Как подготовиться к работе с персональными данными в 2025 году: чек-лист для бизнеса

24.06.2025

В 2025 году бизнесу следует полностью пересмотреть подход к работе с персональными данными. Изменения затрагивают всех операторов — от небольших компаний до крупных корпораций. Мы собрали чек-лист и рекомендации по соблюдению требований законодательства, оформлению документов, обеспечению безопасности данных и избежанию штрафов.

Что относится к персональным данным

Согласно 152-ФЗ «О персональных данных» к персональным данным (ПДн) относится любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу.

То есть это такие данные, которые позволяют идентифицировать клиента:

• имя и номер телефона;

• адрес электронной почты;

• никнейм в социальных сетях;

• ФИО в сочетании с адресом регистрации, фактическим местом жительства или местом работы;

• ИНН;

• паспортные данные;

• данные СНИЛС и пр.

Важно: IP-адрес, данные о местоположении, история покупок, файлы cookie — также могут рассматриваться как персональные данные при определенных условиях.

Кто является оператором персональных данных

Любые физические и юридические лица, работающие с персональными данными, считаются операторами персональных данных (ОПД).

Обязанности ОПД

• Получить согласие субъекта на обработку его персональных данных;

• Обеспечить конфиденциальность персональных данных и защиту информации в соответствии с требованиями законодательства;

• Направить уведомление в Роскомнадзор о начале обработки персональных данных — данная процедура проводится один раз при начале осуществления деятельности с их использованием.

Подача заявки на обработку персональных данных

Заявку можно подать тремя способами:

1. Через сайт Госуслуги.

2. В Роскомнадзор ( бумажном виде). После заполнения формы распечатайте и отправьте ее в территориальный орган Роскомнадзора.

3. В Роскомнадзор ( в электронном виде). Данный вариант предусматривает, что у вас уже настроен КриптоПро ЭЦП Browser plug-in.

Новые правила работы с персональными данными

Согласие на обработку данных

С 1 января 2025 года вступила в силу новая утвержденная форма согласия на обработку персональных данных, передаваемых в Единую систему идентификации и аутентификации (ЕСИА) и Единую биометрическую систему (ЕБС).

Соответствующие образцы бумажной и электронной форм согласия закреплены в распоряжении Правительства РФ № 856-р от 09.04.2024.

Теперь банки и другие организации, планирующие передачу данных в ЕСИА и ЕБС, обязаны использовать именно эти утвержденные формы при получении согласия от субъектов персональных данных.

Запрет на включение согласия в другие документы

С 2025 года согласие на обработку персональных данных необходимо оформлять отдельно — это стало обязательным по закону. Его больше нельзя встраивать в пользовательские соглашения, публичные оферты, политики конфиденциальности анкеты или договоры. Даже если человек подписывает документ, где есть фраза о согласии на обработку данных, такое разрешение не будет иметь юридической силы — требуется отдельный документ.

Передача данных в Государственную информационную систему

С 1 сентября 2025 года вступает в силу новое требование: крупные операторы, обрабатывающие персональные данные, обязаны по запросам государства передавать наборы обезличенных данных в специально созданную государственную информационную систему (ГИС). Эта мера установлена Федеральным законом № 233-ФЗ и направлена на развитие использования больших данных в интересах как государства, так и бизнеса.

Передаче подлежат данные, которые не позволяют идентифицировать конкретное лицо — например, агрегированная информация о платежных операциях, перемещениях пользователей, потребительских привычках и других массовых процессах. Конкретные правила пока еще формируются: Правительство РФ совместно с ФСБ определит состав таких данных, периодичность их предоставления, а также способы обезличивания.

Доступ к ГИС получат государственные органы, российские организации и граждане — предположительно, через специализированные сервисы. Однако воспользоваться информацией смогут лишь те, кто соответствует строгим условиям: организация должна быть внесена в реестр операторов персональных данных Роскомнадзора, не находиться под контролем иностранцев, иметь достоверные сведения в ЕГРЮЛ и не причастна к экстремистской или террористической деятельности. Таким образом, доступ будет ограничен проверенными российскими участниками.

Для бизнеса нововведение сулит двойной эффект: с одной стороны, возникает дополнительная административная нагрузка — компании придется формировать и предоставлять массивы данных в соответствии с требованиями регулятора. С другой стороны, появление такой платформы открывает новые возможности для аналитики и исследований, поскольку участники смогут получать доступ к обезличенным данным других компаний, что может стать важным ресурсом для развития технологий и рынка данных.

Изменения, вступившие в силу с 30 мая 2025 года

С 30 мая 2025 года вступают в силу значительные изменения в регулировании обработки персональных данных. Эти нововведения затронут все организации — физических лиц до корпораций. Ключевую роль в их реализации будет играть Роскомнадзор, который получает не только право на проведение проверок, но и доступ к инструментам автоматизированного надзора.

Сбор и хранение лишних данных

Одним из ключевых направлений нового подхода стало усиление контроля за избыточностью сбора и хранения персональных данных. Теперь оператор обязан собирать только те данные, которые прямо необходимы для достижения заявленной цели.

Например, при регистрации в интернет-магазине владелец магазина не имеет права запрашивать избыточную информацию (данные СНИЛС, ИНН и пр.) без объективного обоснования.

Если такие данные не защищены должным образом, это может повлечь административную ответственность по обновленной статье 13.11 КоАП РФ. Для организаций штраф составит от 100 000 до 300 000 рублей.

Особые требования к биометрическим данным

В новой редакции законодательства особое внимание уделено защите биометрической информации. Ее обработка возможна только при наличии отдельного, четко выраженного согласия субъекта. Например, если на сайте используется система распознавания лиц или голосовых команд, это должно быть прямо указано:

• в тексте согласия,

• в политике обработки персональных данных.

Кроме того, нельзя хранить персональные данные дольше, чем это необходимо. Например, резюме соискателей, которые не были приняты на работу, должны удаляться в установленный срок. Хранение без конкретных временных рамок считается нарушением — особенно если такая база недостаточно защищена и подвержена риску утечки.

Штрафы за нарушения

С 30 мая 2025 года значительно увеличены штрафы за непредставление уведомления о начале обработки персональных данных:

• Физические лица: 5 000 – 10 000 руб.

• Должностные лица: 30 000 – 50 000 руб.

• Юридические лица: 100 000 – 300 000 руб.

Непредставление уведомления об утечке персональных данных:

• Физлица: 50 000 – 100 000 руб.

• Должностные лица: 400 000 – 800 000 руб.

• Юридические лица: 1 – 3 млн руб.

Обработка персональных данных в случаях, несовместимая с целями сбора ПДн:

• от 10 000 до 15 000 руб. — для физических лиц;

• от 50 000 до 100 000 руб. — для должностных лиц компаний;

• от 150 000 до 300 000 руб. — для юридических лиц.

Повторная обработка персональных данных в случаях, несовместимая с целями сбора ПДн:

• от 15 000 до 30 000 руб. — для физических лиц;

• от 100 000 до 200 000 руб. — для должностных лиц компаний;

• от 300 000 до 500 000 руб. — для юридических лиц.

Неправомерная передача ПДн, если передача не содержит признаков уголовно наказуемого деяния:

	Передача от 1 тыс. до 10 тыс. субъектов ПДн	Передача от 10 тыс. до 100 тыс. субъектов ПДн	Передача от 100 тыс. субъектов ПДн
Для Физлиц	100 тыс. руб. - 200 тыс. руб.	200 тыс. руб. - 300 тыс. руб.	300 тыс. руб. - 400 тыс. руб.
Для Должностных лиц	200 тыс. руб. - 400 тыс. руб.	300 тыс. руб. - 500 тыс. руб.	400 тыс. руб. - 600 тыс. руб.
Для Юридических лиц	3 млн руб. - 5 млн руб.	5 млн руб. - 10 млн руб.	10 млн руб. - 15 млн руб.

Утечку персональных данных в зависимости от количества пострадавших:

С 30 мая 2025 года в случае утечки персональных данных от 1000 до 10 000 человек штраф составит:

• от 100 000 до 200 000 руб. — для физических лиц;

• от 200 000 до 400 000 руб. — для должностных лиц компаний;

• от 3 до 5 млн руб. — для юридических лиц.

При утечке данных более 10 000, но менее 100 000 человек вводятся следующие штрафы:

• от 200 000 до 300 000 руб. — для физических лиц;

• от 300 000 до 500 000 руб. — для должностных лиц компаний;

• от 5 до 10 млн руб. — для юридических лиц.

В случае, когда утечка коснулась более 100 000 человек, будет грозить штраф:

• от 300 000 до 400 000 руб. — для физических лиц;

• от 400 000 до 600 000 руб. — для должностных лиц компаний;

• от 10 до 15 млн руб. — для юридических лиц.

За повторную утечку данных штрафы составят (ч.15 ст.13.11 КоАП РФ):

• от 400 000 до 600 000 руб. — для физических лиц;

• от 800 000 до 1,2 млн руб. — для должностных лиц компаний;

• от 1 до 3% выручки от реализации всех товаров, работ, услуг за предыдущий календарный год (предшествующий году выявления нарушения) — для юридических лиц.

С 30 мая 2025 года за незаконную передачу третьим лицам биометрических персональных данных начнут действовать отдельные штрафы (ч.17 ст.13.11 КоАП РФ):

• от 400 000 до 500 000 руб. — для физических лиц;

• от 1,3 до 1,5 млн руб. — для должностных лиц компаний;

• от 15 до 20 млн руб. — для юридических лиц.

Повторная утечка биометрии грозит штрафами:

• от 500 000 до 800 000 руб. — для физических лиц;

• от 1,5 до 2 млн руб. — для должностных лиц компаний;

• от 1 до 3% выручки от реализации всех товаров, работ и услуг за предыдущий календарный год (предшествующий году выявления нарушения) — для юридических лиц. При этом установлен минимальный предел штрафа — 25 млн руб. и максимальный — 500 млн руб.

Если компания не успела вовремя выполнить запрос клиента (или его представителя, или надзорного органа) об исправлении, блокировке или удалении персональных данных, хотя должна была это сделать по закону. Например, если клиент попросил удалить свои данные, а компания их все еще хранит — это нарушение, которое повлечет штраф:

• от 2 000 до 4 000 руб. для физических лиц;

• от 8 000 до 25 000 руб. для должностных лиц;

• от 20 000 до 40 000 руб. для ИП;

• от 50 000 до 90 000 руб. для юридических лиц.

Уголовная ответственность

С 11 декабря 2024 года действует статья 272.1 УК РФ, устанавливающая уголовную ответственность за незаконное использование, сбор и хранение компьютерной информации, содержащей персональные данные граждан:

• Штраф: до 300 000 руб.

• Принудительные работы: до 4 лет

• Лишение свободы: до 4 лет

Если деяния совершены в отношении персональных данных несовершеннолетних или биометрических данных, наказание может быть ужесточено:

• Штраф: до 700 000 руб.

• Принудительные работы: до 5 лет

• Лишение свободы: до 5 лет

Деяния, совершенные из корыстной заинтересованности, с причинением крупного ущерба или группой лиц по предварительному сговору, наказываются:

• Штраф: до 1 млн руб.

• Принудительные работы: до 5 лет со штрафом до 1 млн руб.

• Лишение свободы: до 6 лет со штрафом до 1 млн руб.

Важно: уголовная ответственность не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных или семейных нужд.

Как подготовиться к работе с персональными данными

Согласно статье 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», каждый оператор обязан разработать и утвердить внутренние документы, направленные на обеспечение защиты персональных данных (ПД). Ниже приведен обязательный перечень таких документов.

1. Политика обработки и защиты персональных данных

Это публичный документ, который должен быть доступен любому пользователю. Обычно его размещают на официальном сайте компании — как правило, в разделе «Политика конфиденциальности» в подвале сайта или при сборе контактной информации через формы.

В политику включаются следующие пункты:

1. Основные сведения об операторе.

2. Цели сбора персональных данных — они должны быть четкими и исключать расплывчатых формулировок.

3. Правовые основания для обработки ПД — например, положения уставных документов организации.

4. Категории субъектов, чьи данные будут обрабатываться.

5. Перечень действий, которые оператор будет выполнять с персональными данными.

Важно: если вы используете персональные данные не по тем целям, которые указаны в политике, это считается нарушением законодательства. То же требование распространяется и на заявления, предоставляемые в Роскомнадзор. 

Кроме того, необходимо указать все категории лиц, чьи данные собираются. Например, при найме сотрудников компания может обрабатывать информацию о кандидатах, работниках и их родственниках — эти категории нужно перечислить в полном объеме.

2. Положение о работе с персональными данными

Это внутренний локальный нормативный акт компании. В нем детально прописываются правила, по которым сотрудники будут обрабатывать, хранить и использовать персональные данные. Документ должен соответствовать требованиям закона № 152-ФЗ.

Основные разделы положения:

1. Цели разработки документа.

2. Состав обрабатываемых персональных данных.

3. Перечень документов, содержащих ПДн.

4. Порядок выполнения действий с данными: получение, хранение, использование, передача и т. д.

5. Меры по обеспечению конфиденциальности и безопасности информации.

Документ обязателен для всех организаций, независимо от численности персонала и объема обрабатываемых данных.

3. Обязательство о неразглашении персональных данных

Этот документ подписывается всеми сотрудниками, которые имеют доступ к персональным данным. Подписание означает, что работник осознает ответственность за сохранение конфиденциальности информации и обязуется не передавать ее третьим лицам.

Подготовка этих документов — важный шаг в соблюдении требований законодательства о персональных данных. Грамотное оформление позволяет избежать штрафов и обеспечивает защиту прав субъектов ПДн.

4. Сбор согласий на обработку персональных данных

Собирать и использовать персональные данные в 2025 году без согласия пользователей запрещено. Просто разместить на сайте форму для получения email-адресов или телефонов недостаточно — необходимо организовать получение явного согласия от пользователя.

Например, к любой форме сбора данных нужно добавить чекбокс, который пользователь должен отметить вручную — это подтверждает осознанное согласие  человека на обработку своих персональных данных.

Если ваш бизнес взаимодействует с клиентами офлайн, обязательно подготовьте бумажные бланки согласия. Их нужно заполнять и подписывать с каждым клиентом при сборе его персональных данных.

Также не забудьте разместить на сайте уведомление о том, что вы собираете cookie-файлы. Это требование также относится к обязательным мерам соблюдения законодательства в сфере персональных данных.

Как хранить персональные данные

Чтобы работа с персональными данными соответствовала требованиям законодательства, организация должна соблюдать ряд важных правил:

Формат хранения данных

Персональные данные можно хранить как в бумажном виде, так и в электронной форме — или использовать оба формата одновременно. Главное — указать выбранные способы хранения в политике обработки ПДн и во внутренних локальных документах компании.

Локализация персональных данных

Если вы используете цифровые носители, серверы, на которых находятся персональные данные, должны быть размещены на территории Российской Федерации или использовать облачные сервисы, предоставляемые провайдерами, зарегистрированными в РФ и обеспечивающими физическое хранение данных на территории страны. Это обязательное требование российского законодательства.

Сроки хранения

Персональные данные хранят только столько времени, сколько это необходимо для достижения целей их сбора. Конкретные сроки нужно прописать в политике и внутренних регламентах. По истечении установленного срока данные подлежат уничтожению или обезличиванию в течение 30 дней.

Уровень защиты зависит от категории данных

В 2025 году требования к защите персональных данных зависят от их категории, определенной Постановлением Правительства РФ № 1119. Всего выделено четыре категории:

• Специальные категории — включают политические взгляды, религиозные убеждения, сведения о национальности и другие особо чувствительные данные (политические взгляды, данные интимного характера, состояние здоровья).

• Общедоступные данные — например, ФИО, пол, адрес, телефон, email, гражданство.

• Биометрические данные — не только отпечатки пальцев, но и фотографии, информация о группе крови, ДНК и т. д.

• Иные данные — все остальные персональные сведения, например, принадлежность к социальной группе или профессиональной категории.

В ПП РФ № 1119 выделены 4 уровня защищенности информации и детально прописаны меры по соответствию уровням безопасности.

Требования к защите

Для каждой категории персональных данных установлены свои меры и средства защиты. Подробно они изложены в следующих нормативных актах:

• Приказ ФСБ России от 10.07.2014 № 378

• Приказ ФСТЭК России от 18.02.2013 № 21

• Постановление Правительства РФ от 06.07.2008 № 512

Для определения необходимого уровня защиты рекомендуется обратиться к специалисту по информационной безопасности — он поможет правильно классифицировать данные и обеспечить соответствие требованиям закона.

Трансграничная передача персональных данных

Перед осуществлением трансграничной передачи персональных данных компании обязаны уведомить об этом Роскомнадзор, подав соответствующее уведомление. Важно также наличие законных оснований для передачи информации и соблюдение конфиденциальности при ее обработке.

Что касается хранения данных, теперь запрещено направлять персональные данные граждан России напрямую в зарубежные базы. Все организации, взаимодействующие с российскими клиентами, должны записывать собранные данные только в локальные базы, размещенные на территории Российской Федерации.

Чек-лист: как правильно работать с персональными данными в 2025 году

1. Подайте уведомление в Роскомнадзор.

2. При обработке ПД оформите согласие на обработку как отдельный документ.

3. Добавьте чекбокс с согласием во все формы сайта.

4. Уведомите пользователей о куках.

5. Работаете офлайн? Используйте бумажные бланки согласия на обработку ПДн.

6. Разработайте внутренние нормативные документы
   Подготовьте:

• политику конфиденциальности и обработки персональных данных;

• положение о работе с ПД;

• обязательство сотрудников о неразглашении информации.

7. Выбор способа хранения данных — за вами. Хранить данные можно как в бумажном, так и в электронном виде — или в обоих форматах сразу. Главное — указать выбранный способ во всех соответствующих документах.

8. Оцените уровень защиты данных. Следуйте инструкция, описанным в Постановлении Правительства РФ № 1119.

9. Если вы используете электронную обработку данных, серверы обязаны физически находиться на территории Российской Федерации.