С 1 сентября 2025 года обновляются правила работы с персональными данными. Штрафы за нарушения в этой сфере колоссальные — от 700 тысяч рублей до 15 миллионов рублей.
Во-первых, ужесточатся требования к оформлению согласия на обработку. Если сейчас многие компании включают пункт о персданных где-нибудь в конце договора, то с 1 сентября согласие должно быть оформлено в виде самостоятельного документа. В тексте согласия должны быть отображены сведения о субъекте и операторе персональных данных, перечень этих данных, цели и способы их обработки, срок действия согласия. При передаче третьему лицу в согласии также должны содержаться сведения о нем (поправки в ч. 1 ст. 9 закона от 27.07.2006 № 152-ФЗ, введенные законом от 24.06.2025 № 156-ФЗ).
Во-вторых, 1 сентября 2025 года начнут действовать новые правила обезличивания персональных данных, которые должны способствовать повышению уровню информационной безопасности. Предполагается, что обезличение позволит защитить персональные данные, то есть, даже если произойдет утечка данных клиентов, то злоумышленники не смогут вычислить по базе конкретного человека, не имея ключа или дополнительной информации. Правила, утвержденные приказом Роскомнадзора от 19 июня 2025 года №140, вводят 4 метода обезличивания для операторов персональных данных: введение идентификаторов, изменение семантики, агрегация и декомпозиция, перемешивание. Обезличивание персональных данных осуществляется с помощью специализированных технических средств. Операторы персональных данных будут передавать информацию о персданных в ГИС — государственную информационную систему в обезличенном виде. Биометрические персональные данные исключены из состава сведений для ГИС.
Компаниям, которые работают с персональными данными, к этой дате нужно привести информационные системы к соответствию новым стандартам Роскомнадзора и актуализировать локальные регламенты.
