Персональные данные (Последняя правка 11.06.2025)
Обновления в законодательстве о персональных данных: ключевые изменения и меры защиты для владельцев сайтов
С 2022 года в закон №152-ФЗ "О персональных данных" внесен ряд существенных поправок, которые ужесточают требования к обработке личной информации пользователей. Владельцам веб-ресурсов важно понимать эти изменения, чтобы избежать значительных штрафов и других санкций.
Основные изменения в законодательстве
Основные изменения в законодательстве
- Новые требования к обработке данных - С 1 сентября 2022 года и 1 марта 2023 года вступили в силу поправки, касающиеся политики обработки персональных данных и их трансграничной передачи 15. С 30 мая 2025 года ожидается дальнейшее ужесточение штрафных санкций.
- Расширенное понимание персональных данных - Теперь под это определение попадают не только явные идентификаторы (ФИО, телефон, email), но и косвенные данные, такие как cookie, IP-адреса, геолокация и даже информация о действиях пользователей на сайте.
- Увеличение штрафов- Максимальные штрафы за нарушения могут достигать миллионов рублей, а с мая 2025 года санкции станут еще строже . Например, за обработку данных без согласия штрафы составят до 700 тыс. рублей для юрлиц.
- Разработать и разместить политику обработки персональных данных
- Документ должен содержать четкие цели обработки, перечень собираемых данных, сроки хранения и информацию о возможной передаче третьим лицам.
- Политику необходимо разместить на отдельной странице сайта с доступной ссылкой, желательно в футере.
- Обеспечить получение согласия пользователей
- Под каждой формой сбора данных (обратная связь, регистрация, подписка) нужно размещать чек-бокс с текстом "Даю согласие на обработку персональных данных" и ссылкой на соглашение.
- Для cookie-файлов требуется отдельное уведомление при первом посещении сайта.
- Локализовать хранение данных в России
- Все персональные данные российских пользователей должны храниться на серверах, расположенных на территории РФ.
- Иностранные сервисы аналитики (Google Analytics и подобные) необходимо заменить на российские аналоги.
- Зарегистрироваться в реестре операторов персональных данных
- Подать уведомление в Роскомнадзор через портал персональных данных. https://esia2.rkn.gov.ru/auth/pdform
- Исключения составляют случаи обработки данных только для исполнения трудового законодательства или при работе исключительно с бумажными носителями.
- Подготовиться к запросам пользователей
- Разработать регламент ответов на обращения пользователей о их персональных данных (срок ответа - 10 рабочих дней).
- Создать процедуру реагирования на утечки данных.
- Для автоматизации процессов соответствия можно использовать специализированные сервисы, такие как "152DOC для 1С".
- Особое внимание уделить формам обратной связи, чат-ботам и страницам оплаты - они часто становятся объектами проверок.
- Даже если вы только временно собираете данные (например, для обратного звонка), это все равно считается обработкой персональных данных.
Шпаргалка
Нестеров Сергей (Grey Wolf), [05.06.2025 14:52]
Регистрация в Роскомнадзоре: изменения с 30 мая 2025 года для всех организаций (Шпаргалка)
https://esia2.rkn.gov.ru/auth/pdform
(Делаем авторизацию через государственные услуги)
Регион регистрации и сведения об операторе
В разделе «Сведения об операторе» заполняется информация о реквизитах (ЮЛ, ИП или самозанятом), которая обрабатывает персональные данные своих клиентов.
В поле «Регион регистрации» укажите субъект Российской Федерации, на территории которого зарегистрирована ваша организация в качестве юридического лица (ЮЛ), индивидуального предпринимателя (ИП) или самозанятого.
Регионы обработки *
Все субъекты Российской Федерации (Скрин1)
Цели обработки персональных данных ( Скрин1)
Категории субъектов, персональные данные которых обрабатываются (Скрин2)
Правовое основание обработки персональных данных (Скрин3)
Перечень действий и Способы обработки (Скрин4)
В качестве мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных», можно указать следующие:
издание оператором документов, определяющих политику оператора в отношении обработки персональных данных;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству;
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Если в вашем проекте (ИП или ЮЛ ) есть сотрудники в найме, также добавьте следующие меры:
назначение ответственного лица за обработку персональных данных;
установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
В поле «Средства обеспечения безопасности» укажите технические средства, которые обеспечивают безопасность персональных данных при их обработке.
Например:
использование антивирусных средств защиты информации (перечислите программы, которые используются);
идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия.
В поле «Использование шифровальных (криптографических) средств» выберите «не используются».
В подразделе «Ответственный за организацию обработки персональных данных» выберите лицо, на которого возложена ответственность за организацию обработки персональных данных:
Если в качестве самозанятого или ИП без сотрудников, то выберите вариант «Физическое лицо», укажите свои ФИО и контактные данные;
Если ЮЛ или ИП, у которого есть сотрудники, то выберите вариант «Физическое лицо» и укажите данные ответственного сотрудника;
Если обработка персональных данных поручена другой компании, то выберите вариант «Сторонняя организация» и заполните реквизиты организации.
В поле «Дата начала обработки персональных данных» укажите дату регистрации ИП, ЮЛ, статуса самозанятого.
В поле «Срок или условие прекращения обработки персональных данных» выберите «Условие окончания», а ниже укажите «Прекращение деятельности организации».
В поле «Осуществление трансграничной передачи персональных данных» выберите «не осуществляется».
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
(указываем данные вашего хостинга)
Для Tilda:
Адреса серверов Selectel: https://selectel.ru/about/data-centers/ (кроме Новосибирска)
Реквизиты Selectel: https://selectel.ru/about/details/
Адреса серверов Яндекс.Облако (Yandex Cloud) – https://yandex.cloud/ru/docs/troubleshooting/legal/how-to/data-centers-physical-addresses
Указать все адреса, которые перечислены на страницах сервисов.
Сведения об обеспечении безопасности персональных данных
В данном разделе указываются меры, которые предпринимаются, чтобы соблюдать требования, установленные постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Укажите следующие меры:
обеспечена сохранность носителей персональных данных;
используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Если ЮЛ или ИП с сотрудниками, то также добавьте:
утвержден руководителем оператора документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
Заполните информацию об исполнителе. Исполнителем является лицо, заполняющее форму уведомления в Роскомнадзор. Это может быть не ответственный за обработку персональных данных, а совсем другой человек, фактически заполнивший уведомление.
Важно!!
Если планируется подача уведомления в электронном виде с использованием ЭЦП, необходимо указывать данные лица, которому принадлежит ЭЦП.
Регистрация в Роскомнадзоре: изменения с 30 мая 2025 года для всех организаций (Шпаргалка)
https://esia2.rkn.gov.ru/auth/pdform
(Делаем авторизацию через государственные услуги)
Регион регистрации и сведения об операторе
В разделе «Сведения об операторе» заполняется информация о реквизитах (ЮЛ, ИП или самозанятом), которая обрабатывает персональные данные своих клиентов.
В поле «Регион регистрации» укажите субъект Российской Федерации, на территории которого зарегистрирована ваша организация в качестве юридического лица (ЮЛ), индивидуального предпринимателя (ИП) или самозанятого.
Регионы обработки *
Все субъекты Российской Федерации (Скрин1)
Цели обработки персональных данных ( Скрин1)
Категории субъектов, персональные данные которых обрабатываются (Скрин2)
Правовое основание обработки персональных данных (Скрин3)
Перечень действий и Способы обработки (Скрин4)
В качестве мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных», можно указать следующие:
издание оператором документов, определяющих политику оператора в отношении обработки персональных данных;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству;
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Если в вашем проекте (ИП или ЮЛ ) есть сотрудники в найме, также добавьте следующие меры:
назначение ответственного лица за обработку персональных данных;
установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
В поле «Средства обеспечения безопасности» укажите технические средства, которые обеспечивают безопасность персональных данных при их обработке.
Например:
использование антивирусных средств защиты информации (перечислите программы, которые используются);
идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия.
В поле «Использование шифровальных (криптографических) средств» выберите «не используются».
В подразделе «Ответственный за организацию обработки персональных данных» выберите лицо, на которого возложена ответственность за организацию обработки персональных данных:
Если в качестве самозанятого или ИП без сотрудников, то выберите вариант «Физическое лицо», укажите свои ФИО и контактные данные;
Если ЮЛ или ИП, у которого есть сотрудники, то выберите вариант «Физическое лицо» и укажите данные ответственного сотрудника;
Если обработка персональных данных поручена другой компании, то выберите вариант «Сторонняя организация» и заполните реквизиты организации.
В поле «Дата начала обработки персональных данных» укажите дату регистрации ИП, ЮЛ, статуса самозанятого.
В поле «Срок или условие прекращения обработки персональных данных» выберите «Условие окончания», а ниже укажите «Прекращение деятельности организации».
В поле «Осуществление трансграничной передачи персональных данных» выберите «не осуществляется».
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
(указываем данные вашего хостинга)
Для Tilda:
Адреса серверов Selectel: https://selectel.ru/about/data-centers/ (кроме Новосибирска)
Реквизиты Selectel: https://selectel.ru/about/details/
Адреса серверов Яндекс.Облако (Yandex Cloud) – https://yandex.cloud/ru/docs/troubleshooting/legal/how-to/data-centers-physical-addresses
Указать все адреса, которые перечислены на страницах сервисов.
Сведения об обеспечении безопасности персональных данных
В данном разделе указываются меры, которые предпринимаются, чтобы соблюдать требования, установленные постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Укажите следующие меры:
обеспечена сохранность носителей персональных данных;
используются средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Если ЮЛ или ИП с сотрудниками, то также добавьте:
утвержден руководителем оператора документ, определяющий перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей.
Заполните информацию об исполнителе. Исполнителем является лицо, заполняющее форму уведомления в Роскомнадзор. Это может быть не ответственный за обработку персональных данных, а совсем другой человек, фактически заполнивший уведомление.
Важно!!
Если планируется подача уведомления в электронном виде с использованием ЭЦП, необходимо указывать данные лица, которому принадлежит ЭЦП.