Что изменилось в согласии, сроках и других требованиях
Штраф для юридического лица может составлять:
- от 60 000 до 150 000 рублей — за первое нарушение;
- от 300 000 до 500 000 рублей — за повторное нарушение в течение года;
- до 1 млн рублей — если нарушение привело к незаконной передаче или утечке данных.
Для индивидуальных предпринимателей штрафы составляют от 10 000 до 100 000 рублей.
Что бизнесу нужно знать о новых правилах работы с согласиями, сроками хранения и другими требованиями закона.
В 2025 году операторов персональных данных в России ожидает ряд важных изменений в Федеральном законе № 152-ФЗ «О персональных данных». Нововведения затронут ключевые аспекты работы с информацией о гражданах, включая порядок получения согласий, сроки обработки и хранения данных, а также другие существенные требования. Рассмотрим основные моменты, к которым стоит подготовиться.
1. Согласие на обработку персональных данных:
- Конкретизация и предметность: Ожидается дальнейшее ужесточение требований к содержанию согласия. Оно должно быть еще более конкретным, информированным и однозначным. Общие формулировки, позволяющие обрабатывать данные для неопределенного круга целей, скорее всего, станут недопустимыми.
- Доказывание получения: Усилится акцент на обязанности оператора доказать факт получения законного согласия. Это может потребовать пересмотра используемых форм и процедур их сбора (например, более детального логирования действий на сайте).
- Отдельное согласие на отдельные действия: Возможно, потребуется получать отдельные согласия на различные цели обработки или на передачу данных третьим лицам, вместо одного «комплексного».
2. Сроки обработки и хранения персональных данных:
- Четкое определение сроков: Закон и ранее требовал устанавливать конкретные сроки, но практика может пойти по пути еще большей детализации. Операторам нужно будет точнее обосновывать и документировать сроки хранения для каждой категории данных и цели обработки.
- Уничтожение данных: Вероятно, будут усилены требования и контроль за своевременным уничтожением персональных данных по достижении целей обработки, истечении срока согласия или при его отзыве.
3. Другие важные изменения и требования:
- Трансграничная передача: Могут появиться новые ограничения или процедуры для передачи персональных данных за рубеж, особенно в страны, не обеспечивающие адекватный уровень защиты.
- Уведомления Роскомнадзора: Возможно изменение порядка или оснований для уведомления Роскомнадзора о начале обработки ПДн, об инцидентах (утечках) или о трансграничной передаче.
- Оценка вреда: Могут быть уточнены или введены новые методики оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения закона.
- Локализация баз данных: Требование о локализации баз данных российских граждан на территории РФ остается актуальным, и контроль за его исполнением может быть усилен.
- Ответственность: Не исключено очередное повышение штрафов за нарушения законодательства о персональных данных.
Что делать операторам?
- Следить за обновлениями: Внимательно отслеживать официальные публикации законопроектов, разъяснения Роскомнадзора и принятые нормативные акты.
- Провести аудит: Пересмотреть текущие процессы обработки персональных данных, формы согласий, политики конфиденциальности и внутренние регламенты.
- Обновить документы: Заблаговременно подготовить и внедрить необходимые изменения в документацию и технические системы.
- Обучить персонал: Провести инструктаж сотрудников, ответственных за работу с персональными данными.
Заключение:
Изменения в ФЗ-152, планируемые на 2025 год, направлены на дальнейшее усиление защиты прав субъектов персональных данных. Операторам важно не только формально соответствовать новым требованиям, но и выстроить прозрачные и ответственные процессы работы с данными, что повысит доверие клиентов и снизит риски нарушений.
// ПРИМЕРЫ // Политика конфиденциальности и обработки персональных данных (в соответствии с Федеральным законом РФ № 152-ФЗ «О персональных данных») //
Политика конфиденциальности и обработки персональных данных
(в соответствии с Федеральным законом РФ № 152-ФЗ «О персональных данных»)
Внимание! Ниже приведён шаблон (черновик) для первичного оформления политики конфиденциальности. Перед публикацией согласуйте текст с юристом, проверьте реквизиты компании, перечень операций, порядок хранения данных и технические меры защиты.
Общие положения
1.1. Настоящая Политика конфиденциальности персональных данных (далее — «Политика») действует в отношении всей информации, которую ООО «», ИНН ____, ОГРН , юридический адрес: ____ (далее — «Оператор», «Компания», «мы») может получить о пользователе при использовании сайта https://__________ (далее — «Сайт») и/или при покупке лицензий «1С-Битрикс: Управление сайтом».
1.2. Политика разработана в соответствии с Конституцией РФ, Федеральным законом № 152-ФЗ «О персональных данных», Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также иными нормативными правовыми актами РФ.
Термины и определения
«Персональные данные» — любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту персональных данных).
«Обработка персональных данных» — любое действие (операция) с персональными данными, включая сбор, запись, систематизацию, хранение, обновление, извлечение, передачу, обезличивание, блокирование, удаление, уничтожение.
«Пользователь» — лицо, посетившее Сайт и/или заполняющее формы на Сайте.
Иные термины используются в значениях, определённых действующим законодательством РФ.
Персональные данные, которые мы обрабатываем
При работе Сайта мы собираем и обрабатываем следующие категории данных:
• ФИО;
• номер телефона;
• адрес электронной почты;
• ник (логин) в мессенджере Telegram;
• текст сообщения/комментария;
• данные, автоматически передаваемые браузером или приложением (IP-адрес, cookies, информация о браузере, технические характеристики устройства, дата и время доступа, реферер и т.п.).
Цели обработки персональных данных
4.1. Заключение и исполнение договоров по продаже лицензий «1С-Битрикс».
4.2. Обработка входящих заявок и консультирование пользователей.
4.3. Обратная связь (звонки, сообщения в Telegram, e-mail-рассылки).
4.4. Выполнение обязательств по бухгалтерскому и налоговому учёту.
4.5. Улучшение качества работы Сайта, проведение аналитики его использования.
4.6. Направление маркетинговых и рекламных материалов (при наличии согласия).
4.7. Выполнение требований законодательства РФ.
Правовые основания обработки
5.1. ФЗ № 152-ФЗ «О персональных данных».
5.2. Гражданский кодекс РФ, ФЗ № 54-ФЗ об онлайн-кассах, ФЗ № 402-ФЗ «О бухгалтерском учёте» и др.
5.3. Согласие Пользователя на обработку его персональных данных, предоставляемое путём проставления соответствующей отметки и/или отправки формы на Сайте.
5.4. Необходимость исполнения договора или преддоговорных мероприятий.
5.5. Наши законные интересы (ст. 10 ч. 2 п. 7 152-ФЗ) — продвижение товаров и услуг при условии соблюдения прав и свобод Пользователя.
Порядок и условия обработки
6.1. Обработка осуществляется с применением автоматизированных и (или) неавтоматизированных средств.
6.2. Хранение персональных данных осуществляется на серверах, физически расположенных в РФ, в соответствии с ФЗ № 242-ФЗ (локализация).
6.3. Срок хранения:
• договорные документы — 5 лет после окончания финансового года;
• данные маркетинговых рассылок — до момента отзыва согласия;
• технические логи — до 12 месяцев, если иное не требуется по закону.
6.4. Мы принимаем необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения.
6.5. Обмен информацией с Пользователем может вестись по телефону, e-mail, Telegram или иным указанным Пользователем каналам.
Передача персональных данных третьим лицам
7.1. Данные могут быть переданы:
• уполномоченным органам государственной власти РФ на основаниях, предусмотренных законом;
• платёжным агрегаторам, банкам и операторам фискальных данных для совершения платежей;
• хостинг-провайдерам, почтовым и SMS-провайдерам, сервисам доставки сообщений (Telegram) — в пределах, необходимых для оказания услуг;
• правообладателю продукта «1С-Битрикс» — АО «1С-Битрикс» (ИНН 7703647595) — для генерации лицензионных ключей.
7.2. Все третьи лица обязуются обеспечивать конфиденциальность и безопасность данных.
7.3. Передача в маркетинговые сервисы осуществляется лишь при наличии согласия Пользователя.
7.4. Трансграничная передача в страны, обеспечивающие адекватную защиту прав субъектов ПДн, возможна только при наличии письменного согласия и соблюдении ст. 12 152-ФЗ.
Права субъекта персональных данных
Пользователь имеет право:
• получать сведения о своих ПДн и порядке их обработки;
• требовать уточнения, блокирования или уничтожения своих ПДн;
• отозвать согласие (путём направления запроса на e-mail, указанный ниже);
• обжаловать действия или бездействие Оператора в Роскомнадзоре или в суде;
• иные права, предусмотренные ст. 14 152-ФЗ.
Запрос должен содержать ФИО, контактные данные и описание существа требования. Срок ответа Оператора — не более 30 календарных дней.
Использование файлов сookies и аналогичных технологий
Мы применяем cookies для корректной работы Сайта, персонализации контента и аналитики. Пользователь может отключить cookies в настройках браузера, что может привести к ограничению функционала Сайта.
Конфиденциальность персональных данных
Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать их третьим лицам без согласия субъекта, если иное не предусмотрено законодательством.
Обновление и изменение Политики
11.1. Политика может быть изменена Оператором в любое время. Актуальная версия всегда доступна по адресу https://____________/privacy.
11.2. Новая редакция вступает в силу с момента публикации, если иное не предусмотрено новой редакцией.
Контактная информация Оператора
ООО «_»
Адрес: __
E-mail для обращений по вопросам ПДн: privacy@_
Телефон: +7 ( ) --
Дата публикации: «» _ 20 г.
Последнее обновление: «_» 20__ г.
— Конец черновика —
ВАЖНО: Это черновик и общие рекомендации. Для полной юридической чистоты и учета всех нюансов вашей деятельности настоятельно рекомендуется проконсультироваться с юристом, специализирующимся на законодательстве о персональных данных.
ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ (ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ)
г. [Ваш город] Дата вступления в силу: [Дата]
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ-152) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые [Полное наименование вашего юридического лица или ФИО Индивидуального предпринимателя] (далее – Оператор). 1.2. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 1.3. Настоящая Политика Оператора в отношении обработки персональных данных применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта [URL вашего сайта] (далее – Сайт). 1.4. Основные понятия, используемые в Политике:
Персональные данные (ПДн) – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – [Наименование вашей компании/ИП], самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Пользователь – любой посетитель Сайта.
Субъект персональных данных – Пользователь Сайта, предоставивший свои персональные данные Оператору.
Сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу [URL вашего сайта].
Продукты – лицензии на программное обеспечение «1С-Битрикс: Управление сайтом», «Битрикс24» и иные сопутствующие продукты и услуги.
2. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ
2.1. Оператором персональных данных является:
[Полное наименование юридического лица или ФИО Индивидуального предпринимателя]
ИНН: [Ваш ИНН]
ОГРН/ОГРНИП: [Ваш ОГРН/ОГРНИП]
Юридический адрес: [Ваш юридический адрес]
Фактический/Почтовый адрес: [Ваш фактический/почтовый адрес]
Email для связи по вопросам обработки ПДн: [Ваш email, например, privacy@example.com]
Телефон: [Ваш контактный телефон]
3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор обрабатывает персональные данные Пользователей в следующих целях:
Идентификация Пользователя, оставившего заявку на Сайте.
Обработка запросов и заявок Пользователя, в том числе для консультации по Продуктам.
Установление с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработки запросов и заявок от Пользователя.
Предоставление Пользователю информации о Продуктах, специальных предложениях, условиях приобретения лицензий.
Заключение, исполнение и прекращение гражданско-правовых договоров с Пользователем на приобретение лицензий Битрикс и сопутствующих услуг.
Направление Пользователю информационных и (или) рекламных сообщений (при наличии его отдельного согласия).
Улучшение качества работы Сайта и предоставляемых услуг.
Сбор статистических данных о посещаемости Сайта.
4. ПЕРЕЧЕНЬ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор обрабатывает следующие персональные данные Пользователей:
Фамилия, имя, отчество (или только Имя);
Номер контактного телефона;
Адрес электронной почты (e-mail);
Идентификатор (логин/никнейм) в мессенджере Telegram;
Комментарий или текст сообщения, оставленный Пользователем;
Также на Сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика, Гугл Аналитика и других).
4.2. Правовыми основаниями обработки персональных данных Оператором являются:
Согласие субъекта персональных данных на обработку его персональных данных (предоставляется путем проставления галочки в соответствующем чек-боксе и/или нажатия на кнопку отправки формы на Сайте).
Договоры, заключаемые между Оператором и субъектом персональных данных (включая пользовательское соглашение Сайта).
Федеральные законы и иные нормативно-правовые акты в сфере защиты персональных данных.
Уставные документы Оператора.
5. ПОРЯДОК СБОРА, ХРАНЕНИЯ, ПЕРЕДАЧИ И ДРУГИХ ВИДОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Обработка персональных данных осуществляется Оператором как с использованием средств автоматизации, так и без использования таких средств. 5.2. Оператор обеспечивает сохранность персональных данных и принимает все возможные правовые, организационные и технические меры, необходимые для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных и исключающие несанкционированный или случайный доступ к ним, уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также от иных неправомерных действий в отношении персональных данных. 5.3. Персональные данные Пользователей хранятся на серверах, расположенных на территории Российской Федерации. 5.4. Срок обработки персональных данных определяется достижением целей, для которых были собраны персональные данные, либо до момента отзыва согласия субъектом персональных данных, если иное не предусмотрено договором с субъектом персональных данных или действующим законодательством РФ. 5.5. Оператор не передает персональные данные третьим лицам без согласия субъекта персональных данных, за исключением случаев, когда такая передача необходима:
Для исполнения договора с Пользователем (например, передача данных правообладателю ООО «1С-Битрикс» или его партнерам для регистрации и активации лицензий).
В случаях, установленных действующим законодательством Российской Федерации (например, по запросу уполномоченных государственных органов). 5.6. При выявлении неточных персональных данных Оператор осуществляет их актуализацию. 5.7. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если иное не предусмотрено иными соглашениями между Оператором и субъектом персональных данных или требованиями законодательства РФ.
6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъект персональных данных имеет право:
Получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные законодательством о персональных данных.
Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
Отозвать свое согласие на обработку персональных данных в любой момент путем направления Оператору соответствующего заявления на электронный адрес [Ваш email, например, privacy@example.com] или письменного заявления по адресу Оператора, указанному в разделе 2 настоящей Политики. Отзыв согласия не влияет на законность обработки, осуществленной до такого отзыва.
Принимать предусмотренные законом меры по защите своих прав.
Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
7. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ COOKIE
7.1. Сайт может использовать файлы cookie и другие технологии для сбора информации о действиях Пользователей на Сайте, для улучшения качества Сайта и предоставляемых услуг. 7.2. Пользователь может самостоятельно настроить свой браузер таким образом, чтобы блокировать или уведомлять об отправке этих файлов. Однако некоторые функции или службы Сайта без файлов cookie могут работать некорректно. 7.3. Продолжая использовать Сайт, Пользователь дает согласие на использование файлов cookie.
8. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается адекватная защита прав субъектов персональных данных. 8.2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных. (Примечание: Учитывая, что вы продаете лицензии Битрикс, который является российской компанией, трансграничная передача маловероятна в этом контексте, но пункт полезно иметь, если вы используете какие-либо зарубежные сервисы для аналитики или коммуникаций, которые могут хранить данные за пределами РФ).
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Настоящая Политика является общедоступным документом и размещается на Сайте по адресу: [URL, где будет размещена политика, например, site.com/privacy-policy]. 9.2. Оператор вправе вносить изменения в настоящую Политику без специального уведомления Пользователей. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики. 9.3. Все предложения или вопросы по настоящей Политике следует сообщать Оператору по контактным данным, указанным в разделе 2 настоящей Политики. 9.4. Действующая Политика хранится в месте нахождения исполнительного органа Оператора по адресу, указанному в разделе 2 настоящей Политики. 9.5. Контроль за исполнением требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных у Оператора.
10. РЕКВИЗИТЫ ОПЕРАТОРА
[Полное наименование юридического лица или ФИО Индивидуального предпринимателя] ИНН: [Ваш ИНН] ОГРН/ОГРНИП: [Ваш ОГРН/ОГРНИП] Юридический адрес: [Ваш юридический адрес] Контактный email: [Ваш email] Телефон: [Ваш контактный телефон]
Что нужно сделать на сайте:
Разместить эту Политику на отдельной, легкодоступной странице сайта (например, ссылка в футере "Политика конфиденциальности").
Под всеми формами, где собираются ПДн (имя, телефон, телеграм, почта, комментарий), разместить:
Чекбокс (галочку), не предвыбранный: "Я даю согласие на обработку моих персональных данных в соответствии с Политикой конфиденциальности".
Слова "Политикой конфиденциальности" должны быть активной ссылкой на страницу с текстом Политики.
Кнопка отправки формы должна становиться активной только после проставления галочки в чекбоксе.
Убедитесь, что данные хранятся на серверах в РФ.
Назначьте ответственного за обработку ПДн в вашей организации (если это требуется по масштабам вашей деятельности).
Еще раз повторю: это хороший черновик, но финальную версию лучше согласовать с юристом.