Тариф успешно добавлен в корзину
В корзину

Как избежать больших штрафов. Новые правила работы с персональными данными в 2025 году

Автор статьи First John

В нашей жизни переменчиво всё. И если еще в прошлом месяце с персональными данными работать было гораздо проще, то сейчас правила изменились и ужесточились. Это не удивительно — уже за 2025 год Роскомнадзор (далее по тексту — РКН) сообщил о 30 случаях утечек персональных данных, а в 2024 году утечке подверглись 710 миллионов записей о персональных данных россиян.

Незнание закона не освобождает от ответственности, поэтому в этой статье попробуем разобраться и рассказать, что именно подверглось изменениям и как с этим теперь жить.

Что такое персональные данные

Персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) — п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) «О персональных данных».

Следовательно всё, что может определить Иванова Ивана Ивановича как Иванова Ивана Ивановича, будет являться персональными данными (ПД). Это может быть номер телефона, номер и серия паспорта, адрес места жительства или регистрации, банковские реквизиты, а в некоторых случаях и IP-адрес и даже файлы cookies, т.к. законодательно конкретный перечень персональных данных не установлен, и в каждом конкретном случае он будет разным.

Не будем подробно останавливаться на том, какие ещё бывают данные и на какие категории они делятся, подробнее об этом вы можете прочитать в нашей статье. В ней вы также найдете информацию о том, кто такие операторы и субъекты ПД, какие документы для работы с ними необходимы, а также о том, что под собой подразумевает обработка персональных данных.

Коротко обозначим, что субъект персональных данных — это человек, чьи данные обрабатываются, оператор — тот, кто его данные обрабатывает, а обработка — любые действия, совершаемые с персональными данными.

Что изменилось 30 мая 2025 года

Федеральным законом от 30.11.2024 № 420-ФЗ внесены изменения в ст. 13.11 КоАП РФ , вступившие в силу с конца прошлого месяца.

Во-первых, в разы увеличились размеры штрафов.

Важное примечание: по новым правилам индивидуальные предприниматели уплачивают штраф в том же размере, что и юридические лица.

Изменения закона от 30 мая 2025 года

Во-вторых, введены и новые составы правонарушений с высокими штрафами.

Новые штрафы

Государство усиливает контроль за тем, чтобы к работе с персональными данными операторы относились более ответственно. Теперь любое неверное действие может привести к финансовым потерям для бизнеса и к проверкам со стороны РКН в случае какого-либо инцидента. Например, теперь в обязательном порядке необходимо уведомлять РКН об обработке персональных данных (только если вы не обрабатываете данные «по старинке», без использования компьютера, что маловероятно). Даже если вы обрабатываете данные одного человека, ключевое здесь то, что вы их обрабатываете.

Как сейчас не попасть на большой штраф

  1. Уведомите РКН

Форма уведомления заполняется тут, а проверить, подавали ли вы такое уведомление ранее, можно в реестре операторов персональных данных. Если уже подавали, проверьте, актуальны ли содержащиеся в нем сведения. Внесите изменения, если нужно. Если вы прекратили обрабатывать данные, РКН тоже нужно об этом уведомить.

Примеры заполнения уведомления есть на сайте РКН. Подать его можно как в электронном, так и в бумажном виде.

  1. Возьмите согласие на обработку персональных данных

Обработка персональных данных без согласия субъекта запрещалась и ранее, однако сейчас за это придётся заплатить больше, чем в начале 2025 года. Взять такое согласие у того, чьи данные вы собираетесь обрабатывать, можно как вручную, так и в электронном виде, например, на сайте, путем конклюдентного действия пользователя.

Как это происходит: человек регистрируется на сайте, и прежде, чем перейти на следующую страницу, ставит галочку в чекбоксе о том, что согласен на обработку персональных данных, а также ознакомлен с политикой обработки персональных данных. Другой вариант — предупредить пользователя о том, что он, продолжая регистрацию, соглашается с обработкой его персональных данных. 

Важно: субъект должен быть ознакомлен с текстом согласия. Если согласие размещено на сайте, нужно добавить кликабельную ссылку на текст. Само согласие должно содержать в себе виды обрабатываемых данных и цели их обработки. 

Для наглядности — пример с нашего сайта.

Форма регистрации FirstVDS
  1. Утвердите положение об обработке персональных данных

А также обеспечьте неограниченный доступ к этому документу. Это можно сделать, разместив политику на своем сайте. Если вы так же, как и в случае с согласием на обработку, размещаете ссылку, проверьте, чтобы она была активной и вела туда, куда надо. Также убедитесь, что ваша политика содержит следующие сведения:видах персональных данных, подлежащих обработке;

  • целях и способах их обработки;
  • мерах, принимаемых оператором для защиты персональных данных;
  • способах удаления или изменения персональных данных субъектом.
  1. Проверьте наличие всех необходимых внутренних документов по работе с ПД

Согласие, политика обработки и уведомление РКН — несомненно важные, но не единственные бумаги, которые необходимо иметь. Согласно примерному перечню РКН, для исполнения требований законодательства о персональных данных операторы должны иметь в наличии:

  • приказ о назначении ответственного за организацию обработки ПД;
  • документы, содержащие положения о принятии оператором ПД правовых, организационных и технических мер для защиты персональных данных;
  • список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом и др.
  1. Храните данные правильно

Ваша зона ответственности как оператора ПД — обеспечить техническую защиту размещаемых данных. Вы можете использовать надежные пароли и систему двухфакторной аутентификации, шифровать данные на сервере и организовывать защищенный канал связи, установить антивирус, ограничить root-доступ, настроить автоматический бэкап. Все эти действия помогут снизить риски утечек, а также повреждения или уничтожения хранящихся данных. Обратите внимание — в случае использования сторонней инфраструктуры для размещения ПД, например, выделенного сервера, ответственность за хранение размещаемых данных лежит на том, кто эти данные на нем размещает, а не на том, кто предоставляет инфраструктуру для их хранения (например, провайдер хостинга)

Также с 1 июля 2025 года вносятся изменения в ч. 5 ст. 18 Федерального закона «О персональных данных» № 152-ФЗ — вводится обязанность обеспечивать локализацию хранения и обработки данных данных. Если раньше делался акцент на использование российских баз данных, то сейчас — на прямом запрете использования баз данных, находящихся за пределами РФ:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются, за исключением случае, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 152-ФЗ» — редакция, вступающая в силу с 1 июля 2025 г.

Сейчас для того, чтобы не столкнуться с негативными последствиями в виде штрафа в размере от 1 до 6 миллионов рублей, важно:
1) проверить, где находятся серверы с хранящимися данными;

2) уведомить РКН о трансграничной передаче данных (пример заполнения такого уведомления).

Очередные изменения законодательства куда серьезнее, чем кажется на первый взгляд. Поэтому нужно вовремя принять все необходимые меры. 

Вы всё сделали правильно, если:
— Уведомили РКН (в т. ч. и в случае трансграничной передачи данных, если вы её осуществляете).
— У вас есть политика обработки персональных данных и вы разместили её на сайте.
— Вы получаете согласие пользователей на обработку персональных данных.
— У вас есть внутренние акты, регламентирующие обработку персональных данных.
— Вы обеспечили техническую защиту персональных данных.
— Вы локализовали собираемые данные внутри России.

Снова обратим внимание на то, что в случае использования серверов для обработки ПД хостинг-провайдер не несет ответственности за хранение на сервере пользователем персональных данных и не контролирует цели их обработки. Вся полнота обязанностей оператора персональных данных и ответственность лежит только на тех, кто непосредственно собирает и обрабатывает их.

Просим всех, кто работает с ПД, внимательно отнестись к указанным нововведениям. Правильный порядок и четкая система действий позволит избежать как неприятных воздействий со стороны государства и финансовых потерь, так и поможет сохранить доверие тех, чьи данные вы обрабатываете.

Было интересно?

Назад к списку
Скидка новым клиентам
Закажите сервер сегодня и получите скидку на первый месяц аренды!