Закон о персональных данных 2025: отвечаем на самые популярные вопросы

Что такое персональные данные?
Персональные данные (ПДн) – информация, которая прямо или косвенно относится к конкретному физическому лицу (субъекту данных) и позволяет его идентифицировать (Федеральный закон № 152-ФЗ "О персональных данных"). https://www.consultant.ru/document/cons_doc_LAW_61801/

Персональные данные могут быть представлены как:

• Прямая идентификация (например, имя, фамилия, паспортные данные);
• Косвенная идентификация (например, комбинация данных: даты рождения, адреса, номера телефона, которые в совокупности позволяют установить личность пользователя).

При этом данные могут считаться персональными в зависимости от контекста их использования. Например, номер телефона сам по себе может не быть персональным данным, но если он связан с именем человека или другими идентификаторами, то становится ПДн. Тоже касается данных о местоположении (геолокация), они могут быть персональными, если позволяют установить, где находится конкретный человек.

Данные не являются персональными, если они:

• Анонимизированы и не могут быть связаны с конкретным человеком;
• Относятся к юридическим лицам (например, название компании, ИНН организации);
• Являются общедоступными (информация из открытых источников, например телефонных справочников, если это разрешено законом).

Если на сайте установлено программное средство «Яндекс. Метрика» использование функционала которого позволяет определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на сайте, это указывает на обработку его персональных данных.

В соответствии с п.19 Условий использования сервиса «Яндекс. Метрика», все данные, собираемые и хранимые сервисом, Яндекс рассматривает как персональные данные и конфиденциальную информацию пользователя.

Что говорит законодательство?

В соответствии с пунктом 3 статьи 6 закона (https://www.consultant.ru/document/cons_doc_LAW_61801/315f051396c88f1e4f827ba3f2ae313d999a1873/ ) о персональных данных, владельцы веб-сайтов обязаны зарегистрироваться в реестре операторов персональных данных, если они осуществляют сбор информации о своих посетителях, например, через формы регистрации. Важно подчеркнуть, что собранные данные могут быть переданы на обработку другим участникам данного процесса, например, службам рассылки. Эти условия должны быть изложены в пользовательском соглашении, при этом сторонний специалист или сервис не требует регистрации в качестве оператора персональных данных.

Кроме того, пункт 5 статьи 18 (https://www.consultant.ru/document/cons_doc_LAW_61801/cbf4e15b7c330f9372e876cdf2bc928bad7950ef/ ) указанного закона обязывает хранить информацию на серверах, расположенных на территории России, за некоторыми исключениями.

В законе также прописаны требования к получению согласия на обработку персональных данных, вступающие в силу в 2025 году. В пункте 1 статьи 9 Федерального закона № 152 (https://www.consultant.ru/document/cons_doc_LAW_61801/6c94959bc017ac80140621762d2ac59f6006b08c/ ) сказано, что данное согласие должно быть свободным, осознанным и однозначным, а факт его предоставления — зафиксированным в любой официально подтвержденной форме.

Как обрабатывать персональные данные на сайте?

Персональные данные на сайте могут обрабатываться двумя основными способами. Например, если посетитель желает оформить подписку на рассылку, он должен заполнить форму, содержащую следующие поля:

• фамилия, имя, отчество;
• дата рождения;
• электронная почта;
• номер телефона.

Второй способ сбора персональных данных предполагает использование файлов cookie. В данном случае можно получить дополнительную информацию, включая:

• IP-адрес;
• геолокацию пользователя;
• данные о действиях на сайте.

Кто такой оператор персональных данных?

Оператор персональных данных – это организация или индивидуальный предприниматель (ИП), которые целенаправленно обрабатывают персональные данные пользователей. Чтобы стать оператором и получить право на сбор и обработку личной информации, необходимо выполнить ряд обязательных шагов: разработать политику обработки персональных данных, обеспечить безопасное хранение данных на надежной платформе, а также уведомить Роскомнадзор о начале деятельности, связанной с обработкой ПДн.

Физическое лицо не считается оператором персональных данных, если обработка информации осуществляется исключительно для личных или семейных нужд. Например, хранение телефонных номеров, адресов электронной почты или других данных родственников, друзей или коллег для личного использования не требует регистрации в реестре операторов ПДн или получения специальных разрешений.

Что такое трансграничная передача персональных данных?

Трансграничная передача персональных данных — это передача информации иностранному государственному органу, физическому или юридическому лицу. Например, российская IT-компания разрабатывает мобильное приложение и для анализа поведения пользователей она использует иностранный облачный сервис (например, Google Analytics или Amazon Web Services), серверы которого расположены за пределами России.

Что по деньгам?
Роскомнадзор имеет право штрафовать физ- и юрлица, нарушивших статью 152-ФЗ. Размер платы может варьироваться в зависимости от конкретного нарушения и обстоятельств дела. Стоит также отметить, что данное административное нарушение не приводит к приостановке деятельности организации.

Максимальная сумма штрафных санкций в 2025 году, при повторном административном нарушении (https://www.consultant.ru/document/cons_doc_LAW_61801/6c94959bc017ac80140621762d2ac59f6006b08c/), составит:

• физ лица — от 15 тыс. ₽ до 30 тыс. ₽;

• должностные лица — от 300 тыс. ₽ до 500 тыс. ₽;

• индивидуальные предприниматели — от 500 тыс. ₽ до 1 000 000 ₽;

• юр лица — от 1 000 000 ₽ до 1 500 000 ₽.

Теперь по порядку: что нужно для обработки персональных данных на сайте

Поговорим о том, как в текущих реалиях максимально обезопасить себя от штрафов со стороны Роскомнадзора.

1. Создать и разместить на сайте условия политики обработки персональных данных

Операторы обязаны разместить на сайте документ – Политику обработки персональных данных, включающий в себя:

• ссылку на сайт, на котором действует политика;
• данные об организации, обрабатывающей персональные данные;
• цели обработки персональных данных.

Политика конфиденциальности должна быть индивидуальной для каждого бизнеса. Использование шаблонов с других сайтов может привести к несостыковкам. Сотрудники Роскомнадзора могут тщательно проверять политику конфиденциальности, и при обнаружении нарушений — налагать штрафы.

Рекомендуем размещать ссылку на страницу с политикой персональных данных в подвале сайта для быстрого доступа пользователей и регулирующих органов.

2. Разместить сообщение о сборе ПДн под каждой формой на сайте

Под каждой формой сбора данных необходимо разместить сообщение о том, что компания собирает личную информацию пользователей. Если пользователь согласен с данными условиями, он должен самостоятельно поставить галочку у поля «Даю согласие на обработку своих персональных данных». Важно: галочка не должна быть активна по умолчанию.

Если на вашем сайте уже есть пользовательское соглашение (публичная оферта), разместите ссылку на него рядом с формой сбора данных. Если отдельного пользовательского соглашения нет, необходимо создать специальную страницу с текстом согласия на обработку персональных данных и разместить ссылку на эту страницу под каждой формой сбора данных.

Обязательные элементы согласия:

• Реквизиты оператора;
• Цели обработки;
• Конкретный список собираемых данных;
• Все действия, связанные с данными и способы их обработки;
• Сведения о третьих лицах (если есть);
• Сроки и отзыв согласия.

3. Предупредить о сборе cookie

Файлы cookie также считаются персональными данными, поэтому новые пользователи должны дать согласие на их сбор. Для этого необходимо добавить специальный блок с уведомлением, который появляется при первом посещении сайта. Обычно в нем указывается: «Этот сайт использует файлы cookie. Продолжая использовать сайт, вы соглашаетесь с их применением». В уведомлении также размещается кнопка для подтверждения согласия, например, «Я согласен» или «Принять». В текст добавьте ссылку на Политику обработке персональных данных.

4. Подать уведомление о внесении компании в реестр операторов персональных данных Роскомнадзора

Для включения компании в реестр операторов персональных данных необходимо заполнить форму на сайте ведомства и отправить её в бумажном виде (направив документы по адресу местного отделения Роскомнадзора) или в электронном виде (используя квалифицированную электронную подпись или пройдя аутентификацию через ЕСИА). Информация об операторе персональных данных (ОПД) вносится в реестр в течение одного месяца.

Уведомить Роскомнадзор об обработке персональных данных можно на портале персональных данных (https://pd.rkn.gov.ru/operators-registry/notification/form/).

5. Создать регламент ответов на запросы посетителей сайта

Пользователи имеют право запросить информацию о том, какие именно данные собираются и для каких целей. Компания обязана предоставить актуальные сведения в течение 10 рабочих дней.

Кроме того, законодательство устанавливает сроки обработки запросов от пользователей, которые отказываются предоставлять определённые виды персональных данных. Например, если клиент заказал доставку товара в пункт выдачи, а компания запрашивает его домашний адрес, то пользователь может потребовать объяснить причину сбора. В этом случае компания должна дать ответ в течение недели на письменный запрос и моментально на устный.

6. Хранить персональные данные пользователей

Хранить данные можно двумя способами: в электронном и бумажном формате.

Электронный формат

Электронное хранение подразумевает применение защищённых информационных систем персональных данных, которые автоматически собирают и обрабатывают ПДн пользователей на сайте. В большинстве случаев компании для хранения информации используют услуги сторонних дата-центров, которые прошли соответствующую аттестацию.

Преимущества:

• оперативный доступ к информации;
• автоматизация обработки данных;
• возможность создания резервных копий.

Недостатки:

• риск утечки персональных данных;
• необходимость разработки системы информационной безопасности, соответствующей требованиям ФСБ и ФСТЭК.

Бумажный формат

В данном случае речь идет о создании личных дел и хранении их в сейфах. Однако сегодня персональные данные редко хранят в бумажном виде из-за трудоемкости процесса и необходимости выделения отдельного места для архива.

Преимущества:

• высокая защита от утечек информации;
• упрощение учета персональных данных.

Недостатки:

• затраты на приобретение сейфов;
• значительный объем рутинной работы.

7. Уничтожить персональные данные

Уничтожение пользовательских данных — это процесс, после которого невозможно восстановить ранее собранную и обработанную личную информацию в информационной системе.

Важно помнить, что все компании обязаны удалять данные после достижения целей их обработки.

• 7 рабочих дней

При представлении субъектом персональных данных (или его представителем) сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки (ч. 1 ст. 14, ч. 3 ст. 20 Закона N 152-Ф3 https://www.consultant.ru/document/cons_doc_LAW_61801/34585db685164ddd73440bf08348903bff6715aa/ )

• 10 рабочих дней

При выявлении неправомерной обработки персональных данных, если невозможно обеспечить ее правомерность - срок считается с даты выявления (ч. 3 ст. 21 Закона N 152-Ф3 https://www.consultant.ru/document/cons_doc_LAW_61801/d3fe43a7c415353b17faab255bc0de92bea127da/)

• 30 рабочих дней

При достижении цели обработки персональных данных - срок отсчитывается с даты достижения цели (ч. 4 ст. 21 Закона N 152-Ф3 https://www.consultant.ru/document/cons_doc_LAW_61801/d3fe43a7c415353b17faab255bc0de92bea127da/)

• 30 рабочих дней

При отзыве субъектом персональных данных согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки персональных данных - срок отсчитывается с даты поступления отзыва (ч. 5 ст. 21 Закона N 152-Ф3 https://www.consultant.ru/document/cons_doc_LAW_61801/d3fe43a7c415353b17faab255bc0de92bea127da/)

• 10 рабочих дней

При обращении субъекта персональных данных с требованием о прекращении обработки персональных данных - срок отсчитывается со дня получения такого требования, за исключением отдельных случаев. Данный срок может быть продлен, но не более чем на 5 рабочих дней (ч. 5.1 ст. 21 Закона N 152-Ф3 https://www.consultant.ru/document/cons_doc_LAW_61801/d3fe43a7c415353b17faab255bc0de92bea127da/)

Чтобы вы не упустили важные моменты, мы подготовили чек-лист по обработке персональных данных на сайте.

8. При осуществлении трансграничной передачи персональных данных — подайте уведомление в РКН.

Перед началом трансграничной передачи необходимо направить уведомление в Роскомнадзор (РКН). Если в течение 10 рабочих дней ответ от регулятора не поступил, передачу данных можно осуществлять. Ответ приходит только в случае ограничения или запрета на передачу.

Важно:

• Если уведомление уже подавалось ранее, повторно отправлять его не нужно;
• Необходимо проверить, в какие страны передаются данные. Согласно приказу РКН, все государства делятся на две категории:
• Обеспечивающие адекватную защиту (например, страны-подписанты Евроконвенции: Болгария, Польша, Литва, Словения и др.);
• Не обеспечивающие адекватную защиту (все остальные).

9. Ряд обязательств для юридических лиц

Помимо общих правил, которые применяются ко всем сайтам, юридические лица должны выполнять ряд дополнительных обязательств.

1. Назначить ответственных и разработать внутренние документы

• назначить сотрудника, ответственного за обработку персональных данных;
• разработать внутренние регламенты, регулирующие сбор, хранение и защиту персональных данных.

2. Оформить согласие сотрудников и ознакомить их с политиками

• Получить письменное согласие работников на обработку их персональных данных;
• Под роспись ознакомить персонал с внутренними документами, регулирующими работу с персональными данными.

3. Обеспечить техническую и организационную защиту данных
В соответствии с приказом необходимо внедрить:

• антивирусные системы и межсетевые экраны;
• систему разграничения доступа к персональным данным;
• иные меры, предотвращающие утечки.

4. Действия при утечке персональных данных
В случае утечки компания обязана:

• в течение 24 часов уведомить Роскомнадзор, указав возможные причины и оценку потенциального вреда;
• в течение 72 часов провести внутреннее расследование и предоставить его результаты.

Подробнее https://www.consultant.ru/document/cons_doc_LAW_146520/

Чек-лист по обработке персональных данных на сайте

1. Создать и разместить на сайте политику обработки персональных данных
2. Разместить уведомление о сборе персональных данных
3. Предупредить о сборе cookie
4. Подать уведомление в реестр Роскомнадзора
5. Создать регламент ответов на запросы пользователей
6. Проверить поручения на обработку персональных данных
7. Организовать хранение персональных данных
8. Обеспечить защиту персональных данных
9. Уничтожить персональные данные
10. При трансграничной передаче персональных данных, подайте заявление в Роскомнадзор
11. Если вы юрлицо — разработайте пакет внутренних документов по защите персональных данных, подпишите согласие с сотрудниками на обработку персональных данных, защитите данные необходимыми мерами