Персональные данные: правила хранения и обработки и изменения 2025 года
31.07.2025
Персональные данные (ПДн) сотрудников и клиентов обрабатывает почти каждая компания. В 2025 году внесен ряд изменений в порядок работы с ПДн. Руководителям и сотрудникам бизнеса важно соблюдать актуальные требования, чтобы избежать штрафов. Рассказываем об основных обязанностях операторов персональных данных и о том, что изменилось в законодательстве.
Какие данные относятся к персональным
Согласно Федеральному закону от 27.07.2006 № 152-ФЗ, персональные данные — это любая информация, с помощью которой можно прямо установить личность человека. К персональным данным относятся:
- фамилия, имя, отчество — в связке с email, номером телефона или паспортными данными;
- дата и место рождения — в связке с ФИО;
- адрес проживания, номер телефона, email;
- паспортные данные, ИНН, СНИЛС;
- фотографии;
- информация о семейном положении, образовании, профессии, доходах.
- Также к персональным данным относятся сведения, которые позволяют идентифицировать человека косвенно, например, IP-адрес, учетные записи или данные о местоположении.
Отдельная категория персональных данных — биометрические. Это сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность. Примеры биометрических данных: отпечатки пальцев, лицо, сетчатка глаза, голос.
Кто должен соблюдать закон об обработке персональных данных
Требования закона № 152-ФЗ относятся к операторам персональных данных. Оператором может быть государственный орган, муниципальный орган, юридическое или физическое лицо, которые осуществляют обработку персональных данных — самостоятельно или совместно с кем-либо.
Примеры операторов персональных данных:
- Работодатели: обрабатывают персональные данные сотрудников (например, ФИО, паспортные данные, сведения о заработной плате), данные контрагентов и родственников сотрудников.
- Интернет-магазины: собирают данные клиентов для оформления заказов и доставки.
- Медицинские учреждения: хранят информацию о пациентах.
- Образовательные организации: обрабатывают данные студентов и преподавателей.
Основные положения Федерального закона №152-ФЗ и обязанности оператора
Шаг 1. Определить, какие данные вы обрабатываете
Установите, какие категории персональных данных вам действительно нужны для работы: это может быть только ФИО и контактный телефон или же паспортные данные, ИНН, СНИЛС и др. Нельзя собирать больше данных, чем требуется для конкретной цели. Например, не запрашивайте ИНН клиента, если он не нужен для оказания услуг и оформления документов.
Определите цели обработки, например, прием на работу, ведение кадрового учета, заключение договоров с клиентами и др.
Шаг 2. Выбрать и внедрить технические и организационные меры защиты
Важно обеспечить безопасность собираемых персональных данных: защитить их от утечки, кражи, потери или несанкционированного доступа. Для этого необходимо использовать антивирусы, надежные пароли, шифрование, резервное копирование, а также грамотно настроить права доступа — не давать доступ к персональным данным тем сотрудникам, которым он не нужен.
Шаг 3. Назначить ответственное лицо
Назначьте сотрудника, который будет отвечать за работу с персональными данными в вашей организации. Он будет ответственным за соблюдение требований к работе с персональными данными и точкой контакта при проверке Роскомнадзора.
Сотрудников, которые получают доступ к персональным данным, важно обучить работе с ними, ознакомить с нормативными документами и подписать соглашение о неразглашении.
Шаг 4. Разработать локальные документы
Подготовьте локальные нормативные акты, регулирующие работу с персональными данными:
- согласие на обработку персональных данных,
- политику обработки персональных данных (см. рекомендации Роскомнадзора к ее тексту) или политику конфиденциальности,
- положение о защите данных,
- должностные инструкции для сотрудников.
Утвердите порядок хранения, доступа, передачи и уничтожения данных.
Если компания собирает ПДн через сайт, на каждой его странице, например в футере, важно разместить ссылку на политику обработки данных, а также уведомление о сборе cookies, если такой сбор осуществляется.
Шаг 5. Получить согласие на обработку персональных данных
После утверждения документов необходимо получить согласие субъекта персональных данных на их обработку в письменном или электронном виде.
Сделать это можно несколькими способами:
- с помощью подписи в распечатанном документе,
- с помощью электронной формы для сбора данных, где нужно поставить галочку,
- с помощью Double Opt-In — например, кода, который человек получает на телефон и сообщает продавцу в магазине,
- в виде файла, подписанного ЭЦП.
Шаг 6. Уведомить Роскомнадзор
До начала обработки персональных данных направьте уведомление в Роскомнадзор, если вы не подпадаете под исключения, то есть если обрабатываете данные без средств автоматизации, например, записываете их вручную на в блокноте, уведомление не требуется. Его можно подать через электронную форму на сайте Роскомнадзора.
Шаг 7. Вести учет обращений субъектов персональных данных
Субъекты могут запрашивать информацию об обработке их персональных данных, удаление, исправление или другие действия с ними. На запросы нужно реагировать в течение 30 дней, а обращения фиксировать в журнале или электронном документе.
Шаг 8. Прекратить обработку и уничтожить данные, если цель достигнута
Когда персональные данные субъекта больше не нужны компании, например, если сотрудник уволился или покупатель получил заказ, нужно прекратить обработку данных, удалить или обезличить их.
Основные изменения в законодательстве о персональных данных в 2025 году
Что нового в законе №152-ФЗ в 2025 году:
Увеличиваются штрафы за нарушения в области обработки персональных данных.
- Ужесточаются требования к локализации данных.
- Вводится единая форма согласия на обработку ПДн.
- Повышаются требования к информационной безопасности.
- Повышаются штрафы за утечку ПДн.
- Появляются новые требования к обработке биометрических данных.
- Расширяется перечень случаев, обработки ПДн без согласия субъекта.
- Появляются новые требования к обезличиванию данных и передаче их в Минцифры.
- Увеличение штрафов за нарушения
С 30 мая 2025 года штрафы за нарушения в области обработки персональных данных увеличиваются — для юридических лиц суммы могут достигать 300 тыс. руб. Введены новые составы правонарушений, такие как:
- непредставление уведомления о намерении обрабатывать персональные данные,
- несоблюдение требований к локализации персональных данных,
- несвоевременное уведомление об утечке персональных данных,
- действия или бездействие, повлекшие утечку ПДн.
Ужесточение требований к локализации данных
С 1 июля 2025 года вступают в силу изменения в закон № 152-ФЗ которые уточняют требования к локализации: операторы обязаны обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории России. Исключения из этого правила ограничены и строго определены законом.
Изменения относятся и к использованию Google Analytics и других зарубежных сервисов веб-аналитики: сведения о пользователях в этом случае могут обрабатываться на серверах за пределами России. Если есть необходимость в них, важно уведомить Роскомнадзор и добавить информацию о трансграничной передаче данных в локальные документы.
Повышенные штрафы за утечку персональных данных
30 мая 2025 года вступили в силу изменения, предусматривающие значительное увеличение штрафов за утечку персональных данных: При утечке данных от 1 000 до 10 000 человек: для индивидуальных предпринимателей и компаний — от 3 до 5 млн руб. При утечке данных от 10 000 до 100 000 человек: для ИП и компаний — от 10 до 15 млн руб. За утечку специальных категорий данных (например, биометрических) — до 15 млн руб. За несвоевременное уведомление Роскомнадзора об утечке — до 3 млн руб.
Надежда Запольских
