Новые требования к работе с персональными данными начнут действовать с 1 сентября 2025 года. Они касаются получения согласия на предоставление персональной информации и обезличивания информации. Адвокат Ростовской областной коллегии адвокатов «Советник» Ольга Айгензер рассказала «Деловой газете.Юг», что нужно учесть индивидуальным предпринимателям и компаниям, работающим с персональными данными, чтобы избежать штрафов.
Эксперт напомнила, что в 2025 году произошел ряд изменений в работе с персональными данными. В конце мая начали действовать новые штрафы за утечку данных и отсутствие уведомлений о начале обработки персональных данных. С 1 июля 2025 года вступили в силу поправки в закон «О персональных данных», ужесточившие требования к локализации баз данных. В частности, теперь при использовании оператором баз данных, находящихся за пределами территории РФ, при сборе персональной информации штраф для компании может составить от 1 млн до 6 млн рублей (ч. 8 ст. 13.11 КоАП РФ).
Изменения, которые вступают в силу 1 сентября 2025 года, затронут всех, кто работает с персональными данными,— от микропредприятий до крупного бизнеса.
Первое изменение касается формы согласий на обработку персональных данных. Сегодня достаточно включить его как пункт в договор или пользовательское соглашение. Но практика показывает, что многие пользователи не изучают такие документы внимательно, что ведет к появлению так называемых «скрытых согласий». С 1 сентября 2025 года согласие больше не сможет стать частью договора или иного соглашения.
«Вновь выдаваемые согласия на обработку персональных данных должны быть оформлены в виде отдельного бумажного или электронного документа и содержать всю информацию, предусмотренную законом, — пояснила Ольга Айгензер. — Проставить «галочку» или вставить в договор пункт о том, что, подписывая соглашение, клиент автоматически предоставляет согласие на обработку персональных данных, нельзя. Аналогично и для сайтов: универсальные «галочки» о согласии на все сразу под запретом».
По словам адвоката, нарушение требования может грозить привлечением к административной ответственности. Штрафы, предусмотренные ч. 2 ст. 13.11 КоАП РФ за отсутствие документа, значительные: для граждан — в размере от 10 тыс. до 15 тыс. рублей; для должностных лиц — от 100 тыс. до 300 тыс. рублей; для юридических лиц — от 300 тыс. до 700 тыс. рублей.
Она добавила, что согласие на обработку, полученное по старой форме до 1 сентября 2025 года, останется действительным, переоформлять его не нужно.
Виды согласий
Согласия на обработку персональных данных существуют в двух формах: первая предусматривает строго конфиденциальную работу с информацией без ее дальнейшего разглашения, вторая же включает в себя возможность распространения собранных данных.
Как правило, представители бизнеса предпочитают подписывать именно первую форму соглашения. Такое согласие оператору дает право собирать, хранить, использовать, передавать персональные данные, но только ограниченному числу лиц, предусмотренному законодательством (ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ). При этом запрещено передавать эти данные третьим лицам без конкретного разрешения, особенно в публичный доступ.
Второй вид представляет собой расширенную форму согласия субъекта на обработку личной информации. Его особенность заключается в том, что оно допускает не только работу с персональными данными, но и возможность их публичного распространения среди неопределенного круга лиц, включая размещение в интернете.
Такое разрешение оформляется исключительно отдельным документом, содержащим письменное подтверждение доброй воли на распространение конкретных сведений, позволяющее человеку самостоятельно выбирать, какие именно данные могут стать общедоступными.
Документ необходим в случаях, когда личные данные становятся частью открытых источников информации (например, размещаются на официальном сайте, в социальных сетях, используются в маркетинговых кампаниях, передачах баз контактов клиентам).
Как уточнила Ольга Айгензер, согласие на обработку персональных данных, разрешенных субъектом для распространения,— это не новость для бизнеса, ст. 10.1 закона «О персональных данных» действует 4 года. «Однако из-за ужесточения мер ответственности предпринимателям стоит проверить свои шаблоны документов. Согласие на распространение персональных данных всегда оформляется отдельно от иных согласий на обработку ПД и договоров»,— напомнила адвокат.
Обезличить данные
Также с 1 сентября 2025 года вступают в силу обновленные требования к обезличиванию данных.
Обезличивание — это процесс преобразования персональных данных таким образом, чтобы без использования дополнительной информации стало невозможным идентифицировать их владельца.
Как рассказала Ольга Айгензер, Минцифры РФ получит право запрашивать у компаний и ведомств необходимые данные в обезличенном виде для их загрузки в Единую информационную платформу национальной системы управления данными (ГИС). Включать в передаваемые наборы биометрические или специальные категории данных запрещено.
Процедура обезличивания должна будет выполняться строго по методике, утвержденной Правительством РФ и ФСБ, гарантирующей невозможность идентификации личности. За некорректное обезличивание предусмотрена ответственность.
Ольга Айгензер добавила, что правила и методы обезличивания Роскомнадзор уже разработал. Приказ от 19.06.2025 № 140 начнет действовать с 1 сентября 2025 года.
Помимо Роскомнадзора, контроль соблюдения этих требований будут осуществлять ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК), однако без права доступа к самим исходным персональным данным.
Что учесть бизнесу при работе с персональными данными
Чтобы избежать штрафов, компаниям-операторам персональных данных необходимо предпринять ряд шагов.
- Провести внутренний аудит локальных документов. Если они устарели, привести в соответствие с законом: из договоров и пользовательских соглашений убрать автоматические согласия; разработать и внедрить форму отдельного согласия на обработку персональных данных.
- Проверить, как функционируют программы и алгоритмы обезличивания персональных данных. Они могут понадобиться в случае получения соответствующего требования от Минцифры.
- При необходимости актуализировать Политику обработки персональных данных.
- Разработать отдельное конфиденциальное Положение об обезличивании сведений с обязательным указанием, какой метод обезличивания принимаете, по каким правилам он будет работать, как будете хранить отдельные части массива данных.
- Оценить достаточность методов выполнения процедуры обезличивания.
- Хранить обезличенные сведения отдельно от данных, которым только предстоит эта процедура.
- Чтобы не привлекать внимание проверяющих органов, важно не допускать утечек ПД из баз данных, актуализировать имеющиеся сайты в соответствии с новыми требованиями и состоять в Реестре операторов.