Рубрики

Сбор персональных данных в 2025 году: как избежать штрафа в 20 миллионов

30 мая вступили в силу изменения в закон о работе с персональными данными. Теперь за ошибки при обработке и утечки могут оштрафовать на десятков миллионов рублей. Рассказываем, что изменилось и как не нарушить закон.

Короткая версия

Что меняется в новом законе

Основные изменения — это рост штрафов за нарушения работы с персональными данными:

  • Обработка персональных данных без уведомления РКН — от 100 до 300 тысяч рублей.
  • Сокрытие факта утечки данных более суток — от 1 до 3 миллионов рублей. 
  • Массовая утечка данных от 1000 до 10 000 человек — от 3 до 5 миллионов рублей. Если больше, то 15 миллионов рублей. 
  • Утечка биометрии — от 15 до 20 миллионов рублей.

Важная часть изменений — это уведомление РКН о том, что бизнес собирает персональные данные. Новый закон отменяет все исключения. Поэтому уведомление подают при любом сборе данных:

  • Оформление договоров.
  • Сбор только фамилии, имени и отчества.
  • Обработка данных сотрудников.
  • Оформление разового пропуска.

Если компания берет телефон, чтобы узнать адрес доставки, то это тоже сбор и обработка персональных данных.

Римма Вербицкая, председатель Московской коллегии адвокатов «РИВЕРГРУПП» 

«Новые штрафы затронут все сайты и не только сайты. Оператором персональных данных (ОПД) считается любое лицо — физическое или юридическое, индивидуальный предприниматель или самозанятый, которое обрабатывает персональные данные. Под обработкой понимается любое действие: сбор, хранение, использование, передача и удаление. То есть если вы сохраняете хотя бы контакты клиентов, то уже оператор. 

Чтобы избежать проблем, нужно разработать политику обработки ПД, назначить ответственное лицо за обработку ПД, направить уведомление в РКН до начала обработки ПД». 

Уведомление о сборе персональных данных подают через сайт Роскомнадзора до начала работы с данными.

Что меняется в хранении и обработке персональных данных

Предприниматели должны строже относиться к документам и формам согласия:

  • Политика обработки персональных данных или политика конфиденциальности. Нужно указать цели для сбора данных, сроки хранения и уничтожения, а также электронный адрес, если пользователь хочет отозвать свое согласие. Если бизнес ведет рассылку по SMS, то нельзя вести сбор адресов электронной почты. Добавляйте поле для отдельного согласия на каждую операцию (например, «СМС-рассылка» и «передача партнеру»), указывайте ИНН/ОГРН оператора — это требование РКН с 2025 года. 
  • Согласие на обработку персональных данных. Другой документ, чтобы пользователь соглашался на отправку своих данных. 
  • Галочки (чекбоксы) согласия. Теперь пользователь должен именно поставить свое согласие на обработку информации, а владельцы сайта не могут прописывать, что какое-то действие приводит к согласию. Нужно писать, что если ставите галочки, то согласны на обработку персональных данных. 
  • Предупреждение об использовании cookies. Это информация о действиях, которые совершает пользователь на сайте.
  • Согласие на получение рекламной рассылки. Нельзя просто так отправлять пользователям рекламные сообщения, а нужно взять согласие. 

Если предприниматели собирают, чтобы хранить в CRM или мессенджерах, то придется оформлять политику согласия и конфиденциальности. При этом нужно внимательнее работать с трансграничной передачей персональных данных.

Сергей Боровинских, основатель компании «Юридический бутик Сергея Боровинских».

«Нужно проверить соответствие сайта требованиям к трансграничной передаче: иностранные сервисы (Google Analytics, CRM) должны быть заменены на российские аналоги, иначе штраф до 18 миллионов рублей. Зарубежные CRM (например, Salesforce, HubSpot) попадают под запрет трансграничной передачи, если данные сначала не обрабатываются в РФ. Альтернатива — российские платформы (1С, Битрикс24). Использование WhatsApp, для сбора персональных данных является нарушением, так как серверы Meta признаны экстремистскими. Штраф до 3% годовой выручки. Google Формы, SurveyMonkey — под запретом как трансграничная передача. Советую использовать российские аналоги (например, «Яндекс Формы»)».

Эксперты также советуют предусмотреть 2 вещи:

  • Подписать договоры с подрядчиками (например, кол-центрами) на соблюдение 152-ФЗ.
  • Шифровать данные в чат-ботах и при передаче в CRM.
  • Проверить с юристами, чтобы все документы соответствовали новым правилам.
  • Назначить ответственных сотрудников, чтобы контролировать соблюдение правил. 

Небо — это удобный сервис для сдачи отчетов в ФНС, ПФР, ФСС и Росстат.

Как РКН ищет нарушения в правилах обработки персональных данных

Изменения в законе вступили в силу с 30 мая 2025 года. Если бизнес не сообщил в РКН о сборе персональных данных, то лучше это сделать. Роскомнадзор проводит автоматическую проверку интернет-ресурсов, а это угроза получить крупный штраф.

Сергей Боровинских, основатель компании «Юридический бутик Сергея Боровинских»

«Автоматизированные алгоритмы сканируют сайты на отсутствие политики конфиденциальности, встроенные сервисы Google/Meta (например, Analytics, шрифты), формы сбора данных без согласия. С 2024 года РКН использует ИИ для массовых проверок — до 1 тыс. сайтов в день. Например, предписание выдается на устранение нарушений за 10 дней. Просрочка = штраф + блокировка сайта».

Коротко для предпринимателя

  • С 30 мая 2025 года вступили в силу изменения в законе о работе с персональными данными. Новые штрафы достигают 20 миллионов рублей.
  • Теперь нужно получать согласие на обработку данных на сайтах, CRM и мессенджерах. Пользователь должен самостоятельно поставить галочку о согласии.
  • Стала строже трансграничная передача персональных данных — лучше использовать российские сервисы CRM и формы сбора информации.

Total
0
Shares
0
0
0
0
0
Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Анонсы новых статей в Telegram или Вконтакте