Закон о персональных данных: штрафы по 152-ФЗ и меры защиты для HRM-системы

Россия занимает второе место среди исследуемых стран по количеству инцидентов утечки данных по итогам 2024 года. На российские организации пришлось 8,5% случаев компрометации, зарегистрированных в мире. Зачастую утечки данных происходят умышленно — со стороны сотрудников компаний.

Сейчас ужесточаются требования по хранению и контролю персональных данных. В статье рассказываем об изменениях в законодательстве, порядок действий при утечке и как организована защита персональных данных в HRBOX.

Основные изменения в законодательстве о персональных данных с 2025 года

Увеличение размеров административных штрафов за нарушения требований к обработке персональных данных.
Ужесточение требований к локализации баз персональных данных на территории РФ.
Введение унифицированной формы согласия на обработку персональных данных.
Повышение требований к мерам защиты информационных систем.
Увеличение ответственности за нарушения при трансграничной передаче данных.
Специальные требования к обработке биометрических персональных данных.
Расширение перечня случаев, когда обработка возможна без согласия субъекта.
Новые требования к обезличиванию данных и передаче их в Минцифры.

Увеличение штрафов юрлицам за нарушения по 152-ФЗ

С 30 мая 2025 года вступили в силу изменения, которые существенно повышают финансовую ответственность за нарушения в сфере обработки персональных данных. Также появились новые составы правонарушений.

нарушение обязанности уведомить о намерении обрабатывать персональные данные;
нарушение обязанности уведомить об утечке персональных данных;
действия или бездействия, повлекшие утечку персональных данных, включая специальную категорию ПДн и биометрические данные.

Штрафы за нарушение локализации персональных данных

Первое нарушение: от 1 млн до 6 млн рублей.
Повторное нарушение: от 6 млн до 18 млн рублей.

Штрафы за утечку персональных данных

1 до 10 тысяч записей — штраф от 3 до 5 млн рублей
От 10 до 100 тысяч записей — штраф от 5 до 10 млн рублей
Более чем 100 тысяч записей — штраф от 10 до 15 млн рублей

При повторной утечке: оборотный штраф от 1% до 3% от выручки, минимум 20 млн рублей, максимум – 500 млн рублей.

Штрафы за неуведомление об утечке персональных данных

За несообщение Роскомнадзору об утечке, которой нарушены права субъектов персональных данных, назначат штрафы от 1 млн до 3 млн рублей.
За неуведомление о намерении обрабатывать личную информацию грозит штраф от 100 тыс. до 300 тыс. рублей.
Такие же наказания установят для тех, кто известил Роскомнадзор несвоевременно.

Ужесточение требований к локализации персональных данных

С 1 июля 2025 года требования о локализации персональных данных в законе № 152-ФЗ стали более конкретными и строгими. Все ключевые операции с персональными данными — включая фиксацию, организацию, накопление, хранение, актуализацию и получение информации — должны осуществляться с использованием инфраструктуры, размещенной на территории России.
Это касается и работы с зарубежными аналитическими платформами, например, Google Analytics. Обработка сведений о пользователях за пределами страны допускается только как исключение. Оно требует обязательного уведомления Роскомнадзора с отражением условий трансграничной передачи во внутренних документах компании.

HRBOX соответствует требованиям 152-ФЗ и обеспечивает необходимый уровень защиты персональных данных

ПРОТЕСТИРОВАТЬ БЕСПЛАТНО

Обезличивание персональных данных

С 1 сентября 2025 года компании должны передавать обезличенные данные о клиентах и сотрудниках в государственную информационную систему (ГИС) по запросу Минцифры. Обезличивание необходимо для идентификации человека и должно соответствовать правилам, утвержденным Правительством РФ и Роскомнадзором. Важно, что работать с такими данными можно только внутри ГИС, извлечение из нее запрещено.

Разрешение на обработку персональных данных

Чтобы законно использовать персональную информацию, оператор обязан получить письменное согласие владельца данных. В этом согласии обязательно нужно четко указать цели, для которых предполагается обработка этих данных.

Оператором персональных данных может быть практически любая организация или физическое лицо, которые добровольно получают личные данные граждан и используют их в любых целях, за исключением случаев, связанных с обработкой сведений о сотрудниках (например, в рамках трудовых отношений).

Что важно учитывать

1. Запрещено «встраивать» согласие в договор, оферту, регистрационную форму и так далее. Согласие на обработку персональных данных должно быть отдельным и явным, а не скрытым или подразумеваемым в рамках других документов или форм.

2. Согласие должно быть конкретным и содержать следующие обязательные элементы:

цели обработки персональных данных;
перечень обрабатываемых данных;
описание действий с данными (сбор, хранение, передача и т.п.);
срок действия согласия;
указание третьих лиц (если данные передаются им);
право субъекта данных на отзыв согласия в любое время.

3. Допустима электронная форма согласия — при условии фиксации волеизъявления.
Это означает, что согласие может быть получено онлайн (например, через галочку, кнопку «Я согласен»), но только если есть техническая возможность зафиксировать факт выражения воли — например, логирование (фиксация событий) IP-адреса, времени, устройства, чтобы подтвердить, что согласие было дано добровольно и осознанно.

Что делать компании в случае утечки персональных данных

Первые 24 часа: первичное уведомление

В течение первых 24 часов с момента обнаружения утечки, необходимо направить первичное уведомление в Роскомнадзор. Уведомление должно содержать основные сведения:

что произошло,
какие данные затронуты,
предполагаемый масштаб.

Первые 72 часа: дополнительный отчет

После инцидента нужно предоставить дополнительный отчет в Роскомнадзор, содержащий:

результаты внутреннего расследования,
оценку масштаба утечки,
принятые меры по устранению последствий,
план профилактики повторных инцидентов.

Параллельно: действия по защите субъектов данных и ликвидации угроз

Одновременно с уведомлением регулятора необходимо:

уведомить субъектов персональных данных, если утечка может повлечь для них риски (например, мошенничество, ущерб репутации, финансовые потери),
зафиксировать все события — собрать логи, доказательства, время и механизм утечки,
ограничить доступ к затронутым системам — заблокировать учетные записи, отключить сервисы, изменить пароли, отозвать ключи.

Как реализована защита персональных данных в HRBOX

При выборе HRM-платформы (платформы для управления сотрудниками) важно понимать, как в ней организована защита персональных данных — особенно в свете ужесточения законодательства. Рассказываем, как построена безопасность в HRBOX на разных уровнях: от архитектуры до управления доступом.

Локализация в РФ и шифрование данных

Инфраструктура HRBOX полностью расположена в российском облаке — все серверы для обработки персональных данных находятся в Москве. Потоки данных между клиентами и сервером защищены многоуровневой системой изоляции:

для каждой организации и ее экземпляра портала генерируются уникальные ключи шифрования,
данные в cookies (фрагменты данных о посещении веб-сайтов) шифруются индивидуально для каждого пользователя

Такая архитектура минимизирует риски межсайтового скриптинга (внедрения кода) и несанкционированного доступа к информации.

Управление доступом и авторизация

Полный доступ к компонентам системы имеет только ограниченное число специалистов HRBOX, у которых есть законное основание и необходимые компетенции для администрирования поддержания работоспособности системы.

В самой платформе реализовано разграничение прав по принципу минимальных привилегий. Мы поддерживаем различные способы авторизации:

единый вход (SSO) — доступ ко всем сервисам после одного логина;
Open Authorization (OAuth) — протокол для безопасной авторизации через сторонние сервисы (Google, Yandex и др.);
LDAP и служба федерации Active Directory (AD FS) — технологии для подключения к корпоративной системе учётных записей сотрудников.

Локальное размещение (On-premise) — решение для максимальной изоляции

Мы понимаем, что у некоторых клиентов могут быть повышенные требования к информационной безопасности — например, полная изоляции от внешних систем. В таком случае мы предлагаем решение On-premise. В этом сценарии весь комплекс HRBOX разворачивается не в облаке Selectel, а в ЦОД клиента или на его личных серверах.

Типовая схема взаимодействия в On-premise

Преимущества On-premise HRBOX

Полностью закрытый контур внутри инфраструктуры заказчика
Возможность полного отключения внешнего доступа
Интеграция с любыми сертифицированными средствами защиты
Совместимость с российскими ОС и большинством дистрибутивов Linux

Такой подход позволяет вписать HRBOX в существующую безопасную среду организации и обеспечить максимальную защиту от утечек данных в соответствии с новыми требованиями законодательства.

Получите контроль над HR-процессами

Подключите платформу HRBOX в облаке в соответствии с 152-ФЗ или разместите ее на собственных серверах с максимальной безопасностью и гибкостью настроек. Личный менеджер расскажет обо всех опциях и поможет подобрать подходящее решение.