Персональные данные 2026: что должен знать каждый бухгалтер

Защита персональных данных стала одним из ключевых вызовов для российского бизнеса. Каждый день бухгалтеры обрабатывают огромные массивы персональных данных сотрудников, контрагентов, клиентов. При этом законодательство постоянно ужесточается, а штрафы достигают критических для малого и среднего бизнеса размеров. Эта статья поможет разобраться в актуальных требованиях и избежать дорогостоящих ошибок.

С 30 мая 2025 года вступили в силу серьёзные изменения в штрафах и санкциях за нарушения в области персональных данных. Для микро и малого бизнеса самое важное изменение касается штрафов за неуведомление или уведомление Роскомнадзора об обработке персональных данных с опозданием.

Неуведомление означает, что ИП, организация или самозанятый в принципе не подавали уведомления и, соответственно, Роскомнадзор не поставил их в реестр персональных данных. Уведомление с опозданием означает, что даже если уведомление было когда-то подано, но после этого произошли изменения в обработке персональных данных или изменения в законодательстве, а новое уведомление не было подано в установленный срок.

Штрафы за неуведомление увеличились с 5 000 рублей до 50 000 рублей для индивидуальных предпринимателей и до 300 000 рублей для организаций. При этом важно помнить: уведомление должно быть подано не позднее 15 дней с окончания месяца, в котором произошли изменения.

Штрафы за обработку персональных данных без согласия составляют 700 000 рублей, а за повторное нарушение — до 1,5 млн рублей. Эти штрафы действуют уже более года, но их размер по-прежнему критичен для малого бизнеса.

По статистике, 70% компаний, подавших уведомления, всё равно допускают серьёзные нарушения в работе с персональными данными. Первое заблуждение связано с тем, что многие считают: подал уведомление в Роскомнадзор — и все проблемы решены. На самом деле часто в уведомлениях не указаны все цели обработки данных, которые фактически осуществляются в организации, не указаны все категории субъектов персональных данных, есть несоответствие по объёму персональных данных для заявленных целей.

Например, для целей кадрового и бухгалтерского учёта работников часто запрашиваются избыточные сведения: данные о нескольких банковских счетах работника, избыточные данные о доходах, сведения о семейном положении в объёме, превышающем необходимый для налогового учёта, копии документов всех членов семьи для предоставления стандартных вычетов.

Второе заблуждение — «чем больше согласий, тем лучше». Закон 152-ФЗ нечётко определяет случаи, когда согласие необходимо, а когда нет. Избыточный сбор согласий может трактоваться как нарушение принципа минимизации обработки персональных данных. Сам текст согласия может служить доказательством нарушения, когда в согласии указаны избыточные данные.

Третье заблуждение касается использования типовых политик из интернета. Роскомнадзор легко выявляет случаи, когда политика не отражает реальных процессов организации. Политика должна быть адаптирована под конкретные условия — не может быть универсального шаблона, подходящего под все случаи жизни.

При проверках Роскомнадзор в первую очередь сверяет данные, которые есть в реестре, с политикой персональных данных и фактическим положением дел в организации. Проверяющие изучают, как собираются данные в организации, берётся ли согласие и с каких субъектов персональных данных, соответствует ли фактическая обработка заявленным целям.

Особое внимание уделяется документообороту. Должны быть в наличии политика обработки персональных данных, положения о работе с данными работников и клиентов, корректные шаблоны согласий. Проверяется также реализация технических мер защиты — от ограничения доступа к помещениям до наличия актуального антивирусного ПО.

Типичные нарушения включают расхождения между уведомлением в реестре и политикой обработки, хранение персональных данных уволенных сотрудников вместе с данными действующих, отсутствие разграничения доступа к информационным системам.

Начать следует с аудита текущего состояния. Зайдите в реестр операторов персональных данных на сайте Роскомнадзора и сверьте данные в реестре с фактическими процессами в организации. Проверьте актуальность целей обработки, категорий субъектов и объёма обрабатываемых данных. Составьте перечень всех процессов, где обрабатываются персональные данные, определите категории субъектов и проанализируйте объём собираемых данных на соответствие целям обработки.

Следующий этап — работа с документацией. Политика обработки персональных данных должна описывать реальные процессы и идти в связке с уведомлением. Роскомнадзор часто выявляет расхождения между уведомлением в реестре и данными в политике. Политика — это документ, в котором более широко и подробно расписаны данные, предоставлявшиеся в уведомлении.

Техническая защита для микро и малого бизнеса не требует избыточного усердствования. Достаточно организовать замки в помещениях, ограничение доступа к архивам с персональными данными, отдельное хранение документов уволенных сотрудников, разграничение доступа к информационным системам, актуальное антивирусное ПО и регулярное резервное копирование.

При работе с документами сотрудников важно помнить, что хранение копий документов является частой претензией как Роскомнадзора, так и трудовой инспекции. Получить необходимую информацию можно, взяв копию, переписав эти данные в свои документы и уничтожив копию — не нужно её в принципе хранить.

Документы уволенных сотрудников храните отдельно от документов действующих работников. Срок хранения составляет 75 лет для документов, созданных до 2003 года, и 50 лет — для созданных после. Даже при отзыве согласия работником вы имеете право хранить его данные в течение установленного законом срока.

При передаче данных в налоговую инспекцию дополнительное согласие работника не требуется, но включать нужно только те персональные данные, которые предусмотрены формой отчета.

Защита персональных данных — это не просто формальность, а критически важная составляющая работы современного бухгалтера. В условиях многократного роста штрафов правильно выстроенная система защиты персональных данных становится вопросом финансового выживания для малого и среднего бизнеса.

Ключевые принципы успешной работы с персональными данными: системность — все процессы должны быть документированы и соответствовать уведомлению в Роскомнадзоре; актуальность — регулярно проверяйте соответствие документов фактическим процессам; адекватность — меры защиты должны соответствовать реальным угрозам, без избыточного усложнения; минимизация — собирайте и обрабатывайте только те данные, которые действительно необходимы для достижения заявленных целей.

Помните: лучше потратить время на правильную организацию работы с персональными данными сейчас, чем столкнуться с многотысячными штрафами и репутационными потерями в будущем.