Правила работы с персональными данными: что поменялось в сентябре 2025

Работодатель должен получать согласие работника, в частности, в этих случаях:

• Для обработки данных, не связанных напрямую с трудовыми отношениями. Например, сведений о жилищных условиях работника, если трудовым договором предусмотрено улучшение его жилищных условий.

• Для распространения или передачи данных третьим лицам. Это включает размещение данных на корпоративном сайте; передачу кадрового делопроизводства сторонней организации; передачу данных в коммерческих целях.

• Для использования фотографии работника на пропуске.

Общие требования к оформлению согласия указаны в ч. 4 ст. 9 Федерального закона № 152-ФЗ от 27 июля 2006 г. Его можно оформить электронным документом, подписанным электронной подписью.

Отдельно оформляют согласие на обработку персональных данных, разрешённых для распространения. Оно нужно, если данные передаются для раскрытия неограниченному кругу лиц. При оформлении нужно соблюдать требования из ст. 10.1 Федерального закона № 152-ФЗ от 27 июля 2006 г. и Требования, утв. Приказом Роскомнадзора № 18 от 24 февраля 2021 г.

Теперь согласие на обработку персональных данных должно оформляться как отдельный документ. Его нельзя включать в текст договора, пользовательское соглашение или любой другой документ. Пользование сайтом организации (ИП) больше не считается «автоматически» данным согласием.

Что сделать работодателям:

• Провести аудит документов: договоров, соглашений, заявлений, анкет.

• Разработать форму отдельного согласия на обработку персональных данных.

Для этого, например, можно воспользоваться бланком:

Обезличивание персональных данных — это действия, после которых нельзя определить принадлежность данных конкретному человеку без использования дополнительной информации.

В общем случае обезличивание может потребоваться:

• После достижения целей обработки данных или утраты необходимости в них. Данные нужно уничтожить или обезличить. Обезличивание применяют, если уничтожение невозможно, затратно или рискованно.

• Для статистических или исследовательских целей, кроме продвижения товаров или политической агитации.

Требования и методы обезличивания устанавливает Роскомнадзор.

Вступили в силу новые требования и методы обезличивания по Приказу Роскомнадзора № 140 от 19.06.2025. По сравнению с предыдущими правилами появились новые условия:

• Запрещено хранить вместе исходные и обезличенные данные. Локальные акты об обезличивании должны храниться отдельно от обезличенных данных.

• Необходимо вести учёт всех действий по обезличиванию и операций с обезличенными данными (в форме, позволяющей подтвердить эти действия).

• Нужно исключить доступ третьих лиц к локальным актам об обезличивании и информации о методах обезличивания.

• Для каждого метода обезличивания требуются отдельные локальные акты.

Штрафы за персональные данные выросли в 1 000 раз

Что сделать сейчас, чтобы не платить

Заполните форму, вышлем подробный мануал вам на e-mail:

Имя^*

E-mail^*

Телефон^*

Отправить

Нажимая кнопку, я соглашаюсь с пользовательским соглашением, обработкой персональных данных и получением информационных и рекламных рассылок

• Добавили новый метод — преобразование массива данных путём обобщения (агрегации) атрибутов.

• Детализировали метод введения идентификаторов: ключ для сопоставления должен храниться отдельно и не передаваться третьим лицам.

• Расширили метод изменения состава или семантики.

С 1 сентября 2025 года операторы обязаны по требованию Минцифры обезличивать и передавать персональные данные в государственную информационную систему (ГИС).

Цель передачи. Минцифры будет формировать наборы обезличенных данных для повышения эффективности госуправления. Например, для анализа в чрезвычайных ситуациях, при введении карантина, для исследований в сферах туризма или миграционной политики.

Процесс передачи. Минцифры направляет оператору требование с перечнем данных и сроками.

Оператор обязан обезличить данные и передать их в ГИС Минцифры — систему «Единая информационная платформа национальной системы управления данными» (ФГИС «ЕИП НСУД»).

Обезличивание проводится по требованиям и методам, установленным Постановлением Правительства РФ № 1154 от 01.08.2025. Взаимодействие Минцифры с операторами
регулируется Постановлением Правительства РФ № 966 от 26.06.2025.

Для обезличивания можно использовать бесплатное ПО от Минцифры или другое соответствующее ПО.

Оператор должен обеспечить целостность данных, их актуальность и возможность повторного обезличивания.

Обезличенные данные подписывают усиленной квалифицированной электронной подписью.

Если запрашиваемых данных нет, оператор в течение 5 рабочих дней направляет мотивированный отказ.

Срок на выполнение требования указывает Минцифры в самом требовании. Если у оператора нет доступа к системе, срок не может быть меньше 30 рабочих дней. В остальных случаях — не менее 5 рабочих дней.

Частота запросов зависит от случая формирования данных. Так, например, в чрезвычайных ситуациях — не более одного требования в сутки. Для исследований — не более одного требования в месяц.

• Система закрытая. Доступ есть у государственных и муниципальных органов, а также у некоторых российских организаций и граждан, соответствующих строгим требованиям (п. 7 ст. 13.1 Закона № 152-ФЗ от 27.07.2006).

• Данные можно обрабатывать только внутри системы. Их нельзя записывать, извлекать или передавать.

• Запрещена обработка, которая может причинить вред жизни, здоровью, безопасности или правам граждан.

• Результаты обработки нельзя передавать иностранным лицам, кроме случаев, предусмотренных законом.

Моё дело Бюро

Справочно–правовая система для бухгалтеров, юристов, кадровиков и профессиональный консалтинг

Узнать больше

Реклама: ООО «Мое дело», ИНН: 7701889831, erid: 2W5zFGkvvPz