Агентство социальной информации Агентство социальной информации
Новости
Новости
24.11.2025
21.11.2025
20.11.2025
Все новости
18+
Серии

Что нужно знать НКО о законе о персональных данных

Как правильно хранить персональные данные, что необходимо прописать в согласии на их обработку и какие штрафы грозят за нарушение закона, – разбирались вместе с юристом.

Дина Ивина·НКО-сектор, Права человека·24.11.2025
Фото: Huzeyfe Turan / Unsplash

Текст подготовлен совместно с юристом Марией Бойко

В 2025 году правила работы с персональными данными стали строже. Например, ужесточилась административная ответственность за утечку персональных данных и другие нарушения.

Для НКО это особенно важно: они ежедневно работают с данными подопечных, жертвователей, волонтеров, сотрудников. То есть выступают полноценными операторами персональных данных и несут такие же обязанности, как коммерческие структуры или государственные учреждения.

Правовые основы

Основной документ, регулирующий эту сферу, – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». 

Он определяет, что любой государственный орган, муниципальный орган, юридическое (в том числе НКО) или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, является их оператором. 

Что изменится для НКО с 1 сентября: новые законы, риски и подводные камни
Подробнее

Когда именно некоммерческая организация становится оператором персональных данных? 

Де-факто это происходит сразу после регистрации НКО, ведь в организации происходит работа с персональными данными учредителей, членов коллегиальных органов, руководителя, первых сотрудников, жертвователей и т.д. 

Де-юре – с момента подачи в Роскомнадзор уведомления о намерении осуществлять обработку персональных данных. 

До сих пор встречаются некоммерческие организации, которые такое уведомление в Роскомнадзор не направили. Юрист напоминает: если организация работает с персональными данными даже в минимальном объеме, то она является оператором персональных данных. А, значит, необходимо уведомить об этом уполномоченный орган. Сделать это можно онлайн с использованием специальной формы на сайте Роскомнадзора.

За несвоевременную подачу предусмотрен административный штраф, размер которого для юридических лиц составляет от 100 до 300 тысяч рублей. 

Также Федеральный закон «О персональных данных» устанавливает ключевые понятия, порядок обработки, требования к защите и ответственность, которые раскрываются в большом массиве других нормативных правовых актов. 

Важно! С 1 сентября 2025 года вступил в силу крупный пакет изменений: расширены обязанности операторов, уточнены требования к согласию субъектов, введены дополнительные правила для работы с обезличенными и биометрическими данными, а ответственность – как административная, так и уголовная – стала существенно жестче.

Согласие на обработку данных: что важно учесть

новые законы
Реклама, персональные данные, новые запреты: обзор законодательной практики
Подробнее

Согласие – это правовое основание для работы с персональными данными в НКО. Оно должно быть конкретным, предметным, информированным, сознательным и однозначным (ч. 1 ст. 9 ФЗ «О персональных данных»). 

До 1 сентября 2025 года согласие на обработку персональных данных могло быть оформлено в рамках договора, пользовательского соглашения, анкеты или заявления, чем часто пользовались некоммерческие организации.

Но после вступления в силу поправок к ФЗ «О персональных данных» требования изменились: согласие должно быть оформлено в виде отдельного документа, не объединенного с другими. При этом право получать согласие в любой (позволяющей подтвердить факт его получения) форме, если иное не установлено федеральным законом, остается неизменным. 

Что это значит для НКО? 

Если раньше при заключении договоров многие включали в их тексты раздел о работе с персональными данными, то сейчас это – незаконно. Согласие должно быть оформлено отдельно от основного договора. 

Для сайтов НКО (например, для форм сбора пожертвований) остается возможность получения согласия посредством проставления «галочки» в чек-боксе, но при соблюдении следующих правил: 

  • текст согласия на обработку персональных данных доступен для предварительного ознакомления и размещен отдельно от других документов; 
  • чек-бокс заполняет сам субъект персональных данных, заполнение «по умолчанию» не соответствует требованиям закона; 
  • текст согласия соответствует требованиям закона и актуализирован под конкретную ситуацию сбора персональных данных.
  • текст согласия на обработку специальных категорий персональных данных (к примеру, сведений о состоянии здоровья). Данное согласие должно быть получено отдельно от общего согласия на обработку персональных данных (их объединение нарушает закон) и обязательно в письменной форме.

Принципы обработки и обязанности НКО как оператора

Для некоммерческих организаций закон не предусматривает каких-то индивидуальных условий или послаблений в области работы с персональными данными.

Как оператор НКО обязана соблюдать требования, указанные в главе 4 Федерального закона «О персональных данных», и следовать базовым принципам обработки персональных данных (ст. 5 закона), а также соблюдать иные нормативные правовые акты в этой сфере.

pro bono юристы
Персональные данные, авторское право и документы: как волонтеры-юристы могут помочь НКО
Подробнее

Если этого не происходит, и организация допускает нарушения, предусмотрены разные виды ответственности:

1. Административная. В КоАП РФ установлены составы правонарушений в данной сфере, которые указаны в статье 13.11. Ответственность по ряду из них достаточно суровая: например, если организация обрабатывает специальные категории персональных данных без оформления отдельного согласия, то она может получить штраф в размере от 300 тысяч до 700 тысяч рублей (повторное нарушение – от 1 миллиона до 1,5 миллиона рублей), а за невыполнение требований по локализации баз данных – от 1 миллиона до 6 миллионов рублей и т.д.

2. Уголовная. В конце 2024 года у УК РФ была введена статья 272.1 «Неправомерный доступ к компьютерной информации». Она предусматривает ответственность за незаконное использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные, полученные путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо другим незаконным путем. Виды ответственности различные и зависят от состава. 

Фото: De an Sun / Unsplash

Права субъектов (жертвователей, подопечных, волонтеров)

Каждый человек, чьи данные обрабатывает НКО, имеет право:

  • получить полную информацию о том, какие данные собираются и зачем;
  • требовать исправления или удаления недостоверных данных;
  • ограничить обработку;
  • отозвать свое согласие;
  • узнать, кому и когда НКО передавала его данные.

Организация обязана обеспечить реальный механизм реализации этих прав – в разумные сроки, в понятной форме и в соответствии с требованиями, предъявляемыми законом.

Практические рекомендации для НКО

Совет № 1. Провести ревизию данных. Определить, какие персональные данные НКО собирает, на каком основании, где и как они хранятся, кто к ним имеет доступ.

Совет № 2. Обновить документы. Политика оператора в отношении обработки персональных данных, согласия, внутренние положения и регламенты – все эти документы должны соответствовать требованиям 2025 года.

возвращать пожертвования
Нужно ли НКО возвращать пожертвования по требованию доноров
Подробнее

Совет № 3. Организовать защищенное хранение. Для этого НКО может использовать современные средства защиты: ограничение доступа по ролям, шифрование, защищенные каналы передачи, локализация данных на серверах в РФ.

Совет № 4. Минимизировать лишние данные. Не стоит собирать персональные данные «про запас». Любая избыточная информация – дополнительный риск.

Совет № 5. Установить сроки хранения. Для большинства данных НКО нет необходимости хранить их годами: завершился проект – данные нужно удалить или обезличить.

Совет № 6. Обучать сотрудников. Больше всего нарушений совершается по незнанию. Инструктажи, памятки, внутренние регламенты обязательны.

Совет № 7. Проводить внутренний аудит. Регулярная проверка помогает выявить слабые места – как технические, так и организационные.

Совет № 8. Назначить ответственного за персональные данные. Этот сотрудник будет контролировать процессы, отслеживать изменения в законодательстве и отвечать за выполнение требований.

Юрист подчеркивает: для некоммерческих организаций обработка персональных данных – не просто формальность: это обязательство перед жертвователями, благополучателями, партнерами и государством. 

С учетом значительных изменений законодательства в 2025 году (новые формы согласия, усиленные штрафы и требования по хранению) рекомендуется действовать проактивно, выстраивая процессы защиты данных на опережение. Это укрепляет доверие и минимизирует возможные риски.

Материал подготовлен по проекту «Проводники социальных изменений», который реализуется Агентством социальной информации при поддержке Фонда президентских грантов.

Рекомендуем
18+
АСИ

Экспертная организация и информационное агентство некоммерческого сектора

Подписаться
Попасть в ленту

Как попасть в новости АСИ? Пришлите материал о вашей организации, новость, пресс-релиз, анонс события.

Прислать новость
Рассылка

Cамые свежие новости, лучшие материалы в вашем почтовом ящике

Подписаться

Мы используем файлы cookie и метрические программы. Продолжая работу с сайтом, вы соглашаетесь с Политикой обработки персональных данных

Хорошо
Прислать новость