Как бизнесу работать с персональными данными в 2025 году

Главная
Блог
Как бизнесу работать с персональными данными в 2025 году

Закон о персональных данных уже не новость — в 2025 году он снова изменился. Если у вас есть клиенты, сотрудники или подрядчики, вы, скорее всего, попадаете под действие новых правил. Теперь важно не просто собрать согласия, а выстроить процессы так, чтобы спокойно пройти любую проверку, не потерять клиентов и не нарваться на серьёзные штрафы.

Кто теперь считается оператором и почему это важно

Оператором персональных данных становится каждый бизнес, который хоть раз записал контакт клиента, сотрудника или партнёра. Неважно, где и как: храните заказы в 1С, отвечаете клиенту в мессенджере, завели базу в Google Таблицах или переписываетесь с подрядчиком в WhatsApp. Всё это уже обработка данных, и вы автоматически берёте на себя ответственность за их безопасность и прозрачность.

Самые частые ошибки:

Контакты клиентов или сотрудников сохраняются в личных телефонах.
Базы клиентов ведутся в облаках или на серверах за рубежом, «потому что удобно».
Согласие на обработку никто не фиксирует: галочка стоит, но юридически ничего не хранится.
Доступ к важным данным имеют те, кому он по факту не нужен, просто так проще.
Удаляют данные только из CRM, но забывают про архивы, почту или Google Диск.

Всё это — типичные сценарии, за которые теперь можно получить штраф, даже если ни одной утечки не было.

Что грозит бизнесу за нарушение закона

В 2025 году штрафы выросли. За неуведомление Роскомнадзора — от 100 000 рублей, за ошибки в хранении и обработке — до трёх миллионов. Повторные утечки или крупные инциденты могут стоить до 3% годовой выручки. И это не метафора. Отдельно — уголовная ответственность: если данные передали или слили специально, за это теперь отвечают не только организации, но и конкретные сотрудники.

Какие данные попадают под закон

Закон охватывает гораздо больше информации, чем может показаться. Помимо очевидных ФИО, телефона или e-mail, персональными данными считаются любые сведения, которые позволяют прямо или косвенно идентифицировать человека:

Паспортные данные, ИНН, СНИЛС, серия и номер водительского удостоверения;
Домашний или рабочий адрес, место учёбы, дата рождения;
Банковские реквизиты и любые сведения о платёжных средствах;
Фото, видеозаписи, биометрические характеристики, электронная подпись;
История покупок и обращений, номера заказов, обращения в службу поддержки;
Переписка по электронной почте, в мессенджерах, даже если это не формализованные заявки;
IP-адрес, cookies, техническая информация, собираемая на сайте, история посещений;
Записи телефонных звонков, голосовые сообщения, аудиофайлы;
Любые файлы, которые пользователь загружает на сайт (резюме, презентации, анкеты).

Нестандартные примеры:

Переписка с клиентом или подрядчиком в чате Telegram, если там фигурируют личные данные.
Списки гостей для корпоративного мероприятия или розыгрыша.
Скан договора, где указан личный мобильный номер или адрес.
Карточка контакта в телефоне сотрудника, если там есть дополнительная личная информация.

Типичные нарушения:

Указаны только e-mail и телефон клиента, а паспортные данные хранятся в Excel-файле «для себя» — но об этом нет ни слова в политике или уведомлении.
Принимаете заказы через WhatsApp, сохраняете переписку, но не фиксируете согласие на обработку данных.
Используете облачные сервисы для обмена файлами, не убедившись, что серверы в России.

Готовимся по шагам — ничего сложного

Прежде чем отправлять уведомление в Роскомнадзор, начните с простого аудита. Где у вас появляются персональные данные? Это может быть сайт, мессенджеры, формы обратной связи, CRM, внутренние документы или даже бумажные анкеты. Проверьте, где реально хранятся эти базы.

Новое правило: все персональные данные россиян должны быть только на российских серверах.

Дальше назначьте ответственного. Обычно это кто-то из руководителей или юрист, но главное, чтобы человек понимал, что он будет отвечать на вопросы проверяющих. Обучите сотрудников: расскажите, как правильно хранить базы, где сохранять согласия, что делать при запросе на удаление данных. Сделайте простой регламент.

Обратите внимание, как собираются согласия: для сайта — отдельный чекбокс, в мессенджерах — автоответ или подтверждение, при очной работе — бумажное согласие или электронная подпись.

Что должно быть на сайте

Политика конфиденциальности в открытом доступе. Она должна быть понятна не только юристу, но и обычному посетителю. Хорошая практика — сделать краткое резюме в начале или оформить отдельную страницу с ответами на частые вопросы.
В каждой форме для связи, заказа или обратной связи должен быть отдельный чекбокс согласия на обработку персональных данных. Без согласия пользователь не сможет отправить запрос. Не используйте согласие по умолчанию, только активное действие пользователя.
Рядом с чекбоксом размещается ссылка на политику, чтобы человек мог быстро посмотреть, с чем соглашается.
Баннер о cookie появляется у всех новых пользователей — в нём простым языком описано, зачем собираются технические данные, и куда пользователь может обратиться по вопросам.
Если на сайте принимаются онлайн-платежи или оформляются заказы, обязательно разместите оферту (договор публичной оферты) и реквизиты вашей компании. Эти документы должны быть легко доступны, а их текст — актуальным.
Укажите способы связи и реквизиты для обращений по вопросам обработки персональных данных, чтобы пользователь знал, как подать запрос или жалобу.
Убедитесь, что сайт работает по защищённому протоколу HTTPS и все формы защищены от утечек. Применяйте технические меры — регулярные обновления, шифрование, резервное копирование.

Реальный пример ошибки: на сайте установлен чекбокс, но пользователь может отправить заявку и без него, либо ссылка на политику ведёт на неработающую страницу. Такие детали становятся поводом для проверки и часто приводят к штрафу.

Если не уверены, всё ли сделано корректно, проведите аудит или обратитесь за профессиональной настройкой. Это инвестиция, которая защищает бизнес от лишних рисков.

Когда и как подавать уведомление в Роскомнадзор

Не торопитесь отправлять уведомление сразу — сначала удостоверьтесь, что ваши процессы действительно отвечают всем требованиям закона. Уведомление — это не просто формальность, а юридически значимый шаг, который может быть проверен в любой момент.

Для подачи уведомления зайдите на сайт pd.rkn.gov.ru и воспользуйтесь специальной электронной формой. В заявлении обязательно указываются:

Полное наименование компании и ИНН;
Контактные данные и адрес местонахождения;
Перечень всех категорий персональных данных, которые вы собираете: ФИО, телефоны, e-mail, адреса, паспортные и платёжные данные, история заказов, фото, файлы, документы;
Конкретные цели обработки персональных данных: выполнение договоров, поддержка пользователей, маркетинг, обратная связь, выполнение требований закона;
Описание всех способов и каналов сбора данных: сайт, форма, мессенджеры, звонки, анкеты;
Места хранения и обработки данных, в том числе названия облачных сервисов и дата-центров (важно указать, что серверы расположены в России);
Сроки хранения и правила уничтожения данных;
Кто из сотрудников или подрядчиков имеет доступ к данным и на каком основании;
Сведения о технических и организационных мерах безопасности: шифрование, разграничение доступа, резервное копирование, ведение журналов событий;
Фамилия и должность ответственного сотрудника по работе с персональными данными;
Планируемая или уже действующая передача данных третьим лицам и основания для этого (например, интеграция с CRM, бухгалтерией, платёжными системами).

Уведомление подаётся онлайн, и после регистрации ваши сведения попадают в специальный реестр. Проверяйте статус через Личный кабинет на сайте Роскомнадзора — вы должны быть уверены, что сведения актуальны, особенно если что-то меняется: появился новый подрядчик, добавили новую категорию данных или сменили систему хранения.

Даже если у вас немного клиентов или только внутренний учёт сотрудников, регистрация обязательна — это требование закона. За отсутствие уведомления или подачу недостоверных сведений предусмотрены отдельные штрафы.

Что изменилось дополнительно

В 2025 году появились важные дополнения и ужесточения к базовым требованиям. Теперь если данные россиян хранятся на зарубежных серверах — это считается серьёзным нарушением локализации. Роскомнадзор получил право не только штрафовать, но и блокировать сайты или сервисы, которые продолжают использовать иностранные дата-центры для персональных данных.

Кроме этого, вступили в силу правила по предоставлению обезличенных данных по требованию надзорных органов. Если приходит официальный запрос от Роскомнадзора, компания обязана выгрузить и передать специальные массивы обезличенных данных в государственную информационную систему (ГИС). Это используется для аналитики и контроля за обработкой данных в стране. Исключение — биометрические и медицинские сведения: такие категории не подлежат выгрузке, чтобы дополнительно защитить права граждан.

Если субъект персональных данных не хочет, чтобы его обезличенная информация попадала в государственную систему, он может подать письменный отказ оператору. В этом случае компания обязана учесть этот отказ при формировании отчётности и данных для Роскомнадзора.

Всё это означает, что требования к прозрачности процессов и безопасности хранения данных стали заметно жёстче, и бизнесу нужно внимательно пересмотреть всю цепочку передачи, обработки и хранения данных.

Как избежать проблем

Если во всём этом не хочется разбираться самому, можно обратиться за аудитом и внедрением под ключ. Компания АНИТ помогает бизнесу на всех этапах: проверит процессы, обновит сайт, внедрит хранение согласий, подготовит все документы, обучит команду и подаст уведомление в Роскомнадзор. Вы работаете спокойно, клиенты доверяют, а штрафов и проверок можно не бояться.

Материал подготовлен по состоянию на июль 2025 года с учётом всех актуальных требований и изменений законодательства.

Подписывайтесь на наши каналы

Vkontakte Telegram

digital

Обсудим
ваш проект

Оставьте заявку, заполнив контактные данные, и мы вместе обсудим ваш проект