Изменения в работе с персональными данными в 2025 году

С 30 мая 2025 года вступили в силу обновленные требования к работе с персональными данными. Они касаются всех операторов, которые обрабатывают данные клиентов, пользователей, сотрудников и других лиц. Штрафы и санкции многократно ужесточили, также появилась новое наказание – за неподачу уведомлений о сборе и обработке персданных (или подачу некорректных сведений) в Роскомнадзор.

УВЕРЕНЫ, ЧТО ПРАВИЛЬНО РАБОТАЕТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ?
Роскомнадзор проверяет, проводит ли компания аудит и внутренний контроль соответствия обработки персональных данных ФЗ № 152. Чтобы подготовиться к проверке и доказать, что компания выполняет требования закона, нужно выявить потенциальные риски. В этом поможет аудит персональных данных

Актуальные изменения с 30.05.2025

По степени получения и использования с учетом имеющихся изменений персданные можно условно разделить на две группы:

  1. персданные работников организации или ИП;
  2. персданные человека, полученные в ходе выполнения работ (оказания услуг).
Начнем с самого понятного вида обработки персональных данных – данные, полученные в ходе выполнения работ (оказания услуг).

Всем, кто оказывает услуги (выполняет работы) для физических лиц, в том числе по разовым сделкам – необходимо или заключать договор, в который включать раздел об обработке персональных данных, либо получать письменное согласие на обработку персональных данных.

ОБРАТИТЕ ВНИМАНИЕ!

С 01.01.2025 необходимо применять единую для всех форму получения согласия на обработку персональных данных. Она утверждена Распоряжением Правительства от 09.04.2024 № 856-р. Формы согласий опубликованы на сайте Роскомнадзора

Что касается обработки персональных данных работников, то согласие на обработку их данных нужно включить или в текст трудового договора (отдельным разделом или дополнительным соглашением к нему). Или оформить как самостоятельный отдельный документ.

ВАЖНО

Помните, что в случае возникновения спора обязанность доказать получение согласия работника на обработку его персональных возлагается на работодателя (ч. 3 ст. 9 Закона о персональных данных)

По мнению Роскомнадзора, получать согласие на обработку персональных данных нужно не только у работника, но и у соискателя. Такое согласие не требуется, если от имени соискателя действует кадровое агентство, с которым он заключил соответствующий договор (п. 5 Разъяснений Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»).

Получать отдельное согласие на обработку в случаях, указанных в ст. 6 Закона о персональных данных, не нужно. Например, в целях исполнения судебного акта, документа об исполнительном производстве, при передаче сведений в налоговый орган или Социальный фонд РФ, при защите жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

ОБРАТИТЕ ВНИМАНИЕ!

Получение согласия, хоть и важный элемент обработки данных, но далеко не единственный. Важно уведомить Роскомнадзор о начале обработке персональных данных. Такая обязанность возникла у всех организаций, ИП в связи с изменениями в 2022 г., а с 2025 г. — и у физических лиц, непосредственно работающих с персональными данными клиентов или работников

Обязанность уведомлять Роскомнадзор регламентирована ч. 1 ст. 22 Закона о персональных данных. Важно, что уведомление о намерении осуществлять обработку персональных данных нужно подать в ведомство до начала их обработки. Этот можно сделать как электронно, через сайт Роскомнадзора в сети Интернет, так и на бумажном носителе.

Если в представленном ранее уведомлении об обработке персональных данных изменились сведения, необходимо уведомить об этом Роскомнадзор. Для этого не позднее 15-го числа месяца, следующего за месяцем, в котором произошли соответствующие изменения, нужно представить специальное уведомление.

Если до 2025 года на отсутствие уведомления «закрывали глаза», то с 01.06.2025 начнут привлекать к ответственности (изменения в законодательстве с 30.05.2025, которые более подробно рассмотрим в следующем разделе).

Кроме уведомления, согласия субъекта, работодателям необходимо иметь еще такие документы:

  • Положение о защите персональных данных работников (и приказ об его утверждении);
  • Политика обработки персональных данных
  • Приказ о назначении ответственного (ответственных) за обработку персональных данных;
  • Приказ об утверждении перечня лиц, имеющих доступ к персональным данным;
  • Обязательство о неразглашении персональных данных.

Ответственность за нарушение порядка обработки персональных данных с 30.05.2025

Федеральный закон от 30 ноября 2024 г. № 420-ФЗ ужесточил административную ответственность за утечку персональных данных и нарушение других правил их обработки. Изменения вступили в силу с 30.05.2025 и коснулись следующих вопросов.

Повысился размер штрафов, появились новые составы правонарушений

Выросли штрафы за обработку персональных данных в случаях, не предусмотренных законодательством, и за обработку данных, несоответствующих целям их сбора (чч. 1 и 1.1 ст. 13.11 КоАП РФ). Для организаций размер штрафов по общему правилу составляет от 150 000 до  300 000 руб. (ранее 60 000–100 000 руб.), а для ИП и должностных лиц установлен в размере от 50 000 до 100 000 руб. (ранее 10 000–20 000 руб.).

Ряд нарушений в сфере обработки персональных данных выделен в отдельные составы, которые предусматривают более строгие санкции. Так, например, ужесточена ответственность работодателя за утечку персданных, а также за нарушение обязанности по уведомлению РКН о намереннии обрабатывать персданные.
ИНТЕРЕСНЫЕ СТАТЬИ

Персональные данные: какие изменения важно учесть в работе

Подробнее

За неисполнение (ненадлежащее исполнение) обязанности по уведомлению Роскомнадзора предусмотрен штраф в размере 100 000–300 000 руб. для организаций и ИП и 30 000–50 000 руб. для должностных лиц.

По указанной статье к ответственности теперь могут привлечь и физических лиц – граждан (в том числе и самозанятых).

Появилась административная ответственность и за действия (бездействие) оператора, повлекшие утечку персональных данных как минимум тысячи субъектов, включая их неправомерную передачу, предоставление, распространение или возникновение доступа к ним.

Размер штрафа за вышеуказанное  нарушение исчисляется от объема скомпрометированных данных и их характера (за утечку специальных категорий персональных данных и биометрических данных установлена повышенная ответственность).

Отмена «льготного» штрафа

Теперь при привлечении к ответственности по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных) нельзя применять правило о возможности уплаты административного штрафа в половинном размере в течение 20 со дня его наложения — штрафы уплачиваются в полном размере.
НАШИ КЕЙСЫ

Аудит персональных данных спас руководителя от тюрьмы и дисквалификации

Подробнее

Изменена подведомственность дел

До 30.05.2025 независимо от субъектного состава дела об административных правонарушениях рассматривались мировыми судьями. Теперь полномочия по рассмотрению дел об административных правонарушениях по ст. 13.11 КоАП РФ, совершенных юридическими лицами (их должностными лицами и другими работниками), а также ИП, будут рассматриваться арбитражными судами.

Из-за ужесточения ответственности и расширения перечня правонарушений, рекомендуем:

  • проверить наличие уведомления в Роскомнадзоре;
  • проверить наличие согласий на обработку персданных от всех работников и клиентов;
  • при необходимости собрать недостающие согласия; подготовить недостающие документы в области защиты и обработки персональных данных.
Важно успеть сделать это до визита инспектора – так вы сможете соблюсти требования Роскомнадзора по работе с персданными, выявить нарушения в документах раньше визита инспектора и исключить возможные риски. 
ВОПРОС ПО РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ?
Персональный консультант - консалтинговый сервис по трудовому праву - на связи онлайн 24/7: 

  • индивидуально разберем вашу правовую ситуацию, дадим обоснование со ссылками на нормы права и судебную практику и снабдим практическими рекомендациями; 
  • ответим на любые вопросы по персональным данным;
  • срок ответа - от 1 дня до 3 дней (в особо сложных случаях, когда требуется дополнительное время на подготовку ответа);
  • получите консультацию по телефону, электронной почте или в персональном чате с экспертом
Не успеваете исправить ошибки самостоятельно — закажите профессиональный аудит персональных данных у наших опытных экспертов. Проверка занимает всего 3 дня, проходит в дистанционном формате, без визита в ваш офис. По результатам аудита вы получите детальный отчет с экспертной оценкой и рекомендациями по исправлению ошибок. Итоги аудита с рекомендациями презентует руководитель аудита Валентина Митрофанова, управляющий партнер компании, эксперт по трудовому праву.

Скачать Чек-лист нарушений по работе с персональными данными для экспресс-аудита и Обязательные положения согласия на обработку персональных данных

Материал подготовлен экспертами департамента трудового права компании "Митрофанова и партнеры"
Поделиться материалом
Скопировать ссылку
Все статьи
Этот сайт использует файлы cookie для хранения данных. Продолжая использовать сайт, вы даете свое согласие на работу с этими файлами.
Хорошо, принимаю