Дедлайн — 1 сентября. Как бизнесу избежать штрафов РКН за обработку персональных данных

Если ваша деятельность связана с анализом клиентских данных, маркетингом или тестированием гипотез, новые требования регулятора ставят перед бизнесом срочную задачу. Времени на долгую подготовку нет, и откладывать адаптацию — значит осознанно идти на юридические риски.

Наша цель — помочь разобраться в критических требованиях законодательства и минимизировать вероятность претензий со стороны Роскомнадзора.

Ключевые изменения: суть требований с 1 сентября

С 1 сентября 2025 года вступает в силу приказ Роскомнадзора №140, который вводит новый регламент обезличивания персональных данных. Прежние методы, не закреплённые в локальных актах организации, становятся нелегитимными.

Для операторов ПДн это означает необходимость внедрения трёх фундаментальных правил:

Кроме того, законодательство предусматривает возможность запроса обезличенных данных со стороны государственных информационных систем (ГИС), к чему операторам также следует быть готовыми.

Алгоритм действий для оперативной подготовки

В условиях ограниченного времени необходимо сосредоточиться на выполнении базовых требований. Следующий алгоритм позволит закрыть наиболее критичные уязвимости.

Шаг 1. Экспресс-аудит процессов.

Идентифицируйте все бизнес-процессы, в рамках которых производится обезличивание ПДн. Как правило, это касается выгрузок для маркетингового анализа, статистических исследований или передачи данных подрядчикам. Результатом должен стать формализованный список таких операций.

Шаг 2. Подготовка нормативной базы.

Требуется оформить два ключевых документа:

Безопасность и защита информации

Оператор обработки персональных данных: обязанности и функции в 2025 году

Дарья Алексеева

10.04.2025

6 229

Наличие этих документов — обязательное условие для легитимизации всей дальнейшей работы.

Шаг 3. Техническая реализация раздельного хранения.

Проработайте с IT-отделом техническое решение для раздельного хранения исходных и обезличенных данных. На начальном этапе это может быть реализовано через создание отдельных папок с разграниченными правами доступа. Данный порядок необходимо зафиксировать в Положении.

Шаг 4. Внедрение учёта операций.

Организуйте ведение журнала учёта операций по обезличиванию. Журнал может вестись в электронном виде (например, в формате таблицы) и должен содержать информацию о дате, основании, использованном методе и ответственном лице для каждой процедуры.

Прогноз развития законодательства: к чему готовиться после 2025 года

Текущие изменения являются частью долгосрочного тренда на ужесточение регулирования в сфере обработки данных. Важно рассматривать их не как разовое событие, а как очередной этап.

С высокой долей вероятности можно прогнозировать, что в будущем бизнес столкнётся с новыми требованиями. Уже сейчас очевидно, что тема «Персональные данные с 1 сентября 2025» останется в фокусе внимания регулятора, возможно, с введением новых классификаторов данных или требований к их защите. Аналогично, эволюция законодательства затронет и порядок получения разрешений от субъектов, сделав запрос «Согласие на обработку персональных данных с 1 сентября 2025» крайне актуальным для всех операторов.

Контрольный чек-лист и оценка рисков при бездействии

Перед 1 сентября убедитесь, что выполнены следующие пункты:

Безопасность и защита информации

Готовимся к проверке Роскомнадзора

Дарья Кочергина

03.07.2024

5 025

Игнорирование данных требований квалифицируется как нарушение законодательства о персональных данных (152-ФЗ) и влечёт за собой конкретные риски: внеплановые проверки Роскомнадзора, административные штрафы согласно ст. 13.11 КоАП РФ, а также репутационные потери.