Найти в Дзене
Системы безопасности
2428 подписчиков

Новая эпоха обработки персональных данных

1
10 мин
Статья посвящена обзору изменений законодательства в области обработки персональных данных, которые вступили в сентябре 2025 г., и их влиянию на деятельность физических и юридических лиц. Иван Тушко Специалист-эксперт в области обеспечения транспортной безопасности Обработка персональных данных (ПД) выходит на более высокий уровень, и 1 сентября 2025 г. можно назвать началом новой эпохи для этого направления. Безопасности персональных данных граждан уделяют всё большее значение, повышая контроль со стороны государственных органов и создавая дополнительные рубежи их защиты. Федеральный закон от 24.06.2025 г. № 156-ФЗ ужесточил правила оформления согласий на обработку персональных данных физических лиц. Обновленные правила вступили в силу с 1 сентября 2025 г. и обязательны для применения всеми организациями и ИП, получающими и обрабатывающими персональные данные граждан. В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и роста
Оглавление

Что было, что изменилось, как действовать в новых условиях

Статья посвящена обзору изменений законодательства в области обработки персональных данных, которые вступили в сентябре 2025 г., и их влиянию на деятельность физических и юридических лиц.

Иван Тушко
Специалист-эксперт в области обеспечения транспортной безопасности

Обработка персональных данных (ПД) выходит на более высокий уровень, и 1 сентября 2025 г. можно назвать началом новой эпохи для этого направления. Безопасности персональных данных граждан уделяют всё большее значение, повышая контроль со стороны государственных органов и создавая дополнительные рубежи их защиты. Федеральный закон от 24.06.2025 г. № 156-ФЗ ужесточил правила оформления согласий на обработку персональных данных физических лиц. Обновленные правила вступили в силу с 1 сентября 2025 г. и обязательны для применения всеми организациями и ИП, получающими и обрабатывающими персональные данные граждан.

Что такое персональные данные

В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и роста рисков утечки и мошеннического использования информации. При проведении проверок инспекторы обращают внимание на документы, относящиеся к ПД: их наличие, хранение, согласие работников на обработку и т.д.

Персональные данные – это любые сведения, касающиеся физического лица, которые прямо или косвенно дают возможность установить его личность. Иными словами, это любая информация, позволяющая идентифицировать конкретного человека (Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных"). К таким данным относят: ФИО, пол, дату и место рождения, адрес проживания, уровень образования, семейное положение и др.

Важным моментом является привязка информации к определенному лицу. Отдельные электронные адреса или телефонные номера, не связанные с конкретным человеком, не являются персональными данными, так как нельзя понять, кому они принадлежат. Однако если в базе данных организации содержатся ФИО клиента в сочетании с его e-mail и номером телефона, то это относится к ПД, так как идентифицирует конкретное лицо.

Аналогично результаты опросов могут быть как анонимными, так и с персональными данными.
Анонимный опрос о трудовой деятельности не предполагает сбор личной информации. В то же время сбор ФИО, номера телефона и сведений о трудовой деятельности считается обработкой ПД в соответствии с законодательством.

Четкого перечня персональных данных не существует: чтобы информация являлась персональной, необходимо ее сочетание с другими данными, такими как ФИО или паспортные данные, позволяющее идентифицировать субъекта.

Как и зачем защищать персональные данные

Желающих завладеть личными данными в настоящее время предостаточно. Участились ситуации с утечкой ПД в Сеть. В большинстве случаев их недостаточно для совершения мошеннических действий, поэтому злоумышленники могут звонить по телефону, присылать электронные письма или даже приходить домой – таким образом они пытаются раздобыть недостающую информацию.

Каким образом информация с личными данными попадает в Интернет? Сотрудники банков или микрокредитных организаций могут выкладывать их в Сеть, мошенники взламывают сайты интернет-магазинов или сервисных компаний и похищают информацию о клиентах. Некоторые пользователи вводят свои данные на сайтах с сомнительными розыгрышами и лотереями, на фишинговых сайтах.

Какие действия возможны с полученными данными пользователей? Это продажа третьим лицам, похищение денежных средств с банковских карт и счетов, оформление кредитов и микрозаймов, шантаж.

Если человек обнаружил размещение своих ПД на каком-либо сайте без собственного согласия или ему поступают звонки и письма от компаний, которые не получали его согласия на обработку данных, то он может обратиться с жалобой в Роскомнадзор. Роскомнадзор является главным учреждением, куда направляются обращения о нарушении законодательства в области персональных данных.

Что было до изменений

Любой договор с физическим лицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о ПД.
Без письменного согласия человека обработка персональных данных оператором, а также их передача третьим лицам запрещены.

В целом обработка ПД – это вообще любые действия, которые с ними совершают. Сюда входят их сбор, передача, запись, хранение, извлечение, изменение, обезличивание, анализ, удаление. В свою очередь, обработка может осуществляться тремя путями:

  1. Автоматизированная – с помощью средств вычислительной техники. Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.
  2. Смешанная – обработка человеком с применением средств вычислительной техники, например когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.
  3. Неавтоматизированная – без автоматизации. После того как данные обработаны, они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах), и электронное хранилище (например, облачное).

В любом случае гражданин впоследствии должен иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).

Защита персональных данных

Согласно ст. 3 152-ФЗ оператор персональных данных – это юридическое лицо (ООО, АО, НКО и т.д.), индивидуальный предприниматель (ИП) или даже физическое лицо, которое самостоятельно или совместно с привлечением других лиц организует и (или) обрабатывает персональные данные, а также определяет цели обработки, состав обрабатываемых данных и действия (операции), совершаемые с ними.

Оператор обработки ПД должен ответственно относиться к хранению личной информации лиц. Российское законодательство предусматривает разные виды ответственности (дисциплинарную, административную, уголовную) за нарушение правил обращения с персональными данными.
Защита ПД – это весь набор мероприятий, помогающих обезопасить данные физических лиц. Операторы собирают информацию о своих сотрудниках, клиентах, пользователях и по закону обязаны надежно их хранить и защищать от утечек.

В каждой системе защиты персональных данных есть организационные и технические меры.
К организационным относятся:

  • разработка и внедрение четкой политики защиты данных, правил использования, обработки и хранения персональной информации;
  • проведение регулярных тренингов и обучения сотрудников правилам обработки данных и процедурам безопасной работы;
  • разграничение доступа к информации в зависимости от ролей сотрудников, использование двухфакторной аутентификации и регулярное обновление паролей.

Технические меры по защите персональных данных:

  • шифрование для защиты информации в хранилищах данных, а также при передаче через открытые сети;
  • установка систем мониторинга и аналитики для раннего обнаружения аномального поведения и попыток несанкционированного доступа;
  • постоянное обновление программного обеспечения и установка патчей безопасности для защиты от известных уязвимостей;
  • создание регулярных резервных копий данных для снижения рисков потери информации и возможности быстрого восстановления после инцидентов.

Что изменилось

Правила получения и использования согласия на обработку персональных данных в 2025 г. стали еще жестче. Изменения затрагивают саму форму документа, порядок хранения, сроки, возможность отзыва, требования к тому, как именно компания должна уведомлять физическое лицо. Ошибки теперь могут привести не просто к штрафу, а к блокировке сайта или запрету на обработку данных. В 2025 г. в 152-ФЗ внесены важные изменения.

Акцент сделан на прозрачности. Клиент должен понимать, кому, зачем, на какой срок он передает свои данные, а компания – уметь подтвердить это на практике. Никакие формальные отсылки на "публичную оферту" или "автоматическую активацию при регистрации" теперь не работают.

Новые требования к работе с ПД, введенные с сентября 2025 г., в первую очередь касаются получения согласия и обезличивания данных.

Согласие на обработку ПД должно быть оформлено отдельным документом – теперь это обязательное требование закона. Нельзя включать его по умолчанию в пользовательские соглашения, оферты, анкеты или договоры. Даже если клиент подписывает сторонний документ, содержащий фразу "согласен на обработку данных", согласие считается недействительным.

Важное дополнение: те согласия, которые были получены до вступления в силу поправок, переоформлять не нужно! Однако если не прислушиваться к законодательным изменениям после 1 сентября 2025 г. и новые согласия оформлять по старому формату, можно столкнуться с административной ответственностью и штрафом в размере до 700 тыс. руб. Оформить согласие можно на бумаге или в электронном виде. В нем нужно указать:

  • данные об операторе ПД: название/ФИО ИП или самозанятого, адрес;
  • цель обработки персональных данных;
  • перечень собираемых данных;
  • действия, которые будут проводит с данными: сбор, систематизация, хранение, передача;
  • способы обработки данных;
  • срок действия согласия;
  • если данные будут переданы третьему лицу – сведения о нем.

С 1 сентября 2025 г. у операторов появляется обязанность по запросу регулятора передавать обезличенные массивы данных в государственные информационные системы (ГИС). Это не касается биометрии и данных о здоровье.

Закон усиливает акцент на принципе "храните только то, что необходимо, и ровно столько, сколько нужно":

  • В политике конфиденциальности нужно четко прописывать сроки хранения персональных данных.
  • Необходимо настроить процессы своевременного удаления данных, которые больше не нужны для заявленных целей, например данные клиента, который не делал заказы несколько лет.
  • Обезличивание может стать альтернативой полному удалению для аналитических задач.

С 1 сентября 2025 г. закон № 420-ФЗ ужесточает наказание за утечки ПД. Размер штрафов теперь напрямую зависит от масштаба инцидента:

  • при утечке 1–10 тыс. записей для юрлиц – до 5 млн руб., для ИП – 200—400 тыс. руб. (как для должностных лиц);
  • при утечке более 100 тыс. записей для юрлиц – до 15 млн руб., для ИП – до 600 тыс. руб.

За повторное нарушение компаниям грозит штраф в размере от 1 до 3% от годовой выручки.

К чему нужно быть готовым

Изменения в законе о персональных данных 2025 г. – это серьезный шаг, который затрагивает практически весь бизнес. Суть поправок – в большей прозрачности и ответственности за данные клиентов.

Работа с ПД – это не только формальность, но и постоянный контроль, обновление документов и готовность к проверкам. Для руководителей и собственников бизнеса это означает дополнительную нагрузку, отвлекающую от стратегических задач. Теперь проверка соблюдения требований не обязательно инициируется жалобой. Роскомнадзор имеет право проводить плановые и внеплановые проверки, а также применять автоматизированные системы мониторинга сайтов.

Даже отсутствие текста политики по работе с ПД может стать основанием для административного дела.

Ответственность может наступить не только из-за некорректного сбора данных, но и за нарушения во время всего цикла их обработки – хранения, передачи, использования и уничтожения. Если разрешение не охватывает конкретную операцию (например, передачу третьим лицам), она автоматически становится нарушением.

Во избежание проблем с надзорными органами и последующих репутационных и финансовых потерь рекомендуется реализовать ряд мероприятий:

  1. Проверить, включена ли ваша компания в реестр операторов ПД. Если нет – подать уведомление.
  2. Проверить договоры и пользовательские соглашения, убрать из текстов согласие на обработку персональных данных.
  3. Разработать и внедрить новую форму отдельного согласия на обработку персональных данных.
  4. При необходимости актуализировать политику обработки персональных данных.
  5. Разработать отдельное конфиденциальное положение об обезличивании сведений, указав в нем, какой метод обезличивания применяется, как хранятся отдельные части массива данных.
  6. Проверить, как организована защита персональных данных, минимизировать риски утечек.
  7. Актуализировать формы на сайтах компании.

Компании, которые продолжают работать по старинке, рискуют столкнуться со штрафами и блокировками. Чтобы избежать проблем, достаточно один раз навести порядок: обновить документы, внедрить прозрачные процессы и строго следовать требованиям.

Оригинал публикации >>

Иллюстрация к статье сгенерирована нейросетью Kandinsky

Следите за новыми материалами на наших ресурсах:

Телеграм | Дзен | ВКонтакте | MAX

Безопасность и правопорядок
95,2 тыс интересуются