Как соблюдать новые требования законодательства о персональных данных с 30 мая 2025 года

ЧТО МЕНЯЕТСЯ С 30 МАЯ 2025 ГОДА

С 30 мая 2025 года в России значительно ужесточается ответственность за нарушения законодательства о персональных данных. Изменения затрагивают всех, кто собирает и обрабатывает персональные данные граждан: от крупных компаний до индивидуальных предпринимателей и даже физических лиц.

Ключевые изменения:

1. Значительное увеличение штрафов — до 15 миллионов рублей за отдельные нарушения

2. Введение новых составов административных правонарушений

3. Усиление контроля со стороны Роскомнадзора с использованием автоматизированных систем мониторинга

4. Отмена 50-процентной скидки при быстрой уплате штрафа за нарушения в сфере персональных данных

Кого это касается:

• Компании, хранящие контактные данные клиентов, сотрудников или партнеров

• Организации с сайтами, имеющими формы обратной связи, регистрации или подписки

• Сервисы, использующие аналитические инструменты (Яндекс.Метрика, Google Analytics и др.)

• ИП и самозанятые, работающие с клиентскими базами

• Физические лица, ведущие деятельность с использованием данных других людей

ПЕРСОНАЛЬНЫЕ ДАННЫЕ: ОПРЕДЕЛЕНИЕ И КЛАССИФИКАЦИЯ

Что такое персональные данные

Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Федеральный закон №152-ФЗ "О персональных данных" и правоприменительная практика дают широкое толкование данного понятия, включая в него различные виды информации.

Категории персональных данных

Что считается персональными данными в интернет-среде

Однозначно персональными данными признаны:

• IP-адрес (статический) — подтверждено судебной практикой

• Файлы cookies в сочетании с другой информацией о пользователе (дело LinkedIn)

• ID пользователя в сочетании с другой информацией

• Данные аналитических систем (Яндекс.Метрика и Google Analytics)

• Email-адрес, особенно если содержит имя и фамилию

• Комбинации данных: телефон + ФИО, email + ФИО и т.д.

Важное примечание: Отдельные элементы информации (только ФИО или только номер телефона) не всегда являются персональными данными, но их сочетание создает возможность идентифицировать конкретное лицо, что уже подпадает под определение персональных данных.

КТО ЯВЛЯЕТСЯ ОПЕРАТОРОМ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных и действия с ними.

Кто может быть признан оператором персональных данных

Как определяется ответственное лицо

Ответственность за нарушения в сфере персональных данных определяется через установление оператора персональных данных — лица, контролирующего процесс обработки данных и получающего от этого выгоду.

Критерии определения ответственного лица:

1. Регистрационные данные домена (WHOIS-информация)

2. Информация на сайте (контакты, политика конфиденциальности)

3. Фактическое управление сайтом

4. Выгодополучатель от обработки персональных данных

Распределение ответственности в особых случаях

НОВЫЕ ШТРАФЫ И САНКЦИИ С 30 МАЯ 2025 ГОДА

Дополнительные санкции

• Блокировка сайта при выявлении серьезных нарушений

• Приостановление деятельности до 90 суток

• Дисквалификация должностных лиц на срок до 3 лет

• Исключение из реестра операторов персональных данных

Важные изменения в системе наказаний

• Отмена 50% скидки при быстрой оплате штрафа по ст. 13.11 КоАП РФ

• Увеличение сроков давности привлечения к ответственности

• Автоматизация выявления нарушений при помощи систем искусственного интеллекта Роскомнадзора

УВЕДОМЛЕНИЕ РОСКОМНАДЗОРА: КТО И КОГДА ДОЛЖЕН ПОДАВАТЬ

Согласно ст. 22 Федерального закона №152-ФЗ, оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку данных.

Кто обязан подать уведомление

Исключения из обязанности подавать уведомление

Не требуется подавать уведомление, если:

1. Данные обрабатываются только для личных и семейных нужд

2. Данные включены в государственные информационные системы, созданные для защиты безопасности государства и общественного порядка

3. Обработка осуществляется без использования средств автоматизации

4. Данные обрабатываются в случаях, предусмотренных законодательством о транспортной безопасности

Сроки и порядок подачи уведомления

Способы подачи уведомления

1. Через портал Госуслуг (рекомендуемый способ)

2. Через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи

3. На бумажном носителе лично или по почте в территориальный орган Роскомнадзора

4. Через специализированные сервисы (например, для пользователей 1С)

ПОШАГОВАЯ ИНСТРУКЦИЯ ПО ЗАПОЛНЕНИЮ УВЕДОМЛЕНИЯ

Подготовительная работа

Перед заполнением уведомления необходимо:

1. Назначить ответственного за организацию обработки персональных данных (приказом)

2. Определить цели сбора и категории собираемых персональных данных

3. Разработать политику в области обработки персональных данных

4. Провести аудит сайта, выяснив:

   • Какие персональные данные собираются

   • Есть ли формы согласия на обработку

   • Размещена ли политика обработки данных

   • Какие метрические программы используются

5. Проверить средства защиты информации на компьютерах, где обрабатываются персональные данные

6. Собрать информацию о сторонних сервисах, где размещаются персональные данные

Заполнение уведомления через Госуслуги

Шаг 1: Переход и авторизация

1. Перейдите на официальный сайт Госуслуг

2. Авторизуйтесь с помощью учетной записи организации или ИП

Шаг 2: Заполнение сведений об операторе

1. Регион — укажите регион фактического местонахождения

2. Адрес электронной почты — укажите актуальный рабочий email для связи

3. Регионы обработки — укажите территории, где фактически обрабатываются данные

Шаг 3: Цели обработки персональных данных

1. Укажите каждую цель обработки отдельно

2. Нельзя указать несколько целей через запятую

3. Можно выбрать из предложенного справочника (более 30 целей) или добавить свою

Примеры целей обработки:

• Осуществление трудовых отношений

• Оказание услуг по договору

• Ведение бухгалтерского и кадрового учета

• Обеспечение пропускного режима

• Рассылка рекламных материалов (отдельно от основных услуг!)

Шаг 4: Способы обработки персональных данных

1. Для каждой цели укажите способ обработки:

   • Автоматизированная

   • Неавтоматизированная

   • Смешанная (рекомендуется для большинства случаев)

2. Конкретизируйте передачу данных:

   • С передачей по внутренней сети

   • С передачей по сети Интернет

   • С передачей по иным каналам связи

Шаг 5: Меры по защите персональных данных

Укажите фактически применяемые меры защиты согласно ст. 18.1 и 19 ФЗ №152-ФЗ:

Примеры мер:

• ИАФ.1 — Идентификация и аутентификация пользователей

• ИАФ.3 — Управление идентификаторами

• УПД.1 — Управление учетными записями пользователей

• РСБ.1 — Определение событий безопасности

• АВЗ.1 — Реализация антивирусной защиты

Если используются шифровальные (криптографические) средства, укажите их наименование, изготовителя и класс.

Шаг 6: Ответственный за организацию обработки персональных данных

1. Укажите ФИО ответственного сотрудника

2. Укажите только рабочие контактные данные (телефон, email)

3. Для ИП можно указать себя или назначить сотрудника

Шаг 7: Дата начала и окончания обработки данных

1. Дата начала — рекомендуется указать дату регистрации компании или ИП

2. Дата окончания — можно указать не конкретную дату, а событие: "ликвидация юрлица" или "прекращение регистрации ИП"

Шаг 8: Места нахождения баз данных

1. Укажите полный адрес хранения данных:

   • Для собственных серверов — фактический адрес размещения

   • Для арендованных серверов/хостинга — адрес ЦОДа

   • Для облачных сервисов (Яндекс.Диск и др.) — данные организации, обеспечивающей хранение

2. Для каждого места хранения (если их несколько) указывается:

   • Страна (РФ)

   • Полный адрес

   • Наименование организации-хранителя, ИНН, ОГРН (если применимо)

Шаг 9: Завершение и получение подтверждения

1. Проверьте правильность заполнения всех полей

2. Отправьте уведомление

3. Сохраните номер и ключ документа — они понадобятся для внесения изменений в будущем

Типичные ошибки при заполнении уведомления

1. Неполное указание целей обработки — необходимо указать все цели отдельно

2. Несоответствие между политикой и уведомлением — информация должна быть идентична

3. Указание личных контактов ответственного вместо рабочих

4. Неточные данные о местах хранения персональных данных

5. Указание недостоверных мер защиты, которые фактически не применяются

ВНУТРЕННЯЯ ДОКУМЕНТАЦИЯ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

Требования к содержанию основных документов

Политика в отношении обработки персональных данных:

1. Наименование и реквизиты оператора

2. Цели обработки персональных данных

3. Правовые основания обработки

4. Объем и категории обрабатываемых ПД

5. Порядок и условия обработки ПД

6. Актуализация, исправление, удаление и уничтожение ПД

7. Сведения о реализуемых требованиях к защите ПД

8. Контактная информация для обращений

Согласие на обработку персональных данных:

1. ФИО и паспортные данные субъекта ПД

2. Наименование и реквизиты оператора

3. Цель обработки персональных данных

4. Перечень обрабатываемых данных

5. Перечень действий с персональными данными

6. Способы обработки персональных данных

7. Срок действия согласия и порядок его отзыва

8. Подпись субъекта персональных данных

Сроки хранения документации

ТРЕБОВАНИЯ К САЙТАМ И ОНЛАЙН-СЕРВИСАМ

Обязательные элементы для сайта

Правильное оформление форм на сайте

Требования к чекбоксам согласия:

• Не должны быть предварительно отмечены

• Должны быть визуально заметны

• Отдельные чекбоксы для разных целей (основная обработка и маркетинг)

• Чекбокс должен быть обязательным для заполнения формы

Правильная формулировка текста согласия:

Неправильно:

Нажимая кнопку, я соглашаюсь со всем.

Правильно:

Я даю согласие ООО "Компания" (ИНН 1234567890) на обработку моих персональных данных, указанных в форме, в целях обработки заявки и обратной связи в соответствии с Политикой конфиденциальности.

Отдельное согласие на рекламные рассылки:

Правильно:

Я согласен получать рекламные и информационные материалы от ООО "Компания" на указанный email/телефон.

Правильная реализация cookie-баннера

Обязательные элементы cookie-баннера:

• Информация о том, какие типы cookies используются

• Цели их использования

• Кнопка для принятия всех cookies

• Кнопка для настройки параметров cookies (или полного отказа)

• Ссылка на подробную политику использования cookies

Пример корректного cookie-баннера:

Наш сайт использует файлы cookie для улучшения работы сайта и персонализации сервиса. Мы собираем: необходимые cookies для работы сайта, аналитические cookies для статистики и маркетинговые cookies для показа релевантной рекламы. Нажимая «Принять все», вы соглашаетесь с их использованием. Вы можете настроить параметры cookies или отказаться от их использования, нажав «Настройки».

Техническая реализация:

• Баннер должен появляться при первом посещении сайта

• Необходимо сохранять выбор пользователя (обычно в localStorage)

• Обеспечить доступ к настройкам cookies через постоянную ссылку на сайте

• Фиксировать факт согласия с указанием даты и времени для юридической защиты

Требования к аналитике и сторонним сервисам

Меры снижения рисков при использовании аналитики:

1. Информирование пользователей обо всех сервисах, используемых на сайте

2. Анонимизация IP-адресов пользователей (если такая возможность есть)

3. Сокращение срока хранения данных в аналитических системах

4. Обезличивание собираемых данных при возможности

5. Получение явного согласия на использование аналитических инструментов

Трансграничная передача данных

Что считается трансграничной передачей:

• Передача данных на серверы за пределами России

• Использование зарубежных сервисов, обрабатывающих данные (Google, Meta, AWS и т.д.)

• Размещение сайта на зарубежном хостинге

Требования к трансграничной передаче:

• Получение отдельного согласия субъекта на такую передачу

• Указание стран получателей данных

• Обеспечение адекватной защиты в странах-получателях

• Включение информации о трансграничной передаче в уведомление для РКН

Рекомендации по минимизации рисков:

1. По возможности перейти на российские сервисы

2. Если использование зарубежных сервисов необходимо — получить специальное согласие

3. Актуализировать информацию о странах-получателях

4. Документировать меры защиты при трансграничной передаче

ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Уровни защищенности информационных систем персональных данных (ИСПДн):

Базовые технические меры для разных уровней защищенности

Практические шаги по обеспечению безопасности

Минимальный набор мер для УЗ-4:

1. Управление доступом:

   • Использование надежных паролей (от 8 символов, буквы, цифры, спецсимволы)

   • Разграничение прав доступа для каждого пользователя

   • Блокировка доступа после 5-10 неудачных попыток входа

2. Защита от вредоносного ПО:

   • Установка и регулярное обновление антивирусов

   • Запрет запуска непроверенного ПО

   • Регулярные проверки систем на вирусы

3. Резервное копирование:

   • Регулярное создание резервных копий баз данных

   • Хранение резервных копий в защищенном месте

   • Периодическая проверка восстановления из резервных копий

4. Физическая безопасность:

   • Размещение серверов в защищенных помещениях

   • Контроль доступа к оборудованию

   • Защита от противоправных действий

Особенности защиты сайтов и веб-приложений

1. Защищенное соединение:

   • Установка SSL-сертификата (HTTPS)

   • Регулярное обновление сертификатов

   • Настройка HSTS (HTTP Strict Transport Security)

2. Защита от типичных атак:

   • Защита от SQL-инъекций

   • Защита от XSS (межсайтовый скриптинг)

   • Защита от CSRF (подделка межсайтовых запросов)

3. Обновление CMS и компонентов:

   • Регулярные обновления системы управления контентом

   • Обновление плагинов и расширений

   • Контроль за безопасностью сторонних компонентов

4. Мониторинг и логирование:

   • Настройка журналирования событий безопасности

   • Отслеживание подозрительной активности

   • Периодический анализ логов

АНАЛИТИЧЕСКИЕ СЕРВИСЫ: РИСКИ И РЕКОМЕНДАЦИИ

Оценка рисков использования популярных сервисов

Рекомендации по работе с аналитическими инструментами

Замена иностранных сервисов на российские аналоги:

Меры снижения рисков при использовании аналитики:

1. Минимизация собираемых данных:

   • Отключение сбора IP-адресов или их анонимизация

   • Отказ от сбора персонифицированной информации

   • Использование агрегированных данных вместо индивидуальных

2. Корректное оформление использования аналитики:

   • Упоминание всех используемых сервисов в политике конфиденциальности

   • Получение согласия пользователя через cookie-баннер

   • Предоставление возможности отказаться от аналитических cookie

3. Технические настройки безопасности:

   • Отключение опций повторного таргетирования

   • Сокращение срока хранения собираемых данных

   • Настройка ограничений доступа к аналитическим данным

Рекомендации по настройке конкретных сервисов

Яндекс.Метрика:

• Активировать опцию обезличивания IP-адресов (подробная инструкция)

• Отключить сбор персональных данных пользователей

• Настроить автоматическое удаление данных по истечении срока

• Добавить информацию об использовании Яндекс.Метрики в политику конфиденциальности

Google Analytics (если крайне необходимо использование):

• Включить анонимизацию IP-адресов пользователей

• Отключить функции демографических отчетов и отчетов по интересам

• Установить автоматическое удаление данных пользователя через 14 месяцев

• Отключить опцию обмена данными с другими продуктами Google

• Получить специальное согласие пользователей на трансграничную передачу

Общие рекомендации:

• Использовать режим "не отслеживать" (DNT) в настройках сервисов

• Отключить отслеживание по идентификаторам пользователей

• Ограничить доступ к данным аналитики только необходимым сотрудникам

ЧЕК-ЛИСТЫ ДЛЯ САМОПРОВЕРКИ

Чек-лист готовности к уведомлению Роскомнадзора

Чек-лист аудита сайта

Чек-лист технических мер защиты

Изменения в законодательстве о персональных данных, вступающие в силу с 30 мая 2025 года, значительно повышают ответственность операторов за нарушения при обработке персональных данных. Штрафы увеличиваются в несколько раз, вводятся новые составы правонарушений, а контроль со стороны Роскомнадзора становится более автоматизированным и масштабным.

Важно не откладывать подготовку к этим изменениям. Уже сейчас необходимо:

1. Провести аудит текущих процессов обработки персональных данных

2. Подать уведомление в Роскомнадзор (если еще не подано)

3. Обновить внутреннюю документацию

4. Привести сайт в соответствие с требованиями

5. Внедрить технические меры защиты персональных данных

Правильно организованная работа с персональными данными не только поможет избежать штрафов, но и повысит доверие клиентов и партнеров к вашей организации. Помните, что защита персональных данных — это не просто формальное соблюдение требований закона

ПОЛЕЗНЫЕ ССЫЛКИ И РЕСУРСЫ

Законодательство и нормативные акты

1. Федеральный закон №152-ФЗ "О персональных данных"

2. Постановление Правительства РФ №1119 от 01.11.2012

3. Приказ Роскомнадзора №180 от 28.10.2022

4. Кодекс Российской Федерации об административных правонарушениях (ст. 13.11)

Официальные ресурсы

1. Портал персональных данных Роскомнадзора

2. Реестр операторов персональных данных

3. Форма подачи уведомления через Госуслуги

Полезные инструменты

1. Проверка сайта на соответствие требованиям к персональным данным

2. Конструктор политики конфиденциальности

Рекомендуемая литература и курсы

1. "Персональные данные: правовое регулирование и ответственность за нарушения" - Р. В. Амелин

2. "Защита персональных данных в цифровую эпоху" - А. И. Савельев

3. Онлайн-курс "Новые правила по защите персданных - 2025" от Клерк.ру