Изменения в законе о защите персональных данных в 2025 году

21.05.2025
1003
Защита персональных данных на сайте

В эпоху цифровизации защита персональных данных становится всё более актуальной темой. Каждый владелец сайта, который собирает информацию о посетителях, обязан соблюдать требования законодательства. С 30 мая 2025 года вступают в силу важные изменения в законе о персональных данных, которые значительно ужесточают ответственность за нарушения в этой сфере.

В данной статье мы рассмотрим, что именно относится к персональным данным, какие изменения ждут нас в 2025 году, как правильно оформить сбор данных на сайте и нужно ли регистрироваться в Роскомнадзоре. Также мы подготовили подробный чек-лист для владельцев сайтов и таблицу штрафов за нарушения.

Важно! Несоблюдение требований закона о защите персональных данных может привести к серьезным штрафам, размер которых с 30 мая 2025 года значительно увеличивается.

Содержание:

  1. Что относится к персональным данным в 2025 году
  2. Изменения в законе о персональных данных в 2025 году
  3. Кто является оператором персональных данных
  4. Оформление сбора персональных данных на сайте
  5. Нужно ли регистрировать сайт в Роскомнадзоре
  6. Процесс регистрации оператора в Роскомнадзоре
  7. Подробный чек-лист для подготовки сайта
  8. Таблица штрафов за нарушения
  9. FAQ (часто задаваемые вопросы)
  10. Заключение

Что относится к персональным данным в 2025 году

Согласно статье 3 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных", персональные данные — это любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных).

К персональным данным относятся:

  • ФИО
  • Дата и место рождения
  • Адрес проживания или регистрации
  • Паспортные данные
  • Номер телефона
  • Адрес электронной почты
  • Биометрические данные (отпечатки пальцев, сканы сетчатки глаза и т.д.)
  • Фотография или видеозапись, позволяющие идентифицировать человека
  • Сведения о семейном положении
  • Информация о финансовом состоянии
  • IP-адрес (в некоторых случаях)
  • Файлы cookie (в комбинации с другими данными)

Обратите внимание! Даже если какие-то данные сами по себе не могут идентифицировать пользователя, их комбинация с другой информацией может позволить определить личность. Например, имя "Иван" само по себе не является персональными данными, но в сочетании с номером телефона уже может считаться таковыми.

Изменения в законе о персональных данных в 2025 году

30 мая 2025 года вступают в силу поправки в законодательство о персональных данных, внесенные Федеральным законом от 30.11.2024 № 420-ФЗ. Эти изменения существенно ужесточают ответственность за нарушения в области защиты персональных данных. Основные изменения:

  1. Увеличение размеров штрафов. Базовые штрафы для юридических лиц выросли с 60-100 тыс. рублей до 150-300 тыс. рублей за общее нарушение требований закона о персональных данных.
  2. Введение новых составов правонарушений:
    • Нарушение обязанности уведомить о намерении обрабатывать персональные данные
    • Нарушение обязанности уведомить об утечке персональных данных
    • Действия (бездействие), повлекшие утечку персональных данных
    • Действия (бездействие), повлекшие утечку специальной категории персональных данных
    • Действия (бездействие), повлекшие утечку биометрических персональных данных
  3. Оборотные штрафы за повторные утечки — до 3% от годовой выручки компании.
  4. Исключение возможности заплатить штраф с 50-процентной скидкой.
  5. Новые обязанности для операторов персональных данных:
    • Обновленные требования к форме согласия на обработку персональных данных
    • Обязанность уведомлять Роскомнадзор об утечке данных в течение 24 часов
    • Проведение расследования инцидента и уведомление о его результатах в течение 72 часов

Эти изменения направлены на усиление защиты прав граждан и повышение ответственности операторов персональных данных.

Кто является оператором персональных данных

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных и действия с ними.

Вы являетесь оператором персональных данных, если:

  • Собираете данные посетителей через формы на сайте
  • Используете системы аналитики, которые собирают данные пользователей
  • Храните данные клиентов в CRM-системе
  • Отправляете email-рассылки
  • Используете cookie-файлы на сайте
  • Осуществляете доставку товаров клиентам

Важно понимать! Даже если вы просто ведете блог и собираете email-адреса для рассылки, вы уже являетесь оператором персональных данных и должны соблюдать требования закона.

Оформление сбора персональных данных на сайте

Чтобы законно собирать персональные данные на сайте, необходимо правильно оформить все необходимые документы и процедуры. Рассмотрим основные элементы.

Политика обработки персональных данных

Политика обработки персональных данных — это документ, который должен быть размещен на каждом сайте, собирающем персональные данные. Он должен содержать:

  • Наименование или ФИО оператора персональных данных
  • Адрес оператора
  • Цели обработки персональных данных
  • Перечень собираемых персональных данных
  • Правовые основания обработки
  • Порядок и условия обработки персональных данных
  • Сроки хранения данных
  • Порядок уничтожения данных
  • Права субъектов персональных данных
  • Порядок обращения субъекта к оператору

Обратите внимание! Политику необходимо разместить на отдельной странице сайта и добавить ссылку на нее в "подвале" сайта, чтобы она была доступна с любой страницы.

Согласие на обработку персональных данных

Под каждой формой сбора данных на сайте должно быть размещено согласие на обработку персональных данных. Оно может быть оформлено в виде чек-бокса с текстом о согласии и ссылкой на полный текст соглашения.

Согласие должно содержать:

  • Наименование или ФИО и адрес оператора
  • Цель обработки персональных данных
  • Перечень персональных данных, на обработку которых дается согласие
  • Перечень действий с персональными данными
  • Срок действия согласия
  • Способ отзыва согласия

Уведомление о сборе cookie

Если ваш сайт использует файлы cookie, необходимо уведомить об этом пользователей. Обычно это делается через всплывающее окно при первом посещении сайта. Уведомление должно:

  • Содержать информацию о том, что сайт собирает cookie
  • Объяснять, для чего используются cookie
  • Содержать ссылку на политику обработки персональных данных
  • Предоставлять возможность дать согласие или отказаться от сбора cookie

Нужно ли регистрировать сайт в Роскомнадзоре

Сам сайт регистрировать в Роскомнадзоре не нужно, однако оператор персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных.

Существует только три исключения, когда уведомление не требуется:

  • Оператор обрабатывает персональные данные без автоматизации (только на бумажных носителях)
  • Персональные данные включены в государственные информационные системы, созданные для защиты безопасности государства и общественного порядка
  • Обработка персональных данных осуществляется в случаях, предусмотренных законодательством о транспортной безопасности

До 1 сентября 2022 года существовало девять исключений, включая обработку данных сотрудников в рамках трудовых правоотношений или обработку только ФИО. Однако теперь эти исключения отменены, поэтому практически всем операторам необходимо уведомлять Роскомнадзор.

Важно! С 30 мая 2025 года за неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных предусмотрен штраф:

  • для граждан — от 5 000 до 10 000 рублей
  • для должностных лиц — от 30 000 до 50 000 рублей
  • для юридических лиц — от 100 000 до 300 000 рублей

Процесс регистрации оператора в РКН

Чтобы зарегистрироваться в качестве оператора персональных данных в РКН, необходимо:

  1. Подготовить уведомление. Форма уведомления доступна на официальном сайте Роскомнадзора в разделе "Реестр операторов персональных данных" (https://pd.rkn.gov.ru/operators-registry/notification/form/).
  2. Заполнить уведомление, указав:
    • Сведения об операторе (наименование, ИНН, ОГРН)
    • Адрес местонахождения
    • Цель обработки персональных данных
    • Категории персональных данных
    • Категории субъектов персональных данных
    • Правовое основание обработки
    • Перечень действий с персональными данными
    • Способы обработки персональных данных
    • Меры по обеспечению безопасности персональных данных
    • Сведения о наличии (отсутствии) трансграничной передачи данных
    • Сведения о месте хранения персональных данных
    • Сведения о прекращении обработки персональных данных
  3. Отправить уведомление одним из способов:
    • В бумажном виде лично или почтой в территориальное управление Роскомнадзора
    • В электронном виде через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи
    • Через портал Госуслуг (требуется подтвержденная учетная запись)
  4. Дождаться внесения в реестр. Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных.
  5. Проверить статус внесения в реестр можно на сайте Роскомнадзора в разделе "Реестр операторов персональных данных" (https://pd.rkn.gov.ru/operators-registry/operators-list/).

Важно! Если в процессе деятельности меняются сведения, указанные в уведомлении (например, добавляются новые категории персональных данных), необходимо уведомить Роскомнадзор об изменениях до 15-го числа месяца, следующего за месяцем изменений.

Подробный чек-лист для подготовки сайта

Чтобы полностью соответствовать требованиям закона о персональных данных, используйте следующий чек-лист:

  1. Проведите аудит персональных данных
    • Определите, какие персональные данные собираете на сайте
    • Выявите все формы сбора данных
    • Проанализируйте используемые системы аналитики и рекламы
    • Проверьте, какие cookie используются на сайте
  2. Разработайте и разместите документы
    • Создайте политику обработки персональных данных
    • Разработайте форму согласия на обработку персональных данных
    • Разместите политику на отдельной странице сайта
    • Добавьте ссылку на политику в "подвал" сайта
  3. Настройте формы на сайте
    • Добавьте чек-бокс согласия под каждой формой
    • Убедитесь, что чек-бокс не отмечен по умолчанию
    • Разместите ссылку на полный текст согласия
    • Проверьте, что без согласия форму отправить нельзя
  4. Добавьте уведомление о cookie
    • Создайте всплывающее окно с информацией о cookie
    • Добавьте возможность дать согласие или отказаться
    • Включите ссылку на политику обработки персональных данных
    • Убедитесь, что уведомление появляется при первом посещении
  5. Обеспечьте безопасность данных
    • Установите SSL-сертификат (HTTPS)
    • Настройте защиту от DDoS-атак
    • Используйте защищенное соединение для передачи данных
    • Регулярно обновляйте CMS и плагины
  6. Зарегистрируйтесь в Роскомнадзоре
    • Подготовьте и отправьте уведомление в Роскомнадзор
    • Проверьте наличие своей организации в реестре операторов
    • Своевременно уведомляйте об изменении сведений
  7. Подготовьтесь к обращениям субъектов
    • Разработайте процедуру ответа на запросы пользователей
    • Создайте механизм отзыва согласия на обработку данных
    • Обеспечьте удаление данных по требованию пользователя
    • Назначьте ответственное лицо за обработку запросов
  8. Подготовьтесь к возможным утечкам
    • Создайте протокол действий при утечке данных
    • Подготовьте шаблон уведомления Роскомнадзора об утечке
    • Разработайте процедуру внутреннего расследования
    • Настройте мониторинг системы безопасности

Таблица штрафов за нарушения

Ниже представлена таблица с размерами штрафов за нарушения в области защиты персональных данных, которые вступают в силу с 30 мая 2025 года:

Нарушение Для физических лиц Для должностных лиц Для юридических лиц
Общее нарушение требований закона о персональных данных 5 000 - 10 000 ₽ 30 000 - 50 000 ₽ 150 000 - 300 000 ₽
Повторное нарушение требований закона 15 000 - 30 000 ₽ 50 000 - 100 000 ₽ 300 000 - 500 000 ₽
Неуведомление Роскомнадзора о намерении обрабатывать ПДн 5 000 - 10 000 ₽ 30 000 - 50 000 ₽ 100 000 - 300 000 ₽
Неуведомление об утечке персональных данных 15 000 - 30 000 ₽ 100 000 - 200 000 ₽ 1 000 000 - 3 000 000 ₽
Утечка данных 1-10 тыс. субъектов 100 000 - 200 000 ₽ 200 000 - 400 000 ₽ До 5 000 000 ₽
Утечка данных более 100 тыс. субъектов До 400 000 ₽ До 600 000 ₽ До 15 000 000 ₽
Повторная утечка данных До 600 000 ₽ До 1 200 000 ₽ 1-3% от годовой выручки (не менее 20 000 000 ₽)

Важно! За преступления, связанные с незаконным распространением персональных данных, полученных незаконным путем, предусмотрена уголовная ответственность — лишение свободы на срок до 4 лет, а при наличии тяжких последствий — до 10 лет со штрафом до 3 млн рублей.

FAQ (часто задаваемые вопросы)

Должен ли я регистрировать свой сайт в Роскомнадзоре?

Нет, регистрировать сайт не нужно. Регистрации подлежит не сайт, а оператор персональных данных — лицо или организация, которая собирает и обрабатывает персональные данные. Если на вашем сайте есть формы для сбора данных пользователей, вы должны уведомить Роскомнадзор о себе как об операторе персональных данных.

Что делать, если я уже зарегистрирован в Роскомнадзоре?

Если вы уже внесены в реестр операторов персональных данных, повторно уведомлять Роскомнадзор не нужно. Однако следует проверить, все ли сведения актуальны. Если вы начали собирать новые категории данных или изменились другие параметры, указанные в первоначальном уведомлении, нужно сообщить об этом в Роскомнадзор.

Какое наказание грозит, если не уведомить Роскомнадзор?

С 30 мая 2025 года за неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных предусмотрен штраф: для граждан — от 5 000 до 10 000 рублей, для должностных лиц — от 30 000 до 50 000 рублей, для юридических лиц — от 100 000 до 300 000 рублей.

Нужно ли получать согласие на каждое действие с персональными данными?

Нет, не нужно получать отдельное согласие на каждое действие. Достаточно одного согласия, в котором перечислены все возможные действия с персональными данными и цели их обработки. Важно, чтобы в согласии были четко указаны все категории собираемых данных и все способы их использования.

Что делать, если произошла утечка персональных данных?

С 1 сентября 2022 года оператор обязан сообщить в Роскомнадзор об утечке в течение 24 часов после обнаружения инцидента, а затем в течение 72 часов провести расследование и сообщить о его результатах. С 30 мая 2025 года за неуведомление или несвоевременное уведомление об утечке предусмотрен штраф до 3 млн рублей.

Относятся ли IP-адреса и cookie к персональным данным?

Однозначного ответа нет. IP-адрес сам по себе не является персональными данными, но в сочетании с другой информацией может позволить идентифицировать пользователя. То же касается файлов cookie. На практике Роскомнадзор и суды часто рассматривают IP-адреса и cookie как персональные данные, поэтому рекомендуется получать согласие на их сбор и обработку.

Можно ли использовать готовый шаблон политики обработки персональных данных?

Можно использовать шаблон как основу, но необходимо адаптировать его под особенности вашего сайта и процессы обработки данных. В политике должны быть указаны конкретные данные, которые вы собираете, и конкретные цели их использования.

Что такое трансграничная передача данных и когда о ней нужно уведомлять?

Трансграничная передача — это передача персональных данных на территорию иностранного государства. Например, если вы используете зарубежные сервисы аналитики (Google Analytics) или CRM-системы, данные которых хранятся за пределами России. С 1 марта 2023 года до начала трансграничной передачи нужно подать уведомление в Роскомнадзор.

Заключение

Защита персональных данных — важная юридическая обязанность каждого владельца сайта. С ужесточением законодательства в 2025 году риски за нарушения значительно возрастают, а размеры штрафов увеличиваются до миллионов рублей.

Чтобы обезопасить себя от штрафов и претензий, необходимо:

  • Правильно оформить документы (политику обработки персональных данных и согласие)
  • Разместить их на сайте и обеспечить получение согласия перед сбором данных
  • Уведомить Роскомнадзор о себе как об операторе персональных данных
  • Обеспечить безопасность собираемых данных
  • Быть готовым к обработке запросов пользователей и возможным утечкам

Своевременное выполнение всех требований закона позволит вам спокойно вести бизнес в интернете и избежать серьезных санкций со стороны контролирующих органов.

Помните! Забота о персональных данных ваших пользователей — это не только юридическая обязанность, но и показатель профессионализма и уважения к клиентам, что в конечном итоге положительно влияет на репутацию вашего бизнеса.

---
Подпишитесь на наш Телеграм-канал Суровый SEOшник, чтобы не упустить важную информацию о продвижении своего бизнеса в сети.

Хотите получить расчет стоимости и сроков разработки вашего интернет-магазина?

Рассчитать стоимость

Примеры разработанных сайтов

Контакты
x

Сообщение успешно отправлено!

x