Новые требования к персональным данным в 2025: как бизнесу работать по обновленному 152-ФЗ

С 30 мая 2025 года в России вступают в силу масштабные поправки в 152-ФЗ «О персональных данных». Ужесточаются правила обработки, вводятся новые категории данных, а штрафы за нарушения вырастают в разы. Кроме того, осенью заработает государственное «озеро данных» — платформа для обезличенной информации.

Разбираем, какие компании попадают под изменения, как адаптироваться и что будет за несоблюдение закона.

Кого касаются новые требования?

Практически всех, кто работает с персональными данными (ПДн):

Сайты с формами заявок, CRM, аналитикой (например, Яндекс.Метрика).
Интернет-магазины, сервисы, банки, HR-агентства.
Даже микробизнес, если собирает телефоны или email клиентов.

Важно: закон распространяется на данные любых лиц — клиентов, сотрудников, партнеров, посетителей сайта.

Что меняется?

1. Новые категории данных

Теперь ПДн делятся на три группы с разными уровнями защиты:

Биометрические (отпечатки пальцев, сканы сетчатки, голос) — требуют письменного согласия.
Специальные (здоровье, религия, политические взгляды) — можно обрабатывать только в обезличенном виде.
Общие (ФИО, телефон, email) — можно собирать по договору, но с новыми ограничениями.

2. Штрафы выросли в разы

Нарушение | Старый штраф | Новый штраф (макс.)

Отсутствие согласия | До 75 тыс. руб. | 700 тыс. руб. (для юрлиц)

на обработку

Несоблюдение правил | До 100 тыс. руб. | 6 млн руб.

хранения

Сокрытие утечки | До 50 тыс. руб. | 3 млн руб.

данных

Повторная утечка | — | 3% год. выручки (до 500 млн руб.)

3. Локализация данных в России

Запрещено отправлять ПДн за рубеж без разрешения РКН.
Google Analytics, Meta Pixel, Hotjar и другие иностранные сервисы под запретом, если не хранят данные в РФ.

4. «Озеро данных» — госплатформа для обезличенных ПДн

С сентября 2025 года крупные компании (оборот от 2 млрд руб.) обязаны передавать в систему обезличенные данные. С 2026 года требование коснется всех, кто обрабатывает более 100 тыс. записей в год.

Как бизнесу подготовиться?

📌 Документы

Обновите политику обработки ПДн — теперь нужны конкретные цели сбора данных.
Внедрите регламент реагирования на утечки (уведомлять РКН надо в течение 24 часов).
Проверьте согласия клиентов и сотрудников — старые формы могут не подходить.

📌 Технические изменения

Откажитесь от иностранных сервисов (Google Analytics и др.) в пользу российских аналогов.
Проверьте сбор cookie — пользователь должен сам выбирать, какие данные разрешает собирать.
Настройте хранение данных на российских серверах.

📌 Пошаговый план

Аудит (1 месяц) — какие данные собираете, где хранятся, какие сервисы используете.
Обновление документов (2 месяца) — политики, согласия, регламенты.
Техническая адаптация (2 месяца) — замена сервисов, настройка безопасности.
Обучение сотрудников — как работать с ПДн по новым правилам.

FAQ: главные вопросы

❓ Нужно ли переводить данные с зарубежных серверов?
Да, иначе штраф до 6 млн руб.

❓ Что делать, если нужна передача данных за границу?
Получить разрешение РКН и внести сведения в Реестр трансграничных передач.

❓ Обязательно ли участвовать в «озере данных»?
Да, если ваш оборот > 2 млрд руб. или > 100 тыс. записей ПДн в год.

Вывод: действуйте сейчас

Новые правила уже в мае 2025, а штрафы стали серьезнее.

Оптимальный план:
✅ Провести аудит до конца мая.
✅ Назначить ответственного за ПДн.
✅ Выделить бюджет на замену сервисов и обновление документов.

Игнорировать изменения — рисковать бизнесом. Готовьтесь заранее!

#персональныеданные #152фз #бизнес #законодательство #ркн #цифровизация