Какие изменения в законе об обработке персональных данных учесть

Работа с персональными данными — зона ответственности любой компании. Даже если вы не ведете рассылки и не собираете данные на сайте, у вас точно есть сотрудники, клиенты или контрагенты, данные которых обрабатываются.

С 30 мая 2025 года вступили в силу новые положения законодательства, усиливающие ответственность за нарушение правил обработки персональных данных. При этом ключевые требования не новые — но теперь за их невыполнение можно получить штрафы в десятки, а иногда и в сотни тысяч рублей.

Что считается обработкой персональных данных

Под персональными данными закон понимает любую информацию, прямо или косвенно относящуюся к физическому лицу: ФИО, дата рождения, адрес, номер телефона, e-mail, паспортные данные, СНИЛС, фото, видео, голос, сведения о здоровье, национальности, доходах, IP-адреса, cookie-файлы, геолокация.

Даже если вы просто запрашиваете номер телефона для обратной связи — это уже обработка персональных данных.

Когда нужно подавать уведомление в Роскомнадзор

Если организация обрабатывает персональные данные (включая клиентов, сотрудников, пользователей сайта), она обязана: уведомить Роскомнадзор, включиться в реестр операторов персональных данных, соблюдать установленные законом меры защиты.

Есть исключения, но их немного. Например, если обработка данных ведется только в рамках трудовых отношений, без передачи третьим лицам. Однако в большинстве случаев уведомление — обязательная процедура.

Что должно быть в уведомлении

В уведомлении указываются: цели и основания обработки персональных данных, перечень категорий данных, категории субъектов (сотрудники, клиенты и пр.), сроки и способы обработки, меры по защите информации, сведения о трансграничной передаче (если применимо), лицо, ответственное за организацию обработки.

Роскомнадзор рассматривает уведомление в течение 30 календарных дней. Если в нем допущены ошибки — придет отказ, и данные не попадут в реестр.

Что поменялось с 30 мая 2025 года

Основное изменение — увеличение штрафов. Теперь за нарушение порядка подачи уведомления штраф составляет до 100 000 рублей для юрлица.

Если данные обрабатываются без уведомления — штраф может достигать 500 000 рублей;

При повторном нарушении или обработке чувствительных данных (например, биометрии) — штраф возрастает до 1 млн рублей;

При нарушениях, связанных с трансграничной передачей данных — до 18 млн рублей.

Ответственность может быть как административной, так и дисциплинарной. А в отдельных случаях (например, неправомерный доступ или утечка данных) — вплоть до уголовной.

Как проверить, все ли в порядке

Чтобы не попасть под проверку или штраф, стоит пройтись по короткому чек-листу:

1. Проверить, подано ли уведомление в Роскомнадзор.
2. Убедиться, что оно актуально: если что-то изменилось (категории данных, цели обработки) — уведомление нужно обновить.
3. Назначить ответственного за организацию обработки ПДн.
4. Обновить политику обработки персональных данных — она должна быть доступна на сайте.
5. Проверить формы согласий на сайте, в анкетах и в CRM.
6. Обозначить правила доступа: кто и зачем имеет право обрабатывать персональные данные.

Важно: если уведомление подавалось до 1 сентября 2022 года — его нужно переподать. В старом формате оно больше не считается действующим.

Что делать бизнесу сейчас

Во-первых, провести аудит обработки ПДн внутри компании. Во-вторых, убедиться, что документы и процессы соответствуют текущим требованиям. В третьих, перепроверить уведомление — и подать его заново, если это необходимо. В четвертых, настроить регулярный контроль за изменениями в этой сфере.