С 30 мая 2025 года поднялись штрафы за неправильную обработку персональных данных. Разбираемся, что изменилось в новой редакции закона о персональных данных 2025 года и как нужно работать с клиентской информацией, чтобы избежать штрафных санкций.
Кого касаются обновления в законе 152 «О персональных данных» 2025 года
Вступившие в силу 30 мая 2025 года обновления закона касаются не только крупного и среднего бизнеса, но и индивидуальных предпринимателей и физических лиц (самозанятых).
Если вы пользуетесь CRM-системой, формой сбора контактов на сайте или в приложении и даже просто завели программу лояльности – все это считается обработкой данных и подпадает под действие нового закона о персональных данных 2025 года. Причем положения законодательства включают не только клиентские данные, но и информацию о соискателях, сотрудниках или просто посетителях вашего офиса.
Какая информация попадает под действие закона о сборе персональных данных 2025 года
Персональные данные в законодательном акте делятся на три категории:
- Обычные: имя и фамилия клиента, его телефонный номер, почта, адрес и т.д. Их разрешено обрабатывать, в случае если получено согласие.
- Специальные: религиозные убеждения, информация, касающаяся здоровья и политических взглядов. Чаще всего их используют в обезличенном формате.
- Биометрические: голос и отпечатки пальцев. Для их использования требуется согласие в письменном виде.
С 30 мая 2025 года следует запрашивать у пользователя разрешение на сбор данных, которые обычно используются в рамках аналитики поведения на сайте или в приложении. Например, клики и длительность просмотра страницы.
Что изменилось в процессе уведомления Роскомнадзора об обработке персональных данных
В сентябре 2022 года изменились правила составления и подачи уведомления об обработке персональных данных в Роскомнадзор. Уведомления с тех пор следует подавать всем, кто работает с клиентской информацией, включая предпринимателей, ИП, адвокатов, нотариусов и физических лиц (самозанятых). С 30 мая 2025 года в 30 раз повысился штраф, который придется платить, если вовремя не проинформировать Роскомнадзор.
Если ваши бизнес-процессы не попадают в исключения, перечисленные выше, следует проинформировать Роскомнадзор. Вот еще несколько случаев, в которых необходимо предоставить уведомление:
- Найм сотрудников
- Хранение клиентских баз
- Использование CRM-систем
- Обработка клиентской информации на вашем сайте или в телеграм-ботах
- При наличии мобильного приложения, в котором вы используете персональные данные пользователей
Уведомление, которое требуется направить в регулирующий орган, включает в себя:
- Перечень обрабатываемой вами информации
- Описание действий, которые вы совершаете с данными
- Период, в который вы храните пользовательскую информацию
- Описание способов, которые применяются для обработки данных
- Дату, когда вы начали работу с данными
- Описание условий, при которых вы работаете с пользовательской информацией
Существует несколько форм, в которых подается уведомление в Роскомнадзор. Выбрать подходящую следует в зависимости от вашей цели.
Примеры правильно написанных заявлений располагаются на сайте Роскомнадзора.
В случае, если вы были зарегистрированы в реестре до 2022 года, рекомендуем направить заявление по обновленном виде.
Следует подготовить внутреннюю документацию бизнеса до того, как будет подано заявление в Роскомнадзор. Содержание локальных актов компании должно совпадать с теми данными, которые вы включаете в заявление. Поэтому первым этапом должна быть подготовка внутренних положений, которые будут включать правила работы с клиентской информацией.
Что изменилось в штрафных санкциях по закону №152-ФЗ
Изменения в законе «О персональных данных» 2025 года коснулись и штрафов.
Если своевременно не подать заявление в Роскомнадзор
Должностные лица могут быть оштрафованы на сумму от 30.000 до 50.000 рублей.
Самый крупный штраф – для юридических лиц. Он составляет от 100.000 до 300.000 рублей.
Если обработка пользовательской информации происходит без согласия
Максимальный штраф составит 300.000 рублей для должностных лиц и до 700.000 рублей для юридических лиц.
Если клиентские данные хранятся некорректно, бизнесу придется заплатить до 6 000 000 рублей.
Какие шаги следует предпринять для корректной работы с персональными данными
Этап 1. Анализ бизнес-процессов, подготовка внутренней документации.
Прежде чем направлять заявление об обработке персональных данных в Роскомнадзор, рекомендуем подготовить внутреннюю документацию бизнеса.
Локальные акты должны содержать данные о том, кто из персонала работает с клиентской информацией и с какими целями они это делают.
На основании этого необходимо подготовить следующие документы:
Этап 2. Определение сотрудника, который отвечает за обработку персональных данных.
На этом этапе утверждается документация, которая была разработана ранее. Также следует определить перечень сотрудников, которые работают с пользовательской информацией, – затем согласовать с ними документацию из предыдущего этапа.
Этап 3. Создание перечня сотрудников, которые работают с клиентскими данными.
Важно установить разграничение доступа к персональным данным разных сотрудников и обеспечить регистрацию всех действий, которые осуществляются с ними.
Этап 4. Подготовка действий по защите клиентских данных.
Мало собирать и хранить данные пользователей по правилам – их еще нужно защищать от утечек. Для этого необходимо хранить данные не больше установленного срока, а также построить модель угроз сохранности персональных данных.
Этап 5. Реализация мер для защиты клиентских данных.
Необходимо обеспечить мониторинг и контроль защиты информации о пользователях. Поэтому создайте регламент доступа к этой информации. Помимо прочего следует разместить в форме сбора контактов на сайте или в мобильном приложении отдельную галочку, нажимая которую пользователи будут выражать разрешение на дальнейшую обработку данных.
Этап 6. Подача или обновление уведомления в Роскомнадзор.
Когда вся документация подготовлена, а бизнес-процессы по работе с клиентской информацией продуманы, можно сообщить в контролирующий орган о начале обработки персональных данных. Направить заявление возможно физически или онлайн через Госуслуги.
Если вы обрабатываете пользовательскую информацию за пределами РФ, то понадобится дополнительное уведомление о трансграничной передаче данных. Это потребуется, например, в случае когда у вас есть сотрудники, проживающие не в России. Образец заявления находится на сайте Роскомнадзора.
Частые ошибки в соблюдении закона о защите персональных данных 2025 года
Ошибка 1
Не предусмотрена возможность прочитать текст разрешения на обработку персональных данных. Расположить документ необходимо так, чтобы клиент мог открыть и прочитать его.
Ошибка 2
Галочка в разрешении на работу с персональными данными заранее проставлена. Чек-бокс должен быть пустым, а галочку ставит пользователь.
Ошибка 3
Текст разрешения на обработку пользовательской информации составлен некорректно. В нем необходимо перечислить данные, которые собираются, и цель их сбора.
Ошибка 4
Применение для работы с клиентскими данными иностранных сервисов, когда клиент не давал на это разрешения. Особенности работы с зарубежными платформами разбираем в следующем разделе.
Особенности использования зарубежных сервисов для работы с данными клиентов
С 1 июля 2025 года в России запрещен первичный трансграничный сбор пользовательской информации. Разбираемся, как это работает на практике.
Сбор контактных данных должен осуществлять на российском сервере. Сбор на зарубежных серверах – запрещен. Поэтому с точки зрения Роскомнадзора собирать данные через бота в Telegram или через иностранный сервис запрещено.
Использование зарубежных сервисов для аналитики, таких как Google Analytics, тоже запрещено.
Также нельзя собирать контактные данные в зарубежных мессенджерах. К примеру, если вы переписываетесь с клиентом в WhatsApp и просите написать контактные данные для оформления заказа – это нарушение федерального закона о персональных данных 2025 года.
