Новые требования к сбору, хранению и обработке персональных данных с 30 мая 2025 года

С 30 мая 2025 г. вступили в силу новые требования к обработке персональных данных (ПД). Законодатель ужесточил санкции за нарушения ряда уже существующих требований, повысил штрафы за нарушения и добавил ряд новых положений. Перечислим наиболее существенные изменения:

Категории персональных данных

Закон теперь чётко делит все персональные данные на три категории с разными режимами обработки:

• Биометрические данные (голос, отпечатки пальцев, снимок сетчатки и пр.) – разрешено использовать только при наличии письменного согласия субъекта. Это требование установлено прямо в ст. 11 Федерального закона о персональных данных № 152-ФЗ (Закон о ПД) и означает, что электронного или устного согласия для обработки таких данных недостаточно.
• Специальные категории данных (сведения о здоровье, расовой или религиозной принадлежности, политических взглядах, судимостях и т.д.) – их обработка требует явного информированного согласия субъекта. Такие данные оператору рекомендуется хранить в обезличенном виде, если это возможно, чтобы минимизировать риски разглашения. Закон о ПД (ст. 10) допускает обработку таких данных только при соблюдении специальных условий, включая получение отдельного согласия от субъекта данных.
• Обычные персональные данные (ФИО, телефон, электронная почта, адрес и пр.) – как и раньше, могут собираться и использоваться на общих основаниях: либо с согласия субъекта, либо для исполнения договора с ним. Например, имя и контакты клиента можно обрабатывать для выполнения его заказа (заключения договора) или на основании пользовательского соглашения – отдельное письменное согласие для обычных данных не требуется, достаточно соблюдения общих принципов обработки (ст. 6 Закона о ПД).

Новые условия и ограничения

Операторам персональных данных (то есть практически всем организациям, обрабатывающим данные клиентов, пользователей сайта, сотрудников и т.п.) предписано соблюдать обновлённые принципы сбора и хранения данных.

Важно учесть: теперь запрещено начинать сбор персональных данных граждан РФ в базах данных, расположенных за рубежом

Иными словами, всю информацию нужно изначально принимать и сохранять только на серверах, физически находящихся в России (эта норма закреплена в новой редакции ч. 5 ст. 18 Закона о ПД). Ранее закон требовал наличия баз данных в РФ, но фактически позволял обрабатывать данные и за границей через подрядчиков. Теперь же внесены поправки, прямо обязывающие обрабатывать данные российских граждан исключительно на территории РФ – это касается и сторонних обработчиков, привлечённых оператором.

Ужесточены общие требования к защите и безопасности при обработке ПД

К примеру, если компания обрабатывает сверхбольшие объёмы данных (по новой рекомендации – более 1 млн записей в год), ей необходимо пройти сертификацию системы защиты информации в аккредитованном центре.

Это нововведения направлены на подтверждение того, что информационные системы оператора защищены надлежащим образом. Таким образом, крупным сервисам с большими клиентскими базами, нужно заложить время и ресурсы на прохождение такой сертификации, иначе при проверке могут быть выявлены нарушения (п. 2, п.п. 3 и 3.1 ст. 19 Закона о ПД).