Новые требования к персональным данным в 2025 — правила работы для бизнеса с 152-ФЗ

30 мая 2025 года в России вступают в силу масштабные поправки в Федеральный закон № 152-ФЗ «О персональных данных». Поправки ужесточают ответственность за утечки и добавляют новые требования к обработке данных. А осенью заработает «озеро данных» — государственная платформа, с которой сможет работать часть российских компаний и госструктуры. 

ИТ-компания Riverstart изучает новые правила, чтобы подготовить к ним сайты и другие цифровые системы клиентов и учесть изменившиеся требования Минцифры и Роскомнадзора (РКН) к персональным данным. 

Разберем, как изменения законодательства о персональных данных (ПДн) коснутся бизнеса: кому следует реорганизовать процессы, как это сделать и что будет, если не учесть новые требования. В статье перечислим поправки в 152-ФЗ, опишем принципы работы государственного «Озера данных» и компании, которых оно касается, а также дадим пошаговый план адаптации бизнеса.

Кого касаются новые требования 152-ФЗ «О персональных данных»

Персональные данные — это любые сведения, позволяющие прямо или косвенно идентифицировать человека. Например, номер телефона сам по себе не конфиденциален, но в связке с фамилией уже позволяет понять, чей это номер.  К персональным данным относятся относятся ФИО, номера телефонов, паспортные данные, e-mail, анкеты клиентов, фото и видеозаписи, история заказов, трудовой стаж, сведения о здоровье, биометрия и другие сведения, по которым можно идентифицировать человека.

Большинство компаний считаются операторами ПДн. Для этого нужно иметь сайт со статистикой, формами заявок или обратного звонка, использовать программы лояльности, CRM, хранить клиентские базы или анкеты с контактными данными. Если компания делает хоть что-то из списка, она обязана соблюдать требования правила работы с персональными данными. Большинство компаний как минимум собирают данные о посетителях сайта с помощью Метрики.

При этом неважно, чьи персональные данные участвуют: действующих клиентов, посетителей сайта, сотрудников, включая соискателей и уволенных, партнеров или гостей офиса, чьи данные вы собираете при оформлении пропусков или при съемке через видеонаблюдение. 

Также не важен размер компании, новые требования обязательны для всех — от микробизнеса до крупных корпораций.

Новые правила работы с персональными данными

Законодательная реформа 2025 года — это самое масштабное обновление 152-ФЗ за последнее десятилетие.

В законе выделены новые категории данных, новые правила обработки и прописана новая система штрафов и санкций — это все дает дает понять, что государство основательно взялось за вопрос защиты персональных данных.

Новые категории данных попадают под особый контроль

Новые нормы не просто ужесточают требования, но и вводят принципиально новые категории данных, которые требуют особого подхода к обработке и защите. К примеру, если раньше интернет-магазин мог анализировать поведение пользователя на сайте без дополнительных согласий, то теперь на моменте согласия на сбор cookie нужно отдельное разрешение на сбор данных о кликах и времени просмотра товаров.

Закон четко разделяет персональные данные на три категории с разными уровнями защиты:

1. Биометрические данные — сведения, которые характеризуют физиологические и биологические особенности человека. К ним относятся, например, отпечатки пальцев, сканы сетчатки, голос. Обработка  таких данных разрешена только с письменного согласия.
2. Специальные категории персональных данных — сведения о расовой или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни и судимостях.  Они требуют явного согласия и могут использоваться только в обезличенном виде.
3. Общие персональные данные — стандартные личные данные, такие как ФИО, адрес проживания, контактный телефон, электронная почта и  прочие. Их обрабатывать можно по договору, но с новыми ограничениями.

Новые штрафы: ужесточение ответственности за утечку и неправильный сбор данных

В новые требования к обработке персональных данных ввели градацию нарушений по степени их тяжести и потенциального вреда для субъектов этих данных. Размеры штрафов выросли в разы:

Нарушения обработки ПД

При повторных нарушениях максимальный штраф составит: для должностных лиц — 500 000 руб., для ИП — 1 000 000 руб., для организации — 1 500 000 руб.

Утечки и уведомления РКН

Заметно ужесточается ответственность, связанная с уведомлениями Роскомнадзора. С 30 мая 2025 года компании, которые не сообщили регулятору о начале обработки данных или об их утечке, заплатят до 3 млн рублей.

Штраф за первичную утечку персональных данных регулятор будет рассчитывать по новым правилам — опираясь на ее объем. За повторную утечку начнут применять оборотные штрафы.

Локализация данных на территории России

С 2025 года усиливаются требования к локализации персональных данных — теперь всю информацию российских пользователей нужно собирать, хранить и обрабатывать на территории России. Очень важно учесть, что если ваш сайт использует внешние формы, облачные сервисы или виджеты, которые отправляют данные за рубеж, вы обязаны перейти на решения с локальным размещением. Особое внимание уделяется первичному сбору данных: информация не должна попадать на зарубежные серверы, даже если потом возвращается в Россию.

Они могут нарушать требования закона из-за отправки пользовательских данных за границу и отсутствия гарантий хранения на российских серверах. Бизнесу рекомендуем как можно скорее заменить такие инструменты на отечественные аналоги или решения с проверенной локализацией.

Как адаптироваться к новым требованиям к обработке персональных данных

От операторов ПДн требуют создать новую систему документирования и отчетности, которая позволит контролирующим органам и самим компаниям лучше отслеживать соблюдение законодательства.

Разберитесь с документами

Необходимо пересмотреть документацию и порядок работы с данными в компаниями. Так, в части организации работы с ПДн в компании алгоритм должен быть следующий:

1. Проверьте, чтобы у вас было утвержденное положение об обработке данных. Оно нужно всем, кроме ИП и самозанятых.
2. Введите журнал обработки обращений, в нем нужно фиксировать все запросы граждан на удаление, уточнение, доступ к данным с обязательным хранением в течение 3 лет.
3. Внедрите регламент реагирования на утечки: компания должна разработать внутренний документ с пошаговым алгоритмом действий при компрометации данных.
4. Пройдите обязательную сертификацию: для обработки более 1 млн записей в год нужно получить сертификат соответствия в аккредитованном центре.
5. Подайте в Роскомнадзор уведомление об обработке ПДн. Если вы подавали его до 26 декабря 2022 года, то делали это по старой форме — теперь нужно уведомить об изменении сведений.
6. Назначьте ответственного за ПДн.

Изменения коснутся и установления отношений с клиентами:

1. Сделайте форму согласия на обработку ПДн, которую подписывают ваши клиенты. Теперь она должна быть не вшита в договор, а быть отдельной и конкретной. Проверьте, чтобы для каждой цели использования прописан перечень нужных данных, условия и сроки обработки. 
2. Проверьте, что вы не ведете массовый сбор или рассылку персональных данных клиентов или партнеров без их зафиксированного согласия на это. Например, не передаете данные клиента подрядчику, не подписав с клиентом согласие.

Наконец, некоторые меры необходимо принять и в рамках взаимодействия с сотрудниками:

1. Подпишите со всеми работниками согласие на обработку персональной информации — даже с фрилансерами.
2. Проверьте, какие цели сбора, обработки и хранения ПДн прописаны в этих согласиях. Они должны быть конкретными, поскольку расплывчатые формулировки из серии «соблюдение обязательств работодателя» признают нарушением.

Проверьте свои цифровые ресурсы

Компаниям следует удостовериться, что все их сайты, веб-сервисы и приложения работают в соответствии с новыми требованиями. Вот что это подразумевает:

1. На каждой странице нужна ссылка на на политику конфиденциальности, где написано, какую информацию вы собираете на сайте.
2. Если вы просите личные данные, например для заполнения формы обратной связи или регистрации в личном кабинете, пользователи должны поставить галочку в знак согласия на обработку персональной информации.
3. Проверьте, что вы не ограничиваете доступ к информации о товарах или ваших услугах, если пользователь отказывается предоставлять персональные данные. 
4. Обновите сбор файлов cookie. Теперь у пользователей должна быть возможность отметить, какие данные они вам предоставляют: аналитические, рекламные, технические или вовсе никакие. Как следствие, собирать эту информацию необходимо в зависимости от полученных разрешений.
5. Проверьте, какие системы вы подключили к сайту для сбора статистики. Если вы используете Google Analytics или другие иностранные решения, то занимаетесь трансграничной передачей данных за рубеж. Поскольку за рубежом не обеспечивают защиту персональных данных по законодательству РФ, иностранные сервисы нужно отключить. А также не хранить данные в сервисах, которые базируются за рубежом — например, в Google Таблицах.
6. К предыдущему пункту есть исключения: если вам нужно передавать информацию за границу (например, вы турфирма и передаете информацию перевозчику), то сначала нужно официальное разрешение Роскомнадзора. Для этого вам нужно уведомить ведомство о намерении передавать данные и внести информацию в Реестр трансграничных передач. Уведомление можно отправить с сайта РКН, решение приходит примерно в течение 10 рабочих дней. 

Переход на новые правила работы с персональными данными требует системного подхода.

Пошаговый план адаптации для компаний

Ниже — приблизительный план адаптации, который учитывает нормативные сроки и практические аспекты изменений в компаниях разного масштаба и специализации. Вы можете скопировать этапы в презентацию и получить ориентировочную дорожную карту.

Если компания работает с большим объемом данных, ей нужно разобраться с государственной системе обезличивания персональных данных, которая начнет работу с сентября 2025 года.

Что бизнесу нужно знать о государственном «озере данных»

По поручению председателя правительства в России создают «озеро данных» — это государственная система обезличивания персональных данных. Государственные органы и некоторые компании должны направлять в нее персональные данные, прошедшие обработку методами обезличивания. 

Минцифры предложили методы: кодирование уникальных данных, удаление личной информации, которая не нужна для анализа, добавление искажений и прочие методы, мешающие определить конкретного человека.

Зачем нужна система обезличивания ПДн на уровне государства

«Озеро данных» открывает новые возможности для компаний — в первую очередь, в сфере разработки и обучения отечественных моделей ИИ. 

У государства есть стремление:

• увеличить уровень защиты чувствительной информации;
• унифицировать форматы — создать единые стандарты обезличивания;
• упростить обмен данными между структурами в соответствии с законом;

Бизнесу придется адаптироваться к новым стандартам, усиливать юридическую и техническую экспертизу, обеспечивать полную прозрачность своих процессов в случае интеграции с этим хранилищем.

Каких компаний касается работа с «озером данных»

Запуск новой государственной платформы будет напрямую влиять на бизнес, собирающий и обрабатывающий большие объемы данных:

• с сентября 2025 года с платформой должны работать компании с оборотом свыше 2 млрд рублей;
• с января 2026 года — все юридические лица, обрабатывающие более 100 тыс. записей ПДн в год.

В список обязательных участников «Озера данных» входят госорганы, госкорпорации и организации, работающие с критически важными данными. Если ваша компания выполняет госконтракты, участвует в цифровых платформах или обрабатывает значительные объемы ПДн, велика вероятность включения. Проверьте публикации Минцифры.

Компании из списка участников смогут получить доступ к обезличенным массивам данных, необходимых для тренировки алгоритмов и создания новых цифровых продуктов. Особенно актуально в условиях ограниченного доступа к зарубежным дата-сетам. Наполнение первыми массивами информации начнется уже в III квартале. Доступ будут регулировать жесткими правилами, а само участие потребует соответствия требованиям безопасности, лицензирования и этики работы с данными. Рынок будет более закрытым, но потенциально более защищенным и перспективным.

FAQ: основные вопросы, которые волнуют бизнес

Когда начнут действовать новые правила обработки персональных данных?

Основные изменения вступают в силу с 30 мая 2025 года, отдельные положения — с июня и сентября.

Можно ли хранить ПДн за рубежом?

Нет, по новым требованиям первичный сбор и хранение персональных данных должны происходить только на территории России.

Как государство проверит, что мы передаем данные за рубеж?

Роскомнадзор использует систему «Ревизор», которая отслеживает местоположение серверов и анализирует трафик. Так регулятор сможет определить, что вы собираете, храните или обрабатываете данные на серверах за рубежом.

Нужно ли удалять Google Analytics и другие иностранные сервисы в связи с обновлением регулирования ПДн?

Да, если они не обеспечивают хранение и обработку данных в России. Рекомендуется переходить на отечественные или проверенные решения с локализацией.

Что делать, если мне нужно передавать данные о клиентах за границу?

В таком случае вы должны заранее заранее уведомить РКН и внести информацию в Реестр трансграничных передач, чтобы получить разрешение.

Нужно ли перезапрашивать согласия у клиентов, полученные до 2025 года?

Да, если данные теперь относятся к новым защищаемым категориям.

Что делать, если произошла утечка?

Сообщить в Роскомнадзор в течение 24 часов, провести внутреннюю проверку и устранить уязвимость. В ряде случаев потребуется уведомить пострадавших.

Как проверить, относится ли компания к обязательным участникам «озера данных»?

Список участников формирует Правительство РФ и публикует через официальные каналы. Рекомендуем отслеживать публикации Минцифры и консультироваться с юристом по ИТ-праву.

Какое наказание за непредоставление данных в госплатформу?

Штраф до 200 тыс. руб. при первом нарушении, до 500 тыс. руб. — при повторном.

Заключение: начинайте готовиться сейчас

Новые требования потребуют от компаний значительных организационных и технических изменений. Рекомендуемый план действий — это провести аудит до конца мая 2025, назначить ответственного сотрудника за соблюдение требований законодательства и выделить бюджет на техническую адаптацию.