С 2025 года Федеральный закон №152-ФЗ кардинально ужесточил правила работы с персональными данными (ПДн): ФИО, телефонами, паспортами сотрудников и клиентов. Это не просто формальность. Роскомнадзор (РКН) требует от компаний и ИП, чтобы они:
- зарегистрировались в качестве оператора ПДн (уведомление в РКН).
- хранили данные только в России (требование о локализации данных).
- получали отдельные согласия, а не галочку в договоре.
За нарушение законодательства и требований РКН компаниям и ИП грозят реальные штрафы.
- Если забыли уведомить РКН — штраф 300 000 руб.
- За утечку данных или за использование зарубежной CRM — штраф в 18 000 000 руб.
Разбираем важнейшие изменения.
Кто обязан уведомлять Роскомнадзор?
Оператором ПДн считается любое лицо, определяющее цели обработки данных (сбор, хранение, передача). К нему относятся:
- Работодатели с кадровым учетом в 1С или Контур.Эльба.
- Сайты с формами заявок.
- ИП/самозанятые, ведущие клиентскую базу.
Уведомление в РКН нужно подать ДО того, как начнется работа с данными сотрудников или клиентов. Это прямо записано в законе (ст. 22 152-ФЗ). То есть сначала регистрируетесь, а потом заводите файл Excel с кадрами или форму на сайте. Но есть три случая, когда можно не подавать данные:
- Вся информация предназначена исключительно для трудовых отношений и оформляется только бумажном формате.
- Используется общедоступная информация из открытых источников (открытый профиль в vk.com или hh.ru).
- Если оформляются разовые сделки без последующего хранения.
Практика
ИП с тремя сотрудниками в Контур.Эльбе и формой обратной связи на сайте обязан уведомить РКН.
Порядок уведомления, форма и сроки
Форма утверждена Приказом Роскомнадзора №180 от 28.10.2022. Необходимо заполнить основные поля:
| Поле формы | Пример заполнения |
|---|---|
| Цели обработки | «Трудовые отношения, маркетинг» |
| Субъекты и данные | «Сотрудники (ФИО, СНИЛС), клиенты (email, телефон)» |
| Меры защиты | «Шифрование, ограничение доступа, ЦОД в РФ» |
Как предоставить данные
Рекомендуется предоставить онлайн через портал РКН с ЭЦП руководителя. Также можно использовать портал «Госуслуги» или почту. Срок рассмотрения — до 30 дней. Регистрация в реестре обязательна для всех операторов.
Ключевые изменения 2025–2026 годов
- Локализация данных (ст. 18.1 152-ФЗ)
Персональные данные российских граждан должны храниться на серверах в РФ. Запрещено использование зарубежных облачных сервисов (Google Analytics, Trello, Mailchimp). Нарушение влечет штрафы до 18 млн руб.
Рекомендация: Проведите аудит CRM и аналитики, мигрируйте на российские платформы (Яндекс.Облако, VK Cloud). - Согласия отдельным документом (с 01.09.2025)
Согласие на обработку ПДн оформляется конкретным документом, а не пунктом в договоре или оферте (ФЗ №156-ФЗ). Должны быть указаны:- Конкретные цели обработки.
- Перечень данных и действий.
- Срок действия и порядок отзыва.
Пример для клиента:
«Согласен на обработку email и телефона для уведомлений о заказах. Срок: 2 года. Отзыв: data@company.ru».
Биометрические и специальные данные требуют усиленной защиты и письменной формы.
- Минимизация данных
Собирайте только необходимые сведения. Пример: для рассылки достаточно email, паспортные данные избыточны.
В 2026 году ожидаются плановые проверки Роскомнадзора и ФСБ с использованием автоматизированных систем. Основное внимание будет уделено локализации, документации и использованию зарубежных сервисов.
Читайте также:
С 15 января 2026 года вступила в силу новая форма выписки ЕГРН
Добавить комментарий