Главная /
Блог OkoCRM /
Инструменты /
Как работать с персональными данными в 2025 году: гайд для бизнеса

Как работать с персональными данными в 2025 году: гайд для бизнеса

Инструменты
Обновлено: 16.02.2025
167
Время чтения: 9 минут
Дарья Тильная
Автор
Содержание

Все, кто собирает и обрабатывает персональные данные, должны отчитаться в Роскомнадзор и собрать согласие на обработку данных. Это должны сделать и юридические лица, и ИП, и самозанятые. И даже те, кто просто выложили отзывы на свою работу в соцсетях.

В статье рассказываем, как работать с персональными данными в 2025 году, как защититься от штрафов и какие отчёты сдавать.

OkoCRM помогает бизнесу расти
Эффективно управляйте отделом продаж и клиентской базой, объединяйте вместе мессенджеры и соцсети, общайтесь с клиентами и продавайте больше.
Попробовать бесплатно

Особенности работы с персональными данными

Что такое персональные данные — ПД. Это информация о клиенте, например, имя и номер телефона, имя и email-адрес или ник в соцсетях, ФИО и место жительства или место работы. То есть, если вы предлагаете клиентам подписаться на рассылку, заполнив форму с контактами и именем, вы обрабатываете персональные данные.

К персональным данным относятся фотографии, ФИО, контакты, информация о работе, профессии или прописке. Но только если эта информация собрана в совокупности. Просто имя и фамилия не считаются персональными данными — у человека может быть тёзка. А вот номер телефона или местожительства помогут идентифицировать человека, поэтому в дополнении к имени это считается персональными данными.

Любые предприниматели, самозанятые, физические лица, компании, работающие с персональными данными, считаются операторами персональных данных.

ОПД должен:

  • получить согласие на их обработку
  • обеспечить их конфиденциальность
  • уведомить Роскомнадзор о том, что будете обрабатывать данные — единожды подать заявку

Так выглядит заявка на работу с персональными данными в 2025 году, её можно подать через Госуслуги или сайт Роскомнадзора.

Любой работодатель по умолчанию является оператором персональных данных, так как он собирает информацию о своих сотрудниках. Физические лица, которые собирают данные о своей семье, чтобы составить семейное древо, ОПД не являются. Но если физлицо составит реестр с данными, которые можно будет использовать для коммерческой деятельности, нужно регистрироваться в Роскомнадзоре.

Ещё пример. Предприниматель выкладывает на сайте или в соцсетях отзывы клиентов. Если есть фотография, фамилия и имя клиента или его ник в соцсетях, человека можно идентифицировать. Значит предприниматель является оператором персональных данных, ему нужно регистрироваться в Роскомнадзоре, получать согласие на обработку данных и т. д.

Если предприниматель заблюрит фотографию на отзыве и оставит только имя, человека не получится идентифицировать. Значит, никаких регистраций не нужно.

Роскомнадзор, оказывается, находит возможные нарушения в интернете с помощью искусственного интеллекта. У нас недавно был случай: пришла претензия от РКН с требованием объяснить законность размещения фотографий людей на нашем сайте. Оказывается, нейросеть нашла их в интернете — определила по лицам, и решила, что это возможные нарушения. На этом основании РКН потребовал, чтобы мы показали письменное согласие от всех людей, чьи фотографии мы разместили на сайте.

Александра Кулемина
директор учебного центра

Персональные данные: изменения в 2025 году

Новая форма согласия на обработку данных

Чтобы собирать данные клиентов или сотрудников, нужно получить их согласие. Для этого подписывают специальный документ, который компания может разработать самостоятельно, так как унифицированной формы нет.

Новая форма согласия на обработку данных, переданных в ЕСИА и ЕБС →

С 1 января 2025 года утверждена новая форма согласия на обработку ПД, которые будут размещать в системах ЕСИА и ЕБС. В распоряжении Правительства № 856-р от 09.04.2024 утверждены бумажная и электронная формы согласия на размещение и обработку персданных в единой системах идентификации и аутентификации (ЕСИА) и единой биометрической системе (ЕБС).

Получать согласие по новым формам нужно банкам и всем компаниям, которые передают данные в ЕСИА и ЕБС.

Увеличение штрафов

В этом году увеличиваются штрафы за неуведомление Роскомнадзора о том, что в компании будут обрабатывать персональные данные. С 30 мая 2025 года действуют поправки в ст. 13.11 КоАП РФ по Федеральному закону от 30.11.2024 № 420-ФЗ. С этого времени за отсутствие регистрации в Роскомнадзоре придётся платить увеличенные штрафы за персональные данные, в 2025 году это:

  • 5 000 — 10 000 ₽ — для физических лиц
  • 30 000 — 50 000 ₽ — для должностных лиц
  • 100 000 — 300 000 ₽ — для ИП и организаций

Если вы раньше подавали заявку, советуем проверить, какие цели обработки данных вы указывали. Если цели изменились, стоит отправить в Роскомнадзор уведомление через сайт, ЕСИА или заказным письмом.

Штрафы за утечку данных также увеличились:

Утечка данных, кол-во челШтрафы для физлиц и ИП, ₽Штрафы для должностных лиц, ₽Штрафы для юрлиц, ₽
1000 – 10 000100 000 – 200 000200 000 – 400 0003 – 5 млн
10 000 – 100 000200 000 – 300 000300 000 – 500 0005 – 10 млн
Свыше 100 000300 000 – 400 000400 000 – 600 00010 – 15 млн

Запрет на включение согласия в другие документы

С 1 марта 2025 года нужно предоставлять согласие на обработку персональных данных как отдельный документ. Допустим, человек приходит в частную клинику. Ему дают подписать договор на оказание услуг, отдельно выдают согласие на обработку персданных и другие документы. Нельзя вписать элементы согласия отдельным пунктом в договор. Это будет считаться нарушением.

Передача обезличенных сведений в ГИС

С 1 сентября 2025 года все, кто зарегистрирован в Роскомнадзоре в качестве оператора ПД, по требованию Минцифры должны передавать обезличенные данные в ГИС. Это будет работать примерно так:

  • Минцифры предоставит компании документ, в котором будет описано, какие данные и когда нужно передать
  • данные обезличат
  • министерство сформирует составы данных
  • составы с обезличенным данными будут доступны операторам ПД, но только в системе Министерства, скачать их или передать третьим лицам не получится
OkoCRM — идеальная система для отдела продаж
Чаты с клиентами, автоматические воронки продаж, чат-боты, канбан-доски с задачами, нейросеть и всё, что нужно для продаж.
Узнать подробнее

Как подготовиться к работе с персональными данными

Какие документы собрать

Ст. 18.1 закона от 27.07.2006 № 152-ФЗ обязывает операторов ПД издать документы, которые позволят защитить данные. Какой список документов нужен по персональным данным:

Политику обработки и защиты ПД. Это внешний документ, к которому должен быть свободный доступ, поэтому его добавляют на сайт. В нём описываю все тонкости обработки персональных данных в 2025 году: какую информацию вы храните, с какой целью и как её защищаете. Обычно документ добавляют в подвал сайта, закрепляют в форме сбора контактов.

Вот на сайте закреплена политика обработки персональных данных, в 2025 году так нужно сделать всем.

Структура документа такая:

  • Основные данные об операторе
  • Цели сбора данных, они должны быть конкретными
  • Правовые основания сбора ПД: уставные документы компании
  • Категории людей, чьи данные вы будете обрабатывать
  • Все действия, которые будете совершать с ПД

Пример политики обработки и защиты персданных.

Если в политике вы указали несколько целей, но дополнительно используете данные для других целей, вы нарушаете закон. Цели, описанные в документе, должны совпадать с тем, что вы на самом деле делаете с персональными данными в 2025 году. То же самое касается и целей в заявке в Роскомнадзор.

Также важно указать все категории людей, чьи данные вы обрабатываете. Например, в процессе найма сотрудников в компании собирают информацию о кандидатах, сотрудниках и их родственниках. Нужно перечислить все категории, а не только сотрудников.

Положение о работе с ПД. В этом внутреннем документе описывают правила, в соответствии с которыми сотрудники компании будут хранить, обрабатывать данные. Правила должны соответствовать закону 152-ФЗ. В документе описывают нюансы работы с персональными данными клиентов или сотрудников:

  • цели положения
  • состав персональных данных
  • документы, которые содержат такие данные
  • отдельно стоит описать особенности каждого действия с данными: получения, хранения, использования, распространения
  • прописывают гарантии конфиденциальности

Обязательство о неразглашении ПД. Этот документ должны подписать сотрудники. Таким образом все, кто будет иметь доступ к персональным данным, подтвердят, что не станут передавать информацию третьим лицам.

Как собирать согласия на обработку персональных данных

Просто так собирать и работать с данными нельзя, нужно получить согласие на обработку персональных данных в 2025 году. Например, нельзя просто добавить на сайт форму для сбора email-адресов и телефонов. К этой форме обязательно нужно прикрутить чекбокс, с помощью которого пользователь дает согласие на обработку данных.

Просто так собирать и работать с данными нельзя, нужно получить согласие на обработку персональных данных в 2025 году. Например, нельзя просто добавить на сайт форму для сбора email-адресов и телефонов. К этой форме обязательно нужно прикрутить чекбокс, с помощью которого пользователь дает согласие на обработку данных. 

Если сюда не добавить чекбокс без галочки, собирать данные вы будете незаконно, несмотря на наличие всех политик и положений о ПД.

Образец согласия на обработку персональных данных 2025.

Если кратко, чтобы не нарушать, сделайте вот что:

  • Составьте политику обработки данных, форму согласия обработки данных. Одна цель сбора данных — одна форма, если целей несколько, составьте форму под каждую из них
  • Добавьте чекбокс во все формы сбора заявок, это позволит пользователю дать согласие на обработку персональных данных в 2025 году. Галочку не ставьте, это должен сделать пользователь
  • Если работаете с клиентами офлайн, распечатайте форму согласия и подписывайте их с клиентами
  • Добавьте на сайт уведомление о сборе cookie-файлов
Все чаты с клиентами в одном чате OkoCRM
В одном окне диалоги в Telegram, WhatsApp и Viber, Вконтакте и чат на сайте, почта и другие каналы продаж. Все переписки в одном омниканальном чате.
Попробовать бесплатно

Как хранить персональные данные

Есть несколько правил работы с персональными данными в организации:

  • Данные можно хранить хоть на бумаге, хоть в электронном виде или и так, и так. Главное укажите способы хранения во всех внутренних и внешних документах
  • Сервера с персональными данными должны находиться на территории России
  • Данные хранят столько, сколько нужно для ваших целей. Сроки прописывают в положениях, политике. Когда срок истекает, максимум через 30 дней данные нужно обезличить или уничтожить

Уровень защиты персональных данных в 2025 году зависит от их категории, которые установлены в Постановлении Правительства РФ № 1119. Всего есть четыре категории:

  1. Специальные. Сюда относятся религиозные убеждения, политические взгляды, сведения о национальности.
  2. Общедоступные. К этой категории относятся номера телефонов, адреса, email, ФИО, пол, ИНН, гражданство и т. д.
  3. Биометрические. Это не только отпечатки пальцев, но и фотографии, сведения о группе крови, анализы ДНК.
  4. Иные. Все остальные данные, например, принадлежность к какой-то социальной группе.

Для каждой категории персональных определены средства защиты. Их можно изучить в таких нормативно-правовых документах:

Определить уровень защищенности персональных данных можно с помощью калькулятора ФСТЭК, но для этого нужно правильно задать все параметры. Поэтому лучше обратиться за помощью к специалисту по информационной безопасности, он точно знает правила работы с персональными данными.

Пример расчёта нужного уровня защищённости ПД.

Чек-лист: как работать с персональными данными в 2025 году

  1. Подайте заявку в Роскомнадзор на сайте или через Госуслуги, без этого обработка персональных данных в 2025 году невозможна
  2. Сделайте форму согласия на обработку персональных данных отдельным документом
  3. Добавьте чекбокс с согласием на обработку данных во все формы сбора заявок. Галочку не ставьте, это должен сделать клиент
  4. Если работаете с клиентами офлайн, распечатайте форму согласия и подписывайте их с клиентами.
  5. Добавьте на сайт уведомление о сборе cookies
  6. Составьте политику обработки и защиты данных, положение о работе с ПД, обязательство о неразглашении
  7. Данные можно хранить хоть на бумаге, хоть в электронном виде или и так, и так. Главное укажите способы хранения во всех внутренних и внешних документах
  8. Проверьте, что данные достаточно защищены с помощью калькулятора ФСТЭК
  9. Сервера с персональными данными должны находиться на территории России
  10. Данные хранят столько, сколько нужно для ваших целей. Сроки прописывают в положениях, политике. Когда срок истекает, данные нужно обезличить или уничтожить
Попробуйте OkoCRM бесплатно
Мощная система для автоматизации продаж, проектов и общения с клиентами. Чаты и боты, клиентская база, сделки, таск-трекер, ИИ и многое другое.
Что умеет OkoCRM
А вы что думаете?
Добавить комментарий
Отмена
Статья помогла вам?
Да Нет
Благодарим за оценку!

Ваши оценки помогают сделать блог еще лучше и информативнее.

Вы можете ознакомиться с другими статьями по этой теме ↓ и подписаться на рассылку о новых статьях (спамить не будем, обещаем:)

Положительно оценили статью: 2 пользователя

Сейчас читают

Юлия Кабанова
Как ИП получить больничные и декретные в 2025 году
Инструменты
16 марта 2023
1296
1
Юлия Кабанова
Отказное письмо: что это такое и как оформить в 2025 году
Инструменты
31 июля 2024
732
Юлия Кабанова
Анализ пяти сил Портера — что это и для чего
Инструменты
6 апреля 2023
21311
5
Получайте статьи почтой. Самое важное и дважды в месяц. Иногда смешно, но не сильно
CRM Проекты Блог Меню
По всему сайту
Назад
Регистрация
Войти
Наверх
Мы используем cookie для вашего удобства. Используя сайт, вы соглашаетесь с этим. Подробнее - в политике конфиденциальности.
Я согласен