menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Что нового в законе о персональных данных для компаний и ИП: главные изменения, которые стоит учитывать уже сейчас

лонгриды
13.01.2023
03/09/25
Б-152
Елизавета Воронова
Лонгриды
События /
Что нового в законе о персональных данных для компаний и ИП
Работаете с клиентами? Храните резюме, больничные, заявки с сайта? Используете Tilda, Zoom или Google Docs? Поздравляем! Вы оператор персональных данных. И с 2025 года это стало не просто формальным статусом, а зоной реальных рисков: с крупными штрафами, цифровыми проверками и новыми обязанностями.
В этой статье мы расскажем, что конкретно изменилось в регулировании обработки персональных данных в 2025 году, и что с этим делать, независимо от того, кто вы: ИП, директор, бухгалтер или специалист по информационной безопасности.
1. Неподача уведомления в Роскомнадзор — теперь штраф до 300 000 рублей
2. Цифровые проверки: как робот РКН анализирует ваш сайт
Содержание
3. Новый взгляд на обезличивание
4. Ответственность за утечки: теперь зависит от объёма и типа данных
5. Уголовная ответственность уже не абстракция
Что делать? Чек-лист для всех ролей
Заключение
1. Неподача уведомления в Роскомнадзор — теперь штраф до 300 000 рублей
2. Цифровые проверки: как робот РКН анализирует ваш сайт
Содержание
3. Новый взгляд на обезличивание
4. Ответственность за утечки: теперь зависит от объёма и типа данных
5. Уголовная ответственность уже не абстракция
Что делать? Чек-лист для всех ролей
Заключение

1. Неподача уведомления в Роскомнадзор — теперь штраф до 300 000 рублей

Если вы обрабатываете персональные данные, то обязаны подать уведомление об их обработке в Роскомнадзор (ФЗ-152, ст. 22). Это требование действует давно, но ранее за его нарушение штрафовали по ст. 19.7 КоАП максимум на 5 тыс. рублей. Поэтому многие бизнесы (особенно ИП и малый бизнес) игнорировали обязанность.
  • для юрлиц — до 300 000 руб.
  • для должностных лиц — до 50 000 руб.
Важно: подача уведомления НЕ означает автоматическую проверку. С 2023 года действует мораторий на плановые проверки до 2030 года, и Роскомнадзор физически не может прийти ко всем. Но подача уведомления — это обязанность, и за ее игнорирование теперь наказывают всерьез.
С весны 2025 года всё изменилось. В статье 13.11 КоАП РФ появилась часть 10, по которой штраф составляет:
Да, ИП тоже относятся к операторам, независимо от масштаба бизнеса.

2. Цифровые проверки: как робот РКН анализирует ваш сайт

С 2022 года Роскомнадзор запустил массовую автоматизированную проверку сайтов операторов ПДн. Робот ищет:
  • есть ли политика обработки ПДн на сайте;
  • кто указан оператором и соответствует ли он уведомлению;
  • где физически расположен сервер (локализован ли он в РФ);
  • используются ли зарубежные сервисы: Google Analytics, Zoom, Tilda, Cloudflare;
  • есть ли согласие на обработку данных в формах обратной связи.
Если что-то не так, компания получает официальный запрос на устранение нарушений. В случае игнорирования — штраф по ст. 13.11 КоАП.
Пример: компания использует Tilda, не разместила политику ПДн и не указала себя как оператора — это уже три потенциальных нарушения.

3. Новый взгляд на обезличивание: если ПДн вы «убрали», но их можно восстановить — это не обезличивание

С сентября 2025 года у операторов персональных данных появится новая обязанность — передавать обезличенные данные в государственную информационную систему «ГосОзеро». Для этого Роскомнадзор разработал проект приказа «Об утверждении требований к обезличиванию ПДн», в котором впервые формализуются допустимые методы обезличивания.
Если организация хочет использовать обезличенные данные (для аналитики, исследований или передачи в ГИС), придётся строго следовать утверждённой методике. Самостоятельные способы допустимы только после согласования с ФСТЭК или ФСБ. В противном случае обезличенные данные будут считаться персональными, с соответствующими требованиями и санкциями.
Для digital-директоров, IT и маркетинга это означает: работа с данными станет строже, а простые «замены имен» больше не спасают от ответственности.

4. Ответственность за утечки: теперь зависит от объема и типа данных

В 2025 году статья 13.11 КоАП дополнена частями 12−18. Теперь штраф зависит от объёма утекших данных и их категории:
  • до 10 000 субъектов — до 5 млн ₽;
  • от 10 000 до 100 000 — до 10 млн ₽;
  • более 100 000 — до 15 млн ₽;
  • утечка биометрии или спец категорий — до 20 млн и 15 млн ₽ соответственно;
  • повторная утечка — до 3% годовой выручки, минимум 20 млн ₽.
  • компания в течение предшествующих 3-х лет тратила не менее 0,1% выручки на ИБ;
  • есть аудит соответствия требованиям ФЗ-152;
  • нарушение не повторяется.
Даже если утечка произошла через подрядчика, ответственность несет оператор. Поэтому аутсорсинг = зона риска, которую надо проверять.
Смягчающие обстоятельства возможны, если:

5. Уголовная ответственность уже не абстракция

Роскомнадзор и МВД всё чаще применяют статьи 272 и 272.1 УК РФ — «неправомерный доступ к ПДн» и «обработка без законного основания».
Поводом могут стать:
  • неправомерный доступ к ИСПДн подрядчика;
  • использование чужой базы клиентов.

Что делать? Чек-лист для всех ролей

Для генерального директора и владельцев бизнеса
Руководитель несет финальную ответственность перед регулятором. Поэтому важно:
Для юристов и комплаенс-специалистов
Именно юристы отвечают за правовую чистоту процессов. Их задачи:
  • Проверить все договоры с подрядчиками, особенно на предмет включения условий о передаче, обработке и защите персональных данных. Если такие положения отсутствуют, договор нужно либо дополнить, либо переоформить.
  • Провести аудит правовых оснований обработки ПДн: есть ли согласия, соответствуют ли цели, требуется ли письменная форма.
  • Настроить внутренний контроль: алгоритм реагирования на запросы субъектов; сроки хранения и удаления данных; актуальность политики обработки и уведомлений.
  • Убедиться, что уведомление о начале обработки ПДн подано в Роскомнадзор, и информация в нем соответствует фактическим процессам.
  • Назначить ответственное лицо за организацию обработки персональных данных, зафиксировав это приказом.
  • Проверить, как финансируется информационная безопасность: ориентир — не менее 0,1% от годовой выручки. Это минимальный объем, который покажет добросовестность при проверке.
  • Провести общий аудит цифровой инфраструктуры: сайт, CRM, формы сбора данных, политики конфиденциальности, согласия — все должно соответствовать требованиям закона.
Для HR и бухгалтерии
Эти отделы работают с самым чувствительным объемом данных, т. е. персоналом. Необходимо:
Для IT-директора и специалистов по ИБ
Техническая реализация требований закона на их плечах. Обязательно:
  1. систему логирования действий с ПДн;
  2. контроль доступа к информационным системам и файлам;
  3. механизмы защиты данных: шифрование, антивирус, разграничение прав, аудит.
  • Убедиться, что применяются сертифицированные средства защиты информации (СЗИ), если это требуется уровнем защищенности ИСПДн (особенно при работе с биометрией, здравоохранением или государственными заказами).
  • Проверить, где физически размещены серверы и базы данных, содержащие ПДн. Все первичные записи должны производиться на территории РФ (согласно ч. 5 ст. 18 закона).
  • Проанализировать, используются ли иностранные SaaS-сервисы (например, CRM, формы, чаты), и не нарушают ли они правила локализации или трансграничной передачи.
  • Настроить и задокументировать:
  • Проверить, что собраны согласия на обработку ПДн сотрудников, кандидатов, самозанятых, подрядчиков.
  • Убедиться, что издан приказ о назначении ответственного за обработку ПДн в подразделении или компании.
  • Завести и вести:
  1. журнал учета обращений субъектов ПДн (запросы на удаление или разъяснение);
  2. журнал учета материальных носителей, содержащих персональные данные (диски, флешки, бумажные досье и др.).

Заключение

В 2025 году защита персональных данных перестала быть задачей на стороне юриста или формальной графой в чек-листе комплаенса. Это системная обязанность всей компании: от топ-менеджмента и HR до IT, бухгалтерии, маркетинга и подрядчиков.
Новые составы правонарушений, автоматизация проверок, строгие требования к локализации и трансграничной передаче, а также растущие публичные кейсы в медиаполе делают любую ошибку (даже допущенную по привычке или незнанию) не просто юридическим риском, а реальной угрозой репутации и финансовой стабильности бизнеса.
Если вы до сих пор не подали уведомление в Роскомнадзор, не перепроверили свой сайт, формы, CRM, договоры с подрядчиками, не обновили согласия или не разобрались, где именно физически размещаются базы данных — начать стоит сейчас. Не потому что этого требуют юристы, а потому что это дешевле, чем штраф, быстрее, чем проверка, и разумнее, чем публичный скандал после утечки.
В 2025 году соответствие закону о персональных данных — это признак зрелости и надежности компании, а не просто исполнение требований.
Не уверены, что ваша компания соответствует требованиям 152-ФЗ?
Б-152 проводит аудит соответствия обработки персональных данных по 152-ФЗ — мы выявляем риски и разрабатываем рекомендации по их устранению!
ПОДРОБНЕЕ ОБ УСЛУГЕ
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме