Разработка сервисов
Заказная разработка
SeedKit
Робототехника
Дизайн сайтов и приложений
Интернет-маркетинг
Искусственный интеллект
Аналитика и аудит
Разработка сервисов
Заказная разработка
SeedKit
Робототехника
Дизайн сайтов и приложений
Интернет-маркетинг
Искусственный интеллект
Аналитика и аудит
Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете согласие на работу с этими файлами
давайте
обсудим ваш будущий
проект
обсудим ваш будущий
проект
10 сентября, 2025
Новые правила работы с персональными данными с 1 сентября 2025
В этой статье вы узнаете:
Новая реальность для всех, кто работает с персональными данными (ПДн) в России. С 1 сентября 2025 года вступили в силу масштабные поправки в Федеральный закон № 152-ФЗ «О персональных данных», которые кардинально меняют подходы к сбору, обработке, хранению и, что особенно важно, обезличиванию данных. Для ИТ-компаний, владельцев бизнеса и руководителей служб информационной безопасности это не просто очередные формальности, а прямое руководство к действию. Игнорирование новых требований грозит не только большими штрафами, но и репутационными потерями.
Эта трансформация превращает комплаенс из повседневных задач рядового сотрудника в стратегический приоритет для высшего руководства. Небрежное закону к данным становится экономически невыгодным и юридически опасным.
Эта трансформация превращает комплаенс из повседневных задач рядового сотрудника в стратегический приоритет для высшего руководства. Небрежное закону к данным становится экономически невыгодным и юридически опасным.
Изменения в работе с персональными данными с 1 сентября 2025
▶ Новые правила получения согласия на обработку
Главный принцип 2025 года — прозрачность и однозначность. Забудьте о «вшитых» в длинные пользовательские соглашения пунктах о согласии на обработку ПДн.
- Только отдельный документ: согласие на обработку персональных данных теперь должно быть оформлено исключительно как отдельный, самостоятельный документ. Включение его текста в договор оферты, политику конфиденциальности или любой другой документ является прямым нарушением.
- Конкретность и предметность: согласие должно быть не только добровольным, но и предметным, информированным и сознательным. Это означает, что пользователь должен четко понимать, какие именно данные, для каких конкретных целей и на какой срок он передает. Размытые формулировки «для улучшения качества сервиса» больше не работают.
- Новые штрафы: за нарушение правил получения согласия введены новые штрафы. Для юридических лиц они могут достигать 700 000 рублей, а при повторных нарушениях — и более высоких сумм.
▶ Обязательная передача обезличенных данных в ГИС
Одно из самых резонансных нововведений — обязанность операторов ПДн по запросу Минцифры предоставлять обезличенные персональные данные в государственную информационную систему (ГИС).
- Кто обязан: любой оператор, включенный в реестр Роскомнадзора.
- Что передавать: перечень запрашиваемых обезличенных данных будет указан в требовании от Минцифры. Важно отметить, что передаче не подлежат специальные категории ПДн (например, о здоровье, судимости) и биометрия.
- Цель: формирование государственных датасетов для аналитики, развития искусственного интеллекта и принятия управленческих решений.
▶ Ключевые запреты и требования при обезличивании
- Запрет на совместное хранение: категорически запрещено хранить исходный массив персональных данных и полученный в результате обезличивания набор в одной базе данных, одном файле или одной информационной системе. Они должны быть физически или логически разделены. В Положении об обработке персональных данных компании зафиксируйте применимое техническое решение, обеспечивающее раздельное хранение исходных и обезличенных данных.
- Запрет на раскрытие методики: внутренние регламенты, описывающие алгоритмы обезличивания, таблицы соответствия, ключи и прочую информацию о процедуре, являются конфиденциальной информацией. Их передача третьим лицам запрещена.
- Недостаточные меры не считаются обезличиванием: простое удаление столбца с ФИО при сохранении уникальной комбинации других данных (например, редкая должность + небольшой город + место работы) не является надлежащим обезличиванием. Аналогично, шифрование данных без безвозвратного уничтожения ключа — это мера защиты, а не обезличивание, так как сохраняется возможность обратной расшифровки.
- Обязательная оценка достаточности: перед применением выбранного метода оператор обязан провести оценку его достаточности. Цель — убедиться, что после всех преобразований невозможно с использованием разумных средств и методов определить принадлежность данных конкретному субъекту.
- Ведите письменный учет операций обезличивания в журнале, где отображайте каждую такую операцию. При проведении Роскомнадзором проверки вам необходимо будет предоставить подтверждение как самих операций обезличивания, так и порядка их осуществления. Для этих целей помимо записи в журнале учета будьте готовы предоставить отчет и акт с указанием обезличенной информации.
Для наглядности представим основные методы в виде таблицы.
Таблица: методы обезличивания согласно Приказу РКН № 140
▶ Как работать с персональными данными безопасно
Безопасность ПДн — это комплексная задача, включающая юридические, организационные и технические меры.
- Проведите аудит данных: определите, какие ПДн вы собираете, где они хранятся, кто имеет к ним доступ и, самое главное, для каких целей они используются. Избавьтесь от избыточных данных, которые вы собираете «на всякий случай». Помните: обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Для согласий по ст. 9 ч. 1 — можно указать несколько целей в одном согласии, но для согласий по ст. 9 ч. 4 — только одна цель на одно согласие.
- Актуализируйте локальные нормативные акты: ваша Политика в отношении обработки персональных данных, Положение о защите ПДн и другие внутренние документы должны соответствовать новым требованиям. Назначьте ответственного за обработку ПДн. Помните: ответственным за обработку ПДн может быть не только сотрудник вашей компании или Генеральный директор. Лицом, ответственным за обработку персональных данных вашей компании может быть приглашенное лицо или сторонняя организация.
- Обеспечьте локализацию баз данных: напоминаем о незыблемом правиле — сбор, запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ должны осуществляться с использованием баз данных, находящихся на территории России. Необходимо использовать сервисы (например, хостинг для чат-ботов), которые обеспечивают локализацию баз данных в России
- Внедрите технические меры защиты: используйте сертифицированные средства защиты информации (СЗИ), антивирусное ПО, системы предотвращения утечек (DLP), межсетевые экраны. Регулярно проводите тестирование на проникновение (пентесты).
- Обучайте сотрудников: человеческий фактор остается главной причиной утечек. Регулярно проводите инструктажи для сотрудников, имеющих доступ к ПДн, объясняя им риски и правила безопасной работы.
Методы обезличивания: что можно и что нельзя
С 1 сентября 2025 года вступил в силу новый приказ Роскомнадзора, утверждающий требования и методы обезличивания ПДн. Обезличивание персональных данных — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность данных конкретному субъекту.
▶ Разрешенные методы обезличивания предусмотрены Приказом Роскомнадзора от 19.06.2025 N 140
Предусмотрено несколько легитимных методов. Их можно использовать как по отдельности, так и в комбинации для достижения наилучшего результата.
- Метод введения идентификаторов: замена части персональных данных (например, ФИО и паспортных данных) на уникальные идентификаторы (ID) с созданием отдельной, надежно защищенной таблицы соответствий.
- Метод изменения состава или семантики:
- Удаление: прямое удаление атрибутов из набора данных (например, удаление столбца с адресами).
- Искажение: внесение контролируемых искажений (например, замена точного возраста на возрастной диапазон).
- Обобщение: замена точных значений на более общие (например, замена конкретного адреса на город или регион).
- Метод декомпозиции: разделение массива данных на несколько частей (например, одна таблица с ID и демографическими данными, другая — с ID и финансовой информацией) и их раздельное хранение.
- Метод перемешивания: случайная перестановка строк в базе данных для разрыва прямой связи между разными атрибутами одного субъекта.
▶ Что нельзя считать обезличиванием
Важно понимать: простое удаление имени и фамилии не всегда является достаточным обезличиванием. Если по совокупности оставшихся данных (например, уникальная должность в небольшой компании, почтовый индекс и год рождения) можно идентифицировать человека, данные не считаются обезличенными.
Запрещено:
Запрещено:
- Использовать методы, позволяющие осуществить обратное восстановление (деообезличивание) без доступа к специальным ключам или таблицам соответствия.
- Хранить обезличенную базу данных вместе с исходной базой персональных данных или ключами к ней в одной и той же незащищенной среде.
Наши популярные услуги
Когда обезличивание обязательно
Обезличивание ПДн является обязательным в следующих случаях:
- По достижении целей обработки: если вы собрали данные для определенной цели (например, для проведения маркетинговой кампании) и эта цель достигнута, вы обязаны либо уничтожить данные, либо обезличить их для дальнейшего использования в статистических или аналитических целях.
- По требованию Минцифры: как уже упоминалось выше, при получении официального запроса от ведомства на передачу данных в ГИС.
- Для статистических и исследовательских целей: если ваша компания планирует использовать накопленные данные для анализа рыночных трендов, обучения моделей машинного обучения или научных исследований, их необходимо предварительно обезличить.
Как подготовить сайт на соответствие новым правилам
Ваш веб-сайт — это «лицо» компании и первая точка сбора ПДн. Убедитесь, что он соответствует законодательству.
- Раздельные согласия: под каждой формой обратной связи, регистрации или подписки на рассылку должны быть отдельные чек-боксы для получения согласия на обработку ПДн. Текст согласия должен быть доступен по клику.
- Политика конфиденциальности: разместите на видном месте и сделайте легкодоступной Политику в отношении обработки персональных данных. Она должна быть написана понятным языком и содержать всю необходимую по закону информацию.
- Уведомление о cookie: реализуйте всплывающий баннер, информирующий пользователей об использовании файлов cookie и запрашивающий их согласие. Подготовьте политику обработки файлов cookie и разместите ее на сайте или интегрируйте положения об обработке cookie-файлов в политику конфиденциальности.
- Реквизиты оператора: в «подвале» сайта или в разделе «Контакты» укажите полное наименование вашей организации (оператора ПДн), ИНН и юридический адрес. А также электронный адрес для направления обращений субъектами ПДн, чтобы реализовать права на отзыв согласия и получения информации об обработке персональных данных.
Итоги для организаций: частые вопросы (FAQ)
Нет, отдельное согласие на само обезличивание не требуется. Обезличивание рассматривается не как новое действие с данными, требующее согласия, а как мера по их защите и выполнению требований закона. Оно проводится в рамках тех целей, на которые уже было получено первичное согласие на обработку.
Нет, закон не обязывает оператора уведомлять субъектов о факте обезличивания их данных. Это внутренний процесс компании, направленный на минимизацию рисков и выполнение законодательных норм.
Законодательство не устанавливает предельных сроков хранения именно для обезличенных данных. Поскольку они больше не являются персональными, на них не распространяется требование об уничтожении по достижении целей обработки. Обезличенные датасеты могут храниться до тех пор, пока они представляют ценность для компании (например, для аналитики трендов за длительный период). Главное условие — надежное раздельное хранение от исходных персональных данных.
Резюмируя вышесказанное, обезличивание обязательно:
- При достижении первоначальных целей обработки как альтернатива уничтожению.
- При получении соответствующего запроса от Минцифры.
- Перед использованием данных в статистических, исследовательских или аналитических целях, не связанных напрямую с первоначальной целью сбора.
Заключение: Не ждите штрафов — действуйте сейчас
2025 год кардинально меняет ландшафт регулирования персональных данных в России. Новые требования к согласиям, строгие правила обезличивания и беспрецедентно высокие штрафы делают пассивное ожидание и надежду на «авось» непозволительной роскошью. Промедление в адаптации к новым реалиям может стоить вашему бизнесу не только миллионов рублей в виде штрафов, но и невосполнимого репутационного ущерба.
Чтобы обеспечить полное соответствие законодательству и защитить свою компанию от новых рисков, необходимо действовать системно и безотлагательно.
Наша команда экспертов готова провести комплексный аудит ваших процессов обработки персональных данных, разработать всю необходимую юридическую документацию, помочь с внедрением технических мер защиты и привести ваши IT-системы в соответствие с самыми строгими требованиями регулятора.
Свяжитесь с нами сегодня, чтобы получить профессиональную консультацию и сделать ваш бизнес неуязвимым для вызовов 2025 года.
Чтобы обеспечить полное соответствие законодательству и защитить свою компанию от новых рисков, необходимо действовать системно и безотлагательно.
Наша команда экспертов готова провести комплексный аудит ваших процессов обработки персональных данных, разработать всю необходимую юридическую документацию, помочь с внедрением технических мер защиты и привести ваши IT-системы в соответствие с самыми строгими требованиями регулятора.
Свяжитесь с нами сегодня, чтобы получить профессиональную консультацию и сделать ваш бизнес неуязвимым для вызовов 2025 года.