Персональные данные в 2025 году: новые правила и что нужно делать прямо сейчас
2025 год стал поворотным для всех, кто работает с персональными данными. Основные изменения вступили в силу дважды – 30 мая и 1 сентября, и теперь требования к бизнесу стали значительно строже.
Кого касаются изменения?
Оператором персональных данных считается любая организация или ИП, которые получают, хранят, обрабатывают, передают или удаляют персональные данные клиентов, сотрудников, поставщиков и т. д.
Персональными данными считаются любые сведения, которые позволяют идентифицировать конкретного человека: ФИО, адрес, телефон, дата рождения, сведения о работе, паспортные данные и т.п.
Если вы:
- имеете сотрудников или привлекаете подрядчиков по договорам ГПХ;
- храните персональные данные клиентов в Excel, 1С или в CRM-системах;
- собираете контакты для рассылок и маркетинга;
- обрабатываете данные для доставки товаров;
- работаете с личными данными в любом виде,
то вы – оператор персональных данных и обязаны уведомить об этом Роскомнадзор. Даже если вы не передаёте данные третьим лицам, а просто храните ФИО и телефон покупателя – вы все равно подпадаете под закон.
Иными словами, изменения в законодательстве касаются практически всех: от интернет-магазинов и кафе до производственных компаний и бухгалтерских фирм.
Что изменилось с 30 мая 2025 года
Усиление ответственности и новые штрафы
С 30 мая вступили в силу поправки в законодательство, усилившие ответственность за нарушения в сфере персональных данных. Теперь штрафы достигают до 500 млн рублей или 3% годовой выручки компании – и это касается не только корпораций, но и малого бизнеса.
Основные изменения:
2. Ужесточены штрафы за неподачу или неправильную подачу уведомлений в Роскомнадзор о сборе и обработке персональных данных. Ранее бизнес мог получить штраф от 3 до 5 тысяч рублей за неподачу любых сведений в Роскомнадзор. С 30 мая штрафы выросли в 20-60 раз – от 100 до 300 тысяч рублей за первое нарушение и до 500 тысяч рублей за повторное. Для должностных лиц предусмотрены штрафы от 50 до 100 тысяч рублей, для физических лиц – до 15 тысяч рублей.
Пример: агентство по предоставлении услуг веб-дизайна хранит данные о клиентах в CRM-системе. У сотрудников агентства есть доступ к номерам телефонов и паспортным данным клиентов. Агентство не регистрируется в РКН как оператор персональных данных. Это является нарушением законодательства, компании грозит штраф за непредоставление в РКН уведомления о начале обработки ПДн в размере 100–300 тыс. рублей.
3. Усилены штрафы за несвоевременное уведомление об утечках и за сам факт утечки:
- от 1 до 3 миллионов рублей за непредоставление уведомления об утечке;
- от 3 до 15 миллионов рублей – за сам факт утечки (в зависимости от масштабов);
- от 15 до 20 миллионов рублей – за утечку биометрических данных.
Кроме того, для компаний, неоднократно допускающих утечки, вводятся оборотные штрафы – от 1 до 3% от годовой выручки за предыдущий год. При значительном ущербе пострадавшим возможна уголовная ответственность – до 4 лет лишения свободы.
4. Усилены штрафы за нарушение целей обработки ПД. Содержание и объем обрабатываемых ПД должны соответствовать заявленным целям их обработки, а также обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки.
Пример: при заключении договора на дистанционное обучение по программе повышения квалификации нельзя требовать номер водительского удостоверения или номер полиса ОМС.
5. Кроме этого, важно учитывать, что незаконно:
- передавать данные за границу без одобрения РКН
- скрывать от РКН информацию об изменениях сведений о себе, сборе данных или утечке данных в течение 24 часов после происшествия
Пример: 20 мая ИП Карелина вышла замуж, сменила фамилию и стала ИП Борисова. По закону (п. 7 ст. 22 152-ФЗ) уведомить РКН об изменении сведений о себе предпринимательница должна не позднее 15 июня. Иначе, если просрочить обращение в Роскомнадзор, ИП получит штраф – от 30 до 50 тыс. рублей.
Сравнение штрафов до и после 30 мая
|
Нарушение |
Сумма штрафа до 30 мая 2025 года, руб. |
Сумма штрафа после 30 мая 2025 года, руб. |
|
Неуведомление или несвоевременное уведомление Роскомнадзора о намерении обрабатывать ПД |
Для ИП 300 –5 000 , для малых предприятий 1 500–2 000, |
Для ИП и всех компаний 100 000–300 000 за первое нарушение, до 500 000 за повторное. Для должностных лиц от 50 000 до 100 000, для физических лиц до 15 000. |
|
Нарушение целей обработки ПД |
Для ИП 10 000–20 000, для малых предприятий 30 000–50 000, для остальных компаний 60 000–100 000 ₽. |
Для ИП 50 000–100 000 ₽, для малых предприятий 75 000–150 000 ₽, для остальных компаний 150 000–300 000 ₽. |
|
Неуведомление или несвоевременное уведомление Роскомнадзора об утечке ПД |
Для ИП 300–500, для малых предприятий 1 500–2 000, для остальных компаний 3 000–5 000. |
1 000 000–3 000 000 для всех компаний и ИП |
|
Утечка ПД |
Штрафуют только за утечку ПД на бумажных носителях. Штраф для ИП и малых предприятий – 20 000–40 000, для остальных компаний – 50 000–100 000. |
Штрафуют за любую утечку, сумма зависит от масштаба –от 3 000 000 до 15 000 000. За утечку биометрии от 15 000 000 до 20 000 000. |
Проверки стали чаще и строже
Роскомнадзор теперь проверяет не только крупные корпорации, но и малый бизнес. Особое внимание уделяется:
- сайтам и онлайн-формам (есть ли корректное получение согласия);
- внутренним документам и договорам с подрядчиками;
- жалобам от клиентов и бывших сотрудников.
Пример: клиент пожалуется, что после визита в салон красоты ему начали звонить продавцы других бьюти-услуг и товаров, – это значит, что салон без ведома человека передал его ПД третьим лицам
Расширены требования к внутренним документам.
- политика обработки ПДн;
- согласия на обработку ПДн;
- приказ о назначении ответственного лица за защиту данных;
- правила хранения и уничтожения данных.
Перечень документов будет отличаться в зависимости от рода деятельности компании, целей обработки, внутренних процессов.
Обязательные действия оператора персональных данных
- уведомить Роскомнадзор о начале обработки данных (в идеале до начала обработки);
- разработать и регулярно обновлять политику обработки персональных данных;
- хранить данные исключительно на российских серверах (например, «Яндекс Метрика» вместо Google Analytics, Sendsay вместо иностранных почтовых сервисов);
- использовать средства защиты данных: антивирусы, шифрование, системы контроля доступа;
- провести работу с сайтом: собирать cookie только с согласия пользователей, настроить на сайте корректное получение согласия пользователей на обработку персональных данных – галочки должны ставиться только лично пользователем, а не проставляться автоматически и обеспечить прозрачность: на сайте должна быть политика обработки данных, в которой подробно описаны цели сбора и используемые категории данных;
- при утечке – уведомить Роскомнадзор в течение 24 часов, а затем в течение 72 часов направить результаты внутреннего расследования.
Особенности трансграничной передачи данных
Если вы используете иностранные сервисы, передающие данные за рубеж (например, Google Analytics), необходимо:
- проверить, входит ли страна получателя в список с адекватной защитой данных (на сайте Роскомнадзора);
- уведомить Роскомнадзор о трансграничной передаче данных;
- в течение 10 дней предоставить РКН подтверждение безопасности обработки данных у иностранного партнёра;
- получить согласие Роскомнадзора на передачу.
Если меняется страна назначения данных – нужно подавать новое уведомление.
Что изменилось с 1 сентября 2025 года
С 1 сентября 2025 года начали действовать поправки к закону о персональных данных (ФЗ-152 в ред. ФЗ-156). Они ужесточают порядок получения согласия на обработку персональных данных и касаются всех организаций и ИП, которые работают с клиентами или сотрудниками.
Теперь согласие – отдельный документ!
Согласие больше нельзя включать в договор, пользовательское соглашение или любой другой документ. Оно оформляется отдельным документом – на бумаге или в электронной форме.
Уже выданные согласия сохраняют силу, но все новые, оформляемые после 1 сентября, должны соответствовать новым требованиям.
Важно: Если компания планирует передавать персональные данные граждан третьим лицам (например, курьерской службе или банку), она наряду с общим согласием должна получить еще и согласие на передачу персональных данных конкретному третьему лицу под конкретную цель. Такое согласие также необходимо формировать в виде отдельного документа. Причем согласие на передачу персональных данных третьим лицам нельзя включить в текст основного согласия на обработку.
Таким образом, перед распространением персональных данных компания должна получить от физлица сразу два отдельных документа:
- согласие на обработку ПДн.
- согласие на передачу ПДн третьим лицам.
Что должно быть в согласии:
- ФИО, паспортные данные и адрес субъекта;
- сведения об операторе (название компании, адрес);
- цель обработки данных;
- перечень обрабатываемых данных (телефон, email, паспортные данные и др.);
- список действий с данными (сбор, хранение, передача и т.д.);
- информацию о третьих лицах, если данные передаются им;
- срок действия согласия;
- подпись субъекта (в том числе электронная).
Ответственность за нарушения
При нарушении новых установленных норм обработка персональных данных станет квалифицироваться как несогласованная что приведет к штрафам по ч.2. ст.13.11 КоАП РФ:
- от 10 000 до 15 000 рублей – для самозанятых;
- от 100 000 до 300 000 рублей – для индивидуальных предпринимателей и должностных лиц организаций;
- от 300 000 до 700 000 рублей – для организаций.
Повторное нарушение увеличит штрафы до следующих размеров:
- от 15 000 до 30 000 рублей – для самозанятых;
- от 500 000 до 1 млн рублей – для индивидуальных предпринимателей;
- от 300 000 до 500 000 рублей – для должностных лиц организаций;
- от 1 млн до 1,5 млн рублей – для организаций.
Что нужно сделать прямо сейчас
- проверить все шаблоны договоров, анкет, оферт – убрать встроенные согласия;
- подготовить отдельные формы согласий (бумажные и электронные);
- проверить, как собираются согласия на сайте: галочки должны ставиться вручную пользователем; форма должна содержать все обязательные реквизиты;
- ознакомить сотрудников с новыми требованиями и обновить инструкции.
Несколько примеров, чего «нельзя» делать с 1 сентября 2025 года:
1. При подписании трудового договора с сотрудником, одним из его пунктов прописано, что работник согласен на обработку его ПДн работодателем, в том числе, разрешает использовать предоставленные им ПДн для распространения на сайте компании.
2. При заключении договора в него включено положение о том, что «подписывая настоящий Договор, я даю согласие на обработку ПДн в целях его исполнения».
3. При реализации на сайте форм обратной связи под такой формой размещается чек-бокс, проставление «галочки» в котором свидетельствует о согласии на обработку ПДн, согласии с условиями предоставления услуг и еще несколькими документами одновременно.
4. Факт регистрации на сайте оператор позиционирует, как дачу согласия. Например, формулировка «При входе или регистрации вы даете согласие на обработку ПДн и подтверждаете ознакомление и согласие с правилами предоставления услуг, пользовательский соглашением и политикой конфиденциальности».
Как 152DOC помогает бизнесу выполнить новые требования по персональным данным
Если вы – владелец кафе, магазина, автосервиса или другой компании, где работают сотрудники и есть клиенты, значит, вы уже обрабатываете персональные данные. Это анкеты, телефоны, паспортные данные, заявки на доставку, данные сотрудников и т. д.
После последних изменений в законодательстве требования к защите персональных данных стали строже – Роскомнадзор усилил проверки, а штрафы за нарушения могут достигать до 500 000 рублей.
Главная сложность для бизнеса – не столько в самой защите данных, сколько в документах. Нужно правильно оформить десятки приказов, положений, инструкций, планов и актов – всё по шаблонам и с учётом требований закона. Именно здесь помогает сервис «152DOC для 1С».
Что делает сервис:
«152DOC для 1С» – это онлайн-помощник, который сам формирует все нужные документы для соблюдения 152-ФЗ.
Вам не нужно разбираться в законах или искать шаблоны – просто вносите данные своей организации, и система автоматически создаёт:
- полный комплект организационно-распорядительных документов по защите персональных данных (приказы, положения, инструкции, акты);
- документы по работе со средствами криптографической защиты (СКЗИ);
- шаблон уведомления для Роскомнадзора – уже с корректными данными.
Как это работает
- Вы вводите данные об организации (название, ИНН, адреса, список сотрудников).
- Сервис подтягивает данные из ЕГРЮЛ, проверяет адреса по ФИАС и сам заполняет документы.
- После проверки вы получаете готовый пакет документов в формате Word или RTF, который можно сразу подписать и утвердить.
- При изменении законодательства сервис автоматически обновляет шаблоны – вам не нужно следить за новыми приказами.
- Дополнительно сервис проверяет ваш сайт на наличие cookies и метрик, помогает привести его в соответствие с законом и предлагает обучающие видео по теме персональных данных.
Почему это удобно и выгодно
- Без юриста и консультанта. Документы формируются автоматически, без ошибок и лишних затрат.
- Всегда актуально. Все формы обновляются при изменении законодательства.
- Безопасно. Данные хранятся в защищённой системе на территории РФ.
- Дешевле штрафов. Подписка на сервис стоит от 2000 рублей в месяц, а экономит десятки тысяч на юристах и штрафах.
Сервис подходит всем компаниям, где есть сотрудники или клиенты: кафе, магазины, салоны, медцентры, учебные заведения, управляющие компании и т. д.
С «152DOC для 1С» вы:
– быстро и без ошибок подготовите все нужные документы по персональным данным;
– избежите штрафов и претензий Роскомнадзора;
– приведёте работу компании в соответствие с законом – без головной боли и бюрократии.
Узнайте подробнее о возможностях сервиса: оставьте заявку на сайте или свяжитесь с нами по нашему номеру телефона!
