Какие изменения ждут бизнес в отношении персональных данных с 1 сентября и как подготовиться к этим изменениям
В 2025 году несколько раз обновлялись правила работы с персональными данными (ПДн). С 30 мая 2025 года выросли штрафы по ст. 13.11 КоАП за нарушения в области ПДн.
Операторы персональных данных — а это любой бизнес, который собирает и использует в своих целях ПДн физлиц — обязаны подать уведомление в Роскомнадзор до начала работы с персональными данными.
С 1 сентября вступает в силу новый список изменений:
Оформление отдельного Согласия на обработку.
Передача обезличенных ПДн в ГИС.
Оформление отдельного согласия
Все действия с персональными данными (сбор, систематизация, хранение, передача, уничтожение) операторы могут выполнять только на основании, предусмотренном законом, или с согласия их владельцев (ст. 9 закона от 27.07.2006 № 152-ФЗ).
Согласие является наиболее часто применяемым правовым основанием для обработки персональных данных.
С 1 сентября 2025 года согласие нужно оформлять в виде самостоятельного документа. Нельзя включать его в содержание других документов: трудовые договоры, Политику конфиденциальности, Пользовательское соглашение, Политику использования cookies и т. д.
Такой подход исключит ситуации, когда субъект ПДн ставит на документе одну подпись (или нажимает на сайте одну кнопку «Согласиться»), а по факту подтверждает сразу два документа.
Что делать:
Провести аудит документов и обновить форму Согласия на обработку ПДн (оформить в виде отдельного документа) для применения с 1 сентября 2025 года.
Прописать в Согласии обязательные пункты: данные субъекта ПДн или его представителя, сведения об операторе, цели обработки, категории ПДн, сведения о третьем лице (если ему поручена обработка), действия с ПДн, способ обработки (автоматизированный, неавтоматизированный, комбинированный).
Согласие на обработку ПДн выражает добровольное волеизъявление физлица на действия с его данными. Получить Согласие можно в письменной или электронной форме. В первом случае субъект ПДн подписывает его собственноручно, во втором — с помощью электронной подписи, либо подтверждает своим действием (например, проставление галочки на сайте).
Штрафы за отсутствие Согласия указаны в ч. 2 и 2.1 ст. 13.11 КоАП. Например, за обработку данных без согласия субъекта ПДн организация может получить штраф до 700 тыс. руб. При повторном нарушении — до 1,5 млн руб.
Передача обезличенных ПДн в ГИС
С 1 сентября 2025 года все операторы ПДн обязаны передавать обезличенные персональные данные в государственную информационную систему (ГИС) (ст. 13.1 в нов. ред. закона № 152-ФЗ) по запросу Министерства цифрового развития, связи и массовых коммуникаций (Минцифры).
Минцифры будет формировать состав персональных данных по определенному признаку. При последующей обработке этих данных идентифицировать конкретное физлицо будет невозможно. Доступ к закрытой системе получат госорганы, муниципалитеты, внебюджетные фонды и подконтрольные им организации, а также граждане и юрлица, включенные в реестр Роскомнадзора (ст. 22 закона № 152-ФЗ).
Основные условия:
состоять в реестре операторов РКН;
не находиться под контролем иностранных лиц и компаний;
не иметь связей с экстремистскими организациями;
обеспечить достоверные сведения в ЕГРЮЛ.
Минцифры получит полномочия направлять операторам требование о предоставлении обезличенных данных. Операторы ПДн обязаны будут в этом случае применять методику обезличивания данных, утвержденную Роскомнадзором (приказ № 140 от 19.06.2025).
«Передача обезличенных персональных данных в государственные системы — новая обязанность, которая вызывает вопросы у большинства операторов. Главное — правильно применять методику обезличивания и вовремя актуализировать сведения в Роскомнадзоре. Ошибка здесь обойдется дороже, чем затраты на организацию процесса», — Дмитрий Будаев, технический директор Центра безопасности данных.
Как поступить, если уведомление в Роскомнадзор подано с ошибками
По общему правилу операторы подают уведомление в Роскомнадзор всего один раз. Направлять его каждый год или обновлять без необходимости не нужно, кроме случаев, когда необходимо внести изменения в уведомление, в том числе при выявлении ошибок.
Форма первоначального уведомления утверждена приказом Роскомнадзора от 28.10.2022 № 180 (Приложение 1). Подать уведомление можно одним из способов:
Онлайн на сайте Роскомнадзора с УКЭП.
С использованием учетной записи «Госуслуг» при наличии подтвержденного профиля и привязки к организации.
На бумажном носителе в территориальное ведомство РКН.
Если в уведомлении допущены ошибки, то придется составить и отправить в Роскомнадзор уведомление о внесении изменений. Разберем несколько ситуаций.
Ситуация № 1. Ошибку обнаружил РКН и не внес оператора в реестр
В этом случае оператор должен учесть все ошибки и повторно подать уведомление по форме из Приложения № 1 к приказу Роскомнадзора. Поскольку оператора еще не включили в реестр, корректировать уведомление не нужно.
Ситуация № 2. Ошибку выявил РКН, но внес оператора в реестр
Например, это может произойти, если оператор указал в уведомлении избыточные цели обработки персональных данных. Роскомнадзор потребует внести уточнения.
Уведомление об изменении сведений (корректирующее) оператор должен подать по форме из Приложения № 2 к приказу № 180. Сделать это нужно в кратчайшие сроки, чтобы не допустить проверок и штрафов со стороны РКН.
Ситуация № 3. Ошибку заметил оператор после отправки уведомления в РКН
Роскомнадзор рассматривает уведомление в течение 30 дней. После проверки он выносит решение — внести оператора в реестр или отказать.
Дождитесь окончания проверки, а потом действуйте по ситуации:
Если РКН не включил вас в реестр, исправьте ошибки и подайте уведомление повторно по форме из Приложения № 1 к приказу № 180.
Если ошибки некритичны и Роскомнадзор внес вас в реестр, то подайте уточняющее уведомление по форме из Приложения № 2 к приказу № 180.
Кроме того, есть случаи, когда оператору нужно изменить сведения, указанные в ч. 3 ст. 22 закона № 152-ФЗ (например, адрес оператора или сведения о трансграничной передаче данных). До 15 числа следующего месяца после даты возникновения необходимости внесения изменений нужно подать уведомление о внесении изменений (Приложение № 2 к приказу № 180).
«Некоторые компании недооценивают значение уведомления, направляемого в Роскомнадзор, считая это формальностью. На деле именно из-за отсутствия уведомления или ошибок в нем запускаются проверки, которые вскрывают все остальные нарушения. Грамотно оформленное уведомление — это фундамент положительной оценки со стороны контролирующего органа», — Дмитрий Будаев, технический директор Центра безопасности данных.
Нужно ли заново собирать согласия на обработку персональных данных, если они раньше были включены в договор-оферту
Новые требования относятся только к формам Согласий, которые оформлены после 1 сентября 2025 года. Согласия, полученные до этой даты, переоформлять не нужно, они продолжают действовать.
Если начинаете обрабатывать персональные данные после 1 сентября 2025 года, оформите Согласие на обработку ПДн в виде самостоятельного документа, не включенного в договор-оферту или другие договоры и соглашения.
Обязательно ли получать согласие на обработку персональных данных сотрудников, если их данные используются только для кадрового учета
Все организации, которые обрабатывают персональные данные сотрудников, — операторы ПДн и по общему правилу не могут обрабатывать персональные данные физлиц без правового основания, к которому относится и согласие (ст. 6, ст. 9 закона № 152-ФЗ).
Для некоторых целей кадрового учета согласие работника не требуется. Рассмотрим на конкретных примерах:
1. Обработка ПДн для исполнения трудового договора (пп. 5 ч. 1 ст. 6 закона № 152).
Согласие не нужно, если паспортные данные сотрудника вносят в трудовой договор или сохраняют номер банковской карты для перечисления зарплаты. Но обязательно получить согласие от работника, если его данные передаются в страховую компанию для заключения ДМС или в банк для оформления зарплатной карты.
2. Обработка данных для исполнения возложенных на работодателя полномочий, функций и обязанностей (пп. 2 ч. 1 ст. 6 закона № 152-ФЗ).
Для работы в опасном цехе компания может обрабатывать размер одежды и обуви работников без их согласия, так как по закону обязана обеспечивать средствами индивидуальной защиты. Если компания запрашивает размеры одежды в иных корпоративных целях, то согласие получать нужно.
Работодатели направляют сведения в СФР, трудовую инспекцию, ФНС, военкомат в соответствии с требованиями законодательства, и могут делать это без согласия. Однако, сообщить поставщику данные водителя-работника компания может только с его согласия.
3. Обработка данных о состоянии здоровья сотрудника, если связана с исполнением трудовых функций (п. 2.3 и 3 ч. 2 ст. 10 закона № 152-ФЗ).
Школа может обрабатывать данные о психическом состоянии учителей без их согласия. Заведениям общепита не нужно согласие официантов и поваров, чтобы обрабатывать их медицинские справки.
4. ПДн нужны по условиям коллективного договора, по правилам внутреннего трудового распорядка или другим ЛНА (абз. 1 п. 5 разъяснений Роскомнадзора от 14.12.2012).
Предприятию не нужно согласие работников, чтобы выдать им пропуск для прохождения на работу, если это прописано во внутренних регламентах.
5. Законная обязанность работодателя по размещению данных в интернете (п. 1 разъяснений Роскомнадзора).
Медицинское учреждение вправе публиковать информацию об образовании врачей на своем сайте без их согласия. А вот, например, автосервис может опубликовать данные об образовании механиков только с их согласия.
6. Обработка ПДн близких родственников, получение соцвыплат, оформление алиментов (п. 2 разъяснений Роскомнадзора).
Без согласия нельзя использовать дату рождения детей для новогодних поздравлений. Компания не вправе разглашать информацию о зарплате сотрудника, даже если ее запрашивает супруга для взыскания алиментов.
7. Обработка данных уволенных работников в рамках бухгалтерского или налогового учета (абз. 6 п. 5 разъяснений Роскомнадзора).
Работодатели как налоговые агенты обязаны в течение 5 лет хранить заявления уволенных работников о предоставлении налоговых вычетов с данными о рождении детей (ч. 3 ст. 24 НК).
«Действительно, согласие является одним из правовых оснований для обработки персональных данных. Однако, законодательство предусматривает и другие основания. В каждой ситуации необходимо анализировать процесс обработки и определять подходящие основания, чтобы не запрашивать согласие там, где в нем нет необходимости», — Дмитрий Будаев, технический директор Центра безопасности данных.
Какой штраф грозит за обработку данных без уведомления Роскомнадзора
Обработка персональных данных без уведомления Роскомнадзора влечет штрафы по ч. 10 ст. 13.11 КоАП:
Нарушитель
Сумма штрафа, руб.
Гражданин
от 5 000 до 10 000
Должностное лицо
от 30 000 до 50 000
ИП
от 100 000 до 300 000
Организация
от 100 000 до 300 000
Штрафы предусмотрены как за неподачу уведомления в РКН, так и за уведомление с нарушением сроков. Административная ответственность ИП приравнена к ответственности юрлиц (п. 1 Примечаний к ст. 13.11 КоАП).
Чтобы избежать штрафов и проверок Роскомнадзора, важно выстроить систему защиты персональных данных заранее. Специалисты «Центра безопасности данных» помогут провести аудит, подготовить документы и внедрить необходимые меры под специфику вашего бизнеса. Обратитесь за консультацией, чтобы получить конкретные рекомендации и защитить компанию от рисков.
Нужно ли отдельно уведомлять Роскомнадзор о трансграничной передаче данных, например, при использовании зарубежных сервисов (почта, облака)
С 1 июля 2025 года на сайтах запрещено использовать элементы, которые сохраняют и обрабатывают пользовательские данные за рубежом (сервисы которые не имеют серверной инфраструктуры в России).
В таблице рассмотрели, какие элементы угрожают безопасности сайта и что делать владельцам веб-ресурсов:
Элемент-нарушитель
Решение
Google Analytics и другие сервисы Google
Использовать российские аналоги: Яндекс.Метрику, Яндекс.Карты, SmartCaptcha и т.п.
CRM и email-сервисы (gmail, Mailchimp)
Уведомить Роскомнадзор, если данные хранятся на зарубежных серверах
Онлайн-чаты, обратные формы (связанные с иностранными платформами или собранные в SaaS-сервисах)
Использовать российские сервисы и платформы
WhatsApp1, Телеграм (если напрямую доставляют ПДн пользователей за рубеж)
Отключить в настройках виджетов прямую передачу данных на зарубежные серверы
Если бизнесу нужны зарубежные облачные решения, CRM или почта-клиенты, то следует уведомить Роскомнадзор о трансграничной передаче ПДн. При этом нужно помнить, что при сборе персональных данных можно пользоваться только теми сервисами, у которых есть сервера в России.
Как поступить, если произошла утечка персональных данных — кого уведомлять и в какие сроки
Оператор обязан уведомить Роскомнадзор о любом инциденте, связанном с нарушением безопасности персональных данных, таком как утечка, несанкционированный доступ или компьютерная атака (ч. 3.1 ст. 21 закона № 152-ФЗ).
Сроки реагирования:
В течение 24 часов сообщить в Роскомнадзор об инциденте и его возможных причинах.
В течение 72 часов провести внутреннее расследование и доложить о результатах проверки, принятых мерах, виновных лицах.
Информировать РКН о происшествии нужно на портале https://pd.rkn.gov.ru/incidents/form/, используя профиль ЕСИА (Госуслуги). Если утечка произошла в результате компьютерной атаки необходимо уведомить НКЦКИ (ИС ГосСОПКА).
«Часто утечки происходят по вине сотрудников: неправильная отправка писем, хранение данных на неучтенных носителях, доступ через личные устройства. При этом ответственность несет не только отдельный сотрудник, но и компания. Внутренняя дисциплина и обучение персонала не менее важны, чем технические меры», — Дмитрий Будаев, технический директор Центра безопасности данных.
Нужно ли согласие у кандидата, если резюме найдено на hh.ru и если пригласили на собеседование
По общим правилам работодатель должен взять у работника Согласие на обработку при приеме на работу и внесения его данных в базу кадрового учета. Есть нюансы:
Согласие не нужно, если кандидат самостоятельно разместил свое резюме в открытом доступе на платформе hh.ru, а обработка данных осуществляется исключительно в рамках функционала данной платформы без их скачивания или иного копирования.
Согласие нужно, если вы пригласили соискателя на собеседование — обычно там кандидаты рассказывают о себе подробнее, заполняют анкету или предоставляют детальное резюме.
В тексте Согласия пропишите цель получения ПДн: «Для рассмотрения соискателя на должность». Если претендент не подойдет, то его данные следует уничтожить.
Если хотите сохранить сведения о человеке в базе, то так и укажите: «Данные соискателя будут храниться в кадровом резерве организации для рассмотрения его кандидатуры в течение 5 лет».
Можно ли увольнять сотрудника, если он отказывается подписать согласие
Сотрудник может отказаться подписывать Согласие на обработку ПДн, и работодатель не вправе его за это уволить.
По закону работодатель не обязан получать согласие от работника при его трудоустройстве, но при условии, что данные будут использованы для исполнения трудового договора или соблюдения законодательных требований (ст. 6 закона № 152-ФЗ, ст. 86 ТК).
Отказ сотрудника подписать Согласие никак не вредит работодателю, поскольку работодатель может обрабатывать необходимые данные и без согласия.
Как обеспечить защиту персональных данных
Специалисты «Центра безопасности данных» обеспечат вашей компании полное соответствие требованиям закона № 152-ФЗ и помогут избежать штрафов. Мы предлагаем как готовые решения, так и проекты «под ключ» под особенности вашей деятельности.
1. Комплексная защита ПДн
Проблема.Закон № 152-ФЗ устанавливает внушительный список требований для операторов персональных данных. А с 30 мая 2025 года значительно выросли штрафы за нарушения в области ПДн. Все это ставит работу бизнеса в жесткие рамки — без специальных знаний можно допустить массу ошибок и налететь на штрафы и проверки РКН.
Решение. Специалисты «Центра безопасности данных» выстраивают полный цикл защиты — от анализа рисков и моделирования угроз до внедрения систем защиты и обучающих процедур для сотрудников. Вы можете заказать аудит процессов обработки ПДн, обследование IT-инфраструктуры и системы защиты, разработку Политики обработки ПДн и ЛНА, проверку на соответствие законодательным нормам и т.д.
2. Документация и подготовка к проверкам
Проблема. Сотрудники Роскомнадзора проверяют компании на наличие полного пакета документов по обработке ПД и правильность их составления. Даже при наличии системы защиты операторы нередко «проваливаются» на проверках из-за отсутствия правильно оформленных документов.
Решение. Наши специалисты подготовят весь пакет локальных актов, инструкций и регламентов, а также сопроводят компанию во время проверок. На первичной консультации вы узнаете о преимуществах сотрудничества с «Центром безопасности данных» и получите первые полезные рекомендации.
3. Создание и оценка эффективности систем защиты
Проблема. Организации, которые работают с большими массивами ПДн (банки, медицинские учреждения, госсектор, коммерческие компании), обязаны иметь эффективную систему защиты персональных данных. Самостоятельно пройти процесс оценки эффективности очень сложно.
Решение: «Центр безопасности данных» проектирует, внедряет и проводит оценку эффективности или аттестацию ИСПДн по требованиям ФСТЭК. Вы получите не только готовую систему, но и официальное подтверждение ее эффективности. Специалисты оценят текущее состояние вашего бизнеса, подготовят комплект документации, разработают систему защиты ПДн с четкой концепцией, проведут установку и пусконаладку всех элементов СЗПДн.
4. Аудит соответствия требованиям 152-ФЗ
Проблема. Многие компании работают с персональными данными, но далеко не всегда могут подтвердить, что их процессы соответствуют закону № 152-ФЗ. Проверки Роскомнадзора выявляют ошибки в документации, организационных мерах или настройках ИСПДн. Это влечет штрафы, репутационные риски и потерю доверия со стороны партнеров.
Решение: «Центр безопасности данных» проводит полный аудит процессов обработки и защиты персональных данных в компании. Специалисты анализируют внутреннюю документацию, организационно-технические меры, оценивают готовность компании к проверкам. По итогам вы получаете:
официальное заключение с результатами аудита и список рекомендаций;
консультации по устранению выявленных несоответствий или свидетельство о соответствии обработки персональных данных требованиям законодательства.
Деятельность компании Meta Platforms Inc. (Facebook и Instagram) на территории РФ запрещена
