Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
AI
Личный опыт
Деньги
Инвестиции
Право
Карьера
Путешествия
Крипто
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Б-152

Что нового в законе о персональных данных для компаний и ИП: главные изменения, которые стоит учитывать уже сейчас

Что нового в законе о персональных данных для компаний и ИП: главные изменения, которые стоит учитывать уже сейчас

Работаете с клиентами? Храните резюме, больничные, заявки с сайта? Используете Tilda, Zoom или Google Docs? Поздравляем! Вы оператор персональных данных. И с 2025 года это стало не просто формальным статусом, а зоной реальных рисков: с крупными штрафами, цифровыми проверками и новыми обязанностями.

В этой статье мы расскажем, что конкретно изменилось в регулировании обработки персональных данных в 2025 году, и что с этим делать, независимо от того, кто вы: ИП, директор, бухгалтер или специалист по информационной безопасности.

1. Неподача уведомления в Роскомнадзор — теперь штраф до 300 000 рублей

Если вы обрабатываете персональные данные, то обязаны подать уведомление об их обработке в Роскомнадзор (ФЗ-152, ст. 22). Это требование действует давно, но ранее за его нарушение штрафовали по ст. 19.7 КоАП максимум на 5 тыс. рублей. Поэтому многие бизнесы (особенно ИП и малый бизнес) игнорировали обязанность.

С весны 2025 года всё изменилось. В статье 13.11 КоАП РФ появилась часть 10, по которой штраф составляет:

  • для юрлиц — до 300 000 руб.,
  • для должностных лиц — до 50 000 руб.,

Да, ИП тоже относятся к операторам, независимо от масштаба бизнеса.

Важно: подача уведомления НЕ означает автоматическую проверку. С 2023 года действует мораторий на плановые проверки до 2030 года, и Роскомнадзор физически не может прийти ко всем. Но подача уведомления — это обязанность, и за её игнорирование теперь наказывают всерьёз.

2. Цифровые проверки: как робот РКН анализирует ваш сайт

С 2022 года Роскомнадзор запустил массовую автоматизированную проверку сайтов операторов ПДн. Робот ищет:

  • есть ли политика обработки ПДн на сайте;
  • кто указан оператором и соответствует ли он уведомлению;
  • где физически расположен сервер (локализован ли он в РФ);
  • используются ли зарубежные сервисы: Google Analytics, Zoom, Tilda, Cloudflare;
  • есть ли согласие на обработку данных в формах обратной связи.

Если что-то не так, компания получает официальный запрос на устранение нарушений. В случае игнорирования — штраф по ст. 13.11 КоАП.

Пример: компания использует Tilda, не разместила политику ПДн и не указала себя как оператора — это уже три потенциальных нарушения.

Если вы понимаете, что часть перечисленных требований может быть актуальна и для вашего бизнеса, но не уверены в деталях, проще всего оставить заявку на консультацию у наших экспертов. Мы поможем разобраться, какие процессы и документы требуют обновления именно у вас: оставить заявку →

3. Новый взгляд на обезличивание: если ПДн вы «убрали», но их можно восстановить — это не обезличивание

С сентября 2025 года у операторов персональных данных появится новая обязанность — передавать обезличенные данные в государственную информационную систему «ГосОзеро». Для этого Роскомнадзор разработал проект приказа «Об утверждении требований к обезличиванию ПДн», в котором впервые формализуются допустимые методы обезличивания.

Если организация хочет использовать обезличенные данные (для аналитики, исследований или передачи в ГИС), придётся строго следовать утверждённой методике. Самостоятельные способы допустимы только после согласования с ФСТЭК или ФСБ. В противном случае обезличенные данные будут считаться персональными, с соответствующими требованиями и санкциями.

Для digital-директоров, IT и маркетинга это означает: работа с данными станет строже, а простые «замены имён» больше не спасают от ответственности.

4. Ответственность за утечки: теперь зависит от объёма и типа данных

В 2025 году статья 13.11 КоАП дополнена частями 12–18. Теперь штраф зависит от объёма утекших данных и их категории:

  • до 10 000 субъектов — до 5 млн ₽;
  • от 10 000 до 100 000 — до 10 млн ₽;
  • более 100 000 — до 15 млн ₽;
  • утечка биометрии или спец категорий — до 20 млн и 15 млн ₽ соответственно;
  • повторная утечка — до 3% годовой выручки, минимум 20 млн ₽.

Даже если утечка произошла через подрядчика, ответственность несёт оператор. Поэтому аутсорсинг = зона риска, которую надо проверять.

Смягчающие обстоятельства возможны, если:

  • компания в течение предшествующих 3-х лет тратила не менее 0,1% выручки на ИБ;
  • есть аудит соответствия требованиям ФЗ-152;
  • нарушение не повторяется.

5. Уголовная ответственность уже не абстракция

Роскомнадзор и МВД всё чаще применяют статьи 272 и 272.1 УК РФ — «неправомерный доступ к ПДн» и «обработка без законного основания».

Поводом могут стать:

  • неправомерный доступ к ИСПДн подрядчика;
  • использование чужой базы клиентов.

Что делать? Чек-лист для всех ролей

Для генерального директора и владельцев бизнеса

Руководитель несёт финальную ответственность перед регулятором. Поэтому важно:

  • Убедиться, что уведомление о начале обработки ПДн подано в Роскомнадзор, и информация в нём соответствует фактическим процессам.
  • Назначить ответственное лицо за организацию обработки персональных данных, зафиксировав это приказом.
  • Проверить, как финансируется информационная безопасность: ориентир — не менее 0,1% от годовой выручки. Это минимальный объём, который покажет добросовестность при проверке.
  • Провести общий аудит цифровой инфраструктуры: сайт, CRM, формы сбора данных, политики конфиденциальности, согласия — всё должно соответствовать требованиям закона.

Для юристов и комплаенс-специалистов

Именно юристы отвечают за правовую чистоту процессов. Их задачи:

  • Проверить все договоры с подрядчиками, особенно на предмет включения условий о передаче, обработке и защите персональных данных. Если такие положения отсутствуют, договор нужно либо дополнить, либо переоформить.
  • Провести аудит правовых оснований обработки ПДн: есть ли согласия, соответствуют ли цели, требуется ли письменная форма.
  • Настроить внутренний контроль: алгоритм реагирования на запросы субъектов; сроки хранения и удаления данных; актуальность политики обработки и уведомлений.

Для HR и бухгалтерии

Эти отделы работают с самым чувствительным объёмом данных, т.е. персоналом. Необходимо:

  • Проверить, что собраны согласия на обработку ПДн сотрудников, кандидатов, самозанятых, подрядчиков..
  • Убедиться, что издан приказ о назначении ответственного за обработку ПДн в подразделении или компании.
  • Завести и вести:
  • журнал учёта обращений субъектов ПДн (запросы на удаление или разъяснение);журнал учёта материальных носителей, содержащих персональные данные (диски, флешки, бумажные досье и др.).

Для IT-директора и специалистов по ИБ

Техническая реализация требований закона на их плечах. Обязательно:

  • Проверить, где физически размещены серверы и базы данных, содержащие ПДн. Все первичные записи должны производиться на территории РФ (согласно ч. 5 ст. 18 закона).
  • Проанализировать, используются ли иностранные SaaS-сервисы (например, CRM, формы, чаты), и не нарушают ли они правила локализации или трансграничной передачи.
  • Настроить и задокументировать:
  • систему логирования действий с ПДн;контроль доступа к информационным системам и файлам;механизмы защиты данных: шифрование, антивирус, разграничение прав, аудит.
  • Убедиться, что применяются сертифицированные средства защиты информации (СЗИ), если это требуется уровнем защищённости ИСПДн (особенно при работе с биометрией, здравоохранением или государственными заказами).

Заключение

В 2025 году защита персональных данных перестала быть задачей на стороне юриста или формальной графой в чек-листе комплаенса. Это системная обязанность всей компании: от топ-менеджмента и HR до IT, бухгалтерии, маркетинга и подрядчиков. Закон теперь требует не просто иметь согласие или написать политику, а показывать работающее соответствие: в инфраструктуре, документах, логике процессов и взаимодействии с внешними сервисами.

Новые составы правонарушений, автоматизация проверок, строгие требования к локализации и трансграничной передаче, а также растущие публичные кейсы в медиаполе делают любую ошибку (даже допущенную по привычке или незнанию) не просто юридическим риском, а реальной угрозой репутации и финансовой стабильности бизнеса.

Если вы до сих пор не подали уведомление в Роскомнадзор, не перепроверили свой сайт, формы, CRM, договоры с подрядчиками, не обновили согласия или не разобрались, где именно физически размещаются базы данных — начать стоит сейчас. Не потому что этого требуют юристы, а потому что это дешевле, чем штраф, быстрее, чем проверка, и разумнее, чем публичный скандал после утечки.

В 2025 году соответствие закону о персональных данных — это признак зрелости и надёжности компании, а не просто исполнение требований.

Чтобы следить за новыми изменениями, свежей практикой Роскомнадзора и получать рабочие чек-листы первыми, присоединяйтесь к нашему ТГ-каналу: подписаться →.

1
Начать дискуссию