Работа с персональными данными в 2025 году: как не «попасть» на миллионные штрафы
С 30 мая компании, которые собирают персональные данные клиентов, должны пройти регистрацию в Роскомнадзоре до начала работы с ними. В противном случае бизнес может понести наказание в виде штрафа до 15 млн руб.
Процедура касается всех, кто как-либо взаимодействует с личной информацией: сохраняет номера телефонов пользователей для рассылок, хранит адреса клиентов для доставки товаров, обрабатывает паспортные данные для выдачи билетов на закрытое мероприятие.
Что изменится с 30 мая 2025 года
Если компания занимается сбором личной информации пользователей, она должна пройти регистрацию в РКН. Это правило работало и раньше: нужно уведомить надзорный орган даже в том случае, если вы работаете с данными клиентов в Excel или сканируете документы клиентов в PDF, чтобы составить договоры — такая работа с данными уже попадает под критерии законодательства.
Важное изменение касается времени уведомления РКН. Раньше заявление можно было подать после начала работы с данными, а теперь уведомить Роскомнадзор нужно до начала работы.
Кроме того, бизнес должен сообщить Роскомнадзору, если меняются данные оператора персональных сведений: например, раньше компания была зарегистрирована на ИП Петрову, но та сменила фамилию и стала ИП Ивановой.
Также сообщить РКН о смене необходимо, если меняется набор обрабатываемых сведений. Допустим, раньше компания обрабатывала ФИО, номера телефонов и электронные почты, а теперь компания хочет собирать и контакты клиентов в Telegram. Перед тем, как начать сбор юзернеймов, нужно сообщить о таком намерении.
Если просрочить обращение в РКН, компанию ждут штрафы: 30-50 тыс рублей для ИП, 100-300 тыс рублей для ООО.
Рассылка: как вести бизнес в России
Раз в неделю присылаем самые важные новости и лайфхаки для развития вашего бизнеса
Что изменится для бизнеса
До начала сбора данных нужно будет подать заявление и получить разрешение на обработку персональных данных в Роскомнадзор. Вырастут взыскания за распространение персональных данных пользователей. При обнаружении утечки, компания должна будет сообщить Роскомнадзору в течение суток.
Пройти регистрацию нужно всем, кто собирает и хранит персональные данные, вне зависимости от величины компании — правило касается и малого, и крупного бизнеса.
Вы подпадаете под действие ФЗ-152, если:
- собираете телефоны и email для рассылок, принимаете заказы онлайн или по телефону;
- ведете клиентскую базу, используете формы обратной связи на сайте, управляете бонусными программами.
Регистрация не нужна, если:
- данные клиентов собираются и используются исключительно в личных целях (например, компания составила справочник сотрудников);
- обработка данных ведется без использования автоматизированных систем. Все данные пользователей вы записываете на бумаге, в большой картотеке).
Обязательно подайте заявление, если бизнес попадает под критерии ФЗ.
Храните данные только на отечественных серверах
Теперь ФЗ-152 требует, чтобы персональные данные хранились исключительно на серверах, расположенных на территории РФ.
Если вы используете зарубежные облачные сервисы (например, Google Drive, Dropbox и т.д.), нужно перенести все данные на отечественные серверы или убедиться, что иностранный сервис соблюдает законодательство РФ.
Например, мы рекомендуем онлайн-школам, зарегистрированным на GetCourse, хранить данные внутри системы: это полностью российский софт, а все сервера расположены на территории РФ.
Санкции за нарушения
Штрафы за нарушение требований значительно вырастут: если вы не прошли регистрацию в Роскомнадзоре — от 300 тыс рублей. Если произошла несанкционированная передача информации — от 3 млн рублей.
Чтобы не платить штраф за несанкционированную передачу информации:
- Зарегистрируйтесь в Роскомнадзоре. Это обязательный шаг для всех компаний. Помните, что регистрацию необходимо пройти до момента начала работы с информацией.
- Ограничьте доступ к данным. Персонал должен иметь доступ только к тем сведениям, с которыми они непосредственно работают. Разграничьте доступы так, чтобы злоумышленники, получив доступ к аккаунтам персонала, могли “слить” как можно меньше информации.
- Защитите аккаунты сотрудников. Сотрудники организации, которые работают с личной информацией пользователей, должны использовать сложные пароли с буквами разных регистров, цифрами и спецсимволами. Доступы к аккаунтам должны получаться только с двухфакторной аутентификацией, а чувствительные данные на дисках должны быть зашифрованы.
- Обучите персонал, чтобы предотвратить несанкционированное распространение информации. В большинстве случаев персональные сведения оказываются в общем доступе потому, что сотрудники не знают о распространённых мошеннических схемах.
Эти шаги с большой вероятностью застрахуют вас от штрафа.
План действий для бизнеса на 2025 год
Проверьте, все ли требования законодательства соблюдены — сделайте это до начала работы с личной информацией.
- Проверьте, где хранятся данные клиентов. Если они находятся за рубежом, перенесите их на отечественные сервера.
- Обеспечьте безопасность данных — установите антивирусы, ограничьте доступ к информации. Установите сложные пароли к корпоративным аккаунтам, настройке двухфакторную аутентификацию. Всё это нужно, чтобы не допустить кражи данных.
- Разработайте политику конфиденциальности. Она должна быть доступна для клиентов на сайте, в договоре и т.д.
- С целью обеспечения безопасности данных, убедитесь, что все сотрудники, работающие с конфиденциальной информацией, имеют право доступа только к тем данным, которые им необходимы.
- Найдите процессы, которые слабо построены с точки зрения охраны конфиденциальной информации, и исключите возможность утечки.
- Сделайте настройку системы уведомлений Роскомнадзора — разработайте алгоритм действий на случай утечки и определите человека, который должен сообщить о случившемся в надзорный орган.
- Подготовьте шаблоны документов заранее.
Не медлите с выполнением этих мер — скоро начнет действовать законодательство, а санкции будут применены без предупреждения.
