С 1 сентября 2025 года вступают в силу изменения в законодательстве, регулирующем работу с персональными данными. Основные нововведения касаются получения согласия на обработку ПД и их обезличивания. В статье мы подробно разберем эти изменения и дадим рекомендации, как избежать штрафов за нарушения.
С 30 мая 2025 года в России вступили в силу поправки в закон о персональных данных, которые поменяли подход работы компаний по обработке персональных данных, уведомлению Роскомнадзора, работой с утечкой данных.
Операторам персданных, а к ним относятся все компании, имеющие свой сайт, теперь грозят большие штрафы и даже уголовная ответственность с лишением свободы до 8 лет.
Что изменилось в работе с персональными данными в мае 2025 г.
1. Компании обязаны уведомлять Роскомнадзор о сборе и хранении персональных данных до начала работы с ними, а не постфактум, как разрешалось ранее.
За отсутствие регистрации компании грозят штрафы, которые с 30 мая стали больше и теперь составляют:
- для юридических лиц — от 300 000 до 1 000 000 руб.;
- для должностных лиц — от 50 000 до 100 000 руб.;
- для ИП — от 10 000 до 30 000 руб.
2. Необходимо своевременно сообщать в Роскомнадзор об изменениях в сведениях о компании или форме обрабатываемых данных.
3. Информацию о пользователях нужно хранить на территории РФ, чтобы передавать данные за границу нужно сначала получить разрешение от Роскомнадзора.
4. Необходимо заранее уведомить Роскомнадзор об использовании метрик: Google Analytics, Яндекс.Метрика. Для использования Google Analytics и других иностранных счетчиков требуется разрешение Роскомнадзора.
5. Об утечке персональных данных и предпринятых мерах для их восстановления необходимо сообщить в Роскомнадзор в течение 24 часов.
С 1 сентября в силу вступает еще ряд требований к защите персданных и, соответственно, новые штрафы за их нарушения.
Изменения в работе с персональными данными с 1 сентября 2025
1. Новые правила оформления согласия на обработку персданных
С 1 сентября 2025 года вступят в силу поправки в ч. 1 ст. 9 закона от 27.07.2006 № 152-ФЗ, введенные законом от 24.06.2025 № 156-ФЗ.
Согласие на обработку персональных данных нужно будет оформлять отдельно от остальных документов, которые подписывает субъект ПД. То есть добавить в конце договора абзац, где нужно поставить «галочку» и т. п., больше не получится.
Оформить согласие можно на бумаге или в электронном виде. В нем нужно указать:
- данные об операторе ПД: название/ФИО ИП или самозанятого, адрес;
- цель обработки персональных данных;
- перечень собираемых данных;
- действия, которые будут проводит с данными: сбор, систематизация, хранение, передача;
- способы обработки данных;
- срок действия согласия;
- если данные передадут третьему лицу – сведения о нем.
2. Операторы будут обязаны передавать обезличенные персданные в ГИС
С 1 сентября 2025 года все операторы персональных данных должны передавать обезличенную информацию в геоинформационную систему (ГИС). Об этом сказано в Федеральном законе от 08.08.2024 № 233-ФЗ.
Министерство цифрового развития (Минцифры) получило полномочия требовать от компаний и ведомств предоставления необходимых данных в обезличенном виде для загрузки в федеральную государственную информационную систему (ГИС).
По таким сведениям невозможно распознать конкретного человека. Информация попадет в закрытую систему, доступ к которой есть у компаний, граждан, государственных и муниципальных органов.
Основные условия: состоять в реестре операторов персональных данных, не быть под контролем иностранных компаний и лиц, не иметь связей с терроризмом и экстремизмом, в ЕГРЮЛ должны быть указаны достоверные сведения.
Что нужно успеть до 1 сентября 2025
За неправильно оформленное согласие после 1 сентября 2025 г. компанию могут оштрафовать по ч. 2 ст. 13.11 КоАП.
Остаются высокие штрафы более миллиона рублей за нарушения в защите персданных. Избежать проблем можно, заранее приведя дела компании в порядок. Необходимо:
- Проведите внутренний аудит процессов обработки персданных;
- Организовать аудит документальной базы: договоры, политики, заявления и анкеты;
- Разработайте форму отдельного согласия;
- Подайте уведомление об обработке персданных, если еще не успели этого сделать;
- Проверьте, функционируют ли ваши программы и алгоритмы обезличивания персональных данных. Они могут понадобиться в случае получения соответствующего требования от Минцифры.
Как работать с персональными данными безопасно
С 1 сентября список требований к работе с персданными расширится. Теперь согласие на обработку персональных данных нужно будет оформлять отдельно от остальных документов, ФНС указала точные требования к бумажному и электронному варианту.
Помните, что за ошибки в оформлении согласия грозят штрафы до 700 000 руб., а за ошибки в работе с персданными — до 15 млн руб.!
На курсе «Новые правила по защите персданных - 2025» вы узнаете, что относится к персональным данным, разберетесь в основных положениях по защите, обработке, хранению и уничтожению данных, научитесь оформлять согласие в 1С:ЗУП. Получите шаблоны уведомлений, образцы их заполнения и пошаговую инструкцию по регистрации в Роскомнадзоре!