Личный кабинет
Новые правила работы с персональными данными с 1 сентября 2025 года

Новые правила работы с персональными данными с 1 сентября 2025 года

С 1 сентября 2025 года вступают в силу поправки в законе о работе с персональными данными. Рассказываем, как теперь меняются условия для бизнеса. 
645

С 1 сентября 2025 года вступает в силу пакет новаций, который меняет практику обработки персональных данных: законодательно закрепляется порядок обезличивания персональных данных, усиливаются требования к форме согласий и уведомлениям, а ответственность за нарушения становится реальной и материально ощутимой. Это не «бумажная» задача юриста — это операционный риск, который нужно закрыть руководителю бизнеса как можно быстрей. 

Почему это важно сделать прямо сейчас

За последние 12–18 месяцев в Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ внесены системные изменения (в том числе Федеральный закон № 233-ФЗ), которые создают правовую основу для формирования обезличенных наборов данных и расширяют возможности их использования бизнесом и государством. Параллельно Роскомнадзор (РКН) утвердил требования к методам обезличивания персональных данных (Приказ № 140 от 19.06.2025). Вместе это означает: работать «как прежде» — опасно. 

Проще говоря, за последние полтора года закон менялся несколько раз, и с 1 сентября закон о персональных данных начинает действовать по-новому. И теперь он затрагивает не только юридические, но и операционные процессы бизнеса.

Что относится к персональным данным

Персональные данные — любые сведения, относящиеся прямо или косвенно к определенному физическому лицу (ст. 3 ФЗ-152):

  • ФИО,
  • паспорт,
  • СНИЛС,
  • контакты,
  • IP,
  • cookie,
  • фото, видеозаписи, записи разговоров,
  • данные о доходах и др.

Отдельно закон выделяет «специальные» (медицинские, сведения о мировоззрении и т. п.) и биометрические данные — для них действуют повышенные требования и ограничения (ст. 10–11 ФЗ-152). 

Кто собирает персональные данные

Оператором персональных данных может быть практически любая организация, имеющая сотрудников или клиентов:

  • работодатели и HR-агентства;
  • медицинские учреждения и страховщики;
  • банки и платёжные сервисы;
  • e-commerce и маркетплейсы;
  • SaaS-провайдеры и облачные операторы;
  • маркетинговые агентства;
  • call-центры;
  • образовательные платформы и логистические сервисы.

Для каждой категории существуют свои риски: от обработки специальных данных у медорганизаций до трансграничных передач у SaaS и платёжных систем.

Ключевые изменения по персональным данным с 1 сентября 2025 года

Обезличивание как отдельный правовой режим

Обезличивание персональных данных с 1 сентября — очень важный пункт в пакете новаций. Теперь данные можно использовать без согласия, только если они правильно обезличены, при соблюдении утвержденных методов; эти методы закреплены в Приказе РКН № 140 (19.06.2025). 

Примеры:

  • розничная сеть собирает статистику по покупкам клиентов и формирует обезличенные отчёты для анализа спроса без хранения ФИО или контактов;

  • медицинский центр использует обезличенные данные о посещениях для расчёта нагрузки на врачей, не привязывая их к конкретным пациентам.

Отдельная форма согласия

Согласие должно быть оформлено раздельно по каждой цели и передачи; общая «галочка» в условиях больше не подходит — она покрывает обработку (ст. 9 ФЗ-152). Например, если ваш клиент оформляет подписку на рассылку и одновременно хочет присоединиться к программе лояльности, потребуется два отдельных согласия.

Уведомления и реестр обработок

Операторы обязаны корректно указывать сведения об обработках и при изменениях обновлять данные в реестре (ст. 22 ФЗ-152).

Так, если вы запускаете новую маркетинговую рассылку, подключаете внешнюю CRM или внедряете чат-бота — нужно внести изменения в реестр. А при изменении целей обработки (например, данные сотрудников используются не только для кадрового учёта, но и для корпоративного обучения) также требуется обновление. 

Ужесточение ответственности

Штрафы по КоАП РФ и иные административные меры значительно выросли — от сотен тысяч до многомиллионных сумм и, в ряде случаев, процентной оценки от оборота при массовых/повторных нарушениях (положения КоАП об ответственности операторов). 

Например, за незаконный сбор или передачу данных штрафы могут достигать до 500 тыс. руб., а за утечку персональных или биометрических данных — до 1–3 млн руб.

Трансграничная передача — особый фокус внимания 

Трансграничная передача — это передача персональных данных на территорию иностранного государства, в том числе иностранным государственным органам, иностранным юридическим или физическим лицам. Это могут быть сайты на зарубежных CMS и CRM, имеющие платежные и регистрационные модули, платформы для сбора и обработки заявок, мессенджеры и т.д.

Правовой базис — ст. 12 Федерального закона № 152-ФЗ «О персональных данных» (оператор обязан убедиться в адекватной защите прав субъектов данных или в наличии иного законного основания для передачи). 

Ключевая обязанность: перед началом трансграничной передачи оператор должен убедиться, что условия и юрисдикция получателя обеспечивают адекватную защиту прав субъектов, либо иметь иные правовые основания для передачи; при изменениях — документировать и корректировать свои решения. 

 На практике это означает:

  • документировать, кому и зачем передаёте данные;

  • проверять юрисдикцию получателя и уровень защиты;

  • включать в договоры с иностранными провайдерами обязательства по защите ПДн и порядок реагирования на инциденты;

  • при сомнениях — локализовать критичные базы в РФ.

Критичный момент: компании, использующие зарубежные CRM или облачные хранилища, должны:

  • Проверить, включена ли страна-получатель данных в «перечень адекватных»;

  • Получить отдельное письменное согласие (ст. 12 152-ФЗ), если страна не в перечне.
    Ошибки в трансграничных передачах — частая причина претензий и штрафов.

Почему трансграничная передача — особенно важный аспект защиты ПДн

  1. Различия правовых режимов и доступ третьих лиц. В других странах действуют свои правила доступа к данным. Например, крупные зарубежные облачные сервисы обязаны раскрывать данные по запросу местных госорганов — даже если эти данные принадлежат вашим клиентам из России.

  2. Юрисдикционные сложности при защите прав субъектов. Если данные оказались за рубежом, российский клиент в случае жалобы может столкнуться с тем, что его права защищать придётся через иностранный суд — это дорого, долго и сложно.

  3. Техническая и договорная непрозрачность. Нередко компании используют сторонние облачные сервисы/провайдеров, не имея конкретных гарантий: где именно лежат данные, как они шифруются и кто может к ним получить доступ.

  4. Репутационные и регуляторные риски. Ошибочная или неподготовленная передача данных может привести к проверкам Роскомнадзора, крупным штрафам и потерей доверия клиентов.

Санкции за нарушения, связанные с трансграничной передачей

Санкции зависят от конкретного нарушения, это может быть неуведомление, неправомерная передача, утечка, передача специальных/биометрических данных и т.д.. Основные ориентиры — ст. 13.11 КоАП РФ и её новые редакции/части. 

  • Отсутствие/неполное уведомление об обработке — штрафы для организаций обычно в сотнях тысяч рублей.

  • Неправомерная передача / утечка персональных данных (массовые случаи) — штрафы для юридических лиц от 1 млн до десятков миллионов рублей; за повторное нарушение — ещё выше (части 8–9 ст. 13.11 КоАП). Для значительных утечек санкции могут достигать десятков миллионов, в зависимости от масштабов и характера данных.

  • Неуведомление о фактах утечки — отдельный состав (штрафы для организаций— порядка 1–6 млн руб.). Например, когда компания обнаружила утечку данных сотрудников, но не уведомила Роскомнадзор вовремя.

  • Обработка специальных/биометрических данных без основания — здесь особенно усиленные санкции и специальные составы ответственности (см. ст. 13.11 и специализированные нормы).

Важно: конкретный размер штрафа и квалификация нарушения зависят от фактических обстоятельств — масштаба утечки, числа пострадавших, повторности нарушения и т. п.. При проверке важно иметь документированную доказательную базу (оценки рисков, договоры, технические меры) — это снижает вероятность наиболее жёстких санкций и позволяет аргументированно взаимодействовать с регулятором.

Быстрый чек-лист для бизнеса 

Рассказываем, что важно проверить прямо сейчас:

  • Выяснить, какие данные вы хотите обезличить и для чего (анализ, обучение моделей, отчёты).

  • Выбрать метод(ы) из тех, что рекомендует регулятор (псевдонимизация, агрегация, удаление идентификаторов и т. п.) и обосновать выбор.

  • Провести и записать тест на ре-идентификацию — показать, что восстановление личности невозможно.

  • Хранить «ключи» и алгоритмы отдельно; ограничить к ним доступ.

  • Включить в договоры с партнёрами запрет на попытки ре-идентификации и порядок действий при инциденте.

  • Сохранить все документы — это ваша «страховка» при проверке.

Как разобраться быстро и без рисков 

Работа с персональными данными — это не только формальность, но и постоянный контроль, обновление документов и готовность к проверкам. Для руководителей и собственников бизнеса это означает дополнительную нагрузку, отвлекающую от стратегических задач. Именно поэтому оптимальным решением становится передача этой функции профессионалам.

Партнеры РШУ, юридическая компания «Лекс», предлагают услугу DATAGUARD 152-ФЗ — готовое решение «под ключ». В него входят:

  • комплексный аудит процессов компании;

  • разработка и внедрение полного пакета документов (политики, формы согласий, реестры, журналы);

  • оценка трансграничных рисков;

  • сопровождение проверок и представительство в РКН.

Такой подход дает бизнесу сразу несколько преимуществ:

  • экономия времени руководства — вы сосредотачиваетесь на развитии бизнеса, а не на юридических деталях;

  • минимизация рисков штрафов и блокировок — все процессы выстроены в соответствии с требованиями закона;

  • профессиональная защита интересов компании — специалисты берут на себя не только документы, но и сопровождение при проверках;

  • спокойствие собственников — персональные данные обрабатываются по правилам, и это подтверждено внешними экспертами.

Делегируя задачу экспертам, вы снижаете риски для бизнеса, получаете уверенность в надежности процессов и освобождаете ресурсы для действительно важных управленческих решений. 

Больше интересного
о бизнес-образовании, обучении персонала и саморазвитии — в нашем телеграм-канале.
Подписывайтесь!
Волгин Артем Эксперт РШУ, руководитель судебной практики юридической компании «Лекс»

 

 
Любое использование материалов медиапортала РШУ возможно только с разрешения редакции.
Сложно выбрать? Напишите, мы поможем!

Нажимая кнопку “Отправить” я даю

Подпишитесь на рассылку
и получайте полезные материалы с актуальными бизнес-инструментами, советами и свежими новостями*
*получайте 1 раз в неделю самое важное и интересное из области бизнес-образования

Нажимая кнопку ”Подписаться” я даю: