Новые требования Роскомнадзора по закону 152-ФЗ (на 30 мая 2025 года)

Обзор изменений и нормативных актов 2024–2025 гг.

В 2024–2025 годах в законодательство о персональных данных были внесены масштабные изменения – крупнейшие за последнее десятилетие. Эти поправки усиливают контроль за обработкой данных и ответственность за нарушения. К ключевым официальным документам и проектам, опубликованным или вступившим в силу к 30.05.2025, относятся:

• Федеральный закон № 420-ФЗ от 30.11.2024 – внесены поправки в КоАП РФ (ст. 13.11), ужесточающие административную ответственность за нарушения при работе с персональными данными. Основные положения этого закона начали действовать с 30 мая 2025 года.
• Федеральный закон № 233-ФЗ от 08.08.2024 – поправки в закон 152-ФЗ, вводящие с 1 сентября 2025 г. обязанность операторов передавать обезличенные данные в специальную государственную систему по запросам Минцифры. Параметры передачи (состав данных, сроки, порядок обезличивания) определяет Правительство РФ совместно с ФСБ.
• Проект закона № 679980-8 – поправки, принятые Госдумой в первом чтении, направленные на предотвращение избыточного сбора данных. В частности, предлагается с 2025 г. запретить включать согласие на обработку персональных данных в состав других документов (например, запрет на «спрятанное» согласие внутри договора) и запретить ограничивать доступ к информации о товарах/услугах при отказе предоставить персональные данные. Планируемый срок вступления этих норм – 1 марта 2025 года (при условии окончательного принятия закона).
• Приказ Роскомнадзора № 180 от 28.10.2022 – утвердил актуальные формы уведомлений: о намерении осуществлять обработку ПДн, об изменении сведений в ранее поданном уведомлении и о прекращении обработки ПДн. С 2023 года действует новая форма уведомления (введён раздел «Цели обработки ПДн»), поэтому компаниям, подавшим уведомления до конца 2022 года, рекомендуют подать их заново по новой форме.
• Распоряжение Правительства РФ № 856-р от 09.04.2024 – утвердило типовые бланки согласия на размещение и обработку ПДн для Единой системы идентификации и аутентификации (ЕСИА) и Единой биометрической системы (ЕБС). Формы предусматривают указание цели обработки, срока действия согласия, данных оператора и представителя субъекта, отметку о представительстве несовершеннолетних и пр. Это решает практическую проблему, когда согласие за ребёнка давали ненадлежащие лица – Роскомнадзор указывал на такую ошибку и грозил штрафом по п.2 ст. 13.11 КоАП.
• Разъяснения и методические рекомендации Роскомнадзора – ведомство выпустило ряд рекомендаций по приведению деятельности в соответствие с обновлёнными требованиями. В частности, РКН акцентировал внимание на необходимости повторной подачи уведомления о ПДн до 30 мая 2025 г., указал типичные ошибки при оформлении согласий (например, кто должен подписывать за несовершеннолетних), а также запустил масштабное информирование бизнеса о новых правилах. В январе 2025 г. Роскомнадзор провёл открытые вебинары и лекции по новым требованиям, где участвовали тысячи представителей компаний.

Ниже подробно проанализированы основные изменения закона о персональных данных, новые требования к операторам ПДн разных сфер, их практическое значение, а также усиленные меры ответственности и переходные положения.

Основные изменения закона о персональных данных

1. Новые требования к сбору согласий и минимизации данных. Поправки вводят более строгие правила получения согласия субъекта и ограничения на сбор лишних данных. Категорически запрещается включать согласие на обработку персональных данных в тексты иных документов – согласие должно предоставляться как самостоятельный документ (или отдельная электронная форма) с подписью субъекта. Также планируется запрет принуждать пользователей раскрывать персональные данные для доступа к информации о товарах и услугах. Иными словами, больше нельзя ставить условие вроде «оставьте свои данные, чтобы увидеть цены» – подобная практика ущемления прав потребителей будет незаконной. Эти меры направлены на недопущение чрезмерной обработки ПДн и «принудительного» сбора лишней информации у клиентов.
2. Особый режим для отдельных категорий данных. Закон закрепляет повышенные требования при работе с биометрическими и специальными категориями ПДн. Биометрические данные (голос, отпечатки пальцев, изображение лица, радужка глаза и т.п.) теперь можно обрабатывать только при наличии отдельного письменного согласия субъекта. Специальные категории данных (о здоровье, расовой/национальной принадлежности, религиозных убеждениях, судимостях, интимной жизни и т.д.) также требуют явного (информированного) согласия и, как правило, подлежат обезличиванию либо шифрованию при хранении. Обычные персональные данные (ФИО, контактные данные, адрес и пр.) по-прежнему можно обрабатывать на основании согласия субъекта либо в рамках исполнения договора, но и для них вводятся новые правила – например, необходимость отдельного согласия на сбор поведенческих данных. С 30 мая 2025 г. для сбора и анализа поведения пользователей на сайте (клики, просмотр страниц, товаров) требуется получить отдельное согласие посетителя; даже использование cookie-файлов в этих целях допускается только после того, как пользователь явно разрешит сбор таких данных. Таким образом, любая персонализированная аналитика теперь должна выполняться с информированного согласия пользователя, аналогично требованиям европейского GDPR.
3. Трансграничная передача и локализация данных. Законодательно подтвержден и ужесточён принцип локализации данных российских граждан. Все операции по сбору, хранению и обработке персональных данных россиян должны осуществляться на территории РФ. Использование иностранных сервисов и облачных платформ для хранения/обработки ПДн теперь фактически запрещено, если они автоматически передают данные за рубеж. В частности, Роскомнадзор прямо указал, что применение популярных зарубежных инструментов веб-аналитики (Google Analytics, Meta Pixel, Hotjar и др.) нарушает закон – бизнесу рекомендуется срочно перейти на российские аналоги или сертифицированные решения, размещённые в РФ. До 1 июля 2025 г. компании ещё могли использовать Google Analytics на свой страх и риск, но с этой даты вступают в силу поправки, запрещающие трансграничную передачу данных в момент их сбора. Проще говоря, при заполнении пользователем веб-формы или при сборе cookie информация не должна напрямую отправляться на серверы за пределами России. После 1 июля любые метрики, сразу уходящие в иностранные центры обработки, фактически становятся нелегальными. Чтобы всё же использовать зарубежный сервис (например, для транзакций с иностранными партнёрами), оператор обязан заранее получить разрешение Роскомнадзора и внести сведения о такой передаче в специальный реестр трансграничных передач. Роскомнадзор рассмотрит заявку в течение ~10 рабочих дней и принимает решение о допуске передачи данных за рубеж. Без такого разрешения любая трансграничная передача персональных данных запрещена (если только страна-получатель не входит в перечень государств, обеспечивающих адекватную защиту ПДн – такой перечень устанавливает Роскомнадзор и МИД). В итоге новые требования принуждают многие компании пересмотреть ИТ-инфраструктуру: переносить хостинг сайтов в Россию, отказываться от иностранных SaaS-сервисов или добиваться их локализации.
4. Создание государственной системы обезличенных данных. С 1 сентября 2025 года в силу вступает новая обязанность: крупные операторы персональных данных должны по запросам государства передавать наборы обезличенных данных в специальную государственную информационную систему (ГИС). Это введено Федеральным законом № 233-ФЗ и связано с планами использования больших данных в интересах государства и бизнеса. Передаваться будут сведения в обезличенном виде (не позволяющем идентифицировать конкретное лицо), например агрегированные данные о транзакциях, перемещениях, потреблении и т.п. Правила игры пока устанавливаются – Правительство совместно с ФСБ определят перечень таких данных, периодичность и способы обезличивания. Доступ к этой ГИС получат органы власти, российские компании и граждане (вероятно, через специальные сервисы), но только при соблюдении ряда условий: организация должна состоять в реестре операторов ПДн Роскомнадзора, не находиться под контролем иностранных лиц, не иметь недостоверных сведений в ЕГРЮЛ и не быть причастна к экстремистской или террористической деятельности. То есть, данные будут доступны только «благонадёжным» российским участникам. Для бизнеса это в перспективе означает появление нового ресурса с большими объемами обезличенной информации – с одной стороны, дополнительная нагрузка (нужно готовить и передавать массивы данных по требованиям регулятора), с другой – новые возможности для исследований, если бизнес получит доступ к чужим данным на этой площадке.

Требования к операторам персональных данных

Кого касаются новые правила. Все организации и предприниматели, которые так или иначе работают с персональными данными, обязаны соблюдать обновлённый закон. Практически любая компания подпадает под действие 152-ФЗ: если у вас есть сайт с формой обратной связи или аналитикой, если вы ведёте базу клиентов или программу лояльности, храните резюме соискателей, обрабатываете данные сотрудников – вы оператор ПДн и должны выполнять установленные требования. Размер и сфера деятельности роли не играют – закон распространяется как на крупные корпорации, так и на малый бизнес и некоммерческие организации. Отдельные категории операторов могут иметь дополнительные нормы (например, банки, медицинские учреждения, госорганы – см. ниже), но базовые требования Роскомнадзора едины для всех. Даже государственные учреждения, обрабатывающие данные граждан, подпадают под действие 152-ФЗ, хотя для них существуют исключения по процедурам уведомления (например, если данные находятся в государственных системах, созданных для защиты безопасности и порядка). В целом же подавляющее большинство организаций должно соблюдать новые правила. Ниже перечислены основные обязанности операторов ПДн, актуальные на май 2025 года, с учётом изменений.

Привести сайт в соответствие 152-ФЗ ->

Уведомление Роскомнадзора о начале обработки ПДн

Каждый оператор, приступая к работе с персональными данными, должен уведомить Роскомнадзор об этом (путём подачи установленного уведомления). Требование не ново, но теперь за его невыполнение грозят гораздо более серьёзные санкции. С 30 мая 2025 г. неподача уведомления о начале обработки ПДн карается крупным штрафом – от 100 000 до 300 000 рублей для организаций и ИП (ранее штраф был всего 3–5 тысяч по ст. 19.7 КоАП). Причём эта обязанность касается почти всех: закон перечисляет лишь узкий перечень случаев, когда уведомление можно не подавать. К таким исключениям относятся, например, обработка ПДн без средств автоматизации (только вручную на бумаге), использование данных в государственных информационных системах в целях безопасности или обработка в случаях, предусмотренных законом о транспортной безопасности. В остальных ситуациях – а это практически весь бизнес-сектор – уведомление обязательно. Даже самозанятые, если они собирают данные клиентов (например, для доставки или маркетинга), в некоторых случаях должны регистрироваться как операторы ПДн.

Как исполнить: Роскомнадзор утвердил стандартные формы, куда оператор вносит сведения о себе, целях и мерах обработки, категории данных и т.д. Уведомление можно подать онлайн через портал Госуслуг или в бумажном виде по почте/лично. После регистрации уведомления компания включается в реестр операторов ПДн (доступен на сайте РКН). Каждая организация может проверить наличие своей записи в реестре – для этого достаточно найти по названию или ИНН на сайте Роскомнадзора. В реестре указываются номер и дата вашего уведомления, что подтверждает выполнение требования (см. пример на рис. 1 ниже).

Рис. 1: Поиск компании в реестре операторов персональных данных (на сайте Роскомнадзора) показывает, зарегистрирована ли организация как оператор ПДн.

Важно, что при изменении данных, указанных в уведомлении (например, смена адреса хранения базы, расширение категорий ПДн или целей обработки), оператор обязан подать корректирующее уведомление. А если обработка персональных данных прекращена – направить уведомление о прекращении обработки. За непредставление таких обновлённых сведений также может наступить ответственность по КоАП. Роскомнадзор рекомендует компаниям, подавшим уведомления до 2023 года, обновить информацию по новым формам – иначе данные в реестре могут считаться неактуальными.

Получение согласия субъектов и ограничение обработки

Согласие на обработку персональных данных – краеугольный камень всего законодательства о ПДн. Новые поправки сделали требования к согласию ещё строже. Основные моменты:

• Свобода и осознанность согласия. Субъект должен добровольно и ясно выразить свою волю на обработку данных. Согласие нельзя «спрятать» внутри пользовательского соглашения или договора оферты мелким шрифтом. С 2025 года законом (вероятно, будет закреплено поправкой) прямо запрещено включать текст о согласии в состав других документов. Значит, компании должны использовать отдельные формы или разделы для сбора согласий – например, отдельную галочку под формой регистрации или отдельный документ при приёме на работу.
• Обязательные сведения в согласии. Согласие теперь должно содержать чётко определённые параметры: конкретные цели обработки, перечень персональных данных, которые будут использованы, срок хранения данных, порядок отзыва согласия и дату/подпись субъекта. Размытые, неконкретные формулировки целей или фраза «согласен на обработку всех персональных данных для любых целей компании» недопустимы – Роскомнадзор рассматривает это как нарушение. В согласии нужно перечислить, для чего именно берутся данные (например, «для оформления доставки и информирования о статусе заказа»), какие именно данные (например, ФИО, телефон, адрес) и как долго они будут храниться. Указывать бессрочный срок хранения нежелательно – рекомендуется прописывать конкретный период или событие, до наступления которого действительна обработка (например, «до отзыва согласия/до выполнения договора»). После истечения срока данные должны быть либо уничтожены, либо заново получено согласие.
• Письменная форма для отдельных случаев. Как отмечалось, для биометрических ПДн требуется именно письменное согласие (в бумажной форме с живой подписью либо усиленной ЭП). Также письменное согласие обычно необходимо для специальных категорий данных, если только закон не предусматривает иной основы обработки. Отсутствие оформленного должным образом согласия на особо чувствительные данные теперь грозит крупным штрафом – юридическое лицо могут оштрафовать на сумму от 300 000 до 700 000 рублей. Таким образом, например, медицинская клиника, взявшая у пациента данные о здоровье без письменного согласия, рискует получить серьезный штраф.
• Cookie и сбор онлайн-метрик. Особое внимание – к согласию посетителей веб-сайтов. Если на сайте собираются cookie-файлы или иные данные о поведении пользователя, при первом заходе должно всплывать уведомление (баннер) с запросом согласия на сбор таких данных. Пользователь должен сам решить, разрешить ли сбор cookies (особенно если они используются не только для работы сайта, но и для аналитики, рекламы). Необходимо предоставить опцию согласия/отказа: обычно это реализуется как кнопка «Принять» на баннере. При этом запрещено принуждать: например, сайт не должен блокировать контент, пока пользователь не согласится на cookie – подобная практика считается нарушением (навязывание согласия). По новым правилам посетитель должен иметь возможность выбрать, какие категории данных он разрешает собирать (строго необходимые cookies, аналитические, рекламные и т.п.). Многие западные сайты уже реализуют «настройки cookie» – теперь и в России это становится обязательным. В итоге любой сайт, который интегрирует инструменты веб-аналитики, должен обеспечить вывод баннера и не собирать аналитические cookies без явного разрешения пользователя.
• Отдельная галочка под каждой формой. Если на сайте есть формы обратной связи, регистрации, подписки, заявки, комментариев и т.д., под каждой из них должна стоять галочка (чекбокс) с согласием на обработку ПДн. Пользователь сам ставит отметку, подтверждая, что ознакомлен с политикой приватности и согласен предоставить свои данные. Нельзя одну общую галочку сделать на всё – каждая форма, где вводятся персональные сведения (телефон, email, ФИО…), должна сопровождаться соглашением. Роскомнадзор при проверке специально смотрит на наличие таких чекбоксов.

Практическое значение: Операторам необходимо пересмотреть все точки сбора данных – будь то бумажные анкеты, электронные формы или мобильные приложения – и убедиться, что всюду корректно организовано получение согласий. Возможно, придётся дорабатывать интерфейсы: добавлять флажки согласия, разбивать согласия по разным целям (например, отдельное на рекламу, отдельное на передачу партнёрам и т.д.). Также важно обновить шаблоны согласий в соответствии с новыми требованиями – включить все обязательные пункты, убрать неконкретные формулировки целей. Особое внимание – HR-службам, медучреждениям, банкам: там обрабатываются чувствительные данные, и любое отклонение от требований (отсутствие подписи у согласия, просроченный срок хранения согласия и т.п.) чревато крупными штрафами.

Внутренняя политика и документы по защите данных

Политика обработки персональных данных. Каждая организация-оператор ПДн (кроме, возможно, самых малых – индивидуальных предпринимателей и самозанятых) обязана иметь внутреннее положение о порядке обработки ПДн и одновременно публичную политику конфиденциальности для размещения на сайте. Политика описывает, какие данные компания собирает, на каких основаниях, что с ними делает, какие меры защиты принимает, порядок ответа на обращения субъектов и т.д. По закону такая политика должна быть в свободном доступе – обычно на сайте компании размещается страница «Политика обработки ПДн» или «Privacy Policy», ссылка на которую видна на главной странице (например, в подвале сайта). Роскомнадзор при мониторинге сайтов ежедневно проверяет наличие актуальной политики на веб-ресурсе организации. Отсутствие опубликованной политики – грубое нарушение, особенно если компания собирает данные через сайт. В 2025 году многие компании обновили свои политики, чтобы отразить новые требования (например, упоминание о трансграничной передаче, новых правах субъектов, порядке действий при утечках и пр.).

Комплект локальных актов (ЛНА). Закон прямо предписывает операторам принимать меры по защите персональных данных (ст. 18.1 152-ФЗ) и оформлять их документально. На практике это означает, что у компании должен быть внушительный пакет внутренних документов: приказы о назначении ответственных, перечни защищаемых персональных данных, модели угроз и политики информационной безопасности, инструкции для работников, планы действий при инцидентах и т.д. В зависимости от масштаба деятельности, такой пакет может включать от 30 до 60 различных документов. Например, для онлайн-бизнеса потребуются документы, регламентирующие работу сайта с ПДн, для медицинской организации – правила обработки медданных, для банка – политика в отношении банковской тайны и ПДн клиентов и т.д. В 2025 году, с учётом новых рисков, Роскомнадзор выпустил рекомендации по обновлению ряда ЛНА: в них должны появиться разделы о взаимодействии с ГосСОПКА (система обнаружения атак), о процедуре уведомления РКН при утечке, о реализации прав субъектов (ответы на запросы о доступе/удалении) и пр.

Журнал обращений субъектов. Новое требование – фиксировать запросы от субъектов ПДн и действия по ним в специальном журнале. Если клиент или сотрудник обратился с требованием удалить его данные, предоставить копию всех его ПДн или исправить сведения, компания должна не только выполнить законное требование, но и зарегистрировать факт обращения. В журнале (в бумажном или электронном виде) рекомендуется указывать дату запроса, суть, принятые меры и дату исполнения. Хранить такой журнал нужно не менее 3 лет. Эта мера позволяет РКН при проверке увидеть, что оператор надлежащим образом реагирует на права субъектов. Например, если гражданин пожалуется, что направил требование удалить его данные, а компания проигнорировала – проверяющий запросит журнал. Отсутствие записей или сам журнала будет трактоваться как нарушение порядка обработки ПДн.

Ответственный за персональные данные. Организация (оператор) обязана назначить должностное лицо, ответственное за организацию обработки ПДн и за соблюдение законодательства (ст. 22.1 152-ФЗ). Новые поправки не изменили эту норму, но Роскомнадзор усилил контроль ее исполнения. К 2025 году у каждой компании должен быть приказ о назначении ответственного лица (например, начальника отдела ИБ, юриста или другого сотрудника). Ответственный координирует все мероприятия по защите данных, проводит проверки, обучение персонала, взаимодействует с Роскомнадзором. В небольших фирмах это может быть совмещено с другой должностью. Госорганы часто официально вводят должность уполномоченного по защите информации.

План действий при утечке данных. Учитывая резкий рост утечек персональных данных в последние годы, Роскомнадзор требует, чтобы оператор заранее разработал внутренний регламент на случай утечки. Такой документ должен описывать, что делать, если произошла компрометация данных: как выявить масштаб и причину, кого оповестить внутри компании, в какие сроки информировать Роскомнадзор и самих субъектов, какие принимать меры по устранению последствий. Наличие проработанного плана-инструкции поможет быстро среагировать и минимизировать ущерб. Кроме того, при разборе инцидента регулятор положительно оценивает, если у компании был план и она ему следовала.

Сертификация для крупных операторов. Нововведение – обязательная сертификация информационных систем ПДн для компаний, обрабатывающих особо большие объемы данных. Если оператор обрабатывает более 1 млн записей персональных данных в год, ему рекомендуется (а в перспективе, вероятно, будет требоваться по закону) пройти сертификационный аудит в аккредитованном центре на соответствие требованиям защиты ПДн. Речь о проверке систем на уязвимости, оценке мер защиты, соблюдении ГОСТ по шифрованию и т.д., с выдачей заключения. Пока эта мера носит рекомендательный характер, но крупный бизнес (банки, телеком, крупные интернет-сервисы) уже реализует подобные аудиты ежегодно. В будущем, возможно, список операторов, обязанных проходить независимую оценку, будет закреплён нормативно. Для ИТ-компаний, имеющих миллионы пользователей, такая сертификация станет частью процесса обеспечения доверия со стороны регулятора и клиентов.

Нужна разработка сайта с продвижением?

Обращайтесь в Linkodium — digital-агентство полного цикла. Разработка и продвижение сайтов под ключ с опытом 10+ лет.

Связаться с нами

Трансграничная передача данных и иностранные сервисы

Локализация данных в РФ. Как уже указано, закон требует, чтобы базы данных с персональными данными россиян находились на территории России. Физически это означает размещение серверов (или облачных хранилищ) в дата-центрах, расположенных в РФ. Если компания пользуется SaaS-сервисами или хостингом, которые находятся за границей, нужно либо переключиться на российские аналоги, либо добиваться от провайдера размещения данных в России. Например, многие перешли с Google Docs/Sheets на отечественные офисные решения, с иностранных CRM – на российские, и т.д. Крупные иностранные ИТ-компании (Microsoft, Apple и др.) для продолжения работы вынуждены открывать локальные хранилища в РФ. Невыполнение требования локализации даёт Роскомнадзору право ограничить доступ к сервису – в прошлом регулятор уже блокировал сайты и сервисы, не выполнившие требование (пример – блокировка LinkedIn в 2016 году за отказ хранить данные резюме россиян на российских серверах).

Риск при использовании Google Analytics и других иностранных инструментов. На 2025 год особый упор делается на веб-аналитику. Проверяя сайты, Роскомнадзор смотрит, какие метрические системы подключены. Если обнаруживается код Google Analytics (с его стандартным доменом сборки данных) – это сразу красный флаг. Дело в том, что GA отправляет собранные сведения (например, cookie ID, IP-адрес, данные о действиях пользователя) на сервера Google за границу, а это прямо противоречит требованиям о локализации. До 1 июля 2025 г. компании могли работать с Google Analytics при условии получения официального разрешения от Роскомнадзора на такую трансграничную обработку и включения соответствующей записи в свои политики и уведомления (о том, что данные клиентов передаются за рубеж). Однако с июля 2025 благодаря новым поправкам передача данных «на лету» за рубеж запрещена, и использование GA фактически становится незаконным. Роскомнадзор прямо предупреждает бизнес о необходимости убрать иностранные сервисы аналитики и хранения данных и перейти на проверенные отечественные решения. Например, вместо Google Analytics рекомендовано использовать «Яндекс Метрику» (чьи сервера находятся в РФ) либо другие продукты российских компаний.

Разрешение на трансграничную передачу. Если бизнес объективно нуждается в передаче персональных данных за границу (скажем, компания – часть международного холдинга и обменивается данными с материнской организацией за рубежом), закон это не запрещает, но устанавливает процедуру: необходимо получить предварительное разрешение Роскомнадзора. В 2023 году был введён реестр трансграничных передач – оператор подаёт заявку в РКН, указывая какие данные, куда и с какой целью планируется передавать, и если РКН не возражает (в течение 10 рабочих дней), запись включается в реестр, после чего передача разрешена. Без такого разрешения передача возможна только в страны, которые признаны обеспечивающими адекватную защиту ПДн (в их числе государства ЕАЭС, ряд других стран – перечень утверждает Правительство РФ). В противном случае несанкционированная трансграничная отправка данных грозит солидным штрафом (1–3 млн руб. за сам факт нарушения обязанности уведомить о трансграничной передаче).

Практическое значение: Компаниям следует провести инвентаризацию всех используемых ИТ-сервисов и выявить, какие из них потенциально передают данные за рубеж. По каждому такому случаю нужно либо отказаться от иностранного сервиса, либо локализовать (если провайдер имеет дата-центр в РФ), либо официально оформить трансграничную передачу через РКН. Особое внимание – сайтам и мобильным приложениям: именно там чаще всего «всплывают» сторонние интеграции (виджеты чата, карты Google, шрифты, CDN, системы сбора статистики и пр.), которые могут утягивать ПДн за пределы РФ. Рекомендуется заменить иностранные виджеты на российские аналоги (например, вместо Google Maps – российских картографических сервисов, вместо зарубежных виджетов комментариев – отечественные и т.п.).

Уведомление об инцидентах (утечках данных)

Новое требование федерального закона – оператор обязан уведомлять Роскомнадзор о произошедших утечках персональных данных. Эта норма была введена поправками 2022–2023 гг. и полностью заработала к 2025 году. Теперь при любом инциденте, связанном с несанкционированным доступом к персональным данным (хакерская атака, потеря ноутбука с базой данных, ошибочная публикация сведений и т.д.), компания должна в кратчайшие сроки проинформировать РКН и, в определённых случаях, самих субъектов данных. Порядок такой: обнаружив утечку, оператор направляет в Роскомнадзор сообщение (через личный кабинет или по спецформе) с первичной информацией, а затем – более подробный отчёт о причинах и принятых мерах. За неуведомление РКН об утечке предусмотрена ответственность: штраф от 1 до 3 млн руб. для организаций. Отягчающим обстоятельством станет и несвоевременное уведомление – тянуть с сообщением нельзя. Поэтому у компаний должны быть внутренние регламенты, предписывающие, кто и как уведомляет регулятора.

Кроме того, сам факт утечки персональных данных теперь влечёт отдельные штрафы, зависящие от масштаба: чем больше данных утекло, тем выше санкции. Введена градация:

• Утечка данных ≥ 1000 физических лиц (или ≥ 10 000 записей/идентификаторов) – штраф от 3 до 5 млн руб..
• Утечка ≥ 10 000 физических лиц (или ≥ 100 000 идентификаторов) – штраф от 5 до 10 млн руб..
• Утечка > 100 000 физических лиц (или > 1 млн идентификаторов) – штраф от 10 до 15 млн руб..
• Утечка специальных категорий данных (например, медицинских, биометрических) – штраф 10–15 млн руб., а биометрических данных – 15–20 млн руб..

Если утечка произошла повторно (второй инцидент и далее), вводится так называемый оборотный штраф: от 1% до 3% годовой выручки компании. Однако законом установлены нижние пределы – такой оборотный штраф не может быть меньше 20 млн руб. (в некоторых случаях – 25 млн, если речь об особо чувствительных данных) и не больше 500 млн руб. Для банков вместо выручки берётся эквивалентный процент от собственных средств (капитала) на момент нарушения. Эти суммы сопоставимы с оборотными штрафами GDPR в ЕС и призваны мотивировать бизнес не допускать утечек. Кроме того, с декабря 2024 года в УК РФ появилась новая статья 272.1, устанавливающая уголовную ответственность за неправомерное обращение с персональными данными (например, продажу или распространение заведомо незаконно полученных ПДн). Максимальное наказание – штраф до 1 млн руб. или лишение свободы до 4 лет. Таким образом, защита данных выходит на новый уровень приоритета.

Практическое значение: Организации должны укреплять меры кибербезопасности и предотвращения утечек – стоимость инцидента теперь огромна. Обязательно нужно:

• Настроить системы мониторинга ИБ, чтобы быстро выявлять утечки.
• Назначить ответственных за реагирование, обучить персонал что делать при инциденте.
• Подготовить шаблоны уведомлений в Роскомнадзор, чтобы не терять время на их составление в стрессовой ситуации.
• Провести учения или моделирование утечки, чтобы отладить действия.

Также стоит страховать риски киберинцидентов, так как выплаты по штрафам и убыткам могут быть критичными. Повышенное внимание – секторам с чувствительными данными: финансовому (утечки баз банковских клиентов, номеров карт), медицинскому (утечки медкарточек, результатов анализов), интернет-компаниям (утечки аккаунтов пользователей). Именно на них РКН фокусируется при проверках соблюдения мер защиты.

Другие новые обязанности операторов

Помимо вышерассмотренных ключевых направлений (уведомления, согласия, локализация, утечки), есть ряд дополнительных требований, актуальных с 2025 года:

• Предоставление обезличенных данных государству. Как упоминалось, с сентября 2025 некоторые операторы должны будут выгружать обезличенные сведения в госхранилище. Вероятно, первыми под эту обязанность попадут государственные органы и крупные компании в отраслях связи, транспорта, торговли. Им уже сейчас стоит оценить, какие наборы данных могут быть затребованы, и предусмотреть процедуры обезличивания (деперсонификации). Возможно, понадобятся средства бигдат-аналитики и анонимизации. Пока детали внедрения этого механизма уточняются, но бизнесу сигнал: данные – это стратегический ресурс, и им придётся делиться на благо экономики, при соблюдении конфиденциальности.
• Ответы на запросы субъектов. Закон усилил права граждан в отношении своих данных. Оператор обязан по запросу предоставить субъекту информацию, какие ПДн о нём есть, кто их получал, с какой целью, и т.д. Также гражданин может потребовать исправить неверные данные или удалить, если они обработаны незаконно или устарели. Отказы в удовлетворении законных требований грозят санкциями. Поэтому компаниям нужно отладить процессы обработки таких обращений: назначить ответственных, завести учёт (журнал обращений, как выше сказано) и своевременно отвечать в установленные сроки (обычно 30 дней). В 2025 г. Роскомнадзор внимательно следит за этим, так как увеличилось число жалоб граждан на игнорирование их запросов.
• Передача данных третьим лицам (контрагентам). Операторы теперь должны ещё тщательнее контролировать, как и кому они передают персональные данные. Передача ПДн подрядчикам, партнёрам, операторам связи и т.п. требует наличия у оператора законного основания – чаще всего, того же согласия субъекта, где прямо указано, что его данные могут быть переданы таким-то третьим лицам. Распространённая ранее практика – вписать общую фразу «можем передавать данные нашим партнёрам» – уже не удовлетворяет требованиям конкретности. Нужно перечислять категории получателей или цели передачи. Без этого привлечь субподрядчика к обработке ПДн нельзя. Значит, бизнесу важно провести ревизию договоров с аутсорсерами (курьерские службы, колл-центры, маркетинговые агентства и т.п.) – убедиться, что у компании есть право передавать им ПДн (через отдельные пункты согласия от клиентов). Иначе, если обнаружится нелегитимная передача, наказание понесёт именно исходный оператор.
• Обучение и проверка персонала. Роскомнадзор ожидает, что компании будут проводить регулярное обучение сотрудников правилам работы с персональными данными. Особенно это касается тех, кто имеет доступ к базам данных, обрабатывает запросы субъектов, отвечает за безопасность. Внутренние регламенты должны предусматривать инструктаж при найме и периодические тренинги. Также рекомендуется внутренний контроль – например, ежегодные проверки службы безопасности или привлечённых аудиторов на тему соблюдения требований 152-ФЗ. Если в результате такой проверки компания выявит и сам устранит нарушения, это может смягчить ответственность при общении с РКН.

Специфика для разных категорий операторов

Новые требования в целом универсальны, но их практическая реализация может различаться в зависимости от отрасли и категории оператора. Ниже – некоторые особенности для разных секторов:

• Государственные органы и бюджетные учреждения. Они традиционно имеют большие массивы персональных данных (реестры населения, справочники, сведения о льготниках и т.д.). Для них принципиально важно выполнение требований по защите этих данных (есть и отраслевые стандарты по безопасности информации). Госорганы обычно освобождены от подачи уведомления в РКН, если работают с ПДн в рамках госфункций или в государственных информационных системах (напрямую указано в ч.2 ст.22 152-ФЗ). Тем не менее, они не освобождены от остальных требований: должны получать согласия (кроме случаев, предусмотренных законом), публиковать политики (см. на сайте любого министерства – есть раздел «Политика обработки ПДн»), назначать ответственных и т.п. В 2025 г. для госсектора актуальной стала тема Единой биометрической системы (ЕБС) – сбора биометрии граждан. Органы власти обязаны использовать только эту государственную систему для идентификации по биометрическим данным, а сбор биометрии вне ЕБС запрещён или ограничен. Поэтому, например, в банках сбор биометрии временно приостанавливался, пока не налажен обмен с ЕБС. Для государственных информационных систем действуют также Приказы ФСТЭК и ФСБ по защите информации, поэтому у них самый строгий режим соответствия новым требованиям.
• ИТ-компании, онлайн-сервисы. Для них новые правила несут как риски, так и стимулируют улучшение пользовательского опыта. Большинство требований прямо касаются их цифровых продуктов: нужно переделывать сайты под cookie-баннеры и дополнительные галочки согласия, обеспечивать отказ от западных SDK и сервисов, хранить данные пользователей на российских серверах, готовиться к массовым проверкам. Роскомнадзор в 2025 г. запустил автоматизированный мониторинг сайтов: специальные скрипты ежедневно сканируют корпоративные сайты на наличие политики, форм согласия, предупреждения о cookie и т.д.. ИТ-компаниям следует уделить особое внимание фронтенду своих приложений – несоответствие по мелочам (нет галочки, некорректен текст политики) может стать поводом для предписания и штрафа. С другой стороны, те, кто вовремя привёл всё в порядок, смогут использовать это как конкурентное преимущество, заверяя клиентов в надёжности сервиса. Сфера ИТ часто обрабатывает большие объемы ПДн (миллионы пользователей), поэтому им почти наверняка придётся проходить сертификацию ИСПДн (как упомянуто выше) и готовиться к возможной передаче обезличенных данных государству с 2025–2026 гг.
• Банки, финсектор. Банки исторически строго регулируются по линии ПДн: помимо 152-ФЗ, есть закон о банковской тайне, указания ЦБ РФ и стандарты безопасности (например, стандарт СтО БР ИББС для банков). Новые поправки ещё усилили для них ответственность. Банк, допустивший утечку данных, может попасть под оборотный штраф до 3% капитала, что для крупных банков исчисляется миллиардами рублей. Поэтому банки активно инвестируют в кибербезопасность, шифрование данных, мониторинг аномалий. В части согласий – у банков выстроена система получения согласий от клиентов на разные продукты, но теперь нужно перепроверить формулировки (убрать чрезмерно общие). Также банки в числе первых столкнулись с требованием идентифицировать клиентов по биометрии через ЕБС, что добавило нагрузки по получению отдельных согласий на биометрию. Многие банки обслуживают миллионы граждан – значит, сертификация защищённости их ИТ-систем по новым критериям практически обязательна (благо у банков уже есть опыт прохождения ежегодных аудитов ИБ). Отдельно стоит упомянуть, что с 2022–2023 гг. для трансграничной передачи банковских данных действуют особые правила: требуется либо согласие клиента, либо международные договоры, а регулятор (Банк России) строго контролирует, куда утекают данные (например, к иностранным платёжным системам). Таким образом, банки – одна из самых подготовленных категорий, но и одна из самых ответственных, поскольку оперируют и обычными, и специальными категориями ПДн.
• Медицинские организации. Больницы, клиники, лаборатории работают с данными о здоровье – это специальная категория ПДн, требующая усиленной защиты. Для медучреждений новые требования означают прежде всего ревизию процессов согласия пациентов: необходимо получать информированное письменное согласие на все неочевидные случаи обработки (например, передачу медданных сторонней лаборатории, выгрузку обезличенных медстатистик для исследования и т.д.). Запрещено требовать избыточные сведения у пациентов без нужды – например, нельзя отказать в оказании услуги, если пациент не захотел заполнить анкету о семейном положении и т.п. Также в медицине остро стоит вопрос обезличивания: при передаче данных в статистические органы или страховым компаниям нужно обезличивать всё, что не требуется по закону идентифицировать. В плане безопасности – клиники обязаны выполнять приказ № 21 ФСТЭК (защита ПДн в ИСПДн), а с учётом 152-ФЗ им грозит миллионный штраф за утечку истории болезней. Таким образом, ИТ-службам медицинских организаций нужно активно внедрять шифрование баз, контроль доступа, обучение персонала (много утечек происходит из-за человеческого фактора, например, врач сфотографировал анализы и выложил в соцсети – теперь за такие действия ответит и организация).
• Образовательные учреждения. Школы, вузы, детские сады тоже обрабатывают много ПДн (учеников, родителей, сотрудников). Им важно обновить согласия родителей на обработку данных детей – новая форма предусматривает, что согласие даёт законный представитель несовершеннолетнего с указанием его данных. Ранее на практике случалось, что согласия подписывали иные родственники, что РКН признавал нарушением. Также школы теперь обязаны публиковать политики по ПДн на своих сайтах (многие уже сделали) и уведомляться в реестре Роскомнадзора. Утечки в образовании редки, но возможны – например, если открыта база с данными учеников. Штрафы для школы или университета могут быть существенными, поэтому им нужно соблюдать кибергигиену, даже если нет выделенного ИБ-специалиста.

(Прочие отрасли также должны следовать общим требованиям – ИТ-компании мы объединили с онлайн-сервисами, финсектор и медицину выделили ввиду специфики данных. Торговля, промышленность, транспорт – все подчиняются 152-ФЗ в части данных сотрудников, клиентов, контрагентов.)

Привести сайт в соответствие 152-ФЗ ->

Сроки хранения и уничтожение данных

Сроки хранения персональных данных теперь требуют чёткого определения. Закон 152-ФЗ всегда предусматривал принцип «хранить данные не дольше, чем того требуют цели обработки» (ст. 5), но на практике многие компании хранили данные неопределённо долго. Новые требования фактически принуждают операторов устанавливать конкретные сроки или критерии хранения: эти сведения указываются либо в согласии субъекта, либо во внутренней политике. Например, компания может установить, что персональные данные клиента хранятся в течение 5 лет с момента последнего обращения, резюме соискателей – 1 год, записи видеонаблюдения – 30 дней, данные ушедшего сотрудника – 75 лет (срок хранения кадровых документов по архивным правилам) и т.д. По истечении срока хранения данные должны быть уничтожены либо обезличены (если нужны для статистики). Невыполнение этого требования может квалифицироваться как нарушение правил обработки. В КоАП (в новых частях ст. 13.11) предусмотрена ответственность и за нарушение установленных правил хранения/уничтожения. Например, «неправильное хранение данных» может пониматься как хранение без законных оснований или дольше, чем положено – что подлежит штрафу вплоть до нескольких миллионов рублей для организации.

Практическое значение: Компаниям нужно пересмотреть свои политики хранения – определить для каждой категории ПДн (клиентские, персонал, пользователи сайта и пр.) разумные сроки актуальности. Желательно реализовать процедуры удаления: например, настроить в CRM автоматическое удаление/архивацию записей неактивных клиентов по истечении N лет, уничтожение резервных копий старше N периодов и т.п. При проверке Роскомнадзор может запросить документы, подтверждающие уничтожение просроченных данных. Если оператор сможет показать акты об уничтожении или логи удаления, это убережет от штрафов. Особое внимание – видеофиксации, аудиозаписям кол-центров, журналам учета входа на территорию: их часто забывают чистить, а это персональные данные, на них тоже распространяется требование конечности хранения.

Также закон требует уничтожать персональные данные по первому требованию субъекта, если только хранение не требуется по закону. Это означает, что, например, по запросу клиента «удалите мои данные» компания обязана удалить все сведения о нём (если нет иных законных оснований хранить, типа неоплаченного долга). Исключение – резервные копии: допустимо, что данные останутся в бэкапах до их циклического удаления, но использовать их нельзя. С 2025 года Роскомнадзор жёстко спрашивает с операторов выполнение требований об удалении по запросу: если будет установлено, что компания продолжала использовать данные после отзыва согласия или получения требования на удаление, ей грозит штраф за незаконную обработку.

Штрафы и ответственность за нарушения

Одно из самых ощутимых нововведений – кратное увеличение штрафов за несоблюдение закона о персональных данных с 30 мая 2025 года. Поправки в КоАП РФ не только повысили «потолки» штрафов, но и ввели новые составы правонарушений. Ниже приведены основные виды нарушений и санкции (для юридических лиц, если не указано иное):

• Обработка ПДн без законных оснований или с нарушением ограничений. Это общий состав (ч.1 ст. 13.11 КоАП). Штраф для организации повышен до 150 000 – 300 000 руб. (ранее максимум был 50–75 тыс.). Для должностных лиц – до 100 000 руб.. Повторное совершение – до 500 000 руб. для организации. Сюда попадает, например, отсутствие необходимого согласия, обработка не тех данных, что заявлены в политике, несоблюдение прав субъектов и т.п.
• Отсутствие надлежащего согласия субъекта. Если оператор собрал и использует персональные данные без получения требуемого согласия, либо согласие оформлено неправильно (нет обязательных пунктов, не в письменной форме там, где нужно), это отдельный состав (примерно соответствует ч.2 ст. 13.11 КоАП). Штраф для юрлица – от 300 000 до 700 000 руб.. Под эту норму подпадает и ситуация, когда компания собирает лишние данные без необходимости или использует данные не по заявленной цели – фактически тоже выходит за рамки полученного согласия.
• Непредставление уведомления в Роскомнадзор о начале обработки. Если компания начала собирать персональные данные, но не подала уведомление и не значится в реестре РКН, ей грозит штраф 100 000 – 300 000 руб. (ч.10 ст. 13.11 КоАП). Для должностных лиц – 30 000 – 50 000 руб.. Такие же штрафы для ИП приравниваются к штрафам организаций. Как уже отмечалось, до конца мая 2025 года штрафы были копеечные (3–5 тыс.), поэтому многие не спешили уведомляться – теперь промедление обходится гораздо дороже.
• Несообщение об изменениях или прекращении обработки. За несвоевременное обновление сведений в уведомлении (например, сменился адрес базы, а оператор не уведомил РКН в 10-дневный срок, как требует закон) также могут привлечь, хотя в КоАП нет прямой отдельной статьи, это рассматривается как общее нарушение порядка обработки. Лучше не допускать этого, своевременно подавая корректирующие уведомления.
• Нарушение обязанности уведомлять об утечке. Если случилась утечка, а оператор скрыл инцидент от Роскомнадзора или уведомил с нарушением установленного порядка/сроков, ему грозит штраф от 1 000 000 до 3 000 000 руб.. Для ответственных должностных лиц – поменьше (от 100 до 200 тыс., согласно новой ч.15 ст. 13.11 КоАП). Эта санкция мотивирует компании не замалчивать инциденты: проще сразу признаться и отчитаться, чем потом получить такой штраф вдобавок к штрафу за сам факт утечки.
• Утечка персональных данных (единожды). Штрафы дифференцированы по масштабу утечки, как приведено в предыдущем разделе: до 5 млн руб. при утечке данных от 1000 лиц, до 10 млн руб. при утечке от 10 000 лиц, до 15 млн руб. при утечке свыше 100 000 лиц, спецкатегории – до 15 млн, биометрия – до 20 млн руб.. Минимальные пороги начинаются от 1 млн (например, за утечку 1000 записей – штраф не менее 3 млн). Заметим, эти штрафы могут быть наложены даже если оператор технически не виноват (скажем, стал жертвой хакера) – закон исходит из принципа ответственности за факт утраты данных.
• Повторная утечка. Это самый суровый случай: штраф 1–3% годовой совокупной выручки, но не менее 20 (или 25) млн руб. и не более 500 млн. Например, если у компании выручка 10 млрд руб., то штраф может составить до 300 млн. Для понимания, 20 млн – это минимум даже для среднего бизнеса. Повторной считается утечка, если ранее в течение года уже была утечка и компания была привлечена к ответственности (штраф/предупреждение). То есть, по сути, за две утечки подряд фирма может заплатить суммарно до 15 млн (первый раз) + до 500 млн (второй раз). Это беспрецедентные для России цифры штрафов, что подчёркивает крайнюю серьёзность отношения государства к проблеме.
• Предупреждение вместо штрафа при первом нарушении. Есть и небольшой смягчающий нюанс: согласно ст. 4.1.1 КоАП, если правонарушение совершено впервые и не повлекло вреда, контролирующий орган обязан вынести предупреждение вместо штрафа. Эта норма распространяется и на сферу ПДн. Поэтому, если, например, компания забыла уведомиться в РКН, но раньше не привлекалась к ответственности, то при выявлении этого ей формально должны вынести предупреждение (то есть запись о нарушении, но без штрафа). Однако предупреждение даётся один раз. Если после него фирма не исправилась (например, не подала уведомление даже после предупреждения) – повторное привлечение уже будет со штрафом по полной, без вариантов. В реальности Роскомнадзор, как правило, первым актом реагирования действительно выдаёт предписание об устранении и предупреждение, особенно малому бизнесу. Но полагаться на мягкость не стоит: при грубых нарушениях (утечка миллионов данных) сразу могут выписать штраф, минуя предупреждение, обосновав это значительным вредом.
• Блокировка ресурсов и приостановка деятельности. Кроме штрафов, закон (ст. 15.5 149-ФЗ) даёт Роскомнадзору право ограничивать доступ к информационным ресурсам, которые нарушают требования к персональным данным. Например, если сайт незаконно распространяет персональные данные или уклоняется от выполнения закона о локализации, РКН может через операторов связи заблокировать доступ к этому сайту на территории РФ. Также суд может по представлению регулятора приостановить деятельность компании на срок до 90 суток за неоднократные нарушения (такие случаи пока редки, только в теории). Но блокировка веб-ресурса – вполне реальный риск для онлайн-бизнеса.

Практика проверок Роскомнадзора. С 30 мая 2025 г. Роскомнадзор анонсировал массовые проверки сайтов на соответствие требованиям 152-ФЗ. Проверки будут как плановыми (по ежегодным графикам, публикуемым на сайтах региональных управлений РКН), так и внеплановыми – по жалобам граждан или инцидентам. Причём используются современные инструменты: автоматизированные системы мониторинга и даже элементы искусственного интеллекта для сканирования интернет-ресурсов. Это позволило делать проверки быстрее, точнее и чаще. Если раньше ревизоры ехали в офис с проверкой документов, то теперь многие нарушения фиксируются дистанционно (не нашли на сайте политику – сразу повод для штрафа). Основные «триггеры» для проверок: жалобы пользователей (например, человек пожаловался, что компания не удаляет его данные или шлёт спам без согласия), сообщения в СМИ о крупных утечках, отсутствие компании в реестре РКН при явной работе с ПДн, и т.п.

Компании следует быть готовыми к проверке в любой момент. Хорошей практикой будет самостоятельно провести внутренний аудит: проверить сайт по чек-листу Роскомнадзора (хостинг в РФ? политика есть? формы с галочками? уведомление подано?), сверить внутренние документы с фактической обработкой, обучить ответственных отвечать на запросы проверяющих. Если нарушения не критичные, зачастую РКН сначала выдаст предписание устранить их в определённый срок и только потом штрафует, если предписание не выполнено. Поэтому важно не спорить, а оперативно выполнять указания регулятора.

Привести сайт в соответствие 152-ФЗ ->

Переходные положения и подготовка к нововведениям

Большинство существенных изменений уже вступили в силу к концу мая 2025 года. Основной «пакет» поправок заработал с 30.05.2025, однако ряд положений имеют отсроченное вступление:

• Правило о запрете трансграничной передачи в момент сбора данных – с 1 июля 2025 г. (как отмечалось, это фактически конец использования иностранных аналитических сервисов без локализации). У бизнеса было несколько месяцев (с момента публикации закона № 420-ФЗ в конце 2024 г.) на переходный период, чтобы мигрировать на российские решения или получить разрешения РКН.
• Обязанность передачи обезличенных данных в ГИС – с 1 сентября 2025 г. (дан промежуточный год на подготовку – предприятия смогут наладить процессы и технику для выгрузки данных).
• Предлагаемые запреты на «встроенные» согласия и ограничение доступа (проект № 679980-8) изначально планировалось ввести с марта 2025 г., но к маю закон ещё не принят окончательно. Возможно, его вступление сдвинется на более поздний срок, либо эти нормы будут включены в другой закон. Тем не менее, Роскомнадзор рекомендует не ждать и уже сейчас привести практику в соответствие: делать согласия отдельными документами, не требовать лишнего у пользователей. Фактически многие компании это внедряют превентивно, зная, что закон почти неизбежно будет принят.

Чтобы помочь бизнесу адаптироваться, Роскомнадзор и экспертное сообщество опубликовали множество разъяснений, чек-листов и обучающих материалов (вебинары, памятки). Крупные холдинги нанимают консультантов и проводят полные ревизии процессов обработки ПДн, пересобирают бизнес-процессы «с нуля» с учётом новых реалий. По сути, требуются не формальные изменения, а глубинная перестройка – от пользовательского интерфейса сайта до внутренних инструкций и договоров с подрядчиками. Компании, которые вовремя инвестируют усилия в соответствие требованиям, не только избегут штрафов, но и повысят доверие клиентов.

Ниже представлена сводная таблица новых требований законодательства о персональных данных и указано, на каких операторов они распространяются. Таблица помогает оценить, какие меры должны принять организации различных секторов.

Таблица: новые требования законодательства о ПДн (с учетом изменений, вступивших в силу к 30.05.2025) и категории операторов, которых они затрагивают.

Заключение

Совокупность изменений 2022–2025 гг. превратила российское законодательство о персональных данных в один из самых строгих режимов в мире. Бизнесу важно отнестись к новым требованиям не как к формальной бюрократии, а как к неотъемлемой части своей деятельности. Нарушение правил теперь грозит не просто предписанием «исправиться», а многомиллионными потерями и репутационным ущербом. В то же время, соблюдение всех норм повышает доверие клиентов, защищает их права и в конечном счёте укрепляет рынок.

На практике компаниям рекомендуется:

• провести детальный аудит своих процессов обработки ПДн, привлечь компетентных специалистов (юристов по privacy, экспертов по ИБ);
• на основе аудита обновить документацию (политики, согласия, договоры с контрагентами), устранить выявленные несоответствия;
• обучить и проинструктировать персонал, особенно ответственных за сбор и хранение данных;
• внедрить технические решения для защиты и мониторинга данных (шифрование баз, системы обнаружения утечек, DLP и пр.);
• постоянно отслеживать разъяснения Роскомнадзора и новые нормативные акты – регулятор и далее будет уточнять требования по мере развития технологий.

Новые требования уже вступили в силу, и Роскомнадзор показал решимость их применять. Однако переходный период ещё фактически идёт – бизнес перестраивает процессы, появляются отечественные сервисы взамен ушедших иностранных, совершенствуется государственная инфраструктура (ЕБС, реестр трансграничных передач и т.д.). В этом смысле 2025 год стал поворотным: начинается новая эра регулирования персональных данных в России, где на первый план вышли прозрачность, безопасность и суверенитет данных. Организациям всех отраслей придётся адаптироваться к этим реалиям, чтобы успешно работать, избегать санкций и сохранять лояльность пользователей в условиях возросшей цифровой осторожности общества.

Привести сайт в соответствие 152-ФЗ ->