Ассоциация компаний по защите и хранению персональных данных напоминает: 30 мая 2025 года вступают в силу новые требования 152-ФЗ.
Подготовили для вас несколько рекомендаций, как соблюсти требования регулятора и избежать штрафы!
Ключевые изменения Федерального закона №152-ФЗ вступают в силу 30 мая и это самая масштабная модернизация закона о персональных данных: новые требования к контролю за обработкой ПДн и жесткие санкциии за их нарушения.
Требования законодательства теперь касаются не только крупных компаний, но и малого бизнеса, а именно: наличие у вашей организации сайта или посадочной страницы с аналитикой, формой обратной связи, программой лояльности, использование CRM-системы для работы с клиентской базой, использование e-mail или SMS-рассылок и даже наличие персонала в штате — всё это делает компанию оператором персональных данных и обязывает соблюдать ФЗ-152.
Обновленный закон вводит новые категории данных, кратно увеличил штрафы за нарушения и обозначил жестко локальные географические рамки нахождения хранилищ персональных данных.
✅Теперь сбор информации о пользователе и анализ его поведения на сайте: история посещения страниц, время просмотра блоков/товаров, клики и т д, — требуют отдельного согласия. А сервис web-аналитики, используемый для этого, должен быть только российский (хранить и обрабатывать все данные пользователя на территории РФ).
✅Напомним, что доменное имя, хостинг и даже система управления контентом сайта также должны быть российскими. Даже в cookie нужно отдельное разрешение на сбор данных о кликах и времени просмотра товаров. И не забудьте разместить в баннере ссылки на соответствующие документы на сайте.
Все персональные данные разделены на три группы:
1️⃣Биометрические — голос, отпечатки пальцев, скан сетчатки и другие физические характеристики.
‼️Их можно использовать только с письменного согласия человека.
‼️Их можно использовать только с письменного согласия человека.
2️⃣Специальные — информация о здоровье, вероисповедании, политических взглядах, судимостях и т.д. ‼️Эти данные требуют явного согласия и чаще всего должны быть обезличены.
3️⃣Обычные — имя, телефон, email, адрес и прочее. ✅Их по-прежнему можно обрабатывать после согласия по договору.
‼️Ужесточенная система штрафов получила несколько уровней ответственности — в зависимости от серьезности нарушения и риска для граждан. Сами штрафы выросли в кратном порядке:
❗️Отсутствие согласия на обработку данных — до 300 тыс. рублей для должностных лиц и до 700 тыс. для юрлиц.
❗️Неправильное хранение данных — до 6 млн рублей для организации.
❗️Несвоевременное уведомление Роскомнадзора об утечке или начале обработки ПДн— до 3 млн рублей.
‼️При повторных утечках ПДн теперь может применяться «оборотный штраф», который рассчитывается в процентах от оборота компании.
✅Все данные российских пользователей должны храниться и обрабатываться исключительно на территории России.
✅Если сайт использует сторонние виджеты, облака или формы, которые передают информацию за границу (например: Google Analytics, Meta Pixel, Hotjar и другие) — организации необходимо оперативно перейти на проверенные отечественные или сертифицированные решения с размещением в РФ.
❗️Новые стандарты в работе с персональными данными призваны обеспечить прозрачность и контроль. Вот краткий список необходимых действий:
Наведите порядок в документации:
✅Проверьте, есть ли у вас положение об обработке ПДн. Оно нужно всем, кроме ИП и самозанятых.
✅Введите журнал обращений — туда вносят запросы клиентов об удалении, доступе или изменении данных (хранить 3 года).
✅Разработайте регламент действий при утечке — документ с четким алгоритмом на случай компрометации данных.
✅Если вы обрабатываете более 1 млн записей в год, пройдите сертификацию в аккредитованном центре.
‼️Уведомите Роскомнадзор, а если ранее уже подавали сведения до конца 2022 года — обновите, форма изменилась.
✅Назначьте ответственного за работу с ПДн.
Проверьте на соответствие требованиям сбор клиентских данных:
✅Отдельная форма согласия на обработку ПДн (должна включать: цели, сроки и конкретный перечень обрабатываемых данных).
✅Включите согласие на передачу данных для обработки третьей стороной, если используете подрядчиков или сторонние сервисы (например рассылки).
Теперь про сотрудников:
✅Необходимо пожписать согласия на обработку данных со всеми — включая фрилансеров.
❗️Проверьте формулировки в этих согласиях — цели должны быть прописаны максимально четко.
Вернемся к цифровым каналам сбора и обработки персональных данных:
✅Добавьте на сайт политику конфиденциальности и галочку согласия во всех формах.
✅Не ограничивайте доступ к контенту, если пользователь не оставил данные.
✅Откройте возможность гибкой настройку cookie — пользователь должен иметь очевидную возможность выбрать, что разрешает собирать.
✅Замените иностранные сервисы аналитики и хранения данных — вроде Google Analytics и Google Таблиц.
‼️Передаете данные за границу и без этого не можете работать? Получите разрешение Роскомнадзора и внесение в Реестр трансграничнной передачи данных.
Мы подробно расскажем об этом в следующих публикациях.
✅Начните менять процессы сбора и обработки персональных данных пользователей в организациии уже сейчас и избежите штрафы! Не знаете как? Мы поможем!