Законодательство о персональных данных постоянно ужесточается, особенно заметно это стало в этом году.
1. В 2025 году в законодательстве о персональных данных произошли следующие ключевые изменения:
Ужесточение ответственности за утечки персональных данных:
С 30 мая 2025 года вступают в силу поправки в Кодекс Российской Федерации об административных правонарушениях (КоАП РФ), внесенные Федеральным законом от 30 ноября 2024 г. N 420-ФЗ. Эти поправки значительно увеличивают размеры штрафов за утечки персональных данных.
Размер штрафа будет зависеть от объема скомпрометированных данных:
При утечке от 1 000 до 10 000 субъектов персональных данных или от 10 000 до 100 000 уникальных идентификаторов пользователей:
Для граждан: от 100 000 до 200 000 руб.
Для должностных лиц: от 200 000 до 400 000 руб.
Для юридических лиц: от 3 млн до 5 млн руб.
При утечке от 10 000 до 100 000 субъектов или от 100 000 до 1 млн идентификаторов:
Для граждан: от 200 000 до 300 000 руб.
Для должностных лиц: от 300 000 до 500 000 руб.
Для компаний: от 5 млн до 10 млн руб.
При утечке более 100 000 субъектов или более 1 млн идентификаторов:
Для граждан: от 300 000 до 400 000 руб.
Для должностных лиц: от 400 000 до 600 000 руб.
Для компаний: от 10 млн до 15 млн руб.
Введены оборотные штрафы для компаний, неоднократно допускающих утечки больших объемов персональных данных.
Также с 30 мая 2025 года вводится административная ответственность за невыполнение или несвоевременное выполнение оператором обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных (часть 10 статьи 13.11 КоАП РФ).
2. С 1 сентября 2025 - Новые обязанности по передаче обезличенных данных:
С 1 сентября 2025 года операторы персональных данных (ПДн) обязаны по запросу Минцифры передавать обезличенные персональные данные в государственную информационную систему (ГИС), определяемую Правительством РФ.
В запросе будет указан перечень данных и сроки их предоставления. Правила обезличивания будут установлены Правительством РФ по согласованию с ФСБ России.
С 1 сентября 2025 года согласие на обработку персональных данных необходимо будет оформлять отдельно от других документов, которые подтверждает и/или подписывает субъект персональных данных (часть 1 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" в редакции Федерального закона от 24 июня 2025 г. N 156-ФЗ).
3. Изменения в законодательстве, вступившие в силу ранее, но актуальные в 2025 году:
С 8 августа 2024 года внесены изменения в статью 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (в редакции Федерального закона от 8 августа 2024 г. N 233-ФЗ), касающиеся применения средств защиты информации для уничтожения персональных данных и уточняющие полномочия органов по контролю и надзору за выполнением мер по обеспечению безопасности персональных данных.
С 1 марта 2023 года установлены требования к подтверждению уничтожения персональных данных (Приказ Роскомнадзора от 28.10.2022 N 179). Подтверждающим документом является акт об уничтожении, а при автоматизированной обработке – акт и выгрузка из журнала регистрации событий. Акты и выгрузки необходимо хранить в течение 3 лет.
С 1 марта 2023 года изменен срок уведомления Роскомнадзора об изменении ранее представленных сведений или о прекращении обработки персональных данных: теперь это не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения или прекратилась обработка (часть 7 статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ).
Необходимость внесения изменений в Положение о персональных данных:
Если ваше Положение о персональных данных было утверждено в июне 2023 года, то с учетом изменений, вступивших в силу в 2024 году и планируемых к вступлению в силу в 2025 году, есть необходимость внести изменения. В частности, следует пересмотреть следующие аспекты:
Ответственность за утечки: Убедитесь, что в Положении отражены актуальные размеры штрафов и процедуры реагирования на утечки.
Передача обезличенных данных: Отразите обязанность по передаче обезличенных данных в ГИС Минцифры с 1 сентября 2025 года.
Оформление согласия: Уточните порядок оформления согласия на обработку персональных данных, чтобы оно соответствовало требованию об отдельном оформлении от других документов.
Уничтожение персональных данных: Проверьте, соответствует ли порядок документального подтверждения уничтожения персональных данных требованиям приказа Роскомнадзора N 179.
Сроки уведомления Роскомнадзора: Убедитесь, что в Положении указаны актуальные сроки уведомления об изменении сведений или прекращении обработки персональных данных.
Если у вас остались вопросы или необходима консультация, переходите по ссылке ниже. У меня также есть готовые комплекты документов по ПД.