Персональные данные: правила хранения и обработки и изменения 2025 года
Персональные данные (ПДн) сотрудников и клиентов обрабатывает почти каждая компания. В 2025 году внесен ряд изменений в порядок работы с ПДн. Руководителям и сотрудникам бизнеса важно соблюдать актуальные требования, чтобы избежать штрафов. Рассказываем об основных обязанностях операторов персональных данных и о том, что изменилось в законодательстве
Какие данные относятся к персональным
Согласно Федеральному закону от 27.07.2006 № 152-ФЗ, персональные данные — это любая информация, с помощью которой можно прямо установить личность человека. К персональным данным относятся:
- фамилия, имя, отчество — в связке с email, номером телефона или паспортными данными;
- дата и место рождения — в связке с ФИО;
- адрес проживания, номер телефона, email;
- паспортные данные, ИНН, СНИЛС;
- фотографии;
- информация о семейном положении, образовании, профессии, доходах.
Также к персональным данным относятся сведения, которые позволяют идентифицировать человека косвенно, например, IP-адрес, учетные записи или данные о местоположении.
Отдельная категория персональных данных — биометрические. Это сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность. Примеры биометрических данных: отпечатки пальцев, лицо, сетчатка глаза, голос.
Кто должен соблюдать закон об обработке персональных данных
Требования закона № 152-ФЗ относятся к операторам персональных данных. Оператором может быть государственный орган, муниципальный орган, юридическое или физическое лицо, которые осуществляют обработку персональных данных — самостоятельно или совместно с кем-либо.
Примеры операторов персональных данных:
- Работодатели: обрабатывают персональные данные сотрудников (например, ФИО, паспортные данные, сведения о заработной плате), данные контрагентов и родственников сотрудников.
- Интернет-магазины: собирают данные клиентов для оформления заказов и доставки.
- Медицинские учреждения: хранят информацию о пациентах.
- Образовательные организации: обрабатывают данные студентов и преподавателей.
Если ваша организация собирает, обрабатывает или использует персональные данные, вы являетесь оператором персональных данных и обязаны соблюдать требования законодательства в этой области.
Основные положения Федерального закона №152-ФЗ и обязанности оператора
Шаг 1. Определить, какие данные вы обрабатываете
Установите, какие категории персональных данных вам действительно нужны для работы: это может быть только ФИО и контактный телефон или же паспортные данные, ИНН, СНИЛС и др. Нельзя собирать больше данных, чем требуется для конкретной цели. Например, не запрашивайте ИНН клиента, если он не нужен для оказания услуг и оформления документов.
Определите цели обработки, например, прием на работу, ведение кадрового учета, заключение договоров с клиентами и др.
Шаг 2. Выбрать и внедрить технические и организационные меры защиты
Важно обеспечить безопасность собираемых персональных данных: защитить их от утечки, кражи, потери или несанкционированного доступа. Для этого необходимо использовать антивирусы, надежные пароли, шифрование, резервное копирование, а также грамотно настроить права доступа — не давать доступ к персональным данным тем сотрудникам, которым он не нужен.
Шаг 3. Назначить ответственное лицо
Назначьте сотрудника, который будет отвечать за работу с персональными данными в вашей организации. Он будет ответственным за соблюдение требований к работе с персональными данными и точкой контакта при проверке Роскомнадзора.
Сотрудников, которые получают доступ к персональным данным, важно обучить работе с ними, ознакомить с нормативными документами и подписать соглашение о неразглашении.
Шаг 4. Разработать локальные документы
Подготовьте локальные нормативные акты, регулирующие работу с персональными данными:
- согласие на обработку персональных данных,
- политику обработки персональных данных (см. рекомендации Роскомнадзора к ее тексту) или политику конфиденциальности,
- положение о защите данных,
- должностные инструкции для сотрудников.
Утвердите порядок хранения, доступа, передачи и уничтожения данных.
Если компания собирает ПДн через сайт, на каждой его странице, например в футере, важно разместить ссылку на политику обработки данных, а также уведомление о сборе cookies, если такой сбор осуществляется.
Шаг 5. Получить согласие на обработку персональных данных
После утверждения документов необходимо получить согласие субъекта персональных данных на их обработку
в письменном или электронном виде.
Сделать это можно несколькими способами:
- с помощью подписи в распечатанном документе,
- с помощью электронной формы для сбора данных, где нужно поставить галочку,
- с помощью Double Opt-In — например, кода, который человек получает на телефон и сообщает продавцу в магазине,
- в виде файла, подписанного ЭЦП.
Шаг 6. Уведомить Роскомнадзор
До начала обработки персональных данных направьте уведомление в Роскомнадзор, если вы не подпадаете под исключения, то есть если обрабатываете данные без средств автоматизации, например, записываете их вручную на в блокноте, уведомление не требуется. Его можно подать через электронную форму на сайте Роскомнадзора.
Шаг 7. Вести учет обращений субъектов персональных данных
Субъекты могут запрашивать информацию об обработке их персональных данных, удаление, исправление или другие действия с ними. На запросы нужно реагировать в течение 30 дней, а обращения фиксировать в журнале или электронном документе.
Шаг 8. Прекратить обработку и уничтожить данные, если цель достигнута
Когда персональные данные субъекта больше не нужны компании, например, если сотрудник уволился или покупатель получил заказ, нужно прекратить обработку данных, удалить или обезличить их.
Основные изменения в законодательстве о персональных данных в 2025 году
Что нового в законе №152-ФЗ в 2025 году:
- Увеличиваются штрафы за нарушения в области обработки персональных данных.
- Ужесточаются требования к локализации данных.
- Вводится единая форма согласия на обработку ПДн.
- Повышаются требования к информационной безопасности.
- Повышаются штрафы за утечку ПДн.
- Появляются новые требования к обработке биометрических данных.
- Расширяется перечень случаев, обработки ПДн без согласия субъекта.
- Появляются новые требования к обезличиванию данных и передаче их в Минцифры.
Увеличение штрафов за нарушения
С 30 мая 2025 года штрафы за нарушения в области обработки персональных данных увеличиваются — для юридических лиц суммы могут достигать 300 тыс. руб. Введены новые составы правонарушений, такие как:
- непредставление уведомления о намерении обрабатывать персональные данные,
- несоблюдение требований к локализации персональных данных,
- несвоевременное уведомление об утечке персональных данных,
- действия или бездействие, повлекшие утечку ПДн.
Ужесточение требований к локализации данных
С 1 июля 2025 года вступают в силу изменения в закон № 152-ФЗ которые уточняют требования к локализации: операторы обязаны обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории России. Исключения из этого правила ограничены и строго определены законом.
Изменения относятся и к использованию Google Analytics и других зарубежных сервисов веб-аналитики: сведения о пользователях в этом случае могут обрабатываться на серверах за пределами России. Если есть необходимость в них, важно уведомить Роскомнадзор и добавить информацию о трансграничной передаче данных в локальные документы.
Новые формы согласия на обработку биометрических данных
С 1 января 2025 года обновляются формы согласия на размещение и обработку персональных данных в Единой системе идентификации и аутентификации (ЕСИА) и биометрических персональных данных в единой биометрической системе. Установлены формы согласия, представляемого на бумажном носителе или в электронном виде.
Повышенные штрафы за утечку персональных данных
30 мая 2025 года вступили в силу изменения, предусматривающие значительное увеличение штрафов за утечку персональных данных:
- При утечке данных от 1 000 до 10 000 человек: для индивидуальных предпринимателей и компаний — от 3 до 5 млн руб.
- При утечке данных от 10 000 до 100 000 человек: для ИП и компаний — от 10 до 15 млн руб.
- За утечку специальных категорий данных (например, биометрических) — до 15 млн руб.
- За несвоевременное уведомление Роскомнадзора об утечке — до 3 млн руб.
Новые требования к обработке биометрических данных
С 30 мая 2025 года вводятся дополнительные требования к обработке биометрических персональных данных:
- Обработка биометрических данных без аккредитации запрещена.
- Запрещено отказывать в обслуживании клиентам, которые не предоставили биометрические данные.
- Нарушение этих требований влечет штрафы до 15 млн руб.
Расширение случаев обработки данных без согласия
С 1 сентября 2025 года расширяется перечень случаев, когда обработка персональных данных возможна без согласия субъекта: это случаи, предусмотренные уголовно-процессуальным законодательством.
Установление требований к обезличиванию данных
С 1 сентября 2025 года операторы персональных данных будут обязаны предоставлять по требованию Минцифры обезличенные сведения. В новой редакции закона будет список нужной информации и сроки ее передачи. Правительство установит новые требования и методы обезличивания ПДн, то, какие данные и в какой срок нужно передавать.
Источник - https://school.kontur.ru/publications/79470-prsonalnye_dannye_pravila_i_izmeneniya
|
Персональные данные (ПДн) сотрудников и клиентов обрабатывает почти каждая компания. В 2025 году внесен
ряд изменений в порядок работы с ПДн. Руководителям и сотрудникам бизнеса важно соблюдать
актуальные требования, чтобы избежать штрафов. Рассказываем об основных обязанностях операторов
персональных данных и о том, что изменилось в законодательстве |
Персональные данные: правила хранения и обработки и изменения 2025 года |
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2025-07-09 » Индексация сайта: что это и как ускорить попадание страниц в поисковики
- 2025-07-09 » 4 маркетинговых трюка от Стива Джобса
- 2025-07-08 » Как мышление влияет на успех бизнеса, и причем тут эмоциональный интеллект
- 2025-07-08 » «Бомж-маркетинг» без бюджета: механика, тактики и результаты
- 2025-07-08 » Медицинский интернет-маркетинг: каналы, особенности и рекомендации
- 2025-07-04 » Утечка данных стоит дороже, чем их защита: почему вам нужна грамотная ИТ-инфраструктура
- 2025-07-04 » Персональные данные: правила хранения и обработки и изменения 2025 года
- 2025-07-04 » Владельцам сайтов: изменения в законе о персональных данных
- 2025-07-04 » Персональные данные: самый полный гайд на 2025 год
- 2025-07-04 » Штрафы за нарушения в работе с персональными данными с 30 мая 2025 года: утечка в интернет и неуведомление РКН
- 2025-07-04 » Новые штрафы в работе с персональными данными: что проверить прямо сейчас
- 2025-07-04 » Google выкатил 68-страничный гайд по промптам. Я прочитал его за вас и вытащил 4 главных правила
- 2025-07-04 » Как выстроить доверие и лояльность клиентов через точки контакта
- 2025-07-04 » Пять SEO-правил, которые реально работают в 2025 году
- 2025-06-10 » Кому нужно срочно подать уведомление в РКН об обработке персональных данных и как это правильно сделать
- 2025-06-10 » Что такое VPN и зачем он нужен?
- 2025-06-10 » Нейросети для создания видео: 7 инструментов и что они могут
- 2025-06-10 » ChatGPT, DeepSeek, Grok, Gemini доступны на русском бесплатно. Внедряем?
- 2025-06-10 » 12 нейросетей для работы с маркетплейсами: создание карточек и описаний для Wildberries и Ozon
- 2025-06-10 » 11 нейросетей для генерации изображений в 2025 году
- 2025-05-30 » Год назад то, что занимало у меня несколько дней работы, сейчас я делаю за 1-2 часа. Без преувеличений. И это только начало
- 2025-05-25 » Нейросети для написания текста: 7 сервисов в помощь копирайтеру
- 2025-05-25 » Сайты с качественным контентом смогут получать больше трафика после обновления алгоритмов в Поиске Яндекса
- 2025-05-07 » Почему страницы не индексируются Google: три типа проблем
- 2025-05-05 » Лидеры рейтинга самых дорогих компаний Рунета — 2025
- 2025-05-05 » Мы делали презентации 35 лет, а потом пришла нейросеть
- 2025-04-08 » Горшочек, рисуй: 10 бесплатных сервисов для генерации картинок
- 2025-04-08 » SEO-продвижение в 2025 году: 15 трендов, без которых ТОП не светит
- 2025-03-14 » SPF-запись
- 2025-03-07 » SEO на маркетплейсах: как оптимизировать карточку товара для поисковой выдачи
Одного яйца два раза не высидишь. К. Прутков |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их !
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.
Мы создаем практически любые сайты от продающих страниц до сложных, высоконагруженных и нестандартных веб приложений! Наши сайты это надежные маркетинговые инструменты для успеха Вашего бизнеса и увеличения вашей прибыли! Мы делаем красивые и максимально эффектные сайты по доступным ценам уже много лет!
Комплексный подход это не просто продвижение сайта, это целый комплекс мероприятий, который определяется целями и задачами поставленными перед сайтом и организацией, которая за этим стоит. Время однобоких методов в продвижении сайтов уже прошло, конкуренция слишком высока, чтобы была возможность расслабиться и получать \ удерживать клиентов из Интернета, просто сделав сайт и не занимаясь им...
Мы оказываем полный комплекс услуг по сопровождению сайта: информационному и техническому обслуживанию и развитию Интернет сайтов.
Контекстная реклама - это эффективный инструмент в интернет маркетинге, целью которого является увеличение продаж. Главный плюс контекстной рекламы заключается в том, что она работает избирательно.