Как работать с персональными данными в 2025 году. Собрали все, что знаем

С 30 мая 2025 года вступают в силу обновлённые требования к обработке персональных данных.

Остается совсем немного времени, чтобы привести процессы в соответствие с законодательством. За нарушения предусмотрены серьезные санкции:

• за обработку персональных данных без согласия или с нарушением целей сбора — штрафы от 50 до 300 тыс руб., в зависимости от категории бизнеса;

• за неуведомление Роскомнадзора об обработке персональных данных — от 100 до 300 тыс руб.;

• за утечку — от 3 до 15 млн руб. или оборотные штрафы до 3% от годовой выручки (но не менее 20 млн руб.) и другие.

Мы подготовили подборку материалов, которые помогут разобраться в новых требованиях и минимизировать риски:

Регистрация в реестре операторов персональных данных и последующее внесение изменений — обязательная процедура для организаций и ИП, работающих с персональными данными. Однако на практике при оформлении уведомлений возможны ошибки, из-за которых Роскомнадзор отклоняет документы.

Рекомендации по заполнению уведомления об обработке персональных данных и примеры заполнения некоторых разделов в этой статье:

Как правильно заполнить уведомление об обработке персональных данных (образец заполнения)

Некоторые рекомендации по заполнению уведомления об обработке персональных данных и примеры заполнения некоторых разделов

www.klerk.ru

Персональные данные — это любая информация, которая позволяет прямо или косвенно идентифицировать человека: ФИО, дата и место рождения; паспортные данные, СНИЛС, ИНН; адрес проживания; семейное положение.

Обработка персональных данных — это любое действие с персональными данными: хранение, систематизация, передача, удаление. Поэтому важно собирать только необходимые сведения, обеспечивать защиту и получить согласие на обработку.

— Вы храните данные не в рамках закона.
— Работаете с биометрией.
— Публикуете данные в открытых источниках (на сайте или в справочнике).

— Цель и перечень данных.
— Срок хранения.
— Права на отзыв согласия.
— Подписи и дата.

— Для заключения трудового договора.
— Для выполнения требований закона.
— В рамках трудового кодекса.

Регистрация — не формальность. Прежде чем направить уведомление в Роскомнадзор, компании необходимо подготовить и внедрить внутренние документы, регулирующие обработку персональных данных. В среднем — от 30 до 60 бумаг. Перечень зависит от сферы деятельности, наличия сайтов, численности сотрудников и объёмов обрабатываемых данных.

Особое внимание уделяют сайтам. Роскомнадзор применяет автоматизированную систему мониторинга, которая ежедневно проверяет корпоративные ресурсы на соответствие требованиям:

• наличие на сайте актуальной политики обработки персональных данных и согласия на их обработку;

• корректные формы сбора данных с обязательным пользовательским согласием;

• уведомление о cookie-файлах с возможностью отказа;

• указание полных реквизитов владельца сайта;

• отсутствие признаков трансграничной передачи данных через запрещенные иностранные сервисы (в том числе через скрытые элементы кода).

Автоматическая проверка выявляет нарушения без предварительного уведомления и участия специалистов ведомства. Даже один неактуальный документ или устаревшая интеграция с Google-сервисами может привести к блокировке сайта и крупному штрафу.

Почему аудит требуется уже сейчас:

• после получения предписания на исправление нарушений у организации будет всего 10 календарных дней;

• устранение нарушений не гарантирует полного освобождения от санкций — штрафы могут быть лишь снижены;

• с 30 мая контроль станет строже, а вероятность проверки — выше.

• Если организация собирает данные клиентов через сайт, формы обратной связи, онлайн-заявки или CRM — риски значимы. В условиях усиливающегося контроля со стороны Роскомнадзора это вопрос не только соответствия законодательству, но и устойчивости бизнеса.

• На «Клерке» появился инструмент, который проверит ваш сайт на наличие сервисов cookies и метрик. Проверьте себя прямо сейчас, чтобы избежать новых штрафов. Проверить

Уничтожение персональных данных требуется в следующих случаях:

• достижение цели обработки (например, выполнен договор или завершено исследование);

• отзыв согласия со стороны субъекта данных;

• выявление избыточных или ошибочно собранных сведений.

Сроки строго регламентированы: 30 дней на удаление по отзыву согласия, 10 рабочих дней — при выявлении нарушений.

Перед уничтожением необходимо:

• проверить основания и сроки хранения данных;

• определить, где хранятся данные (в том числе резервные копии и бумажные архивы);

• наладить взаимодействие между всеми подразделениями, работающими с ПД (кадры, маркетинг, бухгалтерия, ИБ и др.).

Процедура включает удаление сведений из всех систем, в том числе у третьих лиц (если они участвуют в обработке), составление акта об уничтожении и при необходимости — предоставление подтверждения субъекту персональных данных.

Особое внимание Роскомнадзор уделяет следующим аспектам:

• назначены ли ответственные за обработку ПД;

• ознакомлены ли сотрудники с законом;

• проведен ли внутренний аудит;

• опубликована ли политика обработки данных на всех страницах, где происходит их сбор.

Важно учитывать, что субъектами персональных данных являются не только клиенты, но и сотрудники. Согласие на обработку должно быть оформлено с каждым из них, желательно отдельным документом. Необходимо издать приказ, назначить ответственных, утвердить перечень лиц, работающих с ПД, провести аудит и внедрить процедуры по безопасному хранению и своевременному удалению информации. Это поможет систематизировать работу с данными, снизить риски и быть готовыми к проверкам.

Оператором персональных данных по закону № 152-ФЗ считается орган власти, юридическое или физическое лицо, самостоятельно или совместно с другими обрабатывающее персональные данные клиентов и партнеров.

Персональные данные — это информация, относящаяся к физическому лицу. Обработка включает любые действия с ними, включая сбор, запись, систематизацию, хранение, обновление, использование, передачу, обезличивание, блокирование, удаление и уничтожение. Юридические лица и другие операторы, работающие с персональными данными, обязаны обязаны:

• Назначить ответственного за обработку персональных данных.

• Разработать политику и локальные акты по обработке данных, включая категории, сроки, способы хранения и уничтожения данных.

• Принять меры по защите данных в соответствии со ст. 19 закона № 152-ФЗ.

• Проводить внутренний контроль или аудит обработки данных.

• Оценивать возможные риски для субъектов данных и соотносить их с принимаемыми мерами.

• Обучать работников оператора требованиям законодательства о защите данных.

• Уведомить Роскомнадзор о намерении обрабатывать данные, кроме исключений.

Уведомление Роскомнадзору должно содержать информацию о лице, ответственном за обработку персональных данных, и мерах по их защите. Без уведомления оператор может обрабатывать данные:

• включенных в государственные информационные системы для защиты безопасности государства и общественного порядка;

• без использования средств автоматизации;

• в случаях, предусмотренных законодательством о транспортной безопасности.

Уведомление о намерении обрабатывать персональные данные можно направить в Роскомнадзор через портал в бумажном, электронном виде с усиленной квалифицированной электронной подписью или через ЕСИА.

Оператор обязан уведомить Роскомнадзор о любых изменениях в обработке персональных данных не позднее 15 числа месяца, следующего за месяцем изменений, а о прекращении обработки — в течение 10 рабочих дней. При некорректной подаче уведомления или изменении сведений нужно подать новое заявление. При несоответствии уведомления закону, Роскомнадзор может направить письмо с требованием исправить данные в течение 10 рабочих дней.

С 30 мая вводится административная ответственность за невыполнение или несвоевременное уведомление Роскомнадзора о намерении обрабатывать персональные данные. Нарушение влечет штрафы:

• для граждан — от 5000 до 10 000 руб.;

• для должностных лиц — от 30 000 до 50 000 руб.;

• для юридических лиц — от 100 000 до 300 000 руб.

Персональные данные должны хранить только, чтобы их обработать и уничтожать в течение 30 дней после этого. При технической невозможности уничтожения закон разрешает блокировать информацию на полгода.

Для автоматического удаления персональных данных можно использовать платформы:

• Битрикс24 — предоставляет возможность управления ПД сотрудников, включая функции для удаления и редактирования этой информации. Администраторы могут легко удалять учетные записи пользователей и связанные с ними данные в соответствии с требованиями законодательства о защите данных. Система также предлагает инструменты для контроля доступа и обеспечения конфиденциальности информации.

• В решениях 1С предусмотрены механизмы для удаления ПД сотрудников, что позволяет организациям соблюдать требования законодательства о защите личной информации. Пользователи могут удалять данные из систем учета, а также настраивать автоматические процедуры для обеспечения своевременного удаления информации.

• PrivacyLine специально разработан для управления ПД и предлагает мощные инструменты для их удаления в соответствии с нормами закона. Платформа позволяет пользователям легко инициировать процессы удаления данных и отслеживать их выполнение.

1. Мы провели первый вебинар «Работа с персональными данными с 30 мая 2025 года: регистрация в Роскомнадзоре, cookie и новые штрафы». На прямой эфир пришло больше 1 000 бухгалтеров, чтобы узнать, как подать уведомление в Роскомнадзор и работать по новым требованиям. Запись вебинара доступна в подписке «Клерк.Премиум»

2. 30 мая в 11:00 еще раз проведем вебинар Главные вопросы по персональным данным: как не попасть под штрафы и заполнять уведомления и еще раз покажем как построчно заполнять уведомление и ответим на вопросы.

3. Также мы создали онлайн-курс «Новые правила по защите персданных - 2025», на котором объясним как безопасно работать с персданными, кто должен подавать уведомления в РКН, как из заполнять, а также как отвечать на требования Роскомнадзора. Дадим готовые шаблоны и примеры документов, которые помогут не налететь на гигантские штрафы Роскомнадзора.

1. Уведомление в Роскомнадзор: кто и зачем обязан подавать

2. Как правильно заполнить уведомление об обработке персональных данных (образец заполнения)

3. Кто должен подавать уведомление в Роскомнадзор в 2025 году: вопросы и ответы

4. Уведомление в Роскомнадзор в 2025 году: топ-10 вопросов и ответов 

5. Кто относится к операторам персональных данных, как заполнить цели обработки в уведомлении для РКН и другие вопросы по 152-ФЗ

6. Что меняется в работе с персданными с 30 мая 2025 года: новые требования и штрафы Роскомнадзора