Закон о персональных данных: что изменилось в 2025 году и как это повлияет на всех
Работаете с клиентами, сотрудниками или подрядчиками? Храните анкеты, ведёте рассылки, оформляете заказы, публикуете вакансии или поддерживаете сайт?
Тогда вам важно знать: в 2025 году в закон о персональных данных (152-ФЗ) и КоАП РФ внесён ряд изменений, которые уже вступили в силу или заработают в ближайшие месяцы. Штрафы стали выше, требования строже, зона риска шире. Отделаться формальным согласием больше не получится.
В статье мы даем подробное объяснение: что изменилось, кого это касается и что делать.
1. Появился штраф за неподачу уведомления в Роскомнадзор
Раньше можно было рассчитывать, что если вы мелкий бизнес или просто храните таблицы с данными, Роскомнадзор вас не тронет. Но теперь неподача уведомления стала самостоятельным основанием для крупного штрафа, даже если других нарушений нет.
Кто рискует:
- компании, у которых есть заявки на сайте;
- кто собирает данные сотрудников, клиентов, партнёров;
- у кого есть внешняя CRM, анкеты, формы обратной связи.
Что делать:
Проверьте, есть ли у вашей организации запись в реестре РКН. Если нет, значит, нужно подать уведомление. Даже если у вас 10 человек в штате.
2. Утечка данных теперь отдельное нарушение, даже если вы не виноваты
С 2025 года сама по себе утечка — это уже основание для миллионного штрафа. Неважно, утекли данные из-за подрядчика, техподдержки или бывшего сотрудника. Отвечать будет оператор, т.е. вы.
Что считается утечкой:
- Таблица с ФИО и телефонами ушла не туда;
- Бывший маркетолог унес базу;
- Подрядчик потерял флешку;
- Сайт «засветил» личные данные из формы.
Штрафы:
- До 15 млн — если массовая утечка;
- До 20 млн — если биометрия;
- Повтор — до 3% от годовой выручки (минимум 20 млн).
Что делать:
Формализовать отношения с подрядчиками, настроить базовую ИБ, запретить отправку баз по почте и через Telegram.
3. Новые правила согласия: теперь только отдельно и четко
С 1 сентября 2025 года законодатель дополнительно подчеркнул: нельзя вшивать согласие в другие документы. Оно должно быть отдельным и понятным.
Примеры ошибок:
- «Галочка» под анкетой на сайте сразу и на оферту, и на ПДн;
- подпись в договоре, где согласие идёт «в довесок»;
- согласие «по умолчанию» или «если не возражает» не работает.
Что делать:
Обновить формы на сайте, анкеты HR, документы с клиентами. Согласие отдельным пунктом, с подтверждением, что человек понял, на что соглашается.
4. Локализация по-новому, но это не значит, что все под запретом
Многие в панике: теперь нельзя использовать зарубежные CRM, облака, формы? Не совсем так.
С 1 июля 2025 года вступила в силу новая редакция части 5 статьи 18 152-ФЗ. Она запрещает хранение, запись, изменение ПДн за пределами РФ при сборе.
В чём суть:
- Первичная база должна быть в РФ;
- Сначала запись, обновление, уточнение в российской БД;
- Потом (если нужно) передача в иностранную систему, но при соблюдении правил трансграничной передачи.
Что делать:
Настроить так, чтобы формы на сайте, CRM, базы сотрудников и клиентов сначала попадали в российскую систему. Все зарубежные решения только как дополнительный слой.
5. Обезличивание теперь под контролем
С осени 2025 года, в связи с запуском государственной информационной системы «Госозеро», вступают в силу новые требования к обезличиванию персональных данных.. Это федеральный реестр наборов обезличенных данных, предназначенный для их учёта, хранения и передачи.
Теперь нельзя просто убрать имя или телефон и считать, что данные обезличены. Применяется формализованная методика, при которой нужно доказать: субъект данных не может быть повторно идентифицирован, даже по косвенным признакам (должность, возраст, регион и др.).
Если компания планирует передавать обезличенные данные в «Госозеро» (например, для участия в цифровых инициативах, госпрограммах или исследованиях), необходимо обеспечить соответствие новым требованиям Роскомнадзора. Такие данные будут считаться официально обезличенными только после процедуры верификации и регистрации в системе.
6. За «серые» базы теперь уголовная ответственность
В Уголовный кодекс добавили статью 272.1: за незаконный сбор, хранение, использование или распространение ПДн.
Если покупаете, используете базы без согласий или продаёте — это больше не административное, а уголовное нарушение.
Что делать:
Проверить, откуда вы берёте базы. Подписаны ли согласия. Что делают подрядчики с этими данными. Всё должно быть документально закреплено.
Что делать всем
Изменения в регулировании персональных данных в 2025 году означают, что каждый отдел, работающий с ПДн, должен не просто знать про 152‑ФЗ, а переосмыслить свои процессы, документы и взаимодействие с контрагентами. Больше нельзя полагаться на привычки и неформальные договорённости. Теперь важна каждая формулировка, каждый канал передачи и каждая строчка в договоре.
HR-отдел
Прежде всего, необходимо обновить формы согласий, которые собираются с сотрудников, кандидатов и подрядчиков. Эти согласия должны учитывать цели, способы обработки и, при необходимости, трансграничную передачу.
Особое внимание стоит уделить резюме, анкетам, медсправкам, фотографиям и паспортным данным: все они должны храниться с ограничением доступа, на защищённых ресурсах, с журналированием.
Если вы работаете с кадровыми агентствами, ЭДО-провайдерами, медорганизациями, важно проверить, заключены ли с ними договоры с поручением обработки и прописанными мерами безопасности.
Бухгалтерия
Работа с ИП, самозанятыми и бухгалтерским аутсорсом требует договоров, в которых обязательно должен быть блок о конфиденциальности и защите ПДн. Внутренне стоит пересмотреть, кто имеет доступ к зарплатным и персональным файлам, ведутся ли журналы доступа, и реализована ли система защиты, как логическая, так и физическая.
Маркетинг и продукт
Формы согласия на сайте, подписке, регистрации и обратной связи должны быть конкретными, обособленными и корректно оформленными. Важно проверить, где физически хранятся данные: в российской ли юрисдикции находятся используемые CRM, формы, виджеты и аналитические системы.
Особое внимание стоит уделить согласиям на передачу данных подрядчикам, например, агентствам, дизайнерам, хостингам и рекламным платформам. Передача без основания и договора — прямой путь к нарушению.
IT и информационная безопасность
Нужно провести аудит: где размещены серверы, базы данных, промежуточные хранилища и логи. Важно понимать, кто из подрядчиков (администраторы, девопсы, SaaS-платформы) имеет доступ к ПДн, как это оформлено и зафиксировано. Контроль должен быть не только технический, но и процедурный: шифрование, контроль доступа, логирование, автоматическое удаление, резервное копирование. Все меры должны быть отражены в политике ИБ и сопровождены актуальными регламентами.
Юристы и DPO
Важнейший вопрос: подано ли уведомление в Роскомнадзор, и соответствует ли оно фактическим процессам. Кроме того, все формы согласий должны быть пересмотрены: конкретные ли цели, выделен ли маркетинг, указана ли трансграничная передача. Проверьте договоры с подрядчиками: есть ли поручение на обработку, прописаны ли меры безопасности, ответственность, запрет на передачу данных третьим лицам. Формальный договор — не гарантия защиты.
Итог: 2025 — это про зрелость бизнеса
Законодательные изменения работает как сигнал: пора работать по правилам. Теперь нельзя действовать по привычке или на доверии. Каждый шаг с персональными данными должен быть заранее продуман, формализован, задокументирован и защищён.
Если ваша компания хоть немного работает с данными (от кадров до CRM), пора обновиться. Это дешевле и спокойнее, чем отвечать на запрос Роскомнадзора или объясняться перед клиентами после инцидента.