С 1 сентября 2025 года вводятся новые требования к работе с персональными данными, установленные Федеральным законом от 24.06.2025 № 156-ФЗ. Изменения касаются в первую порядка получения согласия на обработку и правил обезличивания данных. Разбираем нововведения и рассказываем, как избежать штрафов до 15 млн рублей за нарушения в работе с персональными данными.
Ключевые изменения в законодательстве о персональных данных
С 30 мая 2025 года в России вступили в силу поправки в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», которые изменили подход к обработке персональных данных, уведомлению Роскомнадзора и работе с утечками информации.
Операторам персональных данных, к которым относятся все компании, имеющие собственный сайт или работающие с клиентской базой, теперь грозят значительные штрафы и даже уголовная ответственность с лишением свободы до 8 лет.
Основные изменения с 30 мая 2025 года
Новые требования включают несколько критически важных изменений в порядке работы с персональными данными:
- Компании обязаны уведомлять Роскомнадзор о сборе и хранении персональных данных до начала их обработки, а не после начала деятельности
- Необходимо своевременно сообщать в Роскомнадзор об изменениях в сведениях о компании или составе обрабатываемых данных
- Информацию о пользователях требуется хранить на территории Российской Федерации
- Для передачи данных за границу необходимо предварительное разрешение Роскомнадзора
- Требуется уведомление Роскомнадзора об использовании аналитических систем: Google Analytics, Яндекс.Метрика и других
- Об утечке персональных данных и предпринятых мерах необходимо сообщать в Роскомнадзор в течение 24 часов
Административная ответственность за нарушения
За отсутствие регистрации в качестве оператора персональных данных установлены следующие штрафы:
| Категория нарушителя | Размер штрафа |
|---|---|
| Юридические лица | от 300 000 до 1 000 000 рублей |
| Должностные лица | от 50 000 до 100 000 рублей |
| Индивидуальные предприниматели | от 10 000 до 30 000 рублей |
Изменения в работе с персональными данными с 1 сентября 2025 года
Новые правила оформления согласия на обработку персональных данных
С 1 сентября 2025 года вступают в силу поправки в часть 1 статьи 9 Федерального закона № 152-ФЗ, введенные Федеральным законом от 24.06.2025 № 156-ФЗ.
Согласие на обработку персональных данных необходимо оформлять отдельно от других документов, которые подписывает субъект персональных данных. Включение соответствующего пункта в договор или соглашение более не допускается.
Оформить согласие можно на бумажном носителе или в электронной форме. В документе необходимо указать:
- данные об операторе персональных данных: наименование организации, ФИО индивидуального предпринимателя, адрес
- цель обработки персональных данных
- перечень собираемых данных
- действия, которые будут проводиться с данными: сбор, систематизация, хранение, передача
- способы обработки данных
- срок действия согласия
- сведения о третьих лицах, которым могут быть переданы данные
Обязательная передача обезличенных данных в ГИС
С 1 сентября 2025 года все операторы персональных данных обязаны передавать обезличенную информацию в геоинформационную систему (ГИС) в соответствии с Федеральным законом от 08.08.2024 № 233-ФЗ.
Министерство цифрового развития Российской Федерации получило полномочия требовать от компаний и ведомств предоставления необходимых данных в обезличенном виде для загрузки в федеральную государственную информационную систему.
Основные условия для операторов:
- наличие в реестре операторов персональных данных
- отсутствие контроля со стороны иностранных компаний и лиц
- отсутствие связей с терроризмом и экстремизмом
- достоверность сведений в ЕГРЮЛ
Меры ответственности за нарушения с 1 сентября 2025 года
За неправильно оформленное согласие на обработку персональных данных после 1 сентября 2025 года установлены следующие штрафы по части 2 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:
| Категория оператора | Размер штрафа |
|---|---|
| Физическое лицо | 10 000 – 15 000 рублей |
| Должностное лицо | 100 000 – 300 000 рублей |
| Юридическое лицо | 300 000 – 700 000 рублей |
Подготовительные мероприятия до 1 сентября 2025 года
Для минимизации рисков привлечения к ответственности рекомендуется выполнить следующие действия:
- Провести внутренний аудит процессов обработки персональных данных
- Организовать аудит документальной базы: договоры, политики, заявления и анкеты
- Разработать форму отдельного согласия на обработку персональных данных
- Подать уведомление об обработке персональных данных в Роскомнадзор
- Проверить функционирование программ и алгоритмов обезличивания персональных данных
Рекомендации по безопасной работе с персональными данными
С 1 сентября 2025 года список требований к работе с персональными данными значительно расширяется. Особое внимание следует уделить правильному оформлению согласия на обработку персональных данных отдельно от других документов.
Помните, что за ошибки в оформлении согласия предусмотрены штрафы до 700 000 рублей, а за серьезные нарушения в работе с персональными данными — до 15 миллионов рублей.
Все изменения вносятся в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и подзаконными актами, принятыми в его исполнение.
