Обработка персональных данных: что должен сделать каждый предприниматель
В 2025 году законодательство о персональных данных (ПДн) претерпело значительные изменения, которые затронули каждого предпринимателя. Если вы работаете с клиентами, сотрудниками или даже просто собираете данные через сайт, теперь вы обязаны соблюдать новые правила. Штрафы за нарушения стали существенно выше, поэтому лучше разобраться в требованиях заранее.
Кто считается оператором персональных данных?
Оператором признается любой бизнес, который получает и хранит данные людей: ФИО, телефон, e-mail, адрес, данные сотрудников, записи звонков, фото/видео, IP-адреса, cookie-идентификаторы и т. д. Это касается не только ООО, но и индивидуальных предпринимателей (ИП), а также самозанятых.
Что нужно сделать предпринимателю?
Вот ключевые шаги, которые помогут вам привести деятельность в соответствие с законом:
1. Подать уведомление в Роскомнадзор
С 30 мая 2025 года все операторы (включая ИП и самозанятых) обязаны подать уведомление о начале обработки персональных данных до того, как начать эту обработку. Раньше можно было уведомить постфактум, теперь это правило отменено. После получения уведомления Роскомнадзор в течение 30 дней вносит организацию в реестр операторов, что дает легальное право на сбор и обработку данных.
Важно: документы (политика, согласия и др.) должны быть разработаны и утверждены до подачи уведомления, так как сведения о них потребуются при заполнении формы.
2. Разработать и опубликовать Политику обработки персональных данных
Это ключевой документ, определяющий правила работы с данными сотрудников, клиентов и контрагентов. Хотя прямая обязанность утверждать Политику прописана в законе для организаций, ИП также должны ее разработать, если у них есть наемные работники или они обрабатывают данные контрагентов.
Закон требует опубликовать Политику или иным образом обеспечить неограниченный доступ к ней. Если вы собираете данные через сайт, Политика должна быть размещена в интернете. Рекомендуется сделать отдельную страницу и разместить ссылку на нее в футере (подвале) каждой страницы сайта.
3. Получать согласие на обработку по новым правилам
С 1 сентября 2025 года вступили в силу важные изменения:
-
Согласие должно быть оформлено отдельным документом, его больше нельзя включать в текст договора, пользовательское соглашение или ставить «галочку» в конце формы.
-
Согласие должно быть конкретным, информированным и однозначным.
-
Если у вас несколько целей обработки (например, для оказания услуг и для рекламы), нужно получать отдельные согласия под каждую цель.
Штрафы за нарушение правил получения согласия могут достигать от 300 тыс. до 700 тыс. рублей для организаций и ИП.
4. Разместить информацию на сайте
Если у вас есть сайт, где вы собираете персональные данные, необходимо:
-
Разместить Политику обработки ПДн с ссылкой на нее на каждой странице.
-
Указать контакты оператора и ответственного за обработку ПДн (юридический адрес, ИНН/ОГРН для юрлиц, e-mail для обращений).
-
Описать в общем виде меры защиты данных (шифрование каналов, резервное копирование, ограничение доступа и т.д.).
-
Для сайтов, использующих cookie, рекомендуется добавить Политику cookie и cookie-баннер при первом визите.
Какие штрафы грозят за нарушения?
В 2025 году ответственность значительно ужесточена:
| Нарушение | Штраф для ИП | Штраф для юрлиц |
|---|---|---|
| Отсутствие уведомления Роскомнадзора | до 50 000 ₽ | до 300 000 ₽ |
| Отсутствие Политики обработки ПДн | 10 000 – 20 000 ₽ | 30 000 – 60 000 ₽ |
| Обработка без письменного согласия | 40 000 ₽ | 150 000 ₽ |
| Нарушение общих требований к обработке | 150 000 – 300 000 ₽ | 150 000 – 300 000 ₽ |
Кроме того, за утечку данных предусмотрены штрафы до 15 млн рублей.
Что в итоге?
Чтобы избежать штрафов и работать легально, предпринимателю необходимо:
-
Подать уведомление в Роскомнадзор.
-
Разработать и утвердить Политику обработки ПДн.
-
Получать отдельные согласия на каждую цель обработки.
-
Разместить Политику и контакты на сайте (если есть сбор данных онлайн).
-
Обеспечить локализацию данных: с 1 июля 2025 года запрещено хранить и обрабатывать данные граждан РФ за пределами страны.
Рекомендуем провести ревизию всех процессов работы с персональными данными и при необходимости обратиться к юристу для разработки документов.
Готовые шаблоны документов для скачивания
Мы подготовили образцы всех ключевых документов:
- Политика обработки персональных данных
- Согласие на обработку персональных данных
- Приказ о назначении ответственного за обработку ПДн
- Перечень информационных систем
- Обязательство о неразглашении персональных данных
- Положение о защите персональных данных
- Согласие на распространение персональных данных
- Типовая должностная инструкция ответственного за обработку ПДн
- Типовой договор поручения на обработку персональных данных
Важно: Все шаблоны необходимо адаптировать под специфику вашего бизнеса — заменить названия организаций, должности, Ф.И.О., уточнить цели обработки и перечни обрабатываемых данных. Рекомендуем перед утверждением документов проконсультироваться с юристом.
