Новое в персональных данных, уведомление в Роскомнадзор и повышенные штрафы 2025 / БухСтрим

С 30 мая 2025 года в России вступают в силу изменения в законодательство о защите персональных данных (закон от 27.07.2006 №152-ФЗ «О персональных данных»). Основные изменения касаются уведомления Роскомнадзора по работе с персональными данными и работой с файлами cookie. Начнем с уведомления Роскомнадзора.

Все компании, ИП и даже самозанятые, которые занимаются сбором персональных данных, должны пройти регистрацию в РКН. Но раньше уведомление о начале обработки персональных данных  можно было подать после начала работы с ними, а теперь уведомить Роскомнадзор нужно до.

Если не подать уведомление в Роскомнадзор, то оператор персональных данных получит штрафы. Размеры штрафов по ч. 10 ст. 13.11. КоАП:

• для граждан — от 5 000 до 10 000 руб.;

• для должностных лиц — от 30 000 до 50 000 руб.;

• для организаций — от 100 000 до 300 000 руб.

Самозанятые тоже должны подавать уведомление в РКН, если они обрабатывают персональные данные не вручную. Например, парикмахеры, массажисты, косметологи, бухгалтеры-аутсорсеры, да и любые другие самозанятые могут вести базу клиентов с номерами телефонов, ФИО, электронными почтами и другими сведениями на компьютере. Это значит они тоже являются операторами персданных.

Операторы данных обязаны собирать, хранить и обрабатывать информацию исключительно на территории РФ. Для передачи сведений за границу необходимо получить одобрение от Роскомнадзора. В связи с этим появилось понятие трансфера данных.

Трансфер данных — это процесс передачи персональных данных от одного оператора или контроллера данных к другому, который может находиться как внутри страны, так и за ее пределами.

В уведомлении нужно указывать, передаете ли вы персональные данные за границу.

Поэтому необходимо заранее уведомить Роскомнадзор об использовании метрик, обязательно получать согласие пользователей на обработку их данных и для использования Google Analytics и других иностранных счетчиков получить разрешение Роскомнадзора.

За неправомерную передачу персональных данных штрафы еще страшнее, чем за неподачу уведомления. Они зависят от количество пользователей.

Если неправомерная передача данных затронула от 1 до 10 тысяч граждан, размер штрафа (п.п. 12—15 ст. 13.11 КоАП) составит:

• от 100 до 200 тыс. руб.— для физлиц;

• от 200 до 400 тыс. руб. — для должностных лиц;

• от 3 до 5 млн. руб. — для организаций и ИП.

И далее штрафы нарастают. Повторные нарушения влекут за собой оборотные штрафы, зависящие от годовой выручки компании. Их размер достигает 3% от дохода, но не менее 20 млн рублей. Максимальный размер штрафа за повторную утечку данных составляет 500 млн рублей.

Компания должна разработать довольно много документов по работе с персональными данными, об этом расскажу дальше, но начать нужно с подачи уведомления.

Уведомление нужно направить одним из трех способов:

1. Сформировать уведомление и направить в бумажном виде. Для этого нужно заполнить форму на сайте Роскомнадзора, а затем распечатать, подписать и направить письмом в адрес территориального отделения Роскомнадзора по месту своей регистрации. Обратите внимание, что уведомление нужно заполнять на фирменном бланке компании.

2. Сформировать уведомление и направить в электронном виде с использованием усиленной квалифицированной электронной подписи. Форму можно заполнить и отправить прямо на сайте РКН. Для этого у вас должна быть электронная подпись.

3. Также подать уведомление можно в личном кабинете на портале Госуслуг. Для этого нужна подтвержденная учетная запись.

Получив уведомление, РКН в течение 30 дней внесет компанию в реестр операторов персональных данных.

Вернемся к документам, которые компания или ИП должны разработать, чтобы не нарушать закон о персональных данных. Их довольно много:

• Приказ о назначении ответственного за организацию обработки персональных данных.

• Обязательство должностного лица о неразглашении персональных данных.

• Приказ об утверждении списка лиц, имеющих доступ к персональным данным.

• Политика в отношении обработки персональных данных.

• Положение о персональных данных.

• Перечень обрабатываемых персональных данных.

• Согласие на обработку персональных данных, а также согласие на обработку биометрических персональных данных.

• Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

Оператор также должен разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные для обработки.

И это только часть. Ведь еще нужно разработать правила контроля и защиты данных, различные регламенты.

Пока Роскомнадзор обращал внимание больше на крупный бизнес, работающий с большим количеством баз данных, но повышение штрафов и изменение правил работы с ПД говорит о том, что теперь внимание будут уделять любому бизнесу.

Бухгалтеры в соцсетях Клерка рассказывают, что уже сталкивались с проверками. Интересовали РКН в первую очередь данные сотрудников, как хранятся, не требуют ли от них лишних документов, как ведутся личные дела и нет ли в них, например, фото или сканов документов, разрешение на хранение которых компания от работника не получила.

Так что игнорировать новые правила, подачу уведомления и разработку локальных актов не рекомендую.

Создали онлайн-курс «Новые правила по защите персданных - 2025», на котором объясним, как безопасно работать с персданными, кто должен подавать уведомления в РКН, как их заполнять, а также как отвечать на требования Роскомнадзора.

Начните учиться на онлайн-курсе уже сегодня со скидкой 67% за 14 990 4 900 руб. и защититесь от огромных штрафов за ошибки!

Купить курс

Дадим готовые шаблоны и примеры документов, которые помогут не налететь на гигантские штрафы Роскомнадзора!