29.08.2025
С 1 сентября в силу вступают дополнительные требования к защите персональных данных. За нарушения предписаний Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», предусмотрены миллионные штрафы и уголовная ответственность.
Как себя обезопасить от сурового наказания – смотрите чек-лист ниже.
Главное, это новые правила оформления согласия на обработку персональных данных (ПД), вводимые в силу поправками в ч. 1 ст. 9 закона от 27.07.2006 № 152-ФЗ законом от 24.06.2025 № 156-ФЗ.
Оформлять согласие на обработку персональных данных нужно на бумаге или в электронном виде отдельным документом, который подписывает субъект ПД. То есть, это не может быть абзац в основном договоре, где нужно поставить отметку или галочка на сайте и т. п. Главная трудность: обеспечить такие согласия при работе оператора персональных данных в интернете. Отметим, что в соответствии с действующим законодательством операторами ПД являются фактически все компании, имеющие сайт в интернете, который принимает заявки, заказы или подписки с указанием ПД. Правовую обвязку сайта помогут сделать специалисты в области права.
Согласие должно включать:
1) ФИО и адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) ФИО и адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или ФИО и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Несмотря на отсутствие в законодательстве конкретного перечня того, что является персональными данными, с 30 мая 2025 г. штрафы за нарушения ФЗ «О персональных данных» очень выросли. Напомним, что с 11 декабря 2024 г. в Уголовном кодексе Российской Федерации также действует статья 272.1, которая устанавливает уголовную ответственность за незаконное использование, сбор и хранение компьютерной информации, содержащей персональные данные граждан (Федеральный закон от 30.11.2024 № 421-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации"). Однако, по факту, даже при наличии такой статьи, массовые спам-звонки абонентам РФ, мы заметили, в не прекращаются.
По тексту закона, персональные данные — это информация, которая позволяет точно идентифицировать конкретного человека. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Соответственно, любое лицо – юридическое или физическое, а также государственный или муниципальный орган, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных является оператором.
Основные условия для операторов:
- состоять в реестре операторов персональных данных,
- не быть под контролем иностранных компаний и лиц, не иметь связей с терроризмом и экстремизмом,
- в ЕГРЮЛ должны быть указаны достоверные сведения.
Попасть в реестр нужно было заблаговременно, уведомив соответствующим образом Роскомнадзор на его электронном ресурсе (форма для уведомления).
За отсутствие регистрации компании грозят штрафы:
- для юридических лиц — от 300 000 до 1 000 000 руб.;
- для должностных лиц — от 50 000 до 100 000 руб.;
- для ИП — от 10 000 до 30 000 руб.
Также необходимо своевременно сообщать в Роскомнадзор об изменениях в сведениях о компании или форме обрабатываемых данных. Информацию о пользователях нужно хранить на территории РФ, чтобы передавать данные за границу нужно сначала получить разрешение от Роскомнадзора. Нужно уведомить Роскомнадзор и об использовании метрик. Для использования Google Analytics и других иностранных счетчиков требуется разрешение РКН. Об утечке персональных данных и предпринятых мерах для их восстановления необходимо сообщить в Роскомнадзор в течение 24 часов.
Таким образом, оператор обязан получать согласие субъекта на обработку сведений о себе, использовать их только для определенных целей, обеспечить защиту от утечки — хранить анкеты в закрытой базе. Если данные попадут к третьим лицам без согласия субъекта, это будет нарушением ФЗ № 152-ФЗ.
Также необходим пакет локальных актов, обеспечивающих обработку ПД.
Кроме того, с 1 сентября 2025 г. все операторы персональных данных должны передавать обезличенную информацию в соответствии с Федеральным законом от 08.08.2024 № 233-ФЗ по требованию Министерства цифрового развития для загрузки в федеральную государственную информационную систему. По распоряжению Правительства РФ от 12 июля 2025 года №1880-р компания «Коммуникационная платформа» (дочерняя структура холдинга VK) станет оператором многофункционального сервиса обмена информацией (МСОИ).
Также бизнес может использовать обезличенные данные для Big Data и AI-анализа без получения дополнительного согласия субъекта, но при строгом соблюдении регламентированных методов.
С началом сентября произойдет и значительное расширение полномочий контролирующих органов, в том числе ФСБ и ФСТЭК России, в отношении проверок.
Какие имеются категории персональных данных? Законодательство выделяет четыре группы персональных сведений, различающихся степенью защиты и правилами обработки.
Общая группа ПД. К ним относятся основные идентификаторы: ФИО, контакты, СНИЛС, ИНН, место проживания. Несмотря на относительную открытость, для их обработки в большинстве случаев требуется согласие субъекта.
Специальная категория персональных данных. Это особая группа, включающая информацию о здоровье, религии, политических взглядах и интимной жизни. Сбор таких данных разрешен только в строго определенных законом случаях (например, как в случае с медицинской клиникой — для лечения или проведения профосмотров).
Биометрические данные. Это уникальные физиологические характеристики: фото- и видеоизображения, отпечатки пальцев, ДНК-профиль. Их обработка возможна лишь при наличии веских оснований — от обеспечения безопасности до исполнения судебных решений.
Иные категории ПД — все остальные данные, не вошедшие в предыдущие группы, но позволяющие идентифицировать личность. Например, сведения о социальном статусе или профессии.Каждая категория требует особого подхода к хранению и защите.
Остается спорным вопрос о сборе куки-файлов: статистических данных с сайта при помощи, например, Яндекс.Метрика, что также делает обладателя сайта оператором персональных данных, так как он может определять такие персональные данные, как IP адрес пользователя.
Но, например, для Госуслуг и банков, для которых перечень данных для идентификации определены, такие сведение субъектом ПД не предоставляются. Кроме того, определить конкретного пользователя IP адреса можно только при ознакомлении с договором провайдера. Но владелец сайта, конечно, не имеет такой возможности. Кроме того, таким адресом пользуется, как правило, вся семья. А это уже не позволяет определить конкретное физическое лицо, как указано в законе, который говорит, что «персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
Однако, в судебной практике есть решения, которые признают IP адреса персональными данными. Но есть также суды, которые, напротив, не признают, что IP адрес относится к ПД. Теперь же наличие метрик фиксируется РКН. До сегодняшнего дня вопрос об IP адресах решался большинством компаний всплывающим уведомлением о сборе сайтом куки-файлов. Однако, теперь при требовании письменного согласия, включая все вышеуказанные пункты, плашка с предупреждением о сборе куки может стать недостаточной.
Чтобы безопасно работать с ПД, проверьте себя по нашему чек-листу.
Чек-лист организации работы с персональными данными
- Подано уведомление в Роскомнадзор о намерении быть оператором персональных данных
- На сайте размещена политика обработки персональных данных
- В письменном виде получены согласия на обработку персональных данных
- Приняты меры для защиты информации
- Ответственные сотрудники назначены и обучены правилам работы с персональными данными
- Обеспечена локализация персональных данных на российских серверах
- Предусмотрена система реагирования на нарушения безопасности при обработке персональных данных
- Заключены договоры на обработку персональных данных (с третьими лицами при необходимости)
- Ведется журнал действий с персональными данными
- Введены процессы удаления и блокирования персональных данных
Получить подробную консультацию по исполнению требований закона о персональных данных, других правовых актов, разработать необходимую локальную документацию и решить иные юридические вопросы можно, обратившись к опытным юристам.