом добавилась новая фраза, что теперь согласие должно оформляться отдельно от иных документов либо от иной информации, с которой знакомится субъект персональных данных. Например, согласия на рекламную рассылку.
— согласие на рекламную рассылку — вообще немножечко отдельная тема, мы её затронем чуть позже. Давай сначала более подробно раскроем примеры, с чем ещё обычно это согласие брали?
— я вспоминаю случаи, когда в офлайн-магазине ты подписываешь какую-то форму, возможно, это договор, то внизу мелким шрифтом написано: «Я согласен на то и на то». Так вот, на мой взгляд, эти поправки в 152-ФЗ как раз призваны убрать эти скрытые согласия, когда субъект, подписывая один документ, заведомо соглашался на всё разом.
— что всё-таки значит «отдельно»?
— когда мы говорим про «отдельно», то понимаем под этим не только документы, которые подписывает субъект, но и различные формы, с которыми он соглашается на сайте, те же самые чекбоксы.
— давай с физическими бумажными документами разберёмся. Допустим, у нас какой-то договор на одной стороне листа, а согласие — на другой стороне. То есть на одной бумажке с двух сторон, это считается отдельно?
— для начала: лишние согласия брать не нужно. Если у оператора есть законное основание, например, исполнение условий договора, то согласие брать не нужно. Но допустим, у нас есть анкета, а на обратной стороне у нас согласие. Представитель Роскомнадзора проводил в августе семинар, он сказал, что это должны быть разные бланки, физически это должны быть разные носители.
— как определить, нужно ли брать согласие? Если нужно, то в какой форме?
— это очень простой вопрос, но почему-то он вызывает огромное количество споров, сомнений, недопониманий, в том числе у наших пользователей. В первую очередь всегда нужно проводить аудит процессов в организации начиная с процессов обработки персональных данных, которые протекают в разных структурных подразделениях. То есть в сначала нужно понять, кто и где обрабатывает персональные данные и с какими целями? Например, в рамках подбора персонала, в рамках выполнения требований трудового законодательства, в рамках оказания услуг добровольного медицинского страхования. То есть нужно сначала понять, где и с какими целями обрабатываются персональные данные. Далее всё очень просто: нужно идти в Федеральный закон о персональных данных, и среди тех правовых оснований, которые приводятся, нужно просто смотреть, подходит ли что-либо под ваш случай. Нужно просто прочитать эти пункты, и если ничего не подходит, брать согласие. Всё довольно просто. Но почему-то очень многие перестраховываются и берут согласие на всякий случай. Не так давно смотрела вебинар по теме персональных данных, и там прозвучала одна очень здравая мысль, что проводилось исследование на тему того, в каких целях берутся согласия. И результаты этих исследований показали, что в большинстве случаев операторам персональных данных согласие бывает просто не нужно, по факту это лишние бумаги. Ещё один пример: операторы персональных данных работают с клиентами на основании договора. То есть там 100% не нужно брать согласие на обработку. Они берут согласие на всякий случай, и это согласие они прикладывают к каждому договору, к каждому. Зачем?
— перестраховываются.
— наверное, но все мы, так или иначе, периодически приходим в поликлиники, там всегда ты даёшь согласие на обработку персональных данных, письменное. Зачем? С одной стороны, если я прихожу в коммерческую клинику я понимаю, что я заключаю договор, становлюсь его стороной, с другой стороны, я понимаю, что мне оказываются медицинские услуги на основании Федерального закона о медицине и, соответственно, зачем мне давать согласие, если есть законодательство федеральное, если есть договор и так далее. Здесь есть тонкий момент: когда ты определяешь, нужно ли брать согласие или нет, тебе нужно смотреть Федеральный закон о персональных данных и искать условия, которые позволяют обрабатывать данные без согласия. Если мы говорим про обработку ФИО, места работы, возраста, пола — всего, что содержится в карточке клиента, то здесь можно осуществлять обработку персональных данных без согласия потому, что медучреждение является стороной договора, либо медучреждение выполняет требования 323-ФЗ. Другое дело, когда мы говорим про специальные категории. Мы опять смотрим в 152-ФЗ, и там говорится, что сведения о состоянии здоровья, специальные категории можно обрабатывать без согласия при условии, что эти сведения будут обрабатываться лицом, обязанным сохранить врачебную тайну. А у нас к сведениям о состоянии здоровья, люди, которые работают в регистратуре, скорее всего, не обязаны сохранить врачебную тайну. Поэтому такая позиция сложилась уже достаточно давно.
— чем грозит обработка без согласия?
— в части обработки данных без согласия, у нас 30 мая внесены изменения. Это самый первый пункт статьи 13.11 КоАП РФ. Это нецелевая обработка персональных данных. То есть, когда оператор обрабатывает персональные данные без законных оснований. Штраф за это предусмотрен до 300 000 рублей на юридическое лицо. И самое интересное, что штраф может быть наложен за каждый факт. То есть неправомерно обрабатываешь персональные данные тысячи сотрудников, то штраф будет за каждого из этой тысячи. Я с этим ещё не сталкивалась на практике.
— Роскомнадзор по этому факту что говорит?
— Роскомнадзор говорит, что это одно из самых частых выявленных нарушений наряду с неподанными уведомлениями.
— реальные случаи привлечения организации есть?
— наших пользователей — нет. Надо понимать, что, наши пользователи они находятся в таком выгодном положении: им всегда помогут и подскажут, что нужно делать. А так, случаи привлечения организаций к ответственности, конечно, есть.
— давай затронем ещё такую историю, как мероприятия без взаимодействия. Роскомнадзор часто про это говорит. Что это вообще такое? Как проходят? И как к этому быть готовым?
— начнём издалека, чтобы понять вообще, почему появились эти мероприятия. На проведение плановых проверок наложен мораторий, который действует до 2030 года и, на мой взгляд, эти мероприятия без взаимодействия с контролируемыми лицами — просто один из вариантов проведения контрольно-надзорных мероприятий, которые в полной мере нельзя проводить в условиях действующего моратория.
— мониторинг сайта сюда подходит?
— естественно. Причём мониторят сайты не сотрудники Роскомнадзора: у них есть программа, которая в автоматическом режиме мониторит сайты и находит на них признаки нарушений. Если эти признаки нарушений найдены, то в адрес организации направляется письмо, где говорится, что проводилось мероприятие без взаимодействия с контролируемыми лицами, на сайте были выявлены нарушения.
— я правильно понимаю, что автоматизированная информационная система в автоматизированном режиме осуществляет мониторинг?
— всё верно. Да, это история массовая.
— Какое количество такого рода мероприятий было проведено?
— по статистике Роскомнадзора за 2024 год и за первое полугодие 2025 года было проверено 78 000 сайтов, и у 65 000 сайтов были выявлены нарушения. Основные касались уведомлений политики в отношении обработки персональных данных. Банально, но это факт. Политика должна быть, и это не может быть документом из двух страничек. Политика должна соответствовать требованиям статьи 18.1 Федерального закона о персональных данных. У нас уже в поддержке это от зубов отскакивает потому, что на самом деле это база, которую до сих пор не соблюдают. Ещё Роскомнадзор обязательно посмотрит формы сбора персональных данных. Возвращаясь к вопросу рекламной рассылки, мы у себя, когда тоже формы сбора приводили в соответствие требованиям закона, то разделили формы согласия на участие в мероприятии и формы согласия на информационную рассылку. Мы считаем такой подход правильным потому, что на информационную рассылку, в соответствии с Федеральным законом о персональных данных, должно быть получено обязательно согласие. Просто так её делать нельзя, хотя очень многие согласия на это не берут и потом просто шлют рассылки. Этого делать нельзя. То есть, например, человек регистрируется на наш вебинар, и отдельно он оставляет своё согласие на рекламную рассылку, а может его и не оставить. То есть мы в данном случае регистрацию на мероприятие не ограничиваем.
— давай кратко подведём итоги. Значит, с 30 мая прошло 150 дней. История оборотных штрафов, она, конечно, важна и серьёзна, но в текущем законодательстве должно пройти время перед тем, появятся первые решения суда об их назначении. С Роскомнадзором взаимодействовать нужно было раньше. Уголовная ответственность введена и очень широко используется. Мораторий на проверки действует, но есть иные мероприятия, которые позволяют выявлять нарушения, и которые проводятся очень часто. Тема обработки персональных данных, защиты прав субъектов и защиты персональных данных развивается очень активно в России сейчас. Как ты думаешь, что нас ожидает в будущем?
— на самом деле, ничего даже придумывать не нужно, да, это всё опять же в информационном поле. Может быть, ты слышал, есть такой законопроект, называется «Антифрод 2». Его содержание ещё не окончательное, но на некоторые пункты стоит обратить внимание: возможно, у нас появятся отраслевые стандарты в области обработки персональных данных, где будет сказано, в какой отрасли, какие персональные данные и в каком объёме можно собирать, сколько их нужно хранить, когда их нужно уничтожать. Это ответит на вопрос операторов, которые в основном даже не знают, сколько им нужно хранить эти персональные данные. Плюс вводится трёхстороннее взаимодействие с регулятором и оператором через Госуслуги. То есть, оператор сможет брать согласие через Госуслуги, а субъект сможет видеть, какие согласия он подал, и отзывать их. И самое такое интересное то, что субъект сможет через Госуслуги подавать жалобы на действия либо бездействие оператора, которые привели к нарушению его прав.
— спасибо тебе большое за это время, проведённое с нами, я думаю, что очень подробно разобрали тему, особенно актуальную историю, то, что происходит сейчас.
