С 30 мая 2025 года вступают в силу ключевые изменения закона о персональных данных — Федерального закона №152-ФЗ. Это крупнейшее изменение за последнее десятилетие. Бизнес в России будет работать по обновленным правилам защиты персональных данных с новыми требованиями к контролю за обработкой и новыми санкциями за нарушения.
Кто должен соблюдать новые правила 152-ФЗ
Обновления закона касаются не только крупных компаний, но и малого бизнеса. Если в вашей организации есть сайт с аналитикой, формой обратной связи, действует программа лояльности, CRM-система, или вы ведете клиентскую базу — вы уже являетесь оператором персональных данных и обязаны соблюдать закон.
Причем не имеет значения, чьи данные вы обрабатываете: клиентов, пользователей сайта, сотрудников (включая кандидатов и бывших работников), партнеров или посетителей, которых вы идентифицируете при входе в офис. Закон распространяется на всех операторов без исключения.
Что меняется в 152-ФЗ: новые данные, штрафы и запрет на иностранные сервисы для хранения
Обновленный закон о персональных данных вводит сразу несколько важных изменений. Появились новые категории данных, выросли штрафы за нарушения, а обрабатывать информацию теперь нужно только внутри страны.
1. Какие данные теперь под особым контролем
С 30 мая для сбора и анализа поведения пользователей на сайте, включая клики или время просмотра товаров, нужно получать отдельное согласие. Даже в cookie нужно отдельное разрешение на сбор данных о кликах и времени просмотра товаров.
Все персональные данные разделены на три группы:
- Биометрические — голос, отпечатки пальцев, скан сетчатки и другие физические характеристики. Их можно использовать только с письменного согласия человека.
- Специальные — информация о здоровье, вероисповедании, политических взглядах, судимостях и т.д. Эти данные требуют явного согласия и чаще всего должны быть обезличены.
- Обычные — имя, телефон, email, адрес и прочее. Их по-прежнему можно обрабатывать после согласия по договору.
2. Как изменились штрафы
Система штрафов стала строже: теперь предусмотрены разные уровни ответственности — в зависимости от серьезности нарушения и риска для граждан. Санкции выросли кратно:
- За отсутствие согласия на обработку данных — до 300 тыс. рублей для должностных лиц и до 700 тыс. для юрлиц.
- За неправильное хранение данных — до 6 млн рублей для компании.
- За несвоевременное уведомление Роскомнадзора об утечке или начале обработки — штраф до 3 млн рублей.
При повторных утечках данных может применяться оборотный штраф, как в случае с нарушением закона о рекламе — он рассчитывается от оборота компании.
3. Где теперь обязательно хранить данные
Все данные российских пользователей должны храниться и обрабатываться исключительно на территории России. Если сайт использует сторонние виджеты, облака или формы, которые передают информацию за границу — необходимо перейти на локальные аналоги.
Это касается популярных сервисов вроде Google Analytics, Meta Pixel, Hotjar и других. Их использование нарушает закон, и бизнесу следует оперативно перейти на проверенные отечественные или сертифицированные решения с размещением в РФ.
Как бизнесу подготовиться к новым правилам по 152-ФЗ
С 30 мая бизнесу важно соблюдать новые стандарты в работе с персональными данными. Главное требование — прозрачность и контроль. Ниже — что нужно сделать.
Приведите документы в порядок:
- Проверьте, есть ли у вас положение об обработке ПДн. Оно нужно всем, кроме ИП и самозанятых.
- Введите журнал обращений — туда вносят запросы клиентов об удалении, доступе или изменении данных (хранить 3 года).
- Разработайте регламент действий при утечке — документ с четким алгоритмом на случай компрометации данных.
- Если вы обрабатываете более 1 млн записей в год, пройдите сертификацию в аккредитованном центре.
- Уведомите Роскомнадзор, если ранее подавали сведения до конца 2022 года — форма обновилась.
- Назначьте ответственного за работу с ПДн.
Обновите подход к клиентским данным:
- Сделайте отдельную форму согласия на обработку ПДн (не внутри договора). В ней — цели, сроки, конкретный перечень данных.
- Не передавайте данные подрядчикам без согласия клиента. То же касается рассылок.
Не забудьте про сотрудников:
- Подпишите согласия на обработку данных со всеми — включая фрилансеров.
- Перепроверьте формулировки в этих согласиях — расплывчатые цели теперь под запретом.
Проверьте сайты и цифровые каналы:
- Добавьте на сайт политику конфиденциальности и галочку согласия в формах.
- Не ограничивайте доступ к контенту, если пользователь не оставил данные.
- Реализуйте гибкую настройку cookie — пользователь должен выбирать, что можно собирать.
- Уберите иностранные сервисы аналитики и хранения данных — вроде Google Analytics и Google Таблиц.
Если вы вынуждены передавать данные за границу и без этого не можете работать, то есть выход: передача за рубеж возможна , но только после разрешения Роскомнадзора и внесения в Реестр трансграничных передач. Запрос можно подать онлайн с сайта РКН, срок ответа — до 10 рабочих дней.
Когда внедрять изменения
Основные изменения вступают в силу с 30 мая 2025 года, отдельные положения — с июня и сентября. Готовиться и менять привычный уклад нужно уже сейчас. Переход на новые правила требует от компаний не формального подхода, а полной пересборки процессов: от сайта до внутренних регламентов.
Автор: Андрей Никонов, Генеральный директор Riverstart
Подписывайтесь на канал «Exlibris» в Telegram , чтобы первыми узнать о главных новостях в рекламе, маркетинге и PR.