30 мая 2025 г. вступают в силу изменения в закон о персональных данных. Поправки, внесённые Федеральным законом от 30 ноября 2024 г. № 420-ФЗ, ужесточают контроль и увеличивают штрафы за нарушения. Теперь санкции могут достигать 500 млн. руб. — особенно в случае утечки данных.

Сейчас у компаний ещё есть время, чтобы подготовиться и избежать проблем. Вот что стоит сделать до конца мая.

  1. Проверьте, подано ли уведомление в Роскомнадзор

Даже если вы давно работаете с персональными данными, но никогда не подавали уведомление об обработке персональных данных — это нужно сделать. Обязанность касается всех компаний, включая тех, кто обрабатывает только данные сотрудников.

Есть три типа уведомлений:

  • о начале обработки персональных данных;
  • о внесении изменений;
  • о прекращении обработки.

Подать уведомление можно через сайт pd.rkn.gov.ru или на бумаге.

 

  1. Проверьте согласия на обработку персональных данных

Собирать и использовать данные физлиц можно только с их задокументированного согласия. Даже если штрафы за это не увеличиваются, их размер остаётся значительным — до 700 тыс. руб. за первое нарушение.

Исключения есть: отдельного согласия не нужно, если вы передаёте данные в государственные органы, как этого требует закон. Но если вы делегируете обработку данных сторонней компании (например, аутсорсинг бухгалтерии), согласие обязательно.

Важно: сейчас согласие можно включать в трудовой договор. Но это правило может скоро измениться — согласие придётся оформлять отдельно (законопроект № 679980-8 уже в Госдуме).

 

  1. Проведите ревизию хранимых персональных данных

Храните только то, что действительно нужно. Избавьтесь от:

  • устаревших копий документов;
  • данных уволенных сотрудников;
  • информации, на обработку которой истёк срок действия согласия.

Удаление должно быть оформлено актом. Документ об уничтожении персональных данных необходимо хранить в течение 3 лет.

 

  1. Защититесь от утечки данных

Компания обязана защищать персональные данные. На данный момент максимальный штраф за утечки составляет до 300 тыс. руб.

С 30 мая максимальные штрафы будут зависеть от масштаба утечки и типа данных. Повторные утечки будут поводом для оборотных штрафов, которые составят от 1 до 3% годовой выручки, но не менее 20 млн. руб. и не более 500 млн руб.

Важно: в случае утечки необходимо Роскомнадзор в течение 24 часов после ее обнаружения. В дальнейшем в течение 72 часов нужно отчитаться о результатах внутреннего расследования по факту утечки.

* * *

Мы рекомендуем оценить корректность работы с персональными данными в вашей компании в ближайшее время. Подайте уведомление в Роскомнадзор, обновите согласия и проведите аудит хранения данных.