Сайт не работает без javascript. Включите поддержку javascript в настройках браузера!
ОК Общ моб
🔴 Бесплатный вебинар — 1С:ERP: основной функционал и типичные ошибки →
Защита персональных данных
Главные изменения в законе о персональных данных с 1 сентября 2025

Главные изменения в законе о персональных данных с 1 сентября 2025

С началом осени в силу вступили важные изменения в законе о персональных данных. Рассказываем, какие нововведения теперь действуют для операторов персональных данных и как работать по-новому.

Согласие на обработку персональных данных — только отдельным документом

Согласие на обработку персональных данных (ПД) должно быть конкретным, предметным, однозначным и информативным — так говорит закон (ч. 1 ст. 9 закона № 152-ФЗ). Но на практике текст согласия раньше часто включали в другие документы — договор, заявление, пользовательское соглашение и так далее. И в результате человек подписывал согласие, даже не подозревая о его существовании.

С 1 сентября получить «скрытое согласие» больше не удастся: оно может быть оформлено только в виде отдельного документа. Причем теперь нельзя «спрятать» согласие на обработку ПДн в другом документе, а также объединять его с другим согласием, например, на рекламную рассылку. Каждый вид согласия нужно оформлять в виде самостоятельного документа.

Как правильно оформить согласие на обработку ПДн

Унифицированного бланка согласия на обработку ПДн нет — каждая компания или ИП разрабатывает свою форму. Согласие в письменной форме должно включать (ч. 4 ст. 9 закона № 152-ФЗ):

  • ФИО, адрес субъекта ПДн, информацию об удостоверяющем личность документе;

  • ФИО и адрес представителя субъекта ПДн, информацию об удостоверяющем его личность документе, реквизиты доверенности или другого подтверждающего полномочия документа (если согласие получено от представителя);

  • наименование или ФИО, а также адрес оператора, получающего согласие;

  • цель обработки ПДн;

  • перечень ПДн, на обработку которых лицо дает согласие;

  • наименование или ФИО, а также адрес лица, которое обрабатывает ПДн по поручению оператора (если обработка поручается такому лицу);

  • перечень действий с ПДн, на совершение которых лицо дает согласие, общее описание используемых оператором способов обработки;

  • срок действия согласия и способ его отзыва;

  • подпись субъекта ПДн.

Согласие в форме электронного документа признается равнозначным согласию в письменной форме при условии его соответствия установленным требованиям.

Придется ли переоформлять согласия, полученные до 1 сентября

Изменения распространяются только на те согласия, которые оформлены начиная с 1 сентября 2025 года. Все ранее подписанные документы продолжат свое действие.

Поэтому если клиент или сотрудник подписал согласие до 1 сентября и срок его действия не истек (или оно не было отозвано), переоформлять документ не нужно. 

Какие штрафы ждут нарушителей

За отсутствие согласия на обработку ПД в виде отдельного документа предусмотрена ответственность по ст. 13.11 КоАП. Размеры штрафов — в таблице:

Первичное правонарушение:

граждане

от 10 000 до 15 000 рублей

должностные лица

от 100 000 до 300 000 рублей

юридические лица

от 300 000 до 700 000 рублей

Повторное правонарушение:

граждане

от 15 000 до 30 000 рублей

должностные лица

от 300 000 до 500 000 рублей

ИП

от 500 000 до 1 000 000 рублей

юридические лица

от 1 000 000 до 1 500 000 рублей

Также Роскомнадзор выдает предписания об устранении нарушений.

Как сервис ОкиДоки помогает оформлять согласия

С 1 сентября в ОкиДоки — сервисе, предназначенном для удаленного подписания через СМС — все политики и соглашения автоматически создаются как отдельные документы и прикладываются к каждому договору. В частности, к подписываемому через ОкиДоки документу будут приложены:

  • политика персональных данных ОкиДоки;

  • политика персональных данных исполнителя (ваша политика);

  • соглашение об электронном документообороте.

Как это работает:

  • Документы создаются только для первого договора между клиентом и исполнителем.

  • Все документы автоматически прикладываются к письму.

  • Вы можете загрузить свою собственную политику или воспользоваться политикой сервиса (включена по умолчанию).

Без подписи соглашений договор не будет подписан. 

Таким образом, все пользователи сервиса ОкиДоки автоматически работают по новым требованиям закона о персональных данных. Никаких дополнительных действий совершать не потребуется.

Передача обезличенных данных в ГИС

Еще одно значимое изменение — появление в законе о ПДн новой статьи 13.1. В соответствии с ней операторы ПДн обязаны передавать данные в ГИС (государственную информационную систему) в обезличенном виде.

Что такое обезличивание и зачем это нужно

Специальные группы обезличенных данных Минцифры формирует для целей статистики. Но чтобы предотвратить неправомерный доступ к ПДн и исключить вероятность злоупотреблений, перед передачей таких данных операторы обязаны их обезличить в соответствии с правилами, утвержденными правительством и ФСБ. 

Благодаря обезличиванию информацию можно сгруппировать по определенным признакам, но идентифицировать по таким сведениям конкретного человека не получится. Передаются только общие ПДн, без биометрических и специальных категорий персональных данных. Если после обезличивания остается возможность идентификации, это считается нарушением закона.

Порядок обезличивания

Требование о предоставлении обезличенных персональных данных в адрес оператора — юрлица или предпринимателя — направляет Минцифры. Чтобы обезличить ПДн, оператор вправе использовать как ПО, которое безвозмездно предоставляет Минцифры, так и другие программы. Но для работы с собственной программой ее все равно сначала придется отправить на проверку в Минцифры.

Для обезличивания данных оператору нужно:

  • проанализировать исходный массив информации;

  • определить цель обезличивания и набор данных, которые нужно обработать;

  • выбрать подходящий метод обезличивания;

  • применить меры по обезличиванию;

  • протестировать результат;

  • подготовить отчет с описанием процедур и итогов;

  • организовать хранение обезличенных данных.

Контролировать то, как соблюдаются меры безопасности в сфере обработки ПДн, будет ФСБ. Если раньше полномочия службы распространялись преимущественно на государственный сектор, то теперь она может контролировать коммерческие и негосударственные информационные системы. Полномочиями по контролю наделяется и ФСТЭК, но прав на ознакомление с данными у нее нет.

Еще один важный момент — запрет на любые действия с переданными данными вне государственной информационной системы. Копирование, извлечение, запись и передача ПДн вне ГИС не допускаются.

Сервис ОкиДоки — это решение, которое упрощает удаленное подписание договоров и других документов. Для подписания пользователи используют простую электронную подпись ПЭП — аналог собственноручной подписи. Сервис работает в соответствии с актуальными требованиями законодательства, поэтому вся документация, подписанная через ОкиДоки, обладает такой же юридической значимостью, как и бумажные документы.  

Читайте также:

Реклама: ООО «ОкиДоки», ИНН 6330100935, erid: 2W5zFJDax4G

Начать дискуссию

ГлавнаяПодписка