Работа с персональными данными в 2025 году: как не «попасть» на миллионные штрафы
С 30 мая компании, которые собирают персональные данные клиентов, должны пройти регистрацию в Роскомнадзоре до начала работы с ними. В противном случае бизнес может понести наказание в виде штрафа до 15 млн руб.
Процедура касается всех, кто как‑либо взаимодействует с личной информацией: сохраняет номера телефонов пользователей для рассылок, хранит адреса клиентов для доставки товаров, обрабатывает паспортные данные для выдачи билетов на закрытое мероприятие.
Что изменится с 30 мая 2025 года
Если компания занимается сбором личной информации пользователей, она должна пройти регистрацию в РКН. Это правило работало и раньше: нужно уведомить надзорный орган даже в том случае, если вы работаете с данными клиентов в Excel или сканируете документы клиентов в PDF, чтобы составить договоры — такая работа с данными уже попадает под критерии законодательства.
Важное изменение касается времени уведомления РКН. Раньше заявление можно было подать после начала работы с данными, а теперь уведомить Роскомнадзор нужно до начала работы.
Кроме того, бизнес должен сообщить Роскомнадзору, если меняются данные оператора персональных сведений: например, раньше компания была зарегистрирована на ИП Петрову, но та сменила фамилию и стала ИП Ивановой.
Также сообщить РКН о смене необходимо, если меняется набор обрабатываемых сведений. Допустим, раньше компания обрабатывала ФИО, номера телефонов и электронные почты, а теперь компания хочет собирать и контакты клиентов в Telegram. Перед тем, как начать сбор юзернеймов, нужно сообщить о таком намерении.
Если просрочить обращение в РКН, компанию ждут штрафы: 30‑50 тыс рублей для ИП, 100‑300 тыс рублей для ООО.
Рассылка: как вести бизнес в России
Пять полезных писем пришлем сразу после подписки. В них — бизнес‑идеи, готовые промпты для нейросетей, советы, как выбрать налоговый режим и получать пассивный доход
Что изменится для бизнеса
До начала сбора данных нужно будет подать заявление и получить разрешение на обработку персональных данных в Роскомнадзор. Вырастут взыскания за распространение персональных данных пользователей. При обнаружении утечки, компания должна будет сообщить Роскомнадзору в течение суток.
Пройти регистрацию нужно всем, кто собирает и хранит персональные данные, вне зависимости от величины компании — правило касается и малого, и крупного бизнеса.
Вы подпадаете под действие ФЗ‑152, если:
- собираете телефоны и email для рассылок, принимаете заказы онлайн или по телефону;
- ведете клиентскую базу, используете формы обратной связи на сайте, управляете бонусными программами.
Регистрация не нужна, если:
- данные клиентов собираются и используются исключительно в личных целях (например, компания составила справочник сотрудников);
- обработка данных ведется без использования автоматизированных систем. Все данные пользователей вы записываете на бумаге, в большой картотеке).
Обязательно подайте заявление, если бизнес попадает под критерии ФЗ.
Храните данные только на отечественных серверах
Теперь ФЗ‑152 требует, чтобы персональные данные хранились исключительно на серверах, расположенных на территории РФ.
Если вы используете зарубежные облачные сервисы (например, Google Drive, Dropbox и т.д.), нужно перенести все данные на отечественные серверы или убедиться, что иностранный сервис соблюдает законодательство РФ.
Например, мы рекомендуем онлайн‑школам, зарегистрированным на GetCourse, хранить данные внутри системы: это полностью российский софт, а все сервера расположены на территории РФ.
Санкции за нарушения
Штрафы за нарушение требований значительно вырастут: если вы не прошли регистрацию в Роскомнадзоре — от 300 тыс рублей. Если произошла несанкционированная передача информации — от 3 млн рублей.
Чтобы не платить штраф за несанкционированную передачу информации:
- Зарегистрируйтесь в Роскомнадзоре. Это обязательный шаг для всех компаний. Помните, что регистрацию необходимо пройти до момента начала работы с информацией.
- Ограничьте доступ к данным. Персонал должен иметь доступ только к тем сведениям, с которыми они непосредственно работают. Разграничьте доступы так, чтобы злоумышленники, получив доступ к аккаунтам персонала, могли “слить” как можно меньше информации.
- Защитите аккаунты сотрудников. Сотрудники организации, которые работают с личной информацией пользователей, должны использовать сложные пароли с буквами разных регистров, цифрами и спецсимволами. Доступы к аккаунтам должны получаться только с двухфакторной аутентификацией, а чувствительные данные на дисках должны быть зашифрованы.
- Обучите персонал, чтобы предотвратить несанкционированное распространение информации. В большинстве случаев персональные сведения оказываются в общем доступе потому, что сотрудники не знают о распространённых мошеннических схемах.
Эти шаги с большой вероятностью застрахуют вас от штрафа.
План действий для бизнеса на 2025 год
Проверьте, все ли требования законодательства соблюдены — сделайте это до начала работы с личной информацией.
- Проверьте, где хранятся данные клиентов. Если они находятся за рубежом, перенесите их на отечественные сервера.
- Обеспечьте безопасность данных — установите антивирусы, ограничьте доступ к информации. Установите сложные пароли к корпоративным аккаунтам, настройке двухфакторную аутентификацию. Всё это нужно, чтобы не допустить кражи данных.
- Разработайте политику конфиденциальности. Она должна быть доступна для клиентов на сайте, в договоре и т.д.
- С целью обеспечения безопасности данных, убедитесь, что все сотрудники, работающие с конфиденциальной информацией, имеют право доступа только к тем данным, которые им необходимы.
- Найдите процессы, которые слабо построены с точки зрения охраны конфиденциальной информации, и исключите возможность утечки.
- Сделайте настройку системы уведомлений Роскомнадзора — разработайте алгоритм действий на случай утечки и определите человека, который должен сообщить о случившемся в надзорный орган.
- Подготовьте шаблоны документов заранее.
Не медлите с выполнением этих мер — скоро начнет действовать законодательство, а санкции будут применены без предупреждения.
Спасибо, статья хорошая, но поправьте пожалуйста:
«Если просрочить обращение в РКН, компанию ждут штрафы: 30-50 тыс рублей для ИП, 100-300 тыс рублей для ООО.»
Для ИП штрафы, как для юрлица — это написано в первой жэ ссылке на консультант