Начиная с 1 сентября 2025 года, вводятся более строгие правила обработки персональных данных. Эти изменения затрагивают получение согласия на их предоставление и процедуру обезличивания. Соблюдать новые требования необходимо всем организациям, работающим с персональными данными, вне зависимости от масштаба их деятельности.
В 2025 году в закон «О персональных данных» были внесены изменения. Эти поправки призваны ужесточить надзор за организациями, владеющими персональные данные россиян: работников, клиентов, заказчиков, поставщиков и т.д.
В конце мая 2025 года ввели новые штрафы за утечку сведений и неподачу уведомлений о начале обработки персональных данных.
С 1 июля 2025 года вступили в силу изменения, усилившие требования к хранению баз данных на территории Российской Федерации. В настоящее время штраф за размещение за границей баз данных, содержащих персональные данные, составляет от 1 до 6 млн рублей (часть 8 статьи 13.11 КоАП РФ).
С 1 сентября 2025 года вступают в силу новые требования к оформлению согласия на обработку персональных данных клиентов. Эти изменения распространяются на все организации, работающие с персональными данными, вне зависимости от их размера – от небольших компаний до крупных предприятий.
Согласие на обработку персональных данных
Раньше компании, как правило, использовали различные методы для получения подтверждения от клиентов (заказчиков и т.п.) относительно обработки персональных данных ограничивались включением соответствующего пункта в договор или пользовательское соглашение.
Начиная с 1 сентября 2025 года, согласие не может быть включено в договор или иное соглашение. Согласие на обработку персональных данных должно оформляться в виде самостоятельного документа на бумажном или электронном носителе и содержать все сведения, установленные законом. В отношении веб-сайтов, теперь простого выбора опции согласия на обработку всех персональных данных посредством чекбокса будет недостаточно.
Ранее выданные разрешения продолжают действовать, и повторно оформлять их не требуется.
Виды согласий
Законодательство предусматривает две формы выражения согласия на обработку персональных данных:
- Согласие с запретом на разглашение сведений.
- Разрешение, предусматривающее возможность передачи персональных данных.
В соответствии с первым вариантом, оператор-организация получает право на сбор, хранение, использование и передачу персональных данных, однако это разрешено лишь тем лицам, перечень которых установлен законодательством. Именно такая форма взаимодействия является наиболее распространенной среди организаций.
Альтернативный вариант предполагает предоставление более детального согласия на обработку персональных данных. Он позволяет публично распространять информацию, такую как размещение на официальном веб-сайте, в социальных сетях и других платформах. Этот вариант требует более тщательной проработки. Лицо, чьи персональные данные обрабатываются, само определяет, какая информация о нем будет доступна широкой публике.
Несоблюдение требований к оформлению согласия на обработку персональных данных влечет за собой административное наказание
В соответствии с частью 2 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях предусмотрены санкции за несоблюдение требования об получении согласия на обработку персональных данных:
- для обычных граждан — в размере от 10 тыс. до 15 тыс. рублей;
- для руководителей организаций — от 100 тыс. до 300 тыс. рублей;
- для компаний — от 300 тыс. до 700 тыс. рублей.
Как Роскомнадзор определяет организации, допускающие нарушения при обработке персональных данных, и какие штрафы предусмотрены для них
Обезличивание персональных данных
Обезличивание предполагает, что данные представляются в такой форме, что без привлечения дополнительных сведений установить личность субъекта не представляется возможным.
С 1 сентября 2025 года новые правила, касающиеся обезличивания данных, вступили в действие.
Государственные органы имеют право запрашивать подобную обезличенную информацию для внесения в Единую информационную платформу национальной системы управления данными (ГИС). Передача биометрических данных или информации, относящейся к особым категориям, не допускается.
Какие изменения необходимо внести в обработку персональных данных к 1 сентября 2025 года
- Необходимо установить, зарегистрированы ли сведения об операторе в соответствующем реестре. В случае отсутствия такой записи следует подать уведомление. Ошибки в уведомлении об обработке персональных данных в РКН
- Необходимо провести проверку договоров и пользовательских соглашений с целью удаления из них положений, касающихся согласия на обработку персональных данных.
- Необходимо создать и реализовать новую форму отдельного согласия на обработку персональных данных.
- Возможно, потребуется обновить Политику обработки персональных данных.
- Необходимо создать отдельный, закрытый документ, регламентирующий обезличивание информации, в котором будет описано, какие способы обезличивания используются и как организовано хранение фрагментов данных.
- Необходимо оценить текущую систему защиты персональных данных и принять меры для снижения вероятности их утечки.
- Актуализировать формы на сайтах компании.