Top.Mail.Ru

Закон «О персональных данных»: как подготовиться к изменениям

22 мая 2025
12 минут
160
Из этой статьи вы узнаете
1. Основные положения закона о персональных данных
2. Когда и как уведомлять Роскомнадзор
3. Обязанности оператора персональных данных
4. Штрафы и ответственность
5. Необходимые действия и документы, чтобы избежать штрафа
Политика конфиденциальности и политика обработки персональных данных: в чем разница
Согласие на обработку персональных данных
6. Чек-лист для самопроверки

С 30 мая 2025 года меняется закон «О персональных данных». В изменениях учли работу интернет-площадок с данными пользователей, а также существенно увеличились штрафы за нарушение правил. Как безопасно подготовиться к изменениям – рассказали в статье.

Основные положения закона о персональных данных

Под персональными данными понимаются любые сведения, связанные с человеком, включая:

  • ФИО;

  • дата рождения

  • контактные данные (телефон, email, адрес)

Даже если вы собираете хоть один из этих пунктов на своём сайте, лендинге, в чат-боте или на любой другой площадке, то вы становитесь оператором персональных данных и обязаны соблюдать закон.

Под обработкой персональных данных понимается любое действие с собранной информацией:

  • сбор, хранение, систематизация;

  • условия использования и передачи информации третьим лицам;

  • обезличивание, удаление или уничтожение сведений.

То есть если вы запрашиваете и получаете номер телефона пользователя и записываете его в блокнот или заносите в CRM-систему, то это считается обработкой данных.

Когда и как уведомлять Роскомнадзор

Перед сбором персональных данных нужно уведомить Роскомнадзор, иными словами, быть в реестре операторов персональных данных. Исключение из правила — организации, которые обрабатывали данные до вступления закона в силу, но при определенных условиях. Они могут уведомить регулятора постфактум. Подробнее об условиях в статье 22 №152-ФЗ

Перед подачей уведомления необходимо подготовить:

  • Комплект документов, включая положение об обработке персональных данных и приказы о назначении ответственных лиц.

  • Организационные и технические меры безопасности, например, ограничения доступа и установка паролей.

Уведомление подаётся одним из трёх способов:

  • Заполнить форму, распечатать и направить в местное отделение Роскомнадзора.
  • Заполнить и отправить форму в электронном виде через официальный сайт Роскомнадзора.
  • Через портал «Госуслуги» при наличии подтверждённой учетной записи, связанной с организацией.

Скриншот формы с сайта Роскомнадзора

В уведомлении необходимо указать информацию об операторе, целях обработки, методах хранения и защиты данных. После получения заявления регулятор вносит данные в реестр операторов в течение 30 дней.

Обязанности оператора персональных данных

При сборе данных через сайты, формы подписки или рассылки необходимо:

  • Получить явное согласие на обработку персональных данных, используя галочки или другие подтверждающие механизмы;

  • Обеспечить безопасность персональных данных при передаче и хранении, используя шифрование и защищённые протоколы;

  • Не передавать данные третьим лицам без согласия пользователя.

Штрафы и ответственность

Невыполнение требований закона грозит:

  • Для должностных лиц – от 10 000 до 75 000 рублей (статья 13.11 КоАП РФ)

  • Для юр.лиц – до 1 миллиона рублей (статья 13.11 КоАП РФ)

  • Возможными исками от пострадавших пользователей

  • Репутационными потерями и снижением доверия клиентов

Необходимые действия и документы, чтобы избежать штрафа

Политика конфиденциальности и политика обработки персональных данных: в чем разница

Сразу стоит сказать, что это два разных документа, хоть они и похожи.

В политике конфиденциальности прописывают какую информацию и с какой целью собирают в компании в целом, а не только на сайте.

В политике обработки персональных данных описываются процессы сбора, хранения, использования и защиты персональных данных.

Для размещения на сайте достаточно разработать Политику обработки персональных данных и разместить ссылку на неё в подвале сайта.

Пример нашего документа

Наш подвал с размещенным документом

Согласие на обработку персональных данных

По закону, оператору данных необходимо получить явное согласие пользователя на обработку данных. Для этого достаточно разместить в каждой форме заявки надпись «Нажимая кнопку, вы даете согласие на обработку персональных данных». Хотя рекомендуется добавить чекбокс с галочкой, чтобы согласие пользователя было явным.

Справа от кнопки размещен текст про согласие с ссылкой на документ

Важно: если вы используете данные для целей, не описанных в документе, нужно разработать дополнительный документ и обязательно поставить чекбокс с не проставленной галочкой и гиперссылкой на новый документ. Например, в Политике обработки данных вы указали, что собираете информацию для обратного звонка, но решили использовать эти данные для своего исследования.

Для надежной защиты персональных данных рекомендуется:

  • Запрашивать согласие на обработку персональных данных и хранить подтверждения

  • Ограничивать доступ к данным внутри компании по необходимости

  • Использовать средства защиты информации: антивирусы, межсетевые экраны, шифрование баз данных

  • Проводить регулярные обучения сотрудников по требованиям закона о персональных данных

  • Регулярно проверять соблюдения требований.

Чек-лист для самопроверки

– Вы есть в реестре оператора персональных данных или уже подали заявку в Роскомнадзор;

– На сайте на видном месте есть ссылка на документ «Политика обработки персональных данных». Документ актуальный и включает в себя обязательные пункты;

– В каждой форме заявки указано про согласие на обработку персональных данных;

– В каждую подпись про согласие вшита ссылка на документ;

– Пользователь сайта получает уведомление о сборе персональных данных через cookies.

Еще по теме:
Присоединяйтесь к нам
Telegram Vkontakte
Нажмите “ОК”, если вы соглашаетесь с условиями обработки cookie и ваших данных о поведении на сайте, необходимых для аналитики. Запретить обработку cookie можете через браузер
ОК