Изменения закона о персональных данных в 2025 году

Персональные данные это любая информация, прямо или косвенно относящаяся к какому-либо человеку: так это понятие раскрывает статья 3 Федерального закона № 152-ФЗ «О персональных данных» от 27 июля 2006.

Персональными данными в том числе признаются:

• • фамилия, имя, отчество;
  • дата рождения;
  • пол;
  • номера, даты выдачи и другие данные документов (паспорт, полис, СНИЛС, ИНН и так далее);
  • гражданство;
  • место проживания/пребывания;
  • телефон;
  • e-mail;
  • биометрия;
  • место обучения, данные диплома;
  • информация о здоровье (результаты анализов, посещения специалистов и так далее);
  • семейное положение;
  • место работы, размер заработной платы, должность, опыт работы;
  • банковские реквизиты (номер карты, расчётный счёт и так далее).

Чем больше такой информации собирают об одном человеке, тем она ценнее. Должность человека может ни о чём не сказать — но в совокупности с местом работы и размером дохода она даст информацию о достатке. Эту информацию можно использовать как в рекламных целях, так и в мошеннических.

Персональные данные охраняют, чтобы усложнить жизнь злоумышленникам и нечистоплотным продавцам. Чем сильнее защищены данные, тем труднее выбрать цель или выдать себя за другого человека.

Государство стремится максимально защитить персональные данные граждан, поэтому в 2025 вступили в силу поправки к закону № 152-ФЗ. Разберёмся, чего они коснутся.

Обновилась форма согласия на размещение и обработку персональных данных в Единой биометрической системе. Её утвердили в распоряжении Правительства № 856-р от 09.04.2024. Действует она с 1 января 2025 года.

Актуальная форма согласия должна включать:

• • сведения о субъекте персональных данных;
  • информацию об операторе Единой биометрической системы;
  • информацию об организации, размещающей информацию в Единой биометрической системе;
  • информацию о компаниях, которым поручена обработка персональных данных;
  • дату и подпись субъекта, передающего данные для обработки.

С 1 сентября 2025 года операторы будут обязаны по запросу регулятора передавать в обезличенном виде массивы персональных данных. Это регулирует закон от 8 августа 2024 года № 233-ФЗ. Чтобы выполнить это требование, операторы должны передать данные в ГИС (обязательное требование Минцифры). Не подлежат передаче биометрия и информация о состоянии здоровья человека. Субъекты персональных данных, чьи обезличенные изображения лица и записи голоса подлежат обработке в региональной информационной системе, будут вправе заявить возражения против передачи его персональных данных. Заявить такое возражение можно будет в течение 30 дней до передачи данных.

Ужесточаются санкции за утечку персональных данных. Установлены следующие штрафы:

• • за нарушение конфиденциальности данных 1–10 тыс. субъектов (или 10–100 тысяч их идентификаторов) физлицо заплатит штраф от 100 до 200 тыс. рублей, должностное лицо — от 200 до 400 тыс. рублей, юридическое лицо — до 5 млн рублей;
  • если допущена утечка данных более 100 тыс. субъектов (или от 1 млн идентификаторов), штраф составит до 400 тыс рублей для физлица, до 600 тыс. рублей — для должностного лица и до 15 млн рублей — для компаний;
  • повторная утечка данных грозит штрафом до 600 тыс. рублей для физлиц, до 1,2 млн рублей для должностных лиц или составит 1-3% от выручки за предыдущий год для компаний.

Основание — федеральный закон №420-ФЗ от 30.11.2024.

Недобросовестное отношение к персональным данным и намеренное злоупотребление ими будут наказывать строже:

• • за распространение персональных данных и получение доступа к ним незаконным путём грозит лишение свободы до 4 лет и до 5 лет, если злоумышленник завладел персональной информацией несовершеннолетнего;
  • если преступные действия привели к тяжёлым последствиям или совершались организованной группой лиц по предварительному сговору, виновному грозит до 10 лет лишения свободы и штраф до 3 млн рублей.

Основание — закон № 421-ФЗ от 30.11.2024.

С 30 мая 2025 года для обработки персональных данных нужно обязательно подать уведомление о намерении осуществлять обработку персональных данных и быть включенным в реестр операторов персональных данных.

Как обрабатывать персональные данные самозанятых

С которыми сотрудничает ваш бизнес

Читать статью

Ужесточённые наказания уже вступили в силу. С 30 мая 2025 года начали действовать поправки к Федеральному закону №152-ФЗ «О персональных данных». Последствия для бизнеса мы уже описали выше.

Штраф могут получить не только мошенники и злоумышленники, использующие персональные данные в преступных целях, но и компании, собирающие данные для информационных или рекламных рассылок и не оформляющие должным образом согласие клиентов.

Выполните формальности. Чтобы не нарушить закон, регулирующий обработку данных, вам нужно:

• • Подать в Роскомнадзор уведомление о намерении обрабатывать персональные данные. Его можно отправить на бумаге, электронно на сайте Роскомнадзора, либо подать через Госуслуги.
  • Применить средства защиты информации для защиты собранных данных, чтобы злоумышленникам было сложнее нарушить их конфиденциальность.
  • Провести инструктаж сотрудников, работающих с персональными данными (бухгалтерия, отдел кадров, менеджер по работе с клиентами и так далее).
  • Перенести персональную информацию на российские сервера, если она до сих пор хранилась на иностранных.

Подготовьте персонал, обрабатывающий персональные данные. Помимо увеличения штрафов за утечку и сбор персональных данных без согласия субъекта, вырастут также штрафы за утечки биометрии.

Расскажите сотрудникам о новых штрафах. Физические лица, допустившие утечку биометрических данных, заплатят до 500 тыс. рублей, а юридические — до 20 млн рублей.

Подготовьте сайт. Если сайт собирает поведенческую статистику пользователей или содержит формы обратной связи, то вы уже участвуете в сборе персональной информации пользователей. Хотя куки и не упоминаются напрямую в законе, Роскомнадзор на практике всё же признаёт эти файлы способом сбора персональной информации.

Что важно сделать:

• • Актуализировать форму политики обработки персональных данных.
  • В каждой форме оставить поле, в котором пользователь отмечает факт согласия с политикой обработки персданных. Проследите, чтобы поля не были заполнены по умолчанию — ставить отметку должен сам пользователь.
  • Разместить ссылку на политику на сайте. Обычно её добавляют в самый нижний раздел — футер.
  • Настроить уведомление посетителей сайта о сборе информации в cookie.
  • Убедиться, что вы не передаёте собранные данные на сервера за пределами РФ.
  • Внести себя в реестр операторов персональных данных Роскомнадзора.

Изменения в законе о персональных данных начали действовать в мае 2025. Увеличился штраф за нарушение требований по сбору, способам обработки и хранению информации, позволяющей идентифицировать субъекта.

Если ваш бизнес предполагает сбор информации о клиентах, отнеситесь к этому максимально серьёзно. Нарушение принятых изменений в законе 152-ФЗ может обернуться крупными штрафами, до 5 млн рублей для физических лиц и до 20 млн рублей — для организаций. В исключительных случаях нарушителю может грозить лишение свободы на срок до 10 лет.

Штраф можно получить, не только намеренно собирая и передавая персональные данные с преступными целями, но и просто не соблюдая обновлённый закон. Обязанность оператора персональных данных — направлять уведомления в РКН, предпринимать меры по защите персональных данных и использовать для локализации данных сервера, расположенные на территории России.