Оглавление
Что изменилось в правилах работы с персональными данными в 2025 году
На остаток 2025 года не запланировано введение нового федерального закона, который бы изменил правила работы с персональными данными, закреплённые в № 152-ФЗ от 27.07.06. Однако в течение года уже произошли три изменения.
С 30 мая — новые штрафы за неуведомление Роскомнадзора
С 30 мая 2025 в КоАП ужесточаются санкции за нарушения в работе с ПД, поэтому до начала лета операторам нужно было поторопиться и подать в Роскомнадзор уведомление об обработке ПД, чтобы попасть в реестр.
Уведомление в Роскомнадзор подают 1 раз и впоследствии вносят коррективы при изменении сведений (например, ФИО ИП или юрадреса организации).
Исключений из новых правил нет ни для кого — физлицам (самозанятым и ИП) тоже нужно подавать уведомления в РКН. Как заполнить уведомление в РКН, рассказываем в отдельной статье.
С 1 июля — локализация персональных данных в России
1 июля 2025 года вступил в силу так называемый закон о локализации ПД, который запретил собирать ПД российских граждан на иностранных серверах.
Что нужно сделать предпринимателям — провести аудит и выяснить, где осуществляется сбор персональных данных: где расположены хостинг сайта и используемых сервисов (e-mail, чат-боты, аналитические сервисы и др.). Если сбор осуществляется за границей, то откажитесь от использования таких сервисов.
При этом передача данных за границу разрешается, но требуется отдельно оповестить Роскомнадзор — уведомление об обработке ПД при трансграничной передаче.
С 1 сентября — отдельное согласие на обработку ПД
С 1 сентября 2025 года требуется получать ясно выраженное согласие человека на обработку персональных данных (ОПД). Это касается всех, с кем собирается взаимодействовать фирма, — контрагентов, клиентов, сотрудников и др.
Больше нельзя включать согласие на обработку ПД в пользовательское соглашение или трудовой договор, нужно оформлять его самостоятельным документом (постановление правительства № 538 от 24.04.25). Также не допускается на сайте делать предустановленной галочку для подтверждения согласия, пользователь должен поставить её сам.
Что нужно сделать бизнесу — создать согласия на ОПД для новых контрагентов и работников в отдельных документах. Оформляют на каждую цель обработки, например, у сотрудников берут согласие с целью трудоустройства, а у клиентов для получения рассылки.
Если собираетесь передавать данные (например, курьерам для доставки) следует указывать конкретный круг лиц. Больше нельзя написать, что «данные могут быть предоставлены неопределённому кругу лиц».
Уже подписанные согласия на ОПД переоформлять не требуется.
Работа с персданными: что должен сделать предприниматель
Верный способ быть готовым к работе с персональными данными в 2025 году — провести аудит процессов и проверку на соответствие действующему законодательству и разъяснениям Роскомнадзора.
Работа с персданными — даём пошаговый план, который поможет снизить риски пристального внимания Роскомнадзора:
- Назначить ответственного за обработку ПД — этого человека нужно вписать в уведомление в Роскомнадзор: это может быть сам ИП, директор ООО или отдельный сотрудник.
- Разработать политику обработки персональных данных — документ должен быть готов до подачи уведомления. Можно взять пример из интернета, но нужно перечитать и переработать документ под деятельность компании. Информация должна соответствовать тому, что будет указано в уведомлении.
- Положение о работе с ПД — ещё один необходимый локальный акт, в котором описывают как компания взаимодействует с ПД.
- Уведомить Роскомнадзор об обработке персональных данных — вопреки распространенному мнению, сделать это несложно: форма уведомления есть на сайте ведомства, отправить документ можно не отходя от рабочего места (как заполнить уведомление в РКН рассказали в отдельной статье).
- Нужно получать согласия граждан на любую обработку ПД — на каждую цель должно быть самостоятельно согласие (например, на рассылку рекламных материалов, доставку товара). Утверждённой формы нет, разрабатывается индивидуально.
- Новые правила обязывают предпринимателей информировать РКН о неправомерных передачах персональных данных (если таковое вдруг произошло и стало об этом известно) — на это даётся 1 сутки. Затем нужно выяснить аспекты дела и отчитаться о результатах (если не сделать, будет штраф до 3 млн рублей).
Важно: нельзя отказывать в продаже товара или оказании услуги, если покупатель отказывается предоставить ПД.
Также нельзя включать в договор определённые условия (например, отказывать в оказании услуги без предоставления ПД), ограничивать выбор способа оплаты, возможность уменьшить неустойку.
За такие нарушения ввели отдельные штрафы.
Другие подробности о документах по персональным данным, которые должны быть у фирмы, а также что делать в связи со вступлением в силу новых положений законодательства, в нашей новости.
Штрафы за нарушение № 152-ФЗ
Предусмотрена административная и уголовная ответственность, но не только — человек, чьи права пострадали вследствие нарушения правил обработки данных, может обратиться в суд за возмещением ущерба или получением компенсации.
Административная ответственность
Наступает по статье 13.11 КоАП РФ, которая состоит из нескольких частей, каждая из которых наказывает за определённое нарушение.
Штрафы для юрлиц и ИП за нарушения с персональными данными
Штрафы для ИП находятся между верхней границей штрафов для ответственных лиц и нижней для юрлиц.
Санкции за некоторые нарушения установлены в процентах от оборота компании — это коснётся тех, кто уже однажды совершил нарушение и всё равно не предпринял меры для защиты ПД.
Нарушения могут подпадать и под другие административные статьи. Например, ответственность возникает при разглашении ПД, ставших известными по службе или работе (ст. 13.14), или за непредставление сведений в госорган по требованиям или запросам (ст. 19.7).
Уголовная ответственность
Может наступить, если нарушение повлекло серьезные последствия или было совершено с умыслом.
▶ Ст. 137 УК РФ — за незаконный сбор или распространение сведений можно получить штраф в размере дохода за 18 месяцев, или принудительные работы с дисквалификацией (запрет занимать руководящие должности и открывать бизнес).
▶ Ст. 272 УК РФ — за мошеннический доступ к компьютерной информации, который повлек ее копирование или модификацию, можно получить лишение свободы до 2 лет.
Как снизить риск утечки персональных данных?
Соблюдение требований № 152-ФЗ — это не просто формальность, а необходимость для минимизации рисков. Проведите мероприятия, которые помогут снизить риски:
- разберитесь в законодательстве и обучите сотрудников — они могут «напортачить» не специально, а просто из-за незнания законов;
- сократите количество собираемых данных — если для работы с клиентом нужен только номер телефона, не стоит требовать у него паспорт: чем меньше данных украдут (если такое случится), тем ниже будет штраф;
- при наличии сайта — разместите политику обработки ПД, добавьте предупреждение о сборе cookie и «галочку» согласия в формы сбора данных;
- если сайта нет — разместите политику в облачном хранилище и давайте ссылку на неё каждому клиенту;
- проверьте, обеспечено ли хранение данных в России, — если нет, начните пользоваться российскими сервисами;
- пароли доступа — уже, наконец, придумайте надёжные пароли и не записывайте их рядом с монитором: используйте менеджеры паролей для безопасного хранения и управления;
- антивирус — установите и обновляйте для защиты от вредоносных программ;
- резервное копирование — не забывайте делать резервные копии, чтобы можно было восстановить информацию;
- у вас должен быть план — продумайте, как будете действовать при различных внештатных ситуациях (вы же помните, что нужно в течение суток сообщить в РКН, если произошла утечка).
Рекомендуем проверить ещё раз документы компании или ИП, связанные с ПД, а также договоры с контрагентами, при необходимости внесите изменения. А также проверьте наличие фирмы в реестре операторов ПД.
Вопросы и ответы
Это информация, по которой можно установить личность человека. Например, ФИО, ИНН, паспортные данные и др. Более 30 наименований власти относят к ПД.
Некоторые юристы считают, что отдельно информация без совокупности с несколькими данными, не может быть признана персональной. Например, электронная почта недостаточная для идентификации человека, поэтому не является ПД.
Однако новые правила в законе только появились и нет ещё прозрачного толкования, однозначной практики применения и достаточной судебной практики, чтобы избежать двоякого толкования положений и терминов.
Поэтому мы рекомендуем бережно относится к любой информации о человеке, чтобы избежать негативных последствий.
В законодательстве нет списка «разрешено» или «запрещено», однако закреплён принцип — ОПД разрешена, если соответствует целям, для которых собирались данные, и не нарушает закон. Таким образом, запрещены не конкретные «виды обработки», а обработка персональных данных, проводимая с нарушениями установленных правил.
Основания, которые допускают обработку ПД, перечислены в № 152-ФЗ, а конкретно в ст. 6, главным из которых является получение согласия субъекта ПД, о нём писали выше.
Будут считаться нарушением следующие случаи:
- обработка без правового основания — если нет оснований, указанных в ст. 6 (нельзя купить базу данных телефонных номеров и обзванивать людей с коммерческими предложениями, т.к. нет ни согласия, ни договора с этими людьми);
- не соответствующая заявленным целям, — самое частое нарушение (если на сайте собирают e-mail для отправки чека за покупку, то нельзя рассылать на эти адреса рекламные рассылки);
- обработка избыточных данных — т.е. намного больше информации, чем та, которая необходима для заявленной цели (нельзя требовать для консультации на сайте данные паспорта или номер СНИЛС);
- совмещение баз данных, созданных для разных целей, — объединять людей без согласия (нельзя совмещать сведения о сотрудниках и клиентах для рассылки общего рекламного предложения).
Нарушением будет обработка, которая не соответствует принципам и требованиям № 152-ФЗ, т.е. при отсутствии политики обработки, отклонении от целевой направленности, ненадлежащей защиты данных, хранении дольше необходимого срока и др.
Чтобы обезопаситься от нарушений, прежде чем начать обрабатывать ПД, предприниматель должен задать себе два вопроса: на каком законном основании я это делаю, и соответствует ли обработка персональных данных цели, которую заявил. Ответы на эти вопросы — основа легальной работы с персональными данными.
Главный вопрос, который нам задают клиенты: «Как сделать всё по закону с минимальными затратами, чтобы не оштрафовали и не подали в суд, и при этом не испортить отношения с клиентами?»
Решение этих вопросов начинается с аудита процессов обработки ПД в компании и разработки пошагового плана по приведению их в соответствие с законом.
Однако основное напряжение у предпринимателей вызывает сложность и размытость законодательства (№ 152-ФЗ). Они не всегда уверены, что справятся с его «расшифровкой» самостоятельно, сделают всё правильно и не пропустят важный пункт.
Постоянный источник беспокойства — риск быть оштрафованным, ведь штрафы достигают сотен тысяч и даже миллионов для компаний и ИП. При серьезных нарушениях возможна уголовная ответственность.
Если вы не совсем уверены в том, что всё делаете правильно, рекомендуем обратиться к специалистам по данным вопросам, которые помогут составить план действий применительно к вашему бизнесу. Поверьте, оплата работы специалиста обойдется дешевле, чем возможные последствия.
