Защита персональных данных: требования в 2025 году

Несоблюдение требований к защите персональных данных (ПДн) может повлечь серьезные последствия для оператора, включая крупные штрафы и блокировку сайта.Роскомнадзор внимательно отслеживает все, а штрафы за нарушения с 30 мая 2025 года повысились. Поэтому важно понимать, какие обязанности возложены на оператора и как правильно организовать обработку и защиту данных.

Что такое защита персональных данных и для чего нужна

Защита персональных данных — это совокупность правовых, организационных и технических мер, направленных на недопущение неправомерного доступа, уничтожения, изменения, распространения или блокирования информации о человеке. В соответствии с ФЗ от 27.07.2006 № 152-ФЗ, этим должен заниматься оператор, чтобы защитить права субъектов персональных данных и не допустить утечек. 

Субъектами являются как клиенты и контрагенты, так и сотрудники, включая уволенных работников. Например, даже после увольнения данные бывшего сотрудника должны храниться: кадровые документы (включая содержащие персональные данные) организация обязана сохранять в течение 50 или 75 лет в зависимости от их вида.

Обязанности оператора по защите персональных данных

Оператор обязан обеспечить безопасность персональных данных при их обработке. Это включает:

1. Отражение сведений об обеспечении защиты персональных данных в уведомлении, направляемом в Роскомнадзор.
2. Применение технических мер защиты персональных данных: шифрование, антивирусная защита, резервное копирование, разграничение доступа, настройка прав пользователей.
3. Оценку потенциального вреда субъектам в случае инцидента — анализ рисков.

Например, если в вашей организации установлены камеры видеонаблюдения, фиксирующие биометрию или другие ПДн сотрудников, необходимо урегулировать эти вопросы в локальных нормативных актах, ограничить доступ к видеозаписям и соблюдать установленные сроки хранения.

Другие требования к оператору при обработке ПДн

Защита ПДн в Российской Федерации включает не только технические, но и организационно-правовые меры. Оператор обязан:

• Утвердить положение об обработке и защите персональных данных;
• Назначить ответственного за работу с ПДн;
• Проводить обучение сотрудников и ознакомление их под подпись с нормативными документами;
• Контролировать соблюдение установленных требований и проводить внутренние проверки.

В первую очередь нужно назначить ответственного за работу с ПДн, а также определить, какие данные и на каких основаниях вы будете обрабатывать, оформить шаблоны согласий, разработать документацию, внедрить техническую защиту, обучить персонал и зарегистрироваться в Роскомнадзоре (если требуется).

Защита персональных данных в интернете

Особое внимание в 2025 году Роскомнадзор уделяет работе организаций с ПДн в интернете. Сбор данных через сайт, онлайн-чат, форму обратной связи или чат-бот также является обработкой персональных данных. 

Если вы ведете деятельность онлайн, необходимо:

• Опубликовать Политику конфиденциальности, Политику обработки персональных данных и пользовательское соглашение;
• Обеспечить уведомление для посетителей сайта о собираемых Cookies;
• Использовать защищенное соединение (HTTPS);
• Проверить настройки сторонних сервисов (например, систем аналитики);
• Согласовать с РКН передачу персональных данных за границу (если требуется).

Если на вашем сайте установлен онлайн-чат, в котором пользователи оставляют имя и номер телефона, это также требует правового оформления и технической защиты.

Штрафы с 30 мая 2025 года

С 30 мая 2025 года вступили в силу поправки в ст. 13.11 КоАП РФ. Теперь операторам грозят более серьезные штрафы за необеспечение защиты персональных данных по ФЗ №152-ФЗ, чем раньше. Так, в случае утечки до 100 000 идентификаторов граждан компании грозит штраф до 5 млн рублей. Максимальный штраф в зависимости от масштаба — до 15 млн, но при повторном правонарушении могут оштрафовать уже на 500 млн рублей. 

Заключение 

Защита персональных данных на предприятии должна выстраиваться системно. Требования в 2025 году ужесточились, и игнорирование норм может обернуться не только штрафами, но и блокировкой сайта. Если вы не уверены, что ваша организация соблюдает ФЗ № 152-ФЗ, стоит провести аудит и при необходимости обратиться за помощью к юристам.