ПДн клиентов в договорах и актах: где возникают, как ограничить доступ и срок хранения

Практическое руководство для юристов, ИБ-специалистов и руководителей в условиях новых штрафов 2025–2026

Почему это больше не «бумажный» вопрос

Каждый раз, когда компания подписывает договор с физическим лицом — клиентом, физлицом-ИП, физлицом-поставщиком — она начинает обрабатывать его персональные данные. Фамилия, имя, отчество, паспортные данные, адрес, ИНН: всё это персональные данные по смыслу статьи 3 Федерального закона № 152-ФЗ «О персональных данных» [1].

До недавнего времени многие организации относились к договорным ПДн как к формальности: подписал, убрал в папку, забыл. Но несколько факторов за последние два года изменили ситуацию кардинально.

Во-первых, с 30 мая 2025 года вступили в силу поправки в КоАП РФ (Федеральный закон от 30.11.2024 № 420-ФЗ), которые подняли штрафы за нарушения в области ПДн почти в три раза. Для организаций минимальный штраф по общему составу составляет уже 150–300 тыс. руб., а максимальный штраф за массовую утечку достигает 500 млн руб. [7]. Это не абстрактные цифры: Роскомнадзор системно проводит проверки, а число судебных дел по статье 13.11 КоАП растёт ежегодно.

Во-вторых, с 1 сентября 2025 года вступил в силу Федеральный закон от 24.06.2025 № 156-ФЗ, который принципиально изменил порядок получения согласия на обработку ПДн. Согласие теперь нельзя «зашить» в договор — оно должно быть отдельным документом. Это перекроило привычные шаблоны договоров у сотен тысяч российских компаний [5].

В-третьих, бизнес стал значительно сложнее: CRM, 1С, электронный документооборот, облачные архивы — договорные данные сегодня живут не в одном шкафу, а в десятках систем. Контролировать их вручную невозможно.

Эта статья — для тех, кто хочет разобраться в том, где именно в договорах концентрируются ПДн, как законно ограничить к ним доступ и что делать с данными после того, как договор исполнен.

Где именно возникают ПДн в договорах и актах

Стандартные поля в типовом договоре

Казалось бы, состав реквизитов сторон в любом договоре — стандартный и минимальный. Но даже в нём легко насчитать восемь и более полей с персональными данными физического лица:

1. Фамилия, имя, отчество — основной идентификатор субъекта ПДн.
2. Дата рождения — нередко указывается в преамбуле для однозначной идентификации.
3. Паспортные данные: серия, номер, дата выдачи, орган выдачи — классический пример ПДн общей категории.
4. Адрес регистрации и/или проживания.
5. ИНН физического лица — идентификатор для налоговых и платёжных операций.
6. Номер телефона и адрес электронной почты.
7. Банковские реквизиты (номер счёта, название банка) — в договорах с оплатой на счёт физлица.
8. СНИЛС — нередко присутствует в договорах подряда с физлицами для расчёта страховых взносов.

Практика показывает, что компании нередко перегружают договоры избыточными сведениями: просят указать второй телефон, место работы, сведения о супруге — данные, которые совершенно не нужны для исполнения конкретной сделки. Это прямое нарушение принципа минимизации [2].

Акты выполненных работ и первичная документация

В актах выполненных работ (оказанных услуг), актах приёма-передачи, накладных — в «закрывающих» документах к договору — ПДн, как правило, воспроизводятся в упрощённом виде: ФИО заказчика, его должность (если он действует как представитель), подпись. Но именно здесь возникает первый практический риск.

Акты часто хранятся в бухгалтерии отдельно от договоров и на других носителях. В результате ПДн одного и того же человека «живут» в нескольких местах с разными сроками хранения и разными уровнями доступа. Бухгалтер видит акты, юрист — договор, архив — то и другое. При этом ни одна из этих систем может не знать о существовании данных в другой.

Приложения, заявки, анкеты клиентов

Договор — это только вершина айсберга. Нередко к нему прилагаются анкеты, заявки, опросные листы, коммерческие предложения под конкретного клиента. Все они могут содержать дополнительные ПДн:

1. Сведения о семейном положении и иждивенцах — в ипотечных, страховых и потребительских договорах.
2. Сведения о здоровье — в медицинских договорах (специальная категория ПДн, требующая особой защиты).
3. Биометрические данные — фото для пропусков, сканы документов.
4. История предыдущих сделок, кредитная история — в финансовых продуктах.

Ключевая практическая проблема: при масштабировании бизнеса шаблоны документов копируются без пересмотра с точки зрения минимизации ПДн. В итоге за пять лет компания накапливает гигабайты избыточных данных о клиентах — и несёт за них полную ответственность как оператор [1].

Правовое основание обработки: когда согласие не нужно

Исполнение договора как самостоятельное основание

Один из самых популярных мифов в корпоративной среде — убеждение, что для обработки любых ПДн нужно брать согласие клиента. На практике это не так.

Пункт 5 части 1 статьи 6 152-ФЗ прямо устанавливает: обработка допускается без согласия субъекта, если она необходима для исполнения договора, стороной которого является этот субъект, а также для заключения договора по его инициативе [3].

Роскомнадзор в своих официальных разъяснениях подтверждает: согласие не нужно, если данные обрабатываются исключительно в целях исполнения конкретного договора с физическим лицом и не передаются третьим лицам без его согласия [13].

ГАРАНТ.РУ применительно к договорам поставки и оказания услуг с физлицами-ИП резюмирует: ПДн контрагентов могут обрабатываться без согласия и без уведомления Роскомнадзора при соблюдении двух условий — данные используются только для исполнения договора и не распространяются третьим лицам [12].

Это важная льгота, но у неё есть чёткие границы. Условия для её применения следующие:

1. Цель обработки — исключительно исполнение и заключение договора с этим конкретным субъектом.
2. Данные не предоставляются и не распространяются третьим лицам без согласия субъекта.
3. Объём обрабатываемых ПДн не избыточен относительно цели договора.

Если хотя бы одно из этих условий нарушено — например, вы передаёте данные клиента подрядчику для доставки, рекламному партнёру или включаете адрес в базу для рассылок — договорного основания уже недостаточно, и нужно либо согласие, либо иное законное основание [1].

Что меняет 2025 год: согласие — отдельный документ

До сентября 2025 года многие компании практиковали удобный способ: включали пункт о согласии на обработку ПДн прямо в текст договора. Клиент подписывал договор — автоматически давал согласие. Теперь эта практика под запретом.

Федеральный закон от 24.06.2025 № 156-ФЗ внёс изменения в часть 1 статьи 9 152-ФЗ: согласие на обработку персональных данных должно быть оформлено в виде отдельного документа, не объединённого с другими [5]. Цель изменения — обеспечить осознанность субъекта: человек должен понимать, что именно он подписывает.

Нарушение нового требования влечёт административную ответственность: для организаций и ИП штраф составляет 300–700 тыс. руб., для должностных лиц — до 300 тыс. руб. [5].

На практике это означает пересмотр всех договорных шаблонов, включая типовые договоры оказания услуг, договоры купли-продажи с физлицами, договоры подряда, участия в программах лояльности. Согласие должно быть отдельным листом с подписью или отдельным электронным документом с ЭЦП.

Принцип минимизации: как не собирать лишнего

Что такое избыточность и как её избежать

Статья 5 152-ФЗ закрепляет принцип: содержание и объём обрабатываемых ПДн должны соответствовать заявленным целям обработки, а сами данные не должны быть избыточными по отношению к этим целям [2].

На языке практики: если для доставки заказа вам нужен адрес и телефон клиента — незачем запрашивать дату рождения и паспортные данные. Если договор подряда с физлицом требует ФИО и банковских реквизитов — незачем запрашивать сведения о семейном положении.

Нарушение принципа минимизации само по себе является основанием для штрафа по части 1 статьи 13.11 КоАП (общий состав): для организаций — 150–300 тыс. руб. [7].

Практический подход к аудиту договорных шаблонов на предмет избыточности:

1. Для каждого поля с данными задайте вопрос: «Невозможно исполнить договор без этой информации?»
2. Если ответ отрицательный — поле убирается или переносится в отдельное добровольное согласие.
3. Проверьте все приложения, анкеты и дополнительные соглашения — там избыточность встречается чаще, чем в основном теле договора.
4. Зафиксируйте результат в матрице персональных данных: какой документ, какие поля, для какой цели, на каком основании.

Privacy by Design на практике

Концепция Privacy by Design (PbD) — это архитектурный подход, при котором требования к защите ПДн встраиваются в бизнес-процессы и технические системы с самого начала, а не «навешиваются» снаружи после их запуска [64].

Применительно к договорной документации это означает следующее:

1. Шаблоны договоров разрабатываются или пересматриваются с участием юриста, знакомого с 152-ФЗ, и только с теми полями, которые необходимы.
2. В CRM и системах электронного документооборота (ЭДО) права доступа к полям с ПДн ограничиваются на уровне архитектуры системы, а не только инструкцией.
3. Сроки хранения договоров задаются автоматически в системе архивирования — по истечении срока система инициирует процедуру уничтожения.
4. Новые поля в базах данных, новые типы приложений к договорам проходят обязательный privacy-review до запуска в продуктив.

Privacy by Default — смежная концепция: настройки обработки ПДн по умолчанию должны быть максимально ограничивающими [64]. Для договорных систем это значит: по умолчанию поля с ПДн видны только тем, кому они нужны для работы.

Как ограничить доступ к ПДн в договорных документах

Ролевая модель доступа (RBAC)

Ролевая модель управления доступом (Role-Based Access Control, RBAC) — наиболее распространённый в корпоративной среде подход: права доступа привязываются к ролям, а не к конкретным пользователям [16]. Для работы с договорными ПДн типичная матрица ролей выглядит так:

1. Менеджер по продажам — видит ФИО и контактные данные клиента, не видит паспортных данных и ИНН.
2. Юрист — видит полный текст договора, включая реквизиты сторон.
3. Бухгалтер — видит банковские реквизиты и ИНН, необходимые для платёжных документов.
4. Архив — видит документы по истечении срока активной работы, без права редактирования.
5. ИТ-администратор — видит только метаданные и структуру файлов, не содержимое ПДн.
6. Руководитель — видит сводную информацию, доступ к «сырым» данным по запросу.

Принцип минимального доступа (least privilege) — ключевой: сотрудник получает ровно столько прав, сколько необходимо для выполнения конкретных обязанностей [42].

Реализовать RBAC в контексте договорной документации можно через ECM/СЭД-системы (Directum, ELMA, 1С:ДО), через настройки CRM, а также через файловые хранилища с разграничением прав доступа на уровне папок.

Важный организационный момент: 5–10% прав в RBAC-модели всегда будут индивидуальными — для случаев, когда сотрудник работает в нескольких ролях или участвует в специфическом проекте [49]. Такие права должны фиксироваться и периодически пересматриваться.

Маскирование и псевдонимизация

Маскирование (data masking) — техника, при которой реальные значения ПДн заменяются нечитаемыми или частично скрытыми символами при отображении пользователю, не имеющему полного доступа [47]. Пример: номер паспорта 4510 123456 в интерфейсе бухгалтерии отображается как * 123456, а в аналитических отчётах — как .

Псевдонимизация — замена прямых идентификаторов (ФИО, паспорт) на искусственные токены, при этом обратное сопоставление возможно только при наличии отдельного ключа, хранящегося под усиленной защитой.

Обе техники полезны в нескольких сценариях:

1. Тестирование новых версий CRM или ЭДО на «живых» данных — вместо реальных ПДн используются маскированные копии.
2. Аналитические задачи — когда бизнес-аналитику нужна статистика по договорам, а не конкретные данные клиентов.
3. Аутсорсинг процессов — подрядчику передаётся маскированный набор данных, из которого нельзя восстановить реальные ПДн.

DLP и контроль каналов передачи

Система предотвращения утечек данных (Data Loss Prevention, DLP) — это технология, которая отслеживает и блокирует несанкционированную передачу конфиденциальной информации по каналам связи: email, мессенджеры, внешние носители, облачные хранилища [51].

Применительно к договорным ПДн DLP особенно важна в следующих сценариях:

1. Сотрудник пересылает скан договора с паспортными данными клиента на личную почту.
2. Бухгалтер выгружает реестр договоров с ФИО клиентов в Excel и копирует на флешку.
3. Менеджер переписывает данные клиента в мессенджер, чтобы «быстро передать коллеге».

DLP-системы умеют распознавать структурированные паттерны ПДн: серии и номера паспортов, СНИЛС, ИНН, банковские карты через регулярные выражения [48]. Это позволяет автоматически блокировать или логировать операции с договорными документами, содержащими чувствительные данные.

Важно понимать: DLP — последний рубеж обороны, а не единственная мера защиты [47]. Эффективная система защиты строится как экосистема: RBAC ограничивает доступ, маскирование снижает ущерб от ошибок, DLP перехватывает то, что прошло сквозь первые два барьера.

Сроки хранения: сложный баланс 152-ФЗ и архивного права

Общий принцип 152-ФЗ

Часть 7 статьи 5 152-ФЗ устанавливает ключевое правило: ПДн должны храниться не дольше, чем этого требуют цели обработки, если иной срок не установлен федеральным законом или договором [1]. По достижении цели обработки данные подлежат уничтожению или обезличиванию.

На практике это создаёт коллизию с архивным законодательством. Согласно части 2 статьи 1 152-ФЗ, его действие не распространяется на отношения по организации хранения документов Архивного фонда и иных архивных документов в соответствии с законодательством об архивном деле [18]. То есть архивные сроки хранения имеют приоритет над требованием немедленного уничтожения ПДн по 152-ФЗ.

Архивный перечень Росархива № 236

Основным ориентиром для сроков хранения служит Перечень типовых управленческих архивных документов, утверждённый приказом Федерального архивного агентства от 20.12.2019 № 236 (в редакции 2021 года) [9]. Этот документ задаёт конкретные сроки для каждой категории.

Конкретные категории документов и сроки

На основе 152-ФЗ [1], архивного перечня № 236 [9, 15] и отраслевых норм [11, 12] можно выделить следующие ориентиры:

1. Гражданско-правовые договоры с физическими лицами — 5 лет с момента истечения срока действия или исполнения обязательств (ст. 196 ГК РФ — срок исковой давности).
2. Акты выполненных работ, оказанных услуг — 5 лет (Перечень № 236 как первичные учётные документы).
3. Трудовые договоры и кадровые документы — 50 лет для документов, законченных делопроизводством после 01.01.2003 (ст. 22.1 Федерального закона об архивном деле) [15].
4. Акты о несчастных случаях на производстве — 45 лет (ТК РФ, ст. 230) [11].
5. Информация о бенефициарах организации — не менее 5 лет с даты получения (115-ФЗ, ст. 6.1) [11].
6. Контактные данные акционеров — 5 лет с даты проведения общего собрания акционеров (208-ФЗ, ст. 52) [11].
7. Согласие на обработку ПДн — 3 года после окончания срока его действия [14].
8. Журналы аудита операций с ПДн — 3 года с момента завершения работы с документами [14].
9. Документы для защиты интересов в суде — в течение срока исковой давности, то есть 3–10 лет (ГК РФ, ст. 196) [11].

Практический вывод: срок хранения ПДн в договоре не определяется автоматически датой окончания договора. Нужно смотреть на тип документа, применимое отраслевое законодательство и исковые риски. Во многих случаях компания обязана хранить договор с ПДн ещё несколько лет после его исполнения.

Процедура уничтожения ПДн: пошаговый порядок

Основания и сроки уничтожения

Статья 21 152-ФЗ и Приказ Роскомнадзора от 28.10.2022 № 179 устанавливают обязательную процедуру подтверждения уничтожения ПДн [15]. Основания для уничтожения:

1. Достижение цели обработки ПДн (например, истечение срока договора и всех сроков хранения) — уничтожение в течение 30 рабочих дней [53].
2. Отзыв субъектом согласия на обработку ПДн — также 30 рабочих дней [53].
3. Выявление факта неправомерной обработки ПДн — уничтожение в течение 10 рабочих дней [58].
4. Если немедленное уничтожение невозможно — блокировка и уничтожение в срок не более 6 месяцев [58].

Практика: шредер, электронные носители, акт

Процедура уничтожения включает следующие шаги [52, 54]:

1. Создание комиссии (минимум 3 человека) — приказом руководителя.
2. Инвентаризация документов с истёкшим сроком хранения — составление перечня.
3. Уничтожение бумажных носителей — шредером или сжиганием так, чтобы информация не могла быть восстановлена. Разрешено привлечение специализированной организации на основании договора.
4. Уничтожение электронных носителей — надёжное удаление данных с последующей физической деформацией носителя.
5. Составление акта об уничтожении ПДн — обязательного документа согласно Приказу РКН № 179 [15].

Акт об уничтожении должен содержать [54]:

1. Наименование и адрес оператора.
2. ФИО, должность лица, уничтожившего ПДн, и подпись.
3. Перечень категорий уничтоженных ПДн.
4. Наименование уничтоженного носителя с указанием количества листов (для бумажных) или наименование информационной системы (для электронных).
5. Способ, причину и дату уничтожения.

После уничтожения направляются два уведомления: физическому лицу — владельцу ПДн и в Роскомнадзор [52].

Практический чек-лист для бизнеса

Ниже — минимальный набор мер, который снижает правовые риски при работе с договорными ПДн:

1. Провести аудит договорных шаблонов: убрать все поля с ПДн, без которых нельзя исполнить договор.
2. Разделить согласие на обработку ПДн и текст договора (требование с 01.09.2025) [5].
3. Составить реестр ПДн: какие данные, в каких системах, с каким основанием, кто владелец.
4. Настроить ролевую модель доступа в CRM, ЭДО, архивной системе — по принципу минимального доступа [16].
5. Утвердить положение о сроках хранения договорных документов с учётом архивного перечня № 236 и отраслевых норм [9].
6. Внедрить процедуру плановой экспертизы документов по истечении срока хранения.
7. Разработать и утвердить форму акта уничтожения ПДн в соответствии с Приказом РКН № 179 [15].
8. Уведомить Роскомнадзор о начале обработки ПДн, если организация ещё не стоит в реестре операторов (штраф за неуведомление — 100–300 тыс. руб. для организаций с 30.05.2025) [6, 26].
9. Рассмотреть внедрение DLP-решения для контроля передачи договорных документов по внешним каналам [51].
10. Провести обучение сотрудников, работающих с договорными ПДн: юристов, бухгалтеров, менеджеров.

Типичные ошибки и как их избежать

На основе практики проверок Роскомнадзора и анализа судебных дел по ст. 13.11 КоАП можно выделить несколько системных ошибок.

Ошибка 1: согласие в тексте договора. До 01.09.2025 это было спорной, но широко распространённой практикой. После — прямое нарушение закона со штрафом до 700 тыс. руб. [5]. Как избежать: пересмотрите все шаблоны договоров, вынесите согласие в отдельный документ.

Ошибка 2: хранение ПДн «на всякий случай». Принцип «мало ли пригодятся» противоречит 152-ФЗ. После истечения срока хранения документы должны уничтожаться по процедуре [1]. Как избежать: автоматизируйте напоминания о сроках хранения в ECM-системе.

Ошибка 3: передача договоров подрядчикам без оформления поручения. Если вы передаёте договоры с ПДн клиентов бухгалтерской аутсорсинговой компании или юридическому консультанту, это юридически является передачей ПДн третьему лицу [3]. Без договора-поручения и, как правило, без согласия субъекта — нарушение. Как избежать: заключите договор поручения на обработку ПДн с каждым подрядчиком, который получает доступ к договорным данным клиентов.

Ошибка 4: избыточные права доступа сотрудников. «Все видят всё» — типичная ситуация в небольших компаниях. Менеджер по продажам не должен видеть паспортные данные клиентов, а курьер — ИНН и банковские реквизиты. Как избежать: разграничьте доступ по ролям [16].

Ошибка 5: отсутствие документированной процедуры уничтожения ПДн. Если при проверке Роскомнадзор выявит, что документы с ПДн хранятся сверх установленных сроков без причины и без процедуры уничтожения — это основание для штрафа [52]. Как избежать: утвердите положение и форму акта уничтожения.

Ошибка 6: хранение ПДн за пределами РФ. С 1 июля 2025 года вступила в силу норма, запрещающая хранение ПДн граждан России с использованием баз данных, расположенных за рубежом (Федеральный закон от 28.02.2025 № 23-ФЗ) [19]. Если ваша CRM или ЭДО размещены на зарубежных серверах — это нарушение.

Что будет дальше: тренды 2025–2026

Несколько изменений, которые уже приняты или находятся на стадии реализации, повлияют на работу с договорными ПДн в ближайшие годы.

Во-первых, с 1 сентября 2025 года все операторы ПДн обязаны передавать обезличенную информацию в государственную геоинформационную систему (ГИС) — в соответствии с Федеральным законом от 08.08.2024 № 233-ФЗ [20]. Это создаёт для компаний дополнительные технические требования к обезличиванию данных.

Во-вторых, приказ Роскомнадзора № 140 от 19.06.2025 вводит новые требования и методы обезличивания ПДн [9]. Это означает, что компании, использующие обезличивание как альтернативу уничтожению, должны привести свои методы в соответствие с новыми стандартами.

В-третьих, Правительство РФ дало поручение разработать требования к обязательному использованию российского ПО для хранения и обработки ПДн граждан РФ — изменения планировались до конца 2025 года [10]. Для компаний, хранящих договорные базы на зарубежных платформах, это означает необходимость планировать миграцию.

Наконец, продолжается ужесточение уголовной ответственности. Согласно статье 272.1 УК РФ, за незаконный сбор, хранение и использование ПДн предусмотрено лишение свободы до 4 лет, а при наличии квалифицирующих признаков (биометрия, данные детей, крупный ущерб, корыстная заинтересованность) — до 6 лет [29].

Как автоматизировать контроль ПДн в договорных системах

Хранение договоров с ПДн клиентов в разрозненных системах — один из главных источников нарушений. Бухгалтерия хранит акты в 1С, юрист — договоры в Outlook, менеджер — в CRM, а архив — на сетевом диске. При таком подходе невозможно ответить на базовые вопросы: где именно хранятся ПДн конкретного клиента, истёк ли срок их хранения, кто имеет к ним доступ.

Технологически задача решаема. Современные ECM-системы позволяют задавать сроки хранения документов на уровне типа и автоматически инициировать экспертизу по истечении срока. DLP позволяет контролировать попытки несанкционированной передачи договорных данных. Система управления правами доступа (IAM/IDM) обеспечивает RBAC на уровне всей ИТ-инфраструктуры.

Однако для полноценного контроля над ПДн в корпоративных системах — базах данных, почте, CRM, 1С — нужен инструмент, который видит не отдельные документы, а всю «карту данных» целиком: где и какие ПДн хранятся, кто владелец, что изменилось, какие поля появились в новых сервисах.

Именно эту задачу решает платформа Пятый фактор. Это on-prem решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах — БД, хранилищах, почте, AD/LDAP, CRM, 1С, API. Принципиальная особенность: платформа работает с метаданными, структурой и агрегатами, не передавая и не сохраняя «сырые» значения ПДн. Это значит, что само по себе решение не становится новым источником риска.

Для тех, кто управляет договорными ПДн, «Пятый фактор» решает конкретные проблемы:

1. Даёт живую «карту ПДн» — актуальную картину того, где и какие данные хранятся в корпоративных системах, кто является владельцем каждого источника.
2. Обнаруживает новые риски раньше, чем они становятся инцидентами: новые поля в базе данных CRM, новые интеграции с подрядчиками, изменения в структуре хранилища договоров.
3. Сокращает время аудита: вместо ручного обследования десятков систем — автоматизированная инвентаризация, которую можно запустить регулярно.
4. Повышает готовность к проверкам Роскомнадзора: компания в любой момент может предъявить актуальный реестр обрабатываемых ПДн с источниками, категориями и владельцами.

В условиях, когда штрафы выросли кратно, а ИТ-ландшафт компании постоянно меняется — новые сервисы, интеграции, подрядчики — непрерывный автоматизированный контроль становится не роскошью, а гигиенической нормой.

Заключение

Персональные данные в договорах и актах — это не абстрактная юридическая конструкция, а конкретная ответственность, которая возникает в момент подписания любого договора с физическим лицом.

В 2025–2026 годах ставки резко выросли: штрафы увеличились кратно, появились оборотные санкции, введено требование об отдельном согласии, ужесточилась уголовная ответственность. При этом ИТ-ландшафт большинства компаний продолжает усложняться — данные расползаются по системам, а ручной контроль перестаёт работать.

Что делать дальше — три конкретных шага:

1. Провести аудит договорных шаблонов и систем хранения — найти, где живут ПДн клиентов, и устранить избыточность.
2. Привести документы в соответствие с требованиями 2025 года — отдельное согласие, политика хранения, процедура уничтожения.
3. Автоматизировать мониторинг — внедрить инструменты, которые будут обнаруживать новые риски раньше, чем они станут поводом для штрафа.

Закон о персональных данных — живой документ. Только за 2024–2025 годы в него были внесены поправки несколькими федеральными законами. Следить за изменениями, перестраивать процессы и обновлять технические меры — это не разовый проект, а постоянный операционный процесс.

Источники

[1] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ред. от 24.06.2025 — https://www.consultant.ru/document/cons_doc_LAW_61801/

[2] Ст. 5 152-ФЗ: Принципы обработки персональных данных — https://legalacts.ru/doc/152_FZ-o-personalnyh-dannyh/glava-2/statja-5/

[3] Ст. 6 152-ФЗ: Условия обработки персональных данных — КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_61801/315f051396c88f1e4f827ba3f2ae313d999a1873/

[4] Ст. 9 152-ФЗ: Согласие субъекта ПДн — КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_61801/6c94959bc017ac80140621762d2ac59f6006b08c/

[5] Согласие на обработку ПДн с 1 сентября 2025 года — ГАРАНТ.РУ — https://www.garant.ru/article/1862510/

[6] КоАП РФ, ст. 13.11. Штрафы за нарушения ПДн с 30.05.2025 — КонсультантПлюс — https://www.consultant.ru/legalnews/28492/

[7] Штрафы за нарушения в области персональных данных с 30 мая 2025 — data-sec.ru — https://data-sec.ru/personal-data/fines/

[8] Увеличение штрафов за нарушение ПДн с 30 мая 2025 года (it-pnk.ru) — https://it-pnk.ru/news/uvelichenie-shtrafov-pd/

[9] Срок хранения персональных данных — КонсультантПлюс — https://www.consultant.ru/law/podborki/srok_hraneniya_personalnyh_dannyh/

[10] Планируемые изменения 152-ФЗ — sec.ussc.ru — https://sec.ussc.ru/152fz-changes

[11] Законные сроки хранения категорий ПДн — RPPA — https://rppa.pro/ask/2011_01

[12] Обработка ПДн контрагентов без согласия — ГАРАНТ.РУ — https://www.garant.ru/consult/business/506275/

[13] Роскомнадзор: обращения в сфере ПДн (официальные разъяснения) — https://26.rkn.gov.ru/p8926/p10713/

[14] Положения о сроках хранения ПДн по 152-ФЗ — pod-ft.ru — https://pod-ft.ru/baza-znaniy/sroki-khraneniya-personalnykh-dannykh-po-152-fz/

[15] Приказ Роскомнадзора от 28.10.2022 № 179 (требования к акту уничтожения) — https://www.consultant.ru/law/podborki/unichtozhenie_personalnyh_dannyh/

[16] Методы разграничения доступа: RBAC и ABAC — glabit.ru — https://glabit.ru/blog/metody-razgranicheniya-dostupa

[17] DLP: маловато будет — защита ПДн на протяжении жизненного цикла — itsec.ru — https://www.itsec.ru/articles/dlp-malovato-budet-zashchita-personalnyh-dannyh-na-protyazhenii-vsego-zhiznennogo-cikla

[18] Хранение и уничтожение документов с ПДн — audit-it.ru — https://www.audit-it.ru/articles/personnel/a112/1121473.html

[19] Новые правила работы с ПДн с 01.09.2025 — buh.alpha-soft.ru — https://buh.alpha-soft.ru/blog/novye-pravila-personalnye-dannye-2025-bukhgalter/

[20] Штрафы за персональные данные с 30 мая 2025 — arbitr-praktika.ru — https://www.arbitr-praktika.ru/article/2742-shtrafy-za-personalnye-dannye

[21] Privacy by Design и Privacy by Default — Хабр — https://habr.com/ru/companies/digitalrightscenter/articles/479514/

[22] Принципы обработки персональных данных — advgazeta.ru — https://www.advgazeta.ru/ag-expert/advices/obrabotka-personalnykh-dannykh-kak-ne-narushit-zakon/

[23] Уничтожение ПДн по новым правилам 2025 — pro-personal.ru — https://www.pro-personal.ru/article/1099460-20-m12-unichtojenie-personalnyh-dannyh

[24] Примерная форма акта об уничтожении ПДн — ГАРАНТ.РУ — https://base.garant.ru/55741772/

[25] Роль DLP-систем в защите данных — infars.ru — https://infars.ru/blog/rol-dlp-sistem-v-borbe-s-utechkami-dannykh/