Изменения законодательства о персональных данных: что учесть

Что изменится в законе о персональных данных

Планируемые законодательные изменения окажут серьезное влияние на работу всех операторов ПД. И к ним необходимо подготовиться, т.к. корректировки требуют подготовки — как с правовой, так и технической точек зрения.

Планируется ужесточение требований к оформлению согласий физических лиц на обработку из конфиденциальной информации. В настоящий момент получить согласие можно в любом виде — включив его в текст договора или пользовательское соглашение на сайте организации. В большинстве подобных ситуаций люди даже не ознакамливаются с текстом, что является причиной так называемых «скрытых согласий».

С 1 сентября 2025 года закон будет требовать оформлять согласие только в виде отдельного документа. Вписать его в текст договора или иного документа не получится.

Важное дополнение: те согласия, которые были получены до вступления в силу поправок, переоформлять не нужно! Однако если не прислушиваться к законодательным изменениям после 1 сентября 2025 года и новые согласия оформлять по-старому формату, можно столкнуться с административной ответственностью и штрафом в размере до 700 тысяч рублей.

Содержание согласия на обработку персональных данных

Отразить в документе необходимо следующую информацию:

1. Перечень сведений субъекта ПД: ФИО, адрес, данные паспорта. Либо аналогичный набор информации для представителя физического лица вместе с реквизитами доверенности, которая подтверждает полномочия.
2. Информацию об оператора: наименование, адрес.
3. Отдельным пунктом прописываются цели, ради которых планируется собирать и обрабатывать данные. Не используйте общие формулировки — прописывайте цели ясно и четко.
4. Указать перечень сведений, которые будут собираться.
5. Вписать набор действий, которые будут совершаться с ПД.
6. Метод обрабатывания данных.
7. Срок, в течение которого согласие действует.
8. Порядок отзывы согласия.
9. Подпись субъекта.

Если любой из пунктов, перечисленных выше, будет отсутствовать в документе — он автоматически будет признан недействительным. Что повлечет за собой незаконность сбор и обработку сведений о физических лицах.

К претензиям со стороны РКН также может привести скачивание из Интернета и использование шаблонных согласий, в которых не конкретизируется важная информация. Будьте бдительны!

Передача обезличенных персональных данных в ГИС

С 1.09.25 в ФЗ о персданных также появится новая статья 13.1 (ст. 1 ФЗ 08.08.2024 №233-ФЗ). За операторами ПД закрепится обязанность по передаче обезличенных сведений в ГИС. Минцифры приступит к формированию составов сведений, которые будут группироваться по определенному признаку, но без возможности установить их принадлежность конкретному человеку при последующей обработке. В составы можно будет включить только общие персональные данные — без биометрии и специальных категорий сведений.

На что еще нужно обратить внимание:

1. Минцифры сможет направлять требование о предоставлении обезличенных сведений. При поступлении такого оператор будет обязан произвести действия по обезличиванию информации, согласно требованиям, утвержденным Правительством РФ и ФСБ. Обезличивание ПД некорректным образом вопреки требованиям — нарушение действующего законодательства.
2. ФСБ будут предоставлены расширенные полномочия по контролю соблюдения мер безопасности в области обрабатывания ПД операторами. Теперь служба безопасности будет наделена правом проверки исполнения организационных и техническим мер безопасности ПД в любых информсистемах, включая коммерческие и негосударственные.
3. ФСТЭК также сможет получить контрольные полномочия, но без права знакомиться с персональными данными.
4. Доступ к составам данных и их обработка разрешены только в пределах гос. Информсистемы Минцифры. Под запретом любые действия с данными вне ГИС.
5. Права на работу с персональными данными будут доступны только госорганам, муниципалитетам, внебюджетным фондам и их подведомственным организациям, а также граждан и юридическим лицам страны при условии внесения их в реестр операторов РКН.
6. Соблюдение ряда важных требований: отсутствие иностранного контроля/гражданства у руководителей, недостоверных сведений из ЕГРЮЛ/Федресурса, отсутствие судимостей по «информационным» статьям Уголовного кодекса РФ и т.д.
7. Порядок проверки соответствия будет установлен Правительством РФ.
8. Запрет передачи результатов работы с ПДн иностранцам. Предоставление результатов обработки ПДн иностранным юрлицам, организациям, гражданам запрещено, кроме случаев, прямо предусмотренных российским законодательством.

Для бизнеса это все может обернуться повышением вероятности проведения внеплановых проверочных мероприятий со стороны ФСБ. Выявление любых нарушений = наложение крупных штрафов в миллионы рублей.

Подготовка бизнеса к изменениям: с чего начать

Во избежание проблем надзорными органами и последующих репутационных и финансовых потерь, рекомендуется реализовать ряд мероприятий:

1. Провести внутренний аудит системы взаимодействия с ПД. Выявить возможные нарушения, несоответствие актуальным нормам законодательства, нехватку обязательной документации — и устранить это в кратчайшие сроки.
2. Обновить внутренние нормативные акты и регламенты. Из-за изменений, который наступят с 1 сентября 2025 года, некоторые документы придется видоизменить.
3. Сформировать форму отдельного согласия.
4. Провести актуализацию регламент работы с ПД сотрудников, клиентов, контрагентов.
5. Провести обучение новым правилам сотрудникам, которые имеют доступ к ПД или ответственны за реализацию тех или иных операций с ними.
6. Направить в РКН уведомление об обработке сведений, если это еще не было сделано.
7. Осуществить проверку — можно ли по обезличенным сведениям в вашей информационной системе идентифицировать конкретное физическое лицо. Если это возможно, необходимо изменить алгоритмы обезличивания.

Операторы должны держать руку на пульсе и на регулярной основе осуществлять технические и правовой аудиты. Делать это рекомендуется при помощи опытных юристов, которые профилируются на работе с персональными данными и готовы «под ключ» выстроить систему работы с ПД в вашем бизнесе.