С 1 сентября 2025 года в России начали действовать новые правила работы с персональными данными. Теперь согласия на их обработку должны быть оформлены отдельно, а обезличенные массивы данных — передаваться в государственные системы.
Эти изменения касаются всех: от небольших интернет-магазинов до крупных организаций. При этом Роскомнадзор усиливает контроль, а штрафы за нарушения доходят до сотен тысяч и даже миллионов рублей.
В этой статье мы рассказываем, что изменилось в законе, как теперь оформлять согласие на обработку персональных данных, и что важно знать, чтобы избежать штрафов после 1 сентября 2025 года.
Также не забудьте нажать «лайк» и подписаться на Чёрную Бухгалтерию в Дзене, чтобы следить за другими полезными публикациями для бизнеса.
Кто считается оператором персональных данных
Согласно закону № 152-ФЗ, операторами считаются все физические лица, индивидуальные предприниматели или организации, которые собирают и обрабатывают персональные данные.
Например, интернет-магазин, собирающий данные покупателей для оформления заказов, и мастер по ремонту телефонов, который ведет клиентскую базу в Excel, имеют одинаковые обязанности.
Им необходимо уведомлять Роскомнадзор, заполнять необходимые документы и обеспечивать защиту информации.
Обратите внимание: к персональным данным относятся не только паспорт или СНИЛС, но и такие «бытовые» сведения, как номер телефона, адрес доставки или электронная почта. Под действие закона попадает даже контактное лицо контрагента, если его данные можно идентифицировать.
Изменения в работе с персональными данными с 1 сентября 2025 года
Новые правила оформления согласий
Теперь согласие на обработку персональных данных должно быть оформлено отдельно и не может быть «спрятано» внутри договора или пользовательского соглашения (Федеральный закон № 156-ФЗ).
Раньше бизнес мог включать согласие прямо в текст договора — клиент подписывал общий документ и автоматически соглашался и на обработку данных. С 1 сентября такие формулировки считаются недействительными.
Важно понимать: речь идет не только о бумажных документах. Согласие может быть оформлено в любой форме, которая позволяет подтвердить волю человека. Это может быть:
- Бумажный документ с подписью;
- Электронная форма (например, отдельное поле или кнопка на сайте);
- Чекбокс или иное техническое средство, если оно явно отделено от согласия с условиями договора.
При этом согласие должно содержать обязательные реквизиты, перечисленные в ч. 4 ст. 9 закона № 152-ФЗ:
- Сведения о самом субъекте (ФИО, паспортные данные);
- Данные об операторе (наименование ООО или ФИО ИП, адрес);
- Перечень данных и цель их обработки;
- Действия, которые планируется совершать с информацией (сбор, хранение, передача и др.);
- Срок действия согласия и порядок его отзыва.
Обратите внимание: если планируется передача данных третьим лицам, потребуется еще одно отдельное согласие — с указанием конкретного получателя и цели передачи.
Обезличивание и передача данных в государственные системы
Другое важное изменение связано с обезличиванием данных. С 1 сентября все операторы (от ИП до крупных корпораций) обязаны использовать только сертифицированные методы обезличивания.
Обезличивание — это процедура, которая исключает возможность определить конкретного человека по хранящейся информации. На практике для этого используются разные методы, например: замена персональных данных на коды, обобщение атрибутов, разделение данных на части.
Новое требование заключается в том, что обезличенные массивы данных необходимо передавать по запросу в государственные информационные системы (ГИС), которые курирует Минцифры.
Передача таких данных возможна только через защищенные каналы связи. При этом в их состав не могут входить сведения о здоровье, политических или религиозных убеждениях, а также другие специальные категории.
Это означает, что теперь бизнесу необходимо:
- Внедрить инструменты для корректного обезличивания;
- Наладить процесс хранения исходных и обезличенных данных отдельно;
- Быть готовым к запросам со стороны государства и уметь быстро выгрузить данные в нужном формате.
Персональные данные и курирующие органы
До недавнего времени основным органом, контролирующим обработку персональных данных, оставался Роскомнадзор. С 1 сентября 2025 года к системе подключились и силовые структуры:
- ФСБ России — теперь она может проверять, насколько корректно компании внедряют технические и организационные меры защиты персональных данных. Причем речь идет о любых (в том числе коммерческих) организациях, которые работают с данными;
- ФСТЭК (Федеральная служба по техническому и экспортному контролю) — пока ее роль ограничена разработкой методик и сертификацией средств защиты. Но если обсуждаемые поправки будут приняты, ведомство сможет проверять информационные системы на соответствие требованиям.
Таким образом, у ИП и организаций появилось сразу несколько надзорных центров. Это означает:
- Повышение рисков проверок: если раньше достаточно было привести в порядок документы и политику, теперь придется уделять особое внимание IT-инфраструктуре;
- Усиление требований к ПО: бизнесу нужно убедиться в том, что его системы хранения и обработки данных соответствуют сертифицированным стандартам;
- Более серьезная ответственность: нарушения, выявленные ФСБ или ФСТЭК, могут трактоваться не только как административные, но и как угрозы национальной безопасности.
Персональные данные: что ждёт бизнес в 2026 году
Ужесточение требований к работе с персональными данными продолжится и в следующем году. Уже сегодня известно о нескольких нововведениях, которые вступят в силу в 2026 году.
Реестр центров обработки данных (ЦОД)
С 1 марта 2026 года начнет работу реестр центров обработки данных (ЦОД). Главная цель — систематизация инфраструктуры, в которой хранится информация о гражданах, и обеспечение ее соответствия требованиям безопасности.
Это означает, что:
- Операторы персональных данных смогут использовать только те ЦОДы, которые включены в государственный реестр;
- К ЦОДам будут предъявляться требования по технической защите, резервированию и территориальному размещению;
- Использование зарубежных облачных сервисов для хранения персональных данных останется под запретом, а нарушение правил будет наказываться штрафами.
Для бизнеса это в первую очередь вопрос выбора поставщика услуг: перед заключением договора на хостинг или аренду серверов будет необходимо проверить, есть ли провайдер в официальном реестре.
Биометрические данные для аккредитованных операторов
Особое внимание уделяется биометрическим данным (фото, голос, отпечатки пальцев, параметры внешности). С 2026 года их смогут обрабатывать только компании, прошедшие специальную аккредитацию Минцифры.
Это требование особенно важно для:
- Банков и сферы финтеха;
- IT-компаний и сервисов дистанционной идентификации;
- Медицинских организаций, которые работают с цифровыми профилями пациентов.
Для компаний без аккредитации хранение или обработка биометрии будет считаться нарушением и грозить серьезными санкциями.
Новые оборотные штрафы
С 2026 года в КоАП планируется внедрить оборотные штрафы за повторные или систематические нарушения в сфере персональных данных — до 3% от годовой выручки компании.
Для малого бизнеса такие штрафы могут оказаться критическими, а для крупных компаний — очередной мотивацией для работы в строгом соответствии с законом.
Усиление автоматического контроля
Роскомнадзор активно развивает систему мониторинга утечек и нарушений с применением искусственного интеллекта.
К 2026 году планируется внедрить автоматизированные проверки: алгоритмы будут выявлять сайты и сервисы, которые собирают данные без согласия, используют иностранные платформы или не публикуют политику обработки.
Это означает, что рассчитывать на «незаметность» больше не получится: нарушения будут фиксироваться в автоматическом режиме.
Штрафы за нарушения при работе с персональными данными
Санкции за нарушения в сфере персональных данных растут вместе с требованиями. Для ИП и ООО штрафы различаются, но тенденция одна — суммы становятся все более ощутимыми.
Неправильное согласие (ч. 2 ст. 13.11 КоАП РФ)
Если ИП или организация продолжает включать согласие на обработку данных в общий текст договора или пользовательского соглашения после 1 сентября 2025 года, им положен штраф:
- Для самозанятых — от 10 000 до 15 000 ₽;
- Для ИП — от 100 000 до 300 000 ₽;
- Для должностных лиц — от 100 000 до 300 000 ₽;
- Для организаций — от 300 000 до 700 000 ₽.
Повторное нарушение (ч. 2.1 ст. 13.11 КоАП РФ)
При повторном выявлении нарушений суммы штрафа резко возрастают:
- Для самозанятых — от 15 000 до 30 000 ₽;
- Для ИП — от 500 000 до 1 000 000 ₽;
- Для должностных лиц — от 300 000 до 500 000 ₽;
- Для организаций — от 1 000 000 до 1 500 000 ₽.
Неуведомление Роскомнадзора
Если оператор не сообщил о начале работы с персональными данными, штраф составит десятки и сотни тысяч рублей — отдельно для компании и для ее руководителя.
Нарушение защиты персональных данных или утечка
Если оператор скроет факт утечки персональных данных или не обеспечит сохранность сведений — в этом случае штраф может составить от 1 до 3 миллионов рублей (ч. 11 ст. 13.11 КоАП РФ).
Если вы хотите развивать любимое дело, не отвлекаясь на частые нововведения и сложности ведомствами — обратитесь к Чёрной Бухгалтерии!
Наша команда заберет на себя ведение учетов, расчет налогов и взносов, подачу отчетности, коммуникацию с ФНС и другие задачи с учетом всех изменений, чтобы вы работали без ошибок и штрафов.
Узнайте больше о компании, ознакомьтесь с услугами и оставьте заявку уже сейчас — на сайте чёрнаябухгалтерия.рф.
