Лидер Российского рынка медиаизмерений

Поправки в 152-ФЗ: что бизнесу нужно знать о персональных данных в 2025

Поправки в 152-ФЗ: что бизнесу нужно знать о персональных данных в 2025

С 30 мая 2025 года вступают в силу ключевые изменения закона о персональных данных — Федерального закона №152-ФЗ. Это крупнейшее изменение за последнее десятилетие. Бизнес в России будет работать по обновленным правилам защиты персональных данных с новыми требованиями к контролю за обработкой и новыми санкциями за нарушения.

Кто должен соблюдать новые правила 152-ФЗ

Обновления закона касаются не только крупных компаний, но и малого бизнеса. Если в вашей организации есть сайт с аналитикой, формой обратной связи, действует программа лояльности, CRM-система, или вы ведете клиентскую базу — вы уже являетесь оператором персональных данных и обязаны соблюдать закон.

Причем не имеет значения, чьи данные вы обрабатываете: клиентов, пользователей сайта, сотрудников (включая кандидатов и бывших работников), партнеров или посетителей, которых вы идентифицируете при входе в офис. Закон распространяется на всех операторов без исключения.

Что меняется в 152-ФЗ: новые данные, штрафы и запрет на иностранные сервисы для хранения

Обновленный закон о персональных данных вводит сразу несколько важных изменений. Появились новые категории данных, выросли штрафы за нарушения, а обрабатывать информацию теперь нужно только внутри страны.

1. Какие данные теперь под особым контролем

С 30 мая для сбора и анализа поведения пользователей на сайте, включая клики или время просмотра товаров, нужно получать отдельное согласие. Даже в cookie нужно отдельное разрешение на сбор данных о кликах и времени просмотра товаров.

Все персональные данные разделены на три группы:

  • Биометрические — голос, отпечатки пальцев, скан сетчатки и другие физические характеристики. Их можно использовать только с письменного согласия человека.
  • Специальные — информация о здоровье, вероисповедании, политических взглядах, судимостях и т.д. Эти данные требуют явного согласия и чаще всего должны быть обезличены.
  • Обычные — имя, телефон, email, адрес и прочее. Их по-прежнему можно обрабатывать после согласия по договору.

2. Как изменились штрафы

Система штрафов стала строже: теперь предусмотрены разные уровни ответственности — в зависимости от серьезности нарушения и риска для граждан. Санкции выросли кратно:

  • За отсутствие согласия на обработку данных — до 300 тыс. рублей для должностных лиц и до 700 тыс. для юрлиц.
  • За неправильное хранение данных — до 6 млн рублей для компании.
  • За несвоевременное уведомление Роскомнадзора об утечке или начале обработки — штраф до 3 млн рублей.

При повторных утечках данных может применяться оборотный штраф, как в случае с нарушением закона о рекламе — он рассчитывается от оборота компании.

3. Где теперь обязательно хранить данные

Все данные российских пользователей должны храниться и обрабатываться исключительно на территории России. Если сайт использует сторонние виджеты, облака или формы, которые передают информацию за границу — необходимо перейти на локальные аналоги.

Это касается популярных сервисов вроде Google Analytics, Meta Pixel, Hotjar и других. Их использование нарушает закон, и бизнесу следует оперативно перейти на проверенные отечественные или сертифицированные решения с размещением в РФ.

Как бизнесу подготовиться к новым правилам по 152-ФЗ

С 30 мая бизнесу важно соблюдать новые стандарты в работе с персональными данными. Главное требование — прозрачность и контроль. Ниже — что нужно сделать.

Приведите документы в порядок:

  • Проверьте, есть ли у вас положение об обработке ПДн. Оно нужно всем, кроме ИП и самозанятых.
  • Введите журнал обращений — туда вносят запросы клиентов об удалении, доступе или изменении данных (хранить 3 года).
  • Разработайте регламент действий при утечке — документ с четким алгоритмом на случай компрометации данных.
  • Если вы обрабатываете более 1 млн записей в год, пройдите сертификацию в аккредитованном центре.
  • Уведомите Роскомнадзор, если ранее подавали сведения до конца 2022 года — форма обновилась.
  • Назначьте ответственного за работу с ПДн.

Обновите подход к клиентским данным:

  • Сделайте отдельную форму согласия на обработку ПДн (не внутри договора). В ней — цели, сроки, конкретный перечень данных.
  • Не передавайте данные подрядчикам без согласия клиента. То же касается рассылок.

Не забудьте про сотрудников:

  • Подпишите согласия на обработку данных со всеми — включая фрилансеров.
  • Перепроверьте формулировки в этих согласиях — расплывчатые цели теперь под запретом.

Проверьте сайты и цифровые каналы:

  • Добавьте на сайт политику конфиденциальности и галочку согласия в формах.
  • Не ограничивайте доступ к контенту, если пользователь не оставил данные.
  • Реализуйте гибкую настройку cookie — пользователь должен выбирать, что можно собирать.
  • Уберите иностранные сервисы аналитики и хранения данных — вроде Google Analytics и Google Таблиц.

Если вы вынуждены передавать данные за границу и без этого не можете работать, то есть выход: передача за рубеж возможна , но только после разрешения Роскомнадзора и внесения в Реестр трансграничных передач. Запрос можно подать онлайн с сайта РКН, срок ответа — до 10 рабочих дней.

Когда внедрять изменения

Основные изменения вступают в силу с 30 мая 2025 года, отдельные положения — с июня и сентября. Готовиться и менять привычный уклад нужно уже сейчас. Переход на новые правила требует от компаний не формального подхода, а полной пересборки процессов: от сайта до внутренних регламентов.

Автор: Андрей Никонов, Генеральный директор Riverstart

Подписывайтесь на канал «Exlibris» в Telegram , чтобы первыми узнать о главных новостях в рекламе, маркетинге и PR.

Обсудить проект

    Интересующий вид услуг
    Ваше имя
    Ваша компания
    Телефон
    Нажимая на кнопку "Отправить запрос", я соглашаюсь на обработку своих персональных данных
    Заказать обратный звонок