Как изменились требования закона 152-ФЗ в 2025 году?

В 2025 году требования федерального закона о персональных данных (ПДн) ФЗ-№ 152 значительно ужесточились. Нарушение правил хранения и передачи данных, отсутствие регистрации в реестре ОПД, возможности отзыва согласия на обработку ПДн теперь наказывается штрафами, суммы которых могут достигать полумиллиарда рублей. За допущенные ошибки также могут лишить права работать с персональными данными и заблокировать сайт компании. Эта статья о том, какие именно изменения вступили в силу в текущем году и как работать с персональными данными, чтобы не попасть в разряд нарушителей.

ФЗ-№ 152 о персональных данных

Разработан с целью защиты персональных данных граждан. Согласно ему запрещается собирать и обрабатывать ПДн без предварительного согласия с владельцем. Отвечать за сохранность переданной информации обязаны операторы данных, которыми являются компании или ИП, их собирающие.

Кроме запрета на использование личных данных пользователя или клиента, ФЗ-№ 152 требует, чтобы компания обеспечила должный уровень защиты информации, а до начала работы с ней уведомляла об этом Роскомнадзор (РКН).

Что считается персональными данными

• ФИО;
• номера телефонов;
• адреса прописки, места жительства, электронной почты, страниц в соцсетях;
• дата рождения;
• IP-адрес;
• паспортные данные;
• СНИЛС и ИНН;
• история заказов в магазине.

Но к ПДн может относиться и другая информация, позволяющая определить человека или его местоположение.

Особенности работы с ПДн

Работать с личными данными можно только при наличии законного основания. Например, человек дал согласие на использование сведений о себе, и это правильно оформлено на сайте. Если же согласие есть, но оно оформлено с нарушениями, то действия с личной информацией будут считаться незаконными.

Правила оформления предполагают, что согласие:

• получено корректно;
• является обоснованным;
• правильно задокументировано (с соблюдением обновлённых требований).

Новые требования касаются повышения прозрачности соглашения. Теперь нельзя ссылаться на публичную оферту или автоматически собирать данные при регистрации. Пользователь должен иметь точное представление о том, какая информация и для чего собирается, а также как она хранится и используется. Компания должна иметь подтверждение в виде документа с текстом, из которого будет ясно, что пользователь информирован об условиях использования личной информации датой, когда получено согласие.

Компания или ИП обязаны уведомлять РКН о начале использования персональных данных. Например, если репетитор собирает у учеников ФИО и номера телефонов, по закону он становится ОПД, а значит, должен проинформировать РКН и сделать это до начала сбора информации. В противном случае его оштрафуют. Если педагог работает как физлицо, то сумма штрафа составит 10 000 рублей, если же как ИП, то сумма может достичь 300 тыс. руб.

Также подавать уведомление в РКН надо, если:

• ваш бизнес связан с предоставлением услуг или продажей товаров, при условии, что вы храните информацию о клиентах на сайте компании, а также печатаете платёжные поручительства;
• вы нанимаете работников, а значит, собираете их данные.

Во втором случае уведомление подаётся один раз при найме первого сотрудника.

Однако, если вы храните информацию о клиентах, бухгалтерские отчёты и сведения о нанятых работниках не на компьютере, а в бумажном формате, в РКН обращаться не надо.

Новая форма согласия на обработку данных с 2025 года

С 01.03.25 вступила в силу обновлённая форма согласия, разработанная и утвержденная РКН. Теперь она имеет чёткую структуру и пункты, не допускающие свободной трактовки. Это означает, что применявшиеся ранее шаблонные формы соглашений больше не работают. Требования по ФЗ-152 к сайту в отношении заполнения формы соглашения расширились:

1. Полное имя оператора, работающего с данными.
2. Цель сбора информации (подписка, доставка, торговля).
3. Перечень ПДн, которые предполагается использовать.
4. Способы обработки.
5. Пункт, подтверждающей право пользователя на отзыв согласия, а также способ, как это можно сделать.
6. Способы получения согласия и дата.

Кроме этого, согласие должно подтверждаться подписью:

• обычной для оффлайн документов;
• электронной для оналайн документов.

Дополнительно владелец сайта должен позаботиться о доказательствах того, что человек ознакомился со всеми положениями сбора информации. Для этого надо зафиксировать:

• лог времени;
• ID пользователя;
• IP-адрес.

По новым правилам соглашение должно быть оформлено в виде отдельного документа, а его форма размещаться на сайте в виде обособленного блока так, чтобы его нельзя было не заметить или пропустить при отправке данных.

Нарушениями будут считаться:

• сокрытие текста соглашения;
• автозаполнение согласия на сбор информации (заранее установленная галочка в окошке);
• невозможность прочитать текст (т. е. документ есть, но он не открывается);
• отсутствие любого из обязательных пунктов для заполнения формы.

Любое их этих нарушений по новым правилам делает сбор данных незаконными со всеми вытекающими последствиями. Чтобы избежать штрафов и иных санкций, необходимо произвести ИСПДн в соответствие с обновлёнными требованиями ФЗ-152 (если это до сих пор не сделано).

Увеличение штрафов

По новым правилам ужесточились не только сами штрафные санкции, но также расширился перечень причин, по которым Роскомнадзор может их выставить. Теперь наказывать будут за формальный подход, ошибки, халатность.

Отсутствие уведомления в Роскомнадзор о начале обработки ПДн наказывается штрафом в сумме (руб.):

• 5 000–10 000 – для физических лиц;
• 30 000–50 000 – для ответственных лиц;
• 100 тыс. – 300 тыс. – для ИП;
• 300 тыс. – 500 тыс. – для юрлиц.

Теперь юридические лица и ИП несут ответственность за утечку информации, а также нарушения в процессе её хранения или обработки.

За первое нарушение юрлицу выставят штраф от 60 до 150 тыс. рублей. При повторном нарушении сумма составит от 300 до 500 тыс. рублей. Если нарушения стали причиной утечки данных, владельца сайта оштрафуют на 1 млн рублей. Индивидуального предпринимателя за те же правонарушения могут оштрафовать на сумму от 10 до 100 тыс. руб.

Другие виды санкций

Штрафы – это не единственная мера наказания, которую может применить Роскомнадзор за нарушения, выявленные в ходе аудита на соответствие новым требованиям ФЗ-№ 152.

РКН получил право инициировать внеплановые проверки не только в случаях, когда поступила жалоба. Внедрение автоматизированных систем мониторинга позволяет проверять больше сайтов и выявлять больше нарушений.

За незаконное использование данных, их несанкционированную передачу третьим лицам РКН вправе наложить ограничения на работу сайта, а в особо тяжких случаях привлечь ответственных лиц к уголовной ответственности. Например, хранение документов, содержащих ПДн, без правильно оформленного разрешения может повлечь наказание в виде 4 лет лишения свободы, а торговля – до 6 лет.

Запрет на включение согласия в другие документы

Это стало одним из основных новых требований ФЗ– № 152. В соответствии с ним владелец обязан согласие выкладывать отдельным блоком на странице сайта и обеспечивать его доступность. Запрещается включать его по умолчанию в договоры оферты, анкеты, пользовательские соглашения.

Как подготовиться к работе с ПДн

Независимо от размера бизнеса, его владелец должен быть всегда готов предоставить отчёт об использовании данных других людей:

• на основании чего он их собирает;
• как и где хранит;
• кто отвечает за их сохранность.

Какие документы собрать: чек-лист

При контроле исполнения требований ФЗ-№ 152 инспектору необходимо предоставить:

1. Форму согласия, заполненную в соответствии с новыми требованиями.
2. Политику обработки ПДн.
3. Приказ о назначении ответственного лица.
4. Реестр данных, подлежащих обработке, в котором должны указываться сведения о цели и сроках хранения.
5. Регламент по хранению и уничтожению ПДн.

Как хранить ПДн

Согласно новым требованиям ФЗ-№ 152, персональные данные:

1. Можно хранить столько, сколько требуется для достижения цели, заранее указанной;
2. Должны быть защищены паролями и быть доступными только для сотрудников, имеющих разрешение на работу с ними;
3. Должны быть удалены, если:
   • истёк срок, указанный в согласии;
   • пользователь обратился с такой просьбой.