menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Закон о персональных данных: что изменилось в 2025 году и как это повлияет на всех

лонгриды
13.01.2023
02/09/25
Б-152
Елизавета Воронова
Лонгриды
События /
Закон о персональных данных: что изменилось в 2025 году и как это повлияет на всех
Работаете с клиентами, сотрудниками или подрядчиками? Храните анкеты, ведёте рассылки, оформляете заказы, публикуете вакансии или поддерживаете сайт?
Тогда вам важно знать: в 2025 году в закон о персональных данных (152-ФЗ) и КоАП РФ внесён ряд изменений, которые уже вступили в силу или заработают в ближайшие месяцы. Штрафы стали выше, требования строже, зона риска шире. Отделаться формальным согласием больше не получится.
В статье мы даем подробное объяснение: что изменилось, кого это касается и что делать.
1. Появился штраф за неподачу уведомления в Роскомнадзор
2. Утечка данных теперь отдельное нарушение, даже если вы не виноваты
Содержание
3. Новые правила согласия: теперь только отдельно и четко
4. Локализация по-новому, но это не значит, что все под запретом
5. Обезличивание теперь под контролем
6. За «серые» базы теперь уголовная ответственность
Что делать всем
Итог: 2025 — это про зрелость бизнеса
1. Появился штраф за неподачу уведомления в Роскомнадзор
2. Утечка данных теперь отдельное нарушение, даже если вы не виноваты
Содержание
3. Новые правила согласия: теперь только отдельно и четко
4. Локализация по-новому, но это не значит, что все под запретом
5. Обезличивание теперь под контролем
6. За «серые» базы теперь уголовная ответственность
Что делать всем
Итог: 2025 — это про зрелость бизнеса

1. Появился штраф за неподачу уведомления в Роскомнадзор

Раньше можно было рассчитывать, что если вы мелкий бизнес или просто храните таблицы с данными, Роскомнадзор вас не тронет. Но теперь неподача уведомления стала самостоятельным основанием для крупного штрафа, даже если других нарушений нет.
  • компании, у которых есть заявки на сайте;
  • кто собирает данные сотрудников, клиентов, партнёров;
  • у кого есть внешняя CRM, анкеты, формы обратной связи.
Проверьте, есть ли у вашей организации запись в реестре РКН. Если нет, значит, нужно подать уведомление. Даже если у вас 10 человек в штате.
Кто рискует:
Что делать:

2. Утечка данных теперь отдельное нарушение, даже если вы не виноваты

С 2025 года сама по себе утечка — это уже основание для миллионного штрафа. Неважно, утекли данные из-за подрядчика, техподдержки или бывшего сотрудника. Отвечать будет оператор, т. е. вы.
Что считается утечкой:
  • Таблица с ФИО и телефонами ушла не туда;
  • Бывший маркетолог унес базу;
  • Подрядчик потерял флешку;
  • Сайт «засветил» личные данные из формы.
Штрафы:
  • До 15 млн — если массовая утечка;
  • До 20 млн — если биометрия;
  • Повтор — до 3% от годовой выручки (минимум 20 млн).
Что делать:
Формализовать отношения с подрядчиками, настроить базовую ИБ, запретить отправку баз по почте и через Telegram.

3. Новые правила согласия: теперь только отдельно и четко

С 1 сентября 2025 года законодатель дополнительно подчеркнул: нельзя вшивать согласие в другие документы. Оно должно быть отдельным и понятным.
  • «Галочка» под анкетой на сайте сразу и на оферту, и на ПДн;
  • подпись в договоре, где согласие идёт «в довесок»;
  • согласие «по умолчанию» или «если не возражает» не работает.
Обновить формы на сайте, анкеты HR, документы с клиентами. Согласие отдельным пунктом, с подтверждением, что человек понял, на что соглашается.
Примеры ошибок:
Что делать:

4. Локализация по-новому, но это не значит, что все под запретом

Многие в панике: теперь нельзя использовать зарубежные CRM, облака, формы? Не совсем так.
С 1 июля 2025 года вступила в силу новая редакция части 5 статьи 18 152-ФЗ. Она запрещает хранение, запись, изменение ПДн за пределами РФ при сборе.
  • Первичная база должна быть в РФ;
  • Сначала запись, обновление, уточнение в российской БД;
  • Потом (если нужно) передача в иностранную систему, но при соблюдении правил трансграничной передачи.
Настроить так, чтобы формы на сайте, CRM, базы сотрудников и клиентов сначала попадали в российскую систему. Все зарубежные решения только как дополнительный слой.
В чём суть:
Что делать:

5. Обезличивание теперь под контролем

С осени 2025 года, в связи с запуском государственной информационной системы «Госозеро», вступают в силу новые требования к обезличиванию персональных данных. Это федеральный реестр наборов обезличенных данных, предназначенный для их учёта, хранения и передачи.
Теперь нельзя просто убрать имя или телефон и считать, что данные обезличены. Применяется формализованная методика, при которой нужно доказать: субъект данных не может быть повторно идентифицирован, даже по косвенным признакам (должность, возраст, регион и др.).
Если компания планирует передавать обезличенные данные в «Госозеро» (например, для участия в цифровых инициативах, госпрограммах или исследованиях), необходимо обеспечить соответствие новым требованиям Роскомнадзора. Такие данные будут считаться официально обезличенными только после процедуры верификации и регистрации в системе.

6. За «серые» базы теперь уголовная ответственность

В Уголовный кодекс добавили статью 272.1: за незаконный сбор, хранение, использование или распространение ПДн.
Если покупаете, используете базы без согласий или продаёте — это больше не административное, а уголовное нарушение.
Проверить, откуда вы берёте базы. Подписаны ли согласия. Что делают подрядчики с этими данными. Всё должно быть документально закреплено.
Что делать:

Что делать всем

Изменения в регулировании персональных данных в 2025 году означают, что каждый отдел, работающий с ПДн, должен не просто знать про 152‑ФЗ, а переосмыслить свои процессы, документы и взаимодействие с контрагентами. Больше нельзя полагаться на привычки и неформальные договоренности. Теперь важна каждая формулировка, каждый канал передачи и каждая строчка в договоре.
HR-отдел
Прежде всего, необходимо обновить формы согласий, которые собираются с сотрудников, кандидатов и подрядчиков. Эти согласия должны учитывать цели, способы обработки и, при необходимости, трансграничную передачу.
Бухгалтерия
Работа с ИП, самозанятыми и бухгалтерским аутсорсом требует договоров, в которых обязательно должен быть блок о конфиденциальности и защите ПДн. Внутренне стоит пересмотреть, кто имеет доступ к зарплатным и персональным файлам, ведутся ли журналы доступа, и реализована ли система защиты, как логическая, так и физическая.
Особое внимание стоит уделить резюме, анкетам, медсправкам, фотографиям и паспортным данным: все они должны храниться с ограничением доступа, на защищенных ресурсах, с журналированием.
Маркетинг и продукт
Формы согласия на сайте, подписке, регистрации и обратной связи должны быть конкретными, обособленными и корректно оформленными. Важно проверить, где физически хранятся данные: в российской ли юрисдикции находятся используемые CRM, формы, виджеты и аналитические системы.
IT и информационная безопасность
Нужно провести аудит: где размещены серверы, базы данных, промежуточные хранилища и логи. Важно понимать, кто из подрядчиков (администраторы, девопсы, SaaS-платформы) имеет доступ к ПДн, как это оформлено и зафиксировано.
Юристы и DPO
Важнейший вопрос: подано ли уведомление в Роскомнадзор, и соответствует ли оно фактическим процессам. Кроме того, все формы согласий должны быть пересмотрены: конкретные ли цели, выделен ли маркетинг, указана ли трансграничная передача.
Проверьте договоры с подрядчиками: есть ли поручение на обработку, прописаны ли меры безопасности, ответственность, запрет на передачу данных третьим лицам. Формальный договор — не гарантия защиты.
Контроль должен быть не только технический, но и процедурный: шифрование, контроль доступа, логирование, автоматическое удаление, резервное копирование. Все меры должны быть отражены в политике ИБ и сопровождены актуальными регламентами.
Особое внимание стоит уделить согласиям на передачу данных подрядчикам, например, агентствам, дизайнерам, хостингам и рекламным платформам. Передача без основания и договора — прямой путь к нарушению.
Если вы работаете с кадровыми агентствами, ЭДО-провайдерами, медорганизациями, важно проверить, заключены ли с ними договоры с поручением обработки и прописанными мерами безопасности.

Итог: 2025 — это про зрелость бизнеса

Законодательные изменения работает как сигнал: пора работать по правилам. Теперь нельзя действовать по привычке или на доверии. Каждый шаг с персональными данными должен быть заранее продуман, формализован, задокументирован и защищён.
Если ваша компания хоть немного работает с данными (от кадров до CRM), пора обновиться. Это дешевле и спокойнее, чем отвечать на запрос Роскомнадзора или объясняться перед клиентами после инцидента.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме