Закон «О персональных данных»: как подготовиться к изменениям

С 30 мая 2025 года меняется закон «О персональных данных». В изменениях учли работу интернет-площадок с данными пользователей, а также существенно увеличились штрафы за нарушение правил. Как безопасно подготовиться к изменениям – рассказали в статье.

Основные положения закона о персональных данных

Под персональными данными понимаются любые сведения, связанные с человеком, включая:

• ФИО;

• дата рождения

• контактные данные (телефон, email, адрес)

Даже если вы собираете хоть один из этих пунктов на своём сайте, лендинге, в чат-боте или на любой другой площадке, то вы становитесь оператором персональных данных и обязаны соблюдать закон.

Под обработкой персональных данных понимается любое действие с собранной информацией:

• сбор, хранение, систематизация;

• условия использования и передачи информации третьим лицам;

• обезличивание, удаление или уничтожение сведений.

То есть если вы запрашиваете и получаете номер телефона пользователя и записываете его в блокнот или заносите в CRM-систему, то это считается обработкой данных.

Когда и как уведомлять Роскомнадзор

Перед сбором персональных данных нужно уведомить Роскомнадзор, иными словами, быть в реестре операторов персональных данных. Исключение из правила — организации, которые обрабатывали данные до вступления закона в силу, но при определенных условиях. Они могут уведомить регулятора постфактум. Подробнее об условиях в статье 22 №152-ФЗ

Перед подачей уведомления необходимо подготовить:

• Комплект документов, включая положение об обработке персональных данных и приказы о назначении ответственных лиц.

• Организационные и технические меры безопасности, например, ограничения доступа и установка паролей.

Уведомление подаётся одним из трёх способов:

• Заполнить форму, распечатать и направить в местное отделение Роскомнадзора.
• Заполнить и отправить форму в электронном виде через официальный сайт Роскомнадзора.
• Через портал «Госуслуги» при наличии подтверждённой учетной записи, связанной с организацией.

Скриншот формы с сайта Роскомнадзора

В уведомлении необходимо указать информацию об операторе, целях обработки, методах хранения и защиты данных. После получения заявления регулятор вносит данные в реестр операторов в течение 30 дней.

Обязанности оператора персональных данных

При сборе данных через сайты, формы подписки или рассылки необходимо:

• Получить явное согласие на обработку персональных данных, используя галочки или другие подтверждающие механизмы;

• Обеспечить безопасность персональных данных при передаче и хранении, используя шифрование и защищённые протоколы;

• Не передавать данные третьим лицам без согласия пользователя.

Штрафы и ответственность

Невыполнение требований закона грозит:

• Для должностных лиц – от 10 000 до 75 000 рублей (статья 13.11 КоАП РФ)

• Для юр.лиц – до 1 миллиона рублей (статья 13.11 КоАП РФ)

• Возможными исками от пострадавших пользователей

• Репутационными потерями и снижением доверия клиентов

Необходимые действия и документы, чтобы избежать штрафа

Политика конфиденциальности и политика обработки персональных данных: в чем разница

Сразу стоит сказать, что это два разных документа, хоть они и похожи.

В политике конфиденциальности прописывают какую информацию и с какой целью собирают в компании в целом, а не только на сайте.

В политике обработки персональных данных описываются процессы сбора, хранения, использования и защиты персональных данных.

Для размещения на сайте достаточно разработать Политику обработки персональных данных и разместить ссылку на неё в подвале сайта.

Пример нашего документа

Наш подвал с размещенным документом

Согласие на обработку персональных данных

По закону, оператору данных необходимо получить явное согласие пользователя на обработку данных. Для этого достаточно разместить в каждой форме заявки надпись «Нажимая кнопку, вы даете согласие на обработку персональных данных». Хотя рекомендуется добавить чекбокс с галочкой, чтобы согласие пользователя было явным.

Справа от кнопки размещен текст про согласие с ссылкой на документ

Важно: если вы используете данные для целей, не описанных в документе, нужно разработать дополнительный документ и обязательно поставить чекбокс с не проставленной галочкой и гиперссылкой на новый документ. Например, в Политике обработки данных вы указали, что собираете информацию для обратного звонка, но решили использовать эти данные для своего исследования.

Для надежной защиты персональных данных рекомендуется:

• Запрашивать согласие на обработку персональных данных и хранить подтверждения

• Ограничивать доступ к данным внутри компании по необходимости

• Использовать средства защиты информации: антивирусы, межсетевые экраны, шифрование баз данных

• Проводить регулярные обучения сотрудников по требованиям закона о персональных данных

• Регулярно проверять соблюдения требований.

Чек-лист для самопроверки

– Вы есть в реестре оператора персональных данных или уже подали заявку в Роскомнадзор;

– На сайте на видном месте есть ссылка на документ «Политика обработки персональных данных». Документ актуальный и включает в себя обязательные пункты;

– В каждой форме заявки указано про согласие на обработку персональных данных;

– В каждую подпись про согласие вшита ссылка на документ;

– Пользователь сайта получает уведомление о сборе персональных данных через cookies.