Войти
Блог

    Изменения в обработке и защите персональных данных в 2025 году

    30 января 2025
    7 минут
    3667

    Всем, кто использует в работе персональные данные (ПДн) не в личных целях, в 2025 году необходимо учесть несколько важных поправок в законодательстве. В статье напомним, как должен быть организован процесс обработки и защиты персональных данных, и расскажем, как бизнесу работать с ПДн с учётом последних изменений.

    Особенности обработки персональных данных

    Порядок работы с персональными данными устанавливает Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ (ред. от 08.08.2024). Согласно ст. 3 этого закона, персональными данными называют сведения, которые прямо или косвенно связаны с конкретным физическим лицом. К основным ПДн относятся:

    • фамилия, имя и отчество;

    • дата и место рождения;

    • пол;

    • паспортные данные;

    • место регистрации (жительства);

    • номера СНИЛС и ИНН;

    • контактные данные (телефон, электронная почта);

    • сведения об образовании.

    Некоторые персональные данные могут храниться в общедоступных источниках (в справочниках и адресных книгах). Это могут быть ФИО, год и место рождения, адрес, телефон, сведения о профессии и другая информация. Но заносятся все эти сведения в общедоступные источники с письменного согласия субъекта персональных данных.

    Также в законодательстве есть определения:

    • биометрических персональных данных, характеризующих физиологические особенности человека и используемых для установления личности (отпечатки пальцев, рисунок сетчатки глаза) (ст. 11 152-ФЗ);

    • специальных персональных данных, которые касаются расовой, национальной принадлежности, религиозных убеждений, политических взглядов, состояния здоровья и других особенностей и используются по особенным причинам (ст. 10 152-ФЗ).

    Организуя и осуществляя обработку персональных данных, компания, ИП, самозанятый или физическое лицо становится оператором ПДн и получает ряд обязанностей, которые необходимо строго выполнять, согласно закону № 152-ФЗ. Оператору нужно правильно определять цели обработки и состав персональных данных, а также действия, совершаемые с ПДн.

    Чтобы использовать информацию о сотрудниках, компании необходимо получить их согласие на обработку и распространение персональных данных — документ, подтверждающий правомерность использования личных сведений гражданина. Допускается оформление согласия на бумажном носителе или в электронном виде, но в любом из вариантов необходима подпись субъекта персональных данных.

    В связи с переводом многих документов организации в электронный вид, сейчас чаще всего и согласие на обработку ПДн оформляется в электронном формате. В этом случае на документе должна быть электронная подпись (ЭП). Допускается применение любых видов ЭП: сотрудник компании может использовать простую ЭП или неквалифицированную, а, например, фрилансер, с которым заключают договор ГПХ на выполнение отдельных задач, может подписать согласие квалифицированной электронной подписью при наличии таковой. Удостоверяющий центр СберКорус выпускает квалифицированные электронные подписи физическим лицам и сотрудникам компаний, с помощью которых можно подписывать любые документы, связанные с работой, и выполнять иные действия, требующие подписания ЭП.

    Перед получением согласий на обработку данных компании необходимо:

    • определить категории персональных данных, требуемые для работы, а также технические средства, с помощью которых будут обрабатывать и защищать ПДн;

    • назначить ответственное лицо по работе с персональными данными сотрудников;

    • подготовить локальные нормативно-правовые акты (внутренняя политика обработки ПДн, положение о защите персональных данных, формы согласия и др.) и опубликовать Политику в отношении обработки ПДн;

    • уведомить Роскомнадзор о намерении осуществлять обработку персональных данных (после получения уведомления юрлицо или ИП включают в реестр операторов ПДн).

    Новое в законе о персональных данных

    В 2025 году начинают действовать несколько поправок в закон № 152-ФЗ. В связи с этим у бизнеса появятся новые обязанности по процессу обработки и защиты ПДн.

    Рассмотрим изменения по персональным данным в 2025 году.

    С 1 января действует специальная форма согласия на обработку ПДн

    Распоряжением Правительства от 09.04.2024 № 856-р утверждены бумажная и электронная формы согласия на размещение и обработку персональных данных в единой системе идентификации и аутентификации (ЕСИА) и единой биометрической системе (ЕБС). Унифицированные формы включают пункты для заполнения по ПД субъекта, цели согласия, информацию об операторе ПДн, о представителе субъекта ПДн, срок действия, подпись и дату соглашения.

    В новых бланках есть отметка о том, что согласие на обработку ПДн даёт законный представитель несовершеннолетнего. Такое нововведение, прежде всего, связано с тем, что часто компании и ИП принимают согласие не у одного из родителей несовершеннолетнего, а у другого родственника. Роскомнадзор называет это типичной ошибкой. И это одно из нарушений, за которое юрлицо может получить штраф от 30 000 рублей (п. 2 ст. 13.11 КоАП РФ).

    С 1 марта должны начать действовать дополнительные меры для снижения риска утечки ПДн и чрезмерной обработки сведений оператором

    В 2025 году операторам необходимо минимизировать избыточную обработку ПДн. То есть необходимо удостоверяться, что используются только необходимые персональные данные субъекта.

    Чтобы сократить риск утечки ПДн и не допустить чрезмерную обработку данных, планируют ввести дополнительные меры. Для этого:

    • в закон № 2300-1 «О защите прав потребителей» предложили внести поправку о запрете для продавца ограничивать доступ потребителя к информации о товарах, услугах, работах из-за того, что он отказался предоставить свои персональные данные;

    • в законе № 152-ФЗ планируется поправка о запрете включения согласия на обработку персональных данных с 2025 года в состав других документов, подписываемых субъектом.

    Эти поправки пока содержатся в законопроекте № 679980-8, но приняты Госдумой в первом чтении.

    С 1 сентября вводится обязанность по передаче обезличенных сведений в ГИС

    На основании Федерального закона от 08.08.2024 № 233-ФЗ, по запросу Минцифры операторы ПДн с этой даты начнут передавать обезличенные данные — те, что не позволяют установить принадлежность конкретному человеку. Состав таких данных, сроки передачи, порядок обезличивания будут определены Правительством РФ с ФСБ.

    Сведения будут передаваться в закрытую государственную систему, к которой доступ предоставят государственным и муниципальным органам, гражданам России и российскому бизнесу. Для получения доступа необходимо соответствовать ряду условий:

    • состоять в реестре операторов персональных данных на 2025 год;

    • не находиться под контролем иностранных лиц и компаний;

    • не иметь записи о недостоверности сведений в ЕГРЮЛ;

    • не быть причастными к терроризму и экстремистской деятельности;

    • не иметь иностранного гражданства, действующей судимости, привлечения к уголовной ответственности в течение последних 5 лет (для граждан РФ и единоличных исполнительных органов компаний).

    С 30 мая ожидается ужесточение штрафов за утечку персональных данных

    За несоблюдение требований законодательства при работе с персональными данными предусмотрена административная и уголовная ответственность. По административным нарушениям суммы серьёзные. Так, за обработку персональных данных без письменного согласия субъекта юридическое лицо могут оштрафовать от 300 до 700 тысяч рублей. Что касается уголовной ответственности, то в декабре 2024 года в УК РФ появилась статья 272.1, согласно которой, к примеру, незаконное использование, передача или распространение, сбор и хранение компьютерной информации, содержащей ПДн, полученной незаконным путём, наказывается штрафом в размере до 300 000 руб. или в размере заработной платы или иного дохода осужденного за период до 1 года, либо принудительными работами / лишением свободы на срок до 4 лет.

    Административные штрафы за нарушения по персональным данным в 2025 году увеличатся. 30 мая 2025 в силу вступает Федеральный закон № 420-ФЗ от 30.11.2024, который вносит поправки в КоАП РФ. За какие правонарушения по работе с персональными данными бизнес могут оштрафовать в 2025 году, подробно рассказали в этой статье.

    Баннер Электронная подпись Электронная подпись Удобно, быстро, с минимальным пакетом документов
    30 января 2025
    3667
    Подписывайтесь на наш
    Telegram-канал СберКорус
    Подписаться
    Наши продукты

    Сфера Документы
    ЭДО с контрагентами

    Сфера Торговля
    Цифровизация заказов и поставок

    Сфера Отчётность
    Отчётность в государственные органы

    Удостоверяющий центр
    Электронная подпись
    Все продукты
    Главная
    Блог
    Изменения в обработке и защите персональных данных в 2025 году
    СберКорус Контакты:
    Адрес: Б.Сампсониевский пр., 68Н Санкт-Петербург,
    Телефон:8 800 100-8-812, Электронная почта: help@esphere.ru
    СберКорус обрабатывает cookie-файлы с целью персонализации сервисов и удобства пользования веб-сайтом. Вы можете запретить обработку cookie-файлов в настройках браузера. Пожалуйста, ознакомьтесь с политикой использования cookie-файлов.