D152.RU
← Ко всем статьям

📚 блог D152

Политика обработки персональных данных: изменения с 1 сентября 2025

17 ноября 2025Юридический отдел D152

С 01.09.2025 политика ПДн должна описывать категории данных, сроки хранения, передачу третьим лицам и новые права пользователей. Объясняем, что поменять на сайте.

#ФЗ-152#privacy#compliance

Политика обработки персональных данных: изменения с 1 сентября 2025

Что изменилось с 1 сентября 2025

С 1 сентября 2025 года вступают в силу изменения в 152-ФЗ «О персональных данных», которые ужесточают требования к операторам персональных данных. Основные нововведения касаются прозрачности обработки данных и прав субъектов.

Кому нужна политика обработки ПД

Политика конфиденциальности обязательна для всех сайтов, которые:

  • Собирают email, телефон, ФИО пользователей
  • Используют формы обратной связи или регистрации
  • Устанавливают cookie-файлы
  • Используют аналитику (Яндекс.Метрика, Google Analytics)
  • Принимают заказы или заявки

Штрафы за отсутствие: от 30 000 до 100 000 ₽ (ст. 13.11 КоАП РФ)

Обязательные разделы политики (новые требования 2025)

1. Оператор персональных данных

  • Полное наименование организации/ФИО ИП
  • ИНН, ОГРН, юридический адрес
  • Контакты для обращений по вопросам ПД
  • НОВОЕ: Номер в реестре операторов Роскомнадзора (если есть)

2. Какие данные собираются

Конкретный перечень:

  • ФИО, email, телефон
  • IP-адрес, данные браузера
  • Cookie и другие технологии
  • НОВОЕ: Обязательно указывать категории ПД: общие, биометрические, специальные

3. Цели обработки персональных данных

НОВОЕ: Цели должны быть конкретными и заранее определенными:

  • ✅ «Для отправки заказа по адресу доставки»
  • ❌ «Для улучшения сервиса» (слишком размыто)

Примеры легальных целей:

  • Обработка заказа и доставка товара
  • Обратная связь с клиентом
  • Информирование о статусе заказа
  • Маркетинговые коммуникации (с согласия)
  • Выполнение договорных обязательств

4. Правовые основания обработки

Укажите основание из ч. 1 ст. 6 152-ФЗ:

  • Согласие субъекта ПД
  • Исполнение договора
  • Выполнение законодательных требований
  • Защита жизни и здоровья
  • Осуществление прав и законных интересов

НОВОЕ: Для каждой категории данных нужно указать своё основание.

5. Способы обработки и защиты данных

Обязательные меры безопасности:

  • Шифрование передачи данных (SSL/TLS сертификат)
  • Защита от несанкционированного доступа
  • Ограничение доступа сотрудников
  • Регулярное резервное копирование
  • НОВОЕ: Конкретные организационные и технические меры

6. Сроки хранения персональных данных

НОВОЕ: Нельзя писать «бессрочно» или «пока не попросят удалить».

Правильно:

  • «3 года после последнего обращения»
  • «До момента достижения цели обработки»
  • «В течение срока действия договора + 5 лет» (для бухгалтерии)

7. Передача данных третьим лицам

Обязательно указать:

  • Кому передаются (платежные системы, курьерские службы, CRM)
  • На каком основании
  • Какие конкретно данные
  • НОВОЕ: Страна нахождения третьих лиц

Важно для 2025: Если используете зарубежные сервисы (Google, Meta), нужно указать механизм передачи за границу и получить согласие.

8. Права субъекта персональных данных

Расширенный список прав с 2025:

  • Получить информацию об обработке своих ПД
  • Потребовать уточнения, блокирования, удаления
  • Отозвать согласие на обработку
  • Обжаловать действия оператора в Роскомнадзоре
  • НОВОЕ: Право на забвение (полное удаление данных)
  • НОВОЕ: Право на переносимость данных в машиночитаемом формате
  • НОВОЕ: Право на ограничение обработки

9. Cookie и аналитика

НОВОЕ: Требуется активное согласие на cookie, всплывающее окно недостаточно.

Нужно указать:

  • Какие cookies используются (функциональные, аналитические, маркетинговые)
  • Срок хранения каждого типа
  • Возможность управления cookies
  • Сервисы аналитики (Яндекс.Метрика, Google Analytics)

10. Контакты и порядок обращений

  • Email для запросов по ПД
  • Срок ответа на обращения (не более 30 дней)
  • НОВОЕ: Форма для подачи запросов на сайте

Новые требования к согласию на обработку ПД (2025)

До 2025: Чекбокс «Согласен с политикой конфиденциальности»
С 2025: Детальное согласие по категориям:

☑ Согласен на обработку ПД для исполнения договора (обязательно)
☐ Согласен на получение маркетинговых рассылок (опционально)
☐ Согласен на передачу данных партнерам для улучшения сервиса (опционально)
☐ Согласен на использование cookie для аналитики (опционально)

Как правильно разместить политику на сайте

  1. Отдельная страница /privacy или /privacy-policy
  2. Ссылка в футере на каждой странице сайта
  3. Перед сбором данных — чекбокс со ссылкой на политику
  4. НОВОЕ: Всплывающее окно с кратким содержанием при первом посещении
  5. Дата последнего обновления — обязательно указывать

Что делать при изменении политики

НОВОЕ обязательство:

  • Уведомить пользователей за 30 дней до вступления изменений
  • Получить повторное согласие, если изменились цели или объем обработки
  • Сохранять все предыдущие версии с датами

Уведомление Роскомнадзора

Нужно уведомить, если:

  • Обрабатываете ПД без согласия субъекта
  • Ведете картотеки/базы данных с ПД
  • Не подпадаете под исключения (малый бизнес до 10 сотрудников имеет льготы)

Срок: В течение 30 дней после начала обработки ПД

НОВОЕ: С 2025 года уведомление можно подать только через ЕСИА (Госуслуги)

Типичные ошибки в политиках

❌ Копирование шаблона без адаптации под свой сайт
❌ Нет конкретики: «третьи лица», «партнеры» без указания кто именно
❌ Указано «бессрочное хранение»
❌ Не перечислены все используемые cookie
❌ Нет информации о правах пользователей
❌ Политика на английском языке (для .ru сайтов обязательно на русском)

Ответственность за нарушения (2025)

Нарушение Штраф для ИП Штраф для юрлиц
Нет политики на сайте 30 000 - 50 000 ₽ 100 000 - 300 000 ₽
Нарушение порядка обработки 10 000 - 20 000 ₽ 60 000 - 100 000 ₽
Неуведомление Роскомнадзора 300 - 500 ₽ 3 000 - 5 000 ₽
Утечка персональных данных 50 000 - 75 000 ₽ 500 000 - 1 000 000 ₽

НОВОЕ: С 2025 года введена уголовная ответственность за массовые утечки ПД (ст. 137 УК РФ).

Международные аспекты (GDPR)

Если у вас есть клиенты из ЕС, дополнительно нужно соблюдать GDPR:

  • Назначить представителя в ЕС (при обороте >10 млн €)
  • DPO (Data Protection Officer) для обработки >5000 субъектов
  • Более строгие требования к согласию
  • Штрафы до 4% от глобального оборота

Практические рекомендации

  1. Обновите политику до 1 сентября 2025 с учетом новых требований
  2. Проведите аудит всех форм сбора данных на сайте
  3. Внедрите детальное согласие вместо общего чекбокса
  4. Настройте систему уведомлений об изменениях политики
  5. Обучите сотрудников правилам работы с ПД

Резюме

Политика конфиденциальности — это не просто формальность для галочки. С 2025 года требования ужесточились, а штрафы выросли. Уделите время качественной подготовке документа, адаптированного под вашу специфику.

Важно: Используйте профессиональные сервисы генерации или консультируйтесь с юристом. Типовые шаблоны могут не учитывать новые требования законодательства.