Новые правила работы с персональными данными с 1 сентября 2025: что нужно знать бухгалтеру
С 30 мая 2025 года в России вступили в силу поправки в закон о персональных данных, которые поменяли подход работы компаний по обработке персональных данных, уведомлению Роскомнадзора, работой с утечкой данных.
Операторам персданных, а к ним относятся все компании, имеющие свой сайт, теперь грозят большие штрафы и даже уголовная ответственность с лишением свободы до 8 лет.
Что изменилось в работе с персональными данными в мае 2025 г.
1. Компании обязаны уведомлять Роскомнадзор о сборе и хранении персональных данных до начала работы с ними, а не постфактум, как разрешалось ранее.
За отсутствие регистрации компании грозят штрафы, которые с 30 мая стали больше и теперь составляют:
для юридических лиц — от 300 000 до 1 000 000 руб.;
для должностных лиц — от 50 000 до 100 000 руб.;
для ИП — от 10 000 до 30 000 руб.
2. Необходимо своевременно сообщать в Роскомнадзор об изменениях в сведениях о компании или форме обрабатываемых данных.
3. Информацию о пользователях нужно хранить на территории РФ, чтобы передавать данные за границу нужно сначала получить разрешение от Роскомнадзора.
4. Необходимо заранее уведомить Роскомнадзор об использовании метрик: Google Analytics, Яндекс.Метрика. Для использования Google Analytics и других иностранных счетчиков требуется разрешение Роскомнадзора.
5. Об утечке персональных данных и предпринятых мерах для их восстановления необходимо сообщить в Роскомнадзор в течение 24 часов.
С 1 сентября в силу вступает еще ряд требований к защите персданных и, соответственно, новые штрафы за их нарушения.
Изменения в работе с персональными данными с 1 сентября 2025
1. Новые правила оформления согласия на обработку персданных
С 1 сентября 2025 года вступят в силу поправки в ч. 1 ст. 9 закона от 27.07.2006 № 152-ФЗ, введенные законом от 24.06.2025 № 156-ФЗ.
Согласие на обработку персональных данных нужно будет оформлять отдельно от остальных документов, которые подписывает субъект ПД. То есть добавить в конце договора абзац, где нужно поставить «галочку» и т. п., больше не получится.
Оформить согласие можно на бумаге или в электронном виде. В нем нужно указать:
данные об операторе ПД: название/ФИО ИП или самозанятого, адрес;
цель обработки персональных данных;
перечень собираемых данных;
действия, которые будут проводит с данными: сбор, систематизация, хранение, передача;
способы обработки данных;
срок действия согласия;
если данные передадут третьему лицу – сведения о нем.
2. Операторы будут обязаны передавать обезличенные персданные в ГИС
С 1 сентября 2025 года все операторы персональных данных должны передавать обезличенную информацию в геоинформационную систему (ГИС). Об этом сказано в Федеральном законе от 08.08.2024 № 233-ФЗ.
Министерство цифрового развития (Минцифры) получило полномочия требовать от компаний и ведомств предоставления необходимых данных в обезличенном виде для загрузки в федеральную государственную информационную систему (ГИС).
По таким сведениям невозможно распознать конкретного человека. Информация попадет в закрытую систему, доступ к которой есть у компаний, граждан, государственных и муниципальных органов.
Основные условия: состоять в реестре операторов персональных данных, не быть под контролем иностранных компаний и лиц, не иметь связей с терроризмом и экстремизмом, в ЕГРЮЛ должны быть указаны достоверные сведения.
Что нужно успеть до 1 сентября 2025
За неправильно оформленное согласие после 1 сентября 2025 г. компанию могут оштрафовать по ч. 2 ст. 13.11 КоАП.
Оператор персданных | Размер штрафа, руб. |
|---|---|
Физлицо | 10 000 – 15 000 |
Должностное лицо | 100 000 – 300 000 |
Юрлицо | 300 000 – 700 000 |
Остаются высокие штрафы более миллиона рублей за нарушения в защите персданных. Избежать проблем можно, заранее приведя дела компании в порядок. Необходимо:
Проведите внутренний аудит процессов обработки персданных;
Организовать аудит документальной базы: договоры, политики, заявления и анкеты;
Разработайте форму отдельного согласия;
Подайте уведомление об обработке персданных, если еще не успели этого сделать;
Проверьте, функционируют ли ваши программы и алгоритмы обезличивания персональных данных. Они могут понадобиться в случае получения соответствующего требования от Минцифры.
Как работать с персональными данными безопасно
С 1 сентября список требований к работе с персданными расширится. Теперь согласие на обработку персональных данных нужно будет оформлять отдельно от остальных документов, ФНС указала точные требования к бумажному и электронному варианту.
На курсе «Новые правила по защите персданных - 2025» вы узнаете, что относится к персональным данным, разберетесь в основных положениях по защите, обработке, хранению и уничтожению данных, научитесь оформлять согласие в 1С:ЗУП. Получите шаблоны уведомлений, образцы их заполнения и пошаговую инструкцию по регистрации в Роскомнадзоре!
Цена курса со скидкой 67% 4 900 руб. вместо 14 990 руб.
Больше онлайн-курсов по акции в каталоге «Клерка».
Комментарии
7А что так скромно? 15 миллионов - копейки! Даже на пиво с орешками не хватит. Надо сразу триллионов двадцать, а лучше пятьдесят - вот это другое дело!
Опять хайповый заголовок. Вроде все закончилось майскими баталиями. Во первых, нужно знать не только бухгалтеру. Прежде всего, лучше знать руководителю. Во вторых, за что штрафы до 15 млн руб.? Указывайте тогда причину. Вряд ли это коснется читателей Клерка. Смотрим (из СПС): Штрафы будут зависеть:
- или от объемов утечки. Так, для работодателя - компании или ИП - за действия (бездействие), повлекшие неправомерную передачу ПД от 1 000 до 100 000 человек, штраф составит от 3 млн до 5 млн руб., а за утечку информации, включающей персональные данные более 100 000 субъектов, - от 10 млн до 15 млн руб.
Главное трампануть, а там и пофигу! Большинство ИП и ООО имеет в штате 3-5 человек и те знакомые или свои люди. И опять не говорится об конкретной обработке этих самых данных. Например, есть ИП, сайта у него нет и не предвидится, два наемных работника и те из круга семьи, данные он обрабатывает на стареньком компьютере, что автоматизированной обработкой не является, база у него на жёстком диске и чего дальше? Взламывать его никто не станет. Смысла нет. Другое дело - Озон или РЖД где миллионы этих данных и вот это уже полностью автоматизированная обработке. И штраф должен быть разумен. 99% компаний с такими расценками просто убьёт!