В 2025 году в Федеральный закон № 152-ФЗ «О персональных данных»Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ внесены поправки. Любые действия с персональными данными допускаются исключительно на легитимных основаниях: с добровольного согласия субъекта, в рамках исполняемого договора или по прямому предписанию законодательства. Сведения разрешается собирать и применять только для четко определенных целей, заранее сформулированных оператором. Хранение информации «про запас» категорически запрещено.
Расскажем о требованиях закона в отношении персональных данных (ПД) и штрафах за их нарушение.
Что такое 152-ФЗ о персональных данных и в чем его суть
Персональные данные — любая информация, которая прямо или опосредованно помогает идентифицировать конкретного человека (статья 3 Федерального закона № 152). Сюда входят не только прямые контактные сведения (такие как фамилия, имя, отчество, серия и номер паспорта, номер телефона), но и косвенные признаки, которые в сочетании с другой информацией позволяют установить личность.
Цель 152-ФЗ «О персональных данных» — обеспечить правовую защиту частной жизни граждан и гарантировать, что обработка информации о них осуществляется в рамках закона.
В нормативном акте обозначены:
- принципы и условия обработки ПД;
- права субъекта ПД;
- обязанности оператора
- ответственность за нарушения закона.
Оператором признается любое лицо (компания, ИП или даже обычный гражданин), которое самостоятельно или с партнерами определяет принципы, состав и действия с ПД. Он обязан соблюдать все требования закона при сборе, хранении, использовании и защите информации. Обязанности оператора указаны в ст. 18–21 федерального закона 152-ФЗ о персональных данных.
При нарушении законодательных требований полагаются штрафы. Чтобы их избежать, рекомендуем записаться на наши курсы, которые выведут компанию на уровень полной готовности к проверкам в отношении обработки ПД. Предоставляем практические инструменты, чек-листы и готовые документы. По итогу обучения вы получите удостоверение о повышении квалификации с внесением в ФИС ФРДО.
Изменения в законе 152-ФЗ о персональных данных в 2025 году
Масштаб обрабатываемых ПД должен точно соответствовать заявленным задачам. Сбор избыточных или нерелевантных данных расценивается как нарушение. Хранение личной информации не может превышать срок, необходимый для реализации указанных целей. После его завершения она подлежит уничтожению или обезличиванию.
Оператор несет обязанность по обеспечению конфиденциальности полученных данных и не имеет права передавать их третьим сторонам без согласия владельца, кроме ситуаций, прямо оговоренных в законе. В процессе обработки требуется применять комплекс технических и организационных мер для предотвращения несанкционированного доступа, утечек и других инцидентов. Субъект данных вправе получить полную информацию о том, кто и каким образом использует его сведения — оператор обязан оперативно предоставить такие данные по запросу.
Суть изменений 152-ФЗ о персональных данных в 2025 году:
- С 1 июля в России действует запрет на хранение ПД граждан в иностранных базах. Все этапы — от первоначального сбора и фиксации до систематизации, накопления и долгосрочного хранения — теперь обязаны осуществляться исключительно на российской территории.
- С 30 мая заработала обновленная шкала штрафов за нарушения 152-ФЗ. Наказания стали дифференцированными: размер санкций зависит от тяжести проступка, количества пострадавших лиц и факта повторного нарушения.
- С 1 сентября согласие на обработку ПД должно оформляться в виде отдельного документа. Запрещено включать соответствующий пункт в основные договоры, пользовательские соглашения или иные бумаги, которые подписывает владелец данных.
Операторы обязаны передавать в государственную информационную систему только обезличенные сведения, по которым невозможно идентифицировать конкретного человека. Доступ к защищенной платформе для работы с такими данными предоставляется исключительно российским организациям, успешно прошедшим обязательную проверку.
Контрольные функции значительно расширены: к надзору Роскомнадзора добавились полномочия ФСБ и ФСТЭК России по обеспечению безопасности ПД.
Предлагаем услуги по аудиту объектов информатизации. Проверим соответствие информационной системы требованиям ФСТЭК и ФСБ.
Как правильно составить согласие на обработку персональных данных в соответствии с Федеральным законом № 152
Единого шаблона для согласия на обработку ПД не существует — каждый оператор создает собственный вариант. В соответствии с требованиями Федерального закона № 152 документ обязан содержать следующую информацию:
- Ф. И. О., адрес субъекта ПД, данные документа, удостоверяющего его личность;
- Ф. И. О. и адрес представителя субъекта (если согласие дает он), сведения о его удостоверении личности, реквизиты доверенности или иного документа, подтверждающего полномочия;
- наименование (или Ф. И. О.) и адрес оператора, который получает согласие;
- цель обработки ПД;
- список ПД, на обработку которых дается разрешение;
- наименование (или Ф. И. О.) и адрес третьего лица, если обработка передается ему по поручению оператора;
- перечень операций с ПД, на которые субъект соглашается, общее описание методов обработки, применяемых оператором;
- срок действия согласия и порядок его отзыва;
- подпись субъекта ПД.
Электронное согласие приравнивается к письменному, если оно отвечает всем предусмотренным требованиям.
Нужно ли переделывать согласия, оформленные до 1 сентября
Новые правила оформления согласия на обработку ПД применяются исключительно к документам, составленным с 1 сентября 2025 года. Ранее выданные договора сохраняют силу до завершения срока их действия.
Таким образом, если согласие от клиента или работника было подписано раньше этой даты, срок его не закончился и оно не отозвано, то переоформление не требуется.
Сервис 152DOC для 1С
152 DOC для 1С — удобный и простой в работе сервис, который помогает компаниям соответствовать требованиям закона 152-ФЗ об обработке неразглашении персональных данных. Формирует более 20 актов, приказов и положений: комплект документов по применению СКЗИ, ОРД, форму уведомления для Роскомнадзора. Остается только утвердить их и подписать у ответственных лиц.
Для чего предназначен сервис:
- обеспечивает полное соответствие обработки ПД нормам 152-ФЗ;
- защищает от проверок Роскомнадзора и минимизирует риски штрафных санкций;
- автоматизирует генерацию локальных нормативных актов, моделей угроз и документации для эксплуатации средств криптографической защиты информации (СКЗИ);
- готовит и отправляет в Роскомнадзор исходное или корректирующее уведомление;
- создает любое количество согласий на обработку, передачу или распространение ПД, адаптированных под конкретные цели бизнеса.
Сервис 152ДОК сервис для 1С подходит всем операторам персональных данных. Основные преимущества:
- Встроенный «Мастер-заполнения». Помогает поэтапно вводить данные о компании, выделяет пропуски или ошибки, автоматически подтягивает данные из ЕГРЮЛ.
- Режим «Одного окна». Хранение данных, создание новых пакетов или редактирование существующих документов — все в одном месте с экспортом в редактируемые форматы.
- Документы всегда доступны. Можно работать командой над их подготовкой, чтобы избежать штрафов в будущем.
Форматы документов автоматически обновляются при любых изменениях законодательства РФ. Сервис не нужно устанавливать на устройство, он позволяет работать из любой точки мира.
Штрафные санкции для операторов персональных данных
Закон № 152 предусматривает ответственность за разглашение персональных данных (например, за предоставление паспортных реквизитов третьим лицам). Величина штрафа определяется количеством скомпрометированных записей:
- от 1 000 до 10 000 — от 3 до 5 млн рублей;
- от 10 000 до 100 000 — от 5 до 10 млн рублей;
- свыше 100 000 — от 10 до 15 млн рублей.
Другие виды штрафов:
| Виды правонарушений | Санкции, руб. |
| Обработка ПД без законных оснований — отсутствие юридического обоснования для работы с данными | От 150 до 300 тыс. |
| Рекламные рассылки без согласия получателя | До 500 тыс. |
| Ответственность за повторные нарушения требований 152-ФЗ — ответственность | 1–3% от годовой выручки компании |
| Утечка биометрических и других специальных данных | До 500 млн, но не ниже 20 млн |
| Применение несертифицированных IT-систем | До 100 тыс. |
| Непредставление уведомлений Роскомнадзору о старте обработки данных | От 100 до 300 тыс. |
| Непредставление Роскомнадзору информации об утечке в течение 24 часов и непроведение расследования в течение 72 часов | От 1 до 3 млн |
