Как работать с персональными данными в 2025 году. Собрали все, что знаем

Бухгалтерия
, ,
1

С 30 мая 2025 года вступают в силу обновлённые требования к обработке персональных данных.

Остается совсем немного времени, чтобы привести процессы в соответствие с законодательством. За нарушения предусмотрены серьезные санкции:

  • за обработку персональных данных без согласия или с нарушением целей сбора — штрафы от 50 до 300 тыс руб., в зависимости от категории бизнеса;
  • за неуведомление Роскомнадзора об обработке персональных данных — от 100 до 300 тыс руб.;
  • за утечку — от 3 до 15 млн руб. или оборотные штрафы до 3% от годовой выручки (но не менее 20 млн руб.) и другие.

Мы подготовили подборку материалов, которые помогут разобраться в новых требованиях и минимизировать риски:

Как правильно заполнить уведомление об обработке персональных данных

Регистрация в реестре операторов персональных данных и последующее внесение изменений — обязательная процедура для организаций и ИП, работающих с персональными данными. Однако на практике при оформлении уведомлений возможны ошибки, из-за которых Роскомнадзор отклоняет документы.

Рекомендации по заполнению уведомления об обработке персональных данных и примеры заполнения некоторых разделов в этой статье:

Как правильно заполнить уведомление об обработке персональных данных (образец заполнения)

Что считается персональными данными, когда нужно согласие и как избежать рисков

Персональные данные — это любая информация, которая позволяет прямо или косвенно идентифицировать человека: ФИО, дата и место рождения; паспортные данные, СНИЛС, ИНН; адрес проживания; семейное положение.

Обработка персональных данных — это любое действие с персональными данными: хранение, систематизация, передача, удаление. Поэтому важно собирать только необходимые сведения, обеспечивать защиту и получить согласие на обработку.

Когда требуется согласие на обработку персональных данных:

— Вы храните данные не в рамках закона.
— Работаете с биометрией.
— Публикуете данные в открытых источниках (на сайте или в справочнике).

Согласие оформляется в письменной форме с подписью.

Указываются:

— Цель и перечень данных.
— Срок хранения.
— Права на отзыв согласия.
— Подписи и дата.

Согласие не требуется, если данные обрабатываются:

— Для заключения трудового договора.
— Для выполнения требований закона.
— В рамках трудового кодекса.

Регистрация в Роскомнадзоре: что учесть бизнесу

Регистрация — не формальность. Прежде чем направить уведомление в Роскомнадзор, компании необходимо подготовить и внедрить внутренние документы, регулирующие обработку персональных данных. В среднем — от 30 до 60 бумаг. Перечень зависит от сферы деятельности, наличия сайтов, численности сотрудников и объёмов обрабатываемых данных.

Особое внимание уделяют сайтам. Роскомнадзор применяет автоматизированную систему мониторинга, которая ежедневно проверяет корпоративные ресурсы на соответствие требованиям:

  • наличие на сайте актуальной политики обработки персональных данных и согласия на их обработку;
  • корректные формы сбора данных с обязательным пользовательским согласием;
  • уведомление о cookie-файлах с возможностью отказа;
  • указание полных реквизитов владельца сайта;
  • отсутствие признаков трансграничной передачи данных через запрещенные иностранные сервисы (в том числе через скрытые элементы кода).

Автоматическая проверка выявляет нарушения без предварительного уведомления и участия специалистов ведомства. Даже один неактуальный документ или устаревшая интеграция с Google-сервисами может привести к блокировке сайта и крупному штрафу.

Почему аудит требуется уже сейчас:

  • после получения предписания на исправление нарушений у организации будет всего 10 календарных дней;
  • устранение нарушений не гарантирует полного освобождения от санкций — штрафы могут быть лишь снижены;
  • с 30 мая контроль станет строже, а вероятность проверки — выше.
  • Если организация собирает данные клиентов через сайт, формы обратной связи, онлайн-заявки или CRM — риски значимы. В условиях усиливающегося контроля со стороны Роскомнадзора это вопрос не только соответствия законодательству, но и устойчивости бизнеса.

Как проверить свой сайт на отсутствие признаков трансграничной передачи

  • На «Клерке» появился инструмент, который проверит ваш сайт на наличие сервисов cookies и метрик. Проверьте себя прямо сейчас, чтобы избежать новых штрафов. Проверить

Уничтожение персональных данных: как соблюдать закон и избежать штрафов

Уничтожение персональных данных требуется в следующих случаях:

  • достижение цели обработки (например, выполнен договор или завершено исследование);
  • отзыв согласия со стороны субъекта данных;
  • выявление избыточных или ошибочно собранных сведений.

Сроки строго регламентированы: 30 дней на удаление по отзыву согласия, 10 рабочих дней — при выявлении нарушений.

Перед уничтожением необходимо:

  • проверить основания и сроки хранения данных;
  • определить, где хранятся данные (в том числе резервные копии и бумажные архивы);
  • наладить взаимодействие между всеми подразделениями, работающими с ПД (кадры, маркетинг, бухгалтерия, ИБ и др.).

Процедура включает удаление сведений из всех систем, в том числе у третьих лиц (если они участвуют в обработке), составление акта об уничтожении и при необходимости — предоставление подтверждения субъекту персональных данных.

Особое внимание Роскомнадзор уделяет следующим аспектам:

  • назначены ли ответственные за обработку ПД;
  • ознакомлены ли сотрудники с законом;
  • проведен ли внутренний аудит;
  • опубликована ли политика обработки данных на всех страницах, где происходит их сбор.

Важно учитывать, что субъектами персональных данных являются не только клиенты, но и сотрудники. Согласие на обработку должно быть оформлено с каждым из них, желательно отдельным документом. Необходимо издать приказ, назначить ответственных, утвердить перечень лиц, работающих с ПД, провести аудит и внедрить процедуры по безопасному хранению и своевременному удалению информации. Это поможет систематизировать работу с данными, снизить риски и быть готовыми к проверкам.

Когда компания становится оператором по обработке личных данных

Оператором персональных данных по закону № 152-ФЗ считается орган власти, юридическое или физическое лицо, самостоятельно или совместно с другими обрабатывающее персональные данные клиентов и партнеров.

Персональные данные — это информация, относящаяся к физическому лицу. Обработка включает любые действия с ними, включая сбор, запись, систематизацию, хранение, обновление, использование, передачу, обезличивание, блокирование, удаление и уничтожение. Юридические лица и другие операторы, работающие с персональными данными, обязаны обязаны:

  • Назначить ответственного за обработку персональных данных.
  • Разработать политику и локальные акты по обработке данных, включая категории, сроки, способы хранения и уничтожения данных.
  • Принять меры по защите данных в соответствии со ст. 19 закона № 152-ФЗ.
  • Проводить внутренний контроль или аудит обработки данных.
  • Оценивать возможные риски для субъектов данных и соотносить их с принимаемыми мерами.
  • Обучать работников оператора требованиям законодательства о защите данных.
  • Уведомить Роскомнадзор о намерении обрабатывать данные, кроме исключений.

Уведомление Роскомнадзору должно содержать информацию о лице, ответственном за обработку персональных данных, и мерах по их защите. Без уведомления оператор может обрабатывать данные:

  • включенных в государственные информационные системы для защиты безопасности государства и общественного порядка;
  • без использования средств автоматизации;
  • в случаях, предусмотренных законодательством о транспортной безопасности.

Уведомление о намерении обрабатывать персональные данные можно направить в Роскомнадзор через портал в бумажном, электронном виде с усиленной квалифицированной электронной подписью или через ЕСИА.

Оператор обязан уведомить Роскомнадзор о любых изменениях в обработке персональных данных не позднее 15 числа месяца, следующего за месяцем изменений, а о прекращении обработки — в течение 10 рабочих дней. При некорректной подаче уведомления или изменении сведений нужно подать новое заявление. При несоответствии уведомления закону, Роскомнадзор может направить письмо с требованием исправить данные в течение 10 рабочих дней.

С 30 мая вводится административная ответственность за невыполнение или несвоевременное уведомление Роскомнадзора о намерении обрабатывать персональные данные. Нарушение влечет штрафы:

  • для граждан — от 5000 до 10 000 руб.;
  • для должностных лиц — от 30 000 до 50 000 руб.;
  • для юридических лиц — от 100 000 до 300 000 руб.

Сервисы для автоматического удаления персональных данных

Персональные данные должны хранить только, чтобы их обработать и уничтожать в течение 30 дней после этого. При технической невозможности уничтожения закон разрешает блокировать информацию на полгода.

Для автоматического удаления персональных данных можно использовать платформы:

  • Битрикс24 — предоставляет возможность управления ПД сотрудников, включая функции для удаления и редактирования этой информации. Администраторы могут легко удалять учетные записи пользователей и связанные с ними данные в соответствии с требованиями законодательства о защите данных. Система также предлагает инструменты для контроля доступа и обеспечения конфиденциальности информации.
  • В решениях 1С предусмотрены механизмы для удаления ПД сотрудников, что позволяет организациям соблюдать требования законодательства о защите личной информации. Пользователи могут удалять данные из систем учета, а также настраивать автоматические процедуры для обеспечения своевременного удаления информации.
  • PrivacyLine специально разработан для управления ПД и предлагает мощные инструменты для их удаления в соответствии с нормами закона. Платформа позволяет пользователям легко инициировать процессы удаления данных и отслеживать их выполнение.

Учебные материалы от «Школы Клерка»

  1. Мы провели первый вебинар «Работа с персональными данными с 30 мая 2025 года: регистрация в Роскомнадзоре, cookie и новые штрафы». На прямой эфир пришло больше 1 000 бухгалтеров, чтобы узнать, как подать уведомление в Роскомнадзор и работать по новым требованиям. Запись вебинара доступна в подписке «Клерк.Премиум»
  2. 30 мая в 11:00 еще раз проведем вебинар Главные вопросы по персональным данным: как не попасть под штрафы и заполнять уведомления и еще раз покажем как построчно заполнять уведомление и ответим на вопросы.
  3. Также мы создали онлайн-курс «Новые правила по защите персданных - 2025», на котором объясним как безопасно работать с персданными, кто должен подавать уведомления в РКН, как из заполнять, а также как отвечать на требования Роскомнадзора. Дадим готовые шаблоны и примеры документов, которые помогут не налететь на гигантские штрафы Роскомнадзора.

Все важные статьи про уведомление в Роскомнадзор и новые правила с 30 мая

  1. Уведомление в Роскомнадзор: кто и зачем обязан подавать
  2. Как правильно заполнить уведомление об обработке персональных данных (образец заполнения)
  3. Кто должен подавать уведомление в Роскомнадзор в 2025 году: вопросы и ответы
  4. Уведомление в Роскомнадзор в 2025 году: топ-10 вопросов и ответов
  5. Кто относится к операторам персональных данных, как заполнить цели обработки в уведомлении для РКН и другие вопросы по 152-ФЗ
  6. Что меняется в работе с персданными с 30 мая 2025 года: новые требования и штрафы Роскомнадзора