Создать
войти
Возможности
Цены
Интеграции
Внедрение
Поддержка
Получить бесплатно
Вход
Вход
Россия Беларусь Казахстан
Как изменился закон о защите персональных данных
Наталья Хайду
Главный редактор
Профессионально увлекаю через контент. С командой Журнала практически с самого основания. Знаю толк в продукте и заражаю читателей интересом к нему с помощью наших статей.
Какой закон защищает персональные данные Как изменился закон Как правильно работать с данными: чек-лист FAQ Что в итоге

Как изменился закон о защите персональных данных

23.06.2025
Обновлено: 23.06.2025
6 мин
149
Безопасность
23.06.2025
Обновлено: 23.06.2025
6 мин
149

personal_data_protection_preview

За первое полугодие 2024 года в России зарегистрировали почти 1 млрд утечек персональных данных. Страна заняла второе место по количеству утечек в мире. Поэтому закон «О персональных данных» становится строже, а неустойки — выше. С 30 мая 2025 года штрафы за нарушения при работе с личной информацией могут достигать 20 млн рублей.

Чтобы узнать о правилах работы с персональными данными в 2025 году и обезопасить свой бизнес от штрафов — читайте нашу статью.

Какой закон защищает персональные данные

Защита персональных данных в 2025 году регулируется Федеральным законом «О персональных данных». Его основная цель — защитить личную информацию человека.

Он регламентирует, как правильно хранить, передавать и распространять персональные данные. А также определяет права владельца личной информации и обязанности оператора, который их собирает. Закон не перечисляет, что относится к персональным данным, но дает определение.

Персональные данные — это любая информация, которая прямо или косвенно относится к физическому лицу.

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определяет несколько категорий личной информации:

  1. Общедоступная информация. К ней относятся данные, которые попали в открытые источники с согласия человека. Это может быть ФИО, год и место рождения, адрес, номер телефона, профессия. В законе указано, что к открытым источникам относятся, например, справочники и адресные книги.
  2. Специальная информация. В эту категорию включено все, что касается расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обработка этой информации допускается только в том случае, если субъект подписал согласие, если есть угроза жизни и в некоторых других случаях.
  3. Биометрические данные. Они включают в себя все, что характеризует физиологические и биологические особенности человека. Например, отпечатки пальцев, голос, черты лица. Оператор, который обрабатывает персональные данные, не вправе отказать в предоставлении услуги, если человек не хочет передавать свои биометрические данные.
  4. Иная информация. Сюда относится все, что не входит в первые три пункта. Например, фотографии, уровень дохода, социальные сети.

ФЗ «О персональных данных» должны соблюдать все государственные учреждения, юридические лица и самозанятые. Поэтому компаниям и частным лицам важно знать об изменениях в законе о персональных данных в 2025 году.

Как изменился закон

В мае 2025 года закон о персональных данных ужесточился. Значительно увеличились размеры штрафов для физических и юридических лиц, появились новые административные наказания за массовые утечки и отсутствие уведомлений об обработке персональных данных. Изменения коснулись и передачи информации в Роскомнадзор. Разберем подробнее правила работы с личной информацией и основные изменения в обработке персональных данных.

Кто должен проходить регистрацию в РКН

По закону, любой оператор, который обрабатывает персональные данные, должен зарегистрироваться в реестре Роскомнадзора. Размер клиентской базы не имеет значения — закон относится и к самозанятым, и к юридическим лицам. Важно пройти регистрацию, если к вам относится хотя бы один пункт:

  • имеете базу клиентов;
  • собираете данные через сайт;
  • работаете с персональными данными;
  • держите в штате сотрудников.

Согласно изменениям в законе о персональных данных, человек или компания могут получить штраф, если не уведомят Роскомнадзор о том, что собираются работать с личной информацией:

  • для физлиц — от 5 до 10 тысяч рублей;
  • для юрлиц — от 100 до 300 тысяч рублей.

Как подавать уведомление об обработке персональных данных

Чтобы проверить, включена ли ваша компания в реестр Роскомнадзора, можно ввести ИНН фирмы на сайте службы. Если регистрация подтверждена — все в порядке. А если нет, то стоит в ближайшее время подать уведомление. В форме нужно указать название организации, ее адрес, юридические данные, объяснить, какие именно персональные данные вы собираете и для чего. А также указать способы обработки, условия их хранения, оставить контакт ответственного лица и сведения о людях, которые имеют доступ к персональным данным.

Подать заявление можно тремя способами:

  1. В печатном виде. Распечатайте и заполните форму, а потом отнесите ее в ближайшее отделение Роскомнадзора.
  2. Через «Госуслуги». Пройдите авторизацию на сайте и направьте электронное уведомление. Если вы подаете уведомление за организацию, то ваша учетная запись должна быть привязана к этой компании на портале «Госуслуг».
  3. Через сайт Роскомнадзора. На портале потребуется подписать документ электронной подписью. Для этого понадобится плагин КриптоПро ЭЦП Browser plug-in.

Подписывать документы онлайн можно и в вашей компании. Для этого в Битрикс24 есть КЭДО — кадровый электронный документооборот. Все происходит через приложение «Госключ» от Минцифры РФ. Быстро, просто, законно.

Битрикс24 КЭДО
Подписывайте кадровые документы онлайн. Без доплат за каждого сотрудника.
Узнать подробнее

Где можно хранить данные

По закону оператор сам определяет, как хранить собранные персональные данные. Они могут быть как в бумажном, так и в электронном виде. Однако есть важное правило: нужно хранить данные только до тех пор, пока они используются. А после их необходимо уничтожить — например, пропустить бумажные версии через шредер, а электронные данные безвозвратно удалить.

Важно. Персональные данные можно хранить и обрабатывать только на территории РФ. Чтобы передавать информацию за границу, нужно запросить разрешение от Роскомнадзора в той же форме, которая заполняется в начале работы с персональными данными.

Закон о персональных данных за май 2025 года ужесточил ответственность за нарушение в обработке личной информации. Штрафы за утечку данных теперь составляют:

  • для физлиц — от 100 до 200 тысяч рублей;
  • для должностных лиц — от 200 до 400 тысяч рублей;
  • для юрлиц — от 3 до 5 млн рублей.

За повторные нарушения назначают штрафы в размере 3% от дохода компании. Они будут составлять не менее 20 и не более 500 млн рублей.

Какие есть новые штрафы

После изменений в законе о персональных данных в 2025 году увеличился размер штрафов за нарушения. Вот основные нововведения:

Штрафы за неуведомление Роскомнадзора о том, что вы собираетесь обрабатывать персональные данные:

  • для физлиц — от 5 до 10 тысяч рублей;
  • для должностных лиц — от 30 до 50 тысяч рублей;
  • для юрлиц — от 100 до 300 тысяч рублей.

Штрафы за неуведомление Роскомнадзора об утечке персональных данных:

  • для физлиц — от 50 до 100 тысяч рублей;
  • для должностных лиц — от 400 до 800 тысяч рублей;
  • для юрлиц — от 1 до 3 млн рублей.

Штрафы за утечку персональных данных от одной до десяти тысяч субъектов персональных данных и (или) от 10 до 100 тысяч идентификаторов — отличительных характеристик людей:

  • для физлиц — от 100 до 200 тысяч рублей;
  • для должностных лиц — от 200 до 400 тысяч рублей;
  • для юрлиц — от 3 до 5 млн рублей.

Штрафы за утечку персональных данных от 10 до 100 тысяч субъектов персональных данных и (или) от 100 тысяч до 1 млн идентификаторов:

  • для физлиц — от 200 до 300 тысяч рублей;
  • для должностных лиц — от 300 до 500 тысяч рублей;
  • для юрлиц — от 5 до 10 млн рублей.

Штрафы за утечку персональных данных от 100 тысяч субъектов персональных данных и (или) более 1 млн идентификаторов:

  • для физлиц — от 300 до 400 тысяч рублей;
  • для должностных лиц — от 400 до 600 тысяч рублей;
  • для юрлиц — от 10 до 15 млн рублей.

Штрафы за неправомерную передачу данных из специальной категории — например, политические, религиозные взгляды, состояние здоровья:

  • для физлиц — от 300 до 400 тысяч рублей;
  • для должностных лиц — от 1 до 1,3 млн рублей;
  • для юридических лиц — от 10 до 15 млн рублей.

Штрафы за неправомерную передачу биометрических данных:

  • для физлиц — от 400 до 500 тысяч рублей;
  • для должностных лиц — от 1,3 до 1,5 млн рублей;
  • для юридических лиц — от 15 до 20 млн рублей.

Напомним, что за новые утечки персональных данных компании могут получить штрафы в размере 3% от годового дохода. Они должны составлять не менее 20 и не более 500 млн рублей. Для всех нарушений из ст. 13.11 КоАП РФ не применяется скидка 50% при ранней оплате штрафа.

Мы подготовили чек-лист о продуктивности, чтобы помочь вам не забывать о важных правилах и успевать сделать все задуманное. Он уже доступен в нашем Telegram-канале.

7 простых шагов к продуктивности
Забирайте чек-лист в нашем Telegram-канале и подписывайтесь.
Подписаться

Как правильно работать с данными: чек-лист

Подготовили для вас небольшой чек-лист, который поможет организовать правильную работу с персональными данными.

  • Определите, какие данные вы собираете. ФИО, телефон, e-mail, паспорт, адрес, IP, фото, голос — это персональные данные. Медицинские данные, биометрия, политические взгляды — это особые категории.
  • Зарегистрируйтесь в Роскомнадзоре. Если вы обрабатываете персональные данные, храните их или передаете за границу — подайте уведомление в Роскомнадзор.
  • Получите от клиентов и работников письменное согласие. Всегда запрашивайте явное согласие пользователя на обработку его персональных данных. Например, в бумажном виде это подпись, в онлайне — галочка под формой. Указывайте цель, срок хранения, способы обработки.
  • Сообщайте, зачем и как вы обрабатываете данные. Разместите на сайте или дайте клиентам и сотрудникам ознакомиться с печатной версией политики конфиденциальности. В ней должна быть информация о целях, виде собираемых данных, о том, кто их обрабатывает и как можно отозвать согласие.
  • Не передавайте данные третьим лицам без согласия. Если хотите передать персональные данные, например, в сторонние CRM, кол-центр или маркетинговое агентство — получите согласие пользователя и подпишите договор с подрядчиком.
  • Храните данные безопасно. Используйте пароли, шифрование, ограничение доступа. А бумажные версии поместите в сейфы. Не храните дольше, чем нужно.
  • Сообщайте о нарушениях. При утечке персональных данных вы должны уведомить об этом Роскомнадзор в течение 24 часов. Определите, чьи данные пострадали, и проинформируйте этих клиентов.

FAQ

Можно ли хранить персональные данные в облаке?

Да, персональные данные можно хранить в облаке, но только при соблюдении определенных требований закона.

Хранить персональные данные можно только на серверах, которые расположены на территории России. Это означает, что облачный провайдер, которым вы пользуетесь, должен иметь дата-центры в РФ. Облачное хранилище Битрикс24 подходит под это правило.

Кроме того, если вы передаете персональные данные облачному провайдеру, обязательно нужно заключить с ним договор обработки персональных данных по поручению. В договоре пропишите цели обработки, список передаваемых данных и меры, которые провайдер обязан принимать для защиты информации.

Важно также убедиться, что провайдер соблюдает требования по информационной безопасности. Для этого он должен иметь соответствующие сертификаты от ФСТЭК и ФСБ, особенно если вы обрабатываете чувствительные категории данных. На своей стороне вы тоже должны обеспечить безопасность: ограничить доступ к данным, включить двухфакторную аутентификацию и шифрование, регулярно делать резервные копии.

Что должно быть в соглашении о персональных данных на сайте?

Соглашение о персональных данных, или политика конфиденциальности, — это обязательный документ, который размещается на сайте, если вы собираете данные пользователей.

Вот что обязательно должно быть в таком документе:

  1. Полное наименование оператора. Укажите название вашей компании или ИП, ИНН, адрес, контакты.
  2. Какие данные вы собираете. Опишите все, что запрашиваете у пользователя. Например, имя, телефон, e-mail, IP-адрес, cookie, а также любые другие данные, которые может оставлять пользователь.
  3. Цели обработки данных. Например, для связи с клиентом, выполнения заказа, рассылки новостей, аналитики посещаемости сайта.
  4. Правовые основания обработки. Обычно — согласие пользователя. Укажите, что пользователь добровольно предоставляет данные, когда ставит галочку под формой.
  5. Порядок обработки и хранения. Где хранятся данные, кто имеет к ним доступ, срок хранения (например, «в течение трех лет»), меры защиты.
  6. Порядок передачи третьим лицам. Укажите, передаются ли данные кому-то еще: CRM-системам, службам доставки, маркетинговым подрядчикам. Обязательно укажите, что это происходит только по договору и с соблюдением закона.
  7. Права пользователя. Пользователь имеет право запросить, какие данные о нем хранятся, изменить или удалить свои данные, отозвать согласие на обработку.
  8. Порядок отзыва согласия. Опишите, как пользователь может отозвать свое согласие. Например, он может написать на почту.
  9. Дата вступления в силу и изменения политики. Укажите, с какой даты политика действует и как вы будете уведомлять об изменениях, будете ли запрашивать обновление персональных данных.

Что в итоге

  • С 30 мая 2025 года усилилась административная ответственность за утечку персональных данных. Штрафы могут достигать 20 млн рублей.
  • Все, кто обрабатывает персональные данные (включая ИП и самозанятых), обязаны подать уведомление в Роскомнадзор.
  • Данные должны храниться в России, а передача за границу возможна только с разрешения Роскомнадзора.
  • Необходимо иметь политику конфиденциальности на сайте и получать согласия пользователей на обработку информации о них.
  • Роскомнадзор следит за обработкой персональных данных по закону 2025 года и проверяет не только крупные компании, но и малый бизнес.

Увеличьте продажи и наведите порядок в задачах с Битрикс24
Получить бесплатно
Наталья Хайду
Главный редактор
149
Рекомендуем
tg-icon-jackdaw
Telegram-канал
Битрикс24
для Бизнеса
Прокачанный хаб знаний
для предпринимателей
и руководителей
Подписаться
Как защитить компанию и работать спокойно: гайд по безопасности в Битрикс24
CRM Безопасность
4 февраля 2025
5 мин
Как защитить компанию и работать спокойно: гайд по безопасности в Битрикс24
Что такое кибербуллинг и как с ним бороться
Совместная работа HR Безопасность
15 ноября 2024
8 мин
Что такое кибербуллинг и как с ним бороться
Файлы в облаке: как безопасно хранить данные компании
Автоматизация Безопасность
7 мая 2024
7 мин
Файлы в облаке: как безопасно хранить данные компании
Показать еще
Возможности
CRM
Мессенджер
CoPilot
Совместная работа
Задачи и проекты
Сайты
Магазины
Помощь
Вопросы и ответы
Обучение
Вебинары
Задать вопрос
Отзывы
Журнал
CRM
Продажи
Маркетинг
Нейросети
Автоматизация
Совместная работа
Все статьи
Внедрение
Заказать внедрение
Партнеры
Стать партнером
Битрикс24 для энтерпрайз
Мероприятия партнеров
Цены и тарифы
Сколько стоит?
Коробочная версия
Приложения
Мобильное приложение
Приложение для Windows и Mac
Битрикс24 Маркетплейс
Разработчикам приложений
© 2001-2025 «Битрикс», «1С-Битрикс». Работает на «1С-Битрикс: Управление сайтом» 16+
Настройка cookie-файлов

Подробнее в Политике ООО «1С-Битрикс» в отношении cookie-файлов

Мы используем cookie. Они помогают нам понять, как вы взаимодействуете с сайтом. Изменить настройки
ОК