Изменения в законе о персональных данных, которые вступят в силу с 1 сентября

ФЗ от 24.06.2025 № 156-ФЗ вносит существенные изменения в ч.1 ст. 9 ФЗ №152-ФЗ, ужесточая требования к оформлению согласий субъектов на обработку их персональных данных. Новые правила обязательны для всех операторов ПДн и вступят в силу 1 сентября 2025 года. Их цель — обеспечить осознанное и добровольное волеизъявление граждан.

Сейчас оператор может получить согласие на обработку ПДн в любой форме: например, указав его в договоре или встроив в пользовательское соглашение на сайте. Чаще всего субъекты ПДн их даже не читают, что порождает практику «скрытых согласий».

Важно! Согласия, полученные до 01.09.2025 года, продолжат действовать и не потребуют переоформления. Если же вы после 01 сентября не будете соблюдать новые требования к форме согласия, оно будет считаться неполученным, а вас могут оштрафовать на сумму до 700 000 рублей (ч. 2 ст. 13.11 КоАП). 

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Имя^*

E-mail^*

Телефон^*

Скачать

Нажимая кнопку, я соглашаюсь с пользовательским соглашением, обработкой персональных данных и получением информационных и рекламных рассылок

Согласие, подписанное в электронном виде с помощью простой электронной подписи, с юридической точки зрения приравнивается к бумажному согласию. Однако в обоих случаях есть требования к содержанию документа (ст. 9 ФЗ № 152-ФЗ).

Что должно быть в согласии:

1. Данные субъекта ПДн: ФИО, адрес, реквизиты паспорта (номер, дата выдачи, кем выдан).

2. Данные представителя субъекта (если согласие дает он): ФИО, адрес, реквизиты паспорта + реквизиты доверенности/документа, подтверждающего полномочия.

3. Сведения об операторе: полное наименование (или ФИО ИП, самозанятого или физлица) и адрес местонахождения оператора, получающего согласие.

4. Конкретная цель обработки. Общие формулировки («для улучшения сервиса») недопустимы. «Продвижение товаров и услуг на рынке», «Добровольное медицинское страхование»  можно, но все зависит от того, для чего оператору нужны ПДн. 

5. Четкий перечень обрабатываемых ПДн. Указать, какие именно данные берутся: например, ФИО, телефон, email, паспортные данные.

6. Сведения о третьем лицу, если обработка поручена: наименование/ФИО и адрес лица, обрабатывающего данные по поручению оператора.

7. Перечень действий с ПДн: сбор, систематизация, хранение, передача и прочее. 

8. Способы обработки: автоматизированный, неавтоматизированный, смешанный. 

9. Срок действия согласия и порядок отзыва. 

10. Собственноручная подпись субъекта ПДн (или его представителя) — для бумажной формы. Для электронной — ЭП субъекта.

Важно! Отсутствие любого из пунктов делает согласие недействительным, а обработка ПДн считается незаконной. Если вы скачаете образец из интернета, в котором будут указаны шаблонные фразы, не отражающие реальную специфику работы с ПДн в вашей организации, это прямой путь к претензиям Роскомнадзора. 

С 1 сентября 2025 года в ФЗ № 152-ФЗ появится новая статья 13.1 (ст. 1 ФЗ от 08.08.2024 № 233-ФЗ). Операторы будут обязаны передавать обезличенные ПДн в ГИС. Минфицры займется формированием составов данных, которые будут группироваться по определенному признаку, но без возможности установить их принадлежность конкретному человеку при последующей обработке. В составы нельзя будет включать биометрические и специальные категории ПДн — только общие. 

Что еще важно учитывать:

1. Минфицры сможет направлять требование о предоставлении обезличенных ПДн. В этом случае оператор обязан обезличить их в соответствии с методикой, которая будет утверждена Правительством и ФСБ. Некорректное обезличивание, оставляющее шанс на идентификацию — прямое нарушение закона. Сейчас этот вопрос регулируется приказом Роскомнадзора от 5 сентября 2013 г. № 996.

2. ФСБ получит расширенные полномочия по контролю соблюдения мер безопасности в области обработки персональных данных операторами. Раньше ФСБ контролировала безопасность ПДн в основном в госсекторе. Теперь Правительство планирует наделить ФСБ правом проверять выполнение организационных и технических мер безопасности ПДн в любых информационных системах, включая коммерческие и негосударственные. 

3. Роль ФСТЭК: этот орган также может получить контрольные полномочия, но без права знакомиться с персональными данными.

4. «Закрытый контур» обработки. Доступ к составам данных и их обработка разрешены только внутри государственной информационной системы Минцифры. Категорически запрещены запись, извлечение, передача или любое копирование данных вне ГИС.

5. Строгий контроль доступа пользователей. Право работать с составами данных получат только госорганы, муниципалитеты, внебюджетные фонды и их подведомственные организации, а также граждане РФ и российские юрлица, при условии внесения в реестр операторов Роскомнадзора (ст. 22 ФЗ №152-ФЗ).

6. Соответствия комплексу требований: отсутствие иностранного контроля/гражданства у руководителей, недостоверных сведений из ЕГРЮЛ/Федресурса, отсутствие судимостей по «информационным» статьям УК и т.д. 

7. Порядок проверки соответствия будет установлен Правительством. 

8. Запрет передачи результатов работы с ПДн иностранцам. Предоставление результатов обработки ПДн иностранным юрлицам, организациям, гражданам запрещено, кроме случаев, прямо предусмотренных российским законодательством. 

Пример: интернет-магазин (оператор ПДн) получает требование Минцифры предоставить обезличенные данные о покупках (товар, дата/время, сумма, регион доставки). Если алгоритм обезличивания не исключит уникальные комбинации, позволяющие де-факто идентифицировать человека через открытые данные или кросс-анализ, это будет нарушением. 

Получить бесплатную консультацию по регистрации в Росокомнадзоре или подготовке документов для работы с персональными данными 

Консультация

Чтобы репутация компании не пострадала и не пришлось платить крупные штрафы, воспользуйтесь следующими рекомендациями:

1. Проведите внутренний аудит  процессов обработки персональных данных. Проверьте соответствие целей обработки конкретным категориям ПДн, наличие документальных подтверждений оснований для обработки (согласий, договоров и пр.), актуальность перечня используемых информационных систем (ИС). 

2. Обновите локальные нормативные акты и регламенты. У вас должна быть Политика обработки ПДн, Положение об обработке, инструкции для сотрудников, шаблоны согласий и другие документы — в свете изменений в законе о персональных данных с 01.09.2025 года некоторые из них придется пересмотреть. 

3. Разработайте форму отдельного согласия, актуализируйте регламенты работы с ПДн сотрудников, клиентов и контрагентов. 

4. Подайте уведомление об обработке ПДн, если еще не успели этого сделать. В противном случае вас могут оштрафовать на сумму до 300 000 рублей (ч. 10 ст. 13.11 КоАП). Перед этим необходимо назначить ответственного за работу с данными, оформить все регламенты, акты, инструкции и другие документы, а также обучить сотрудников, допущенных к ПДн. 

5. Проверьте, можно ли по обезличенным данным в вашей ИС определить конкретного человека. Если да, поменяйте алгоритмы обезличивания. 

Важно! Операторам рекомендуется регулярно проводить не только технический, но и правовой аудит.

Юристы всероссийского сервиса «Роском онлайн» проверят все документы, выявят возможные риски и помогут исправить ошибки так, чтобы у сотрудников Роскомнадзора не было претензий к вам. 

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFG7UiFS