С 30 мая 2025 года вступают в силу обширные поправки к Федеральному закону «О персональных данных», и несоблюдение новых норм грозит предприятиям внушительными штрафами. Разберёмся, какие изменения предстоит учесть, кто подпадает под новые правила и какие шаги необходимо предпринять, чтобы остаться в правовом поле.
Кому необходимо адаптироваться к нововведениям?
Персональные данные (ПДн) теперь трактуются как любая информация, позволяющая идентифицировать человека напрямую или косвенно: ФИО, контакты, дата рождения, данные о платежах, IP-адрес и пр.
Оператор ПДн — это лицо (физическое или юридическое), самостоятельно или совместно с другими определяющее цели и способы обработки персональных данных. По новым правилам понятие оператора распространяется на всех: от индивидуальных предпринимателей и микробизнеса до крупных корпораций.
Чьи данные под защитой? Правила касаются сведений о клиентах и контрагентах, сотрудниках, посетителях офисов (данные пропускных систем, видеонаблюдения) и любых других субъектов, чьи сведения собираются и обрабатываются организацией.
Основные нововведения: чем отличаются обновлённые нормы?
Категории ПДн:
Биометрические данные: отпечатки пальцев, снимки сетчатки, образцы ДНК. Их использование разрешено лишь при наличии отдельного письменного согласия субъекта и исключительно с указанием конкретных целей (например, безопасный доступ к охраняемым зонам).
Специальные категории данных: сведения о расе, национальности, убеждениях, состоянии здоровья. Теперь их обработка допускается преимущественно в обезличенном (псевдонимизированном) виде и тоже только при явном согласии гражданина.
Обычные ПДн: ФИО, адрес, телефон, e-mail. Их можно обрабатывать на основании договора, но при этом вводятся повышенные требования к прозрачности процедур: компании обязаны чётко указывать цели сбора, сроки хранения и порядок передачи третьим лицам.
Согласие на Cookies и мониторинг поведения: веб-ресурсы обязаны предоставить не просто уведомление о файлах cookie, а полноценный выбор — кнопки «Принять всё», «Отклонить всё» и возможность настроить категории собираемых данных. Нельзя ограничиваться лишь информационным баннером.
Требования по локализации ПДн:
Весь объём первичного сбора, хранения и обработки персональных данных российских граждан обязан происходить на территории РФ. Иностранные сервисы (Google Analytics, сторонние CRM-системы, облачные хранилища) прикладываются к запрету, если трафик или сами базы данных временно или постоянно располагаются за рубежом.
Решение: компании должны в срочном порядке мигрировать на отечественные аналоги (например, Яндекс.Метрика вместо Google Analytics, российские CRM и облака.
Исключительные случаи трансграничной передачи возможны только при условии предварительного уведомления Роскомнадзора и внесения сведений в Реестр трансграничных передач (срок рассмотрения заявки — около 10 рабочих дней). При этом на иностранном сервере могут храниться лишь агрегированные данные, без возможности идентификации конкретного гражданина.
Увеличение и введение новых штрафов
Штрафы выросли в разы и теперь привязаны к объему утечки и типу нарушения. Особо опасны повторные нарушения и отсутствие уведомлений РКН об утечках, начале обработки данных, трансграничной передаче данных (штраф до 3 млн руб.).
Тип нарушения
Старый макс. штраф
Новый макс. штраф (2025)
Отсутствие согласия на обработку
До 75 тыс. руб.
Долж. лица: 300 тыс. руб.
Юр. лица: 700 тыс. руб.
Повторное отсутствие согласия
—
Долж. лица: 500 тыс. руб.
ИП: 1 млн руб.
Юр. лица: 1.5 млн руб.
Несоблюдение правил хранения
До 100 тыс. руб.
Долж. лица: 200 тыс. руб.
Юр. лица: 6 млн руб.
Повторное нарушение хранения
—
Долж. лица: 800 тыс. руб.
Юр. лица: 18 млн руб.
Сокрытие утечки данных
До 50 тыс. руб.
Долж. лица: 800 тыс. руб.
Юр. лица: 3 млн руб.
Неуведомление РКН об утечке/начале обработки
—
До 3 млн руб.
Штрафы за УТЕЧКИ ПДн (зависят от объема):
Объем утечки
Макс. штраф
(Долж. лицо)
Макс. штраф (Компания)
1000 — 10 000 субъектов / 10 000 — 100 000 ID
400 тыс. руб.
5 млн руб.
10 000 — 100 000 субъектов / 100 000 — 1 млн ID
500 тыс. руб.
10 млн руб.
>100 000 субъектов / >1 млн ID
600 тыс. руб.
15 млн руб.
Следующая утечка общих ПДн
1.2 млн руб.
3% годовой выручки (мин. 20 млн, макс. 500 млн руб.)
Следующая утечка спец. или биометрических ПДн
2 млн руб.
3% годовой выручки (мин. 25 млн, макс. 500 млн руб.)
Как Роскомнадзор будет контролировать выполнение требований?
Для мониторинга используется система «Ревизор», анализирующая трафик и определяющая фактическое расположение серверных мощностей.
Если выявляется передача или хранение персональных данных за рубежом без разрешения, компании грозят предупреждения, штрафы до 100–300 тысяч рублей (для должностных лиц) и до 1–6 миллионов рублей для юридических лиц.
Нужно ли отказываться от Google Analytics и других зарубежных инструментов?
Если сервисы, которые вы используете, не полностью обеспечивают хранение данных на территории РФ или их инфраструктура принадлежит «недружественным» странам, необходимо заменить их на отечественные аналоги или соответствующим образом настроить прокси-серверы и сети доставки контента, чтобы сведения не покидали границы России.
В качестве временного обходного пути допускается размещение серверов аналитики в странах, не находящихся в списке «недружественных». Однако с 30 мая 2025 года подобные решения подлежат строгой проверке, и у многих зарубежных провайдеров может не оказаться необходимых дата-центров.
Передача ПДн за границу: алгоритм действий
Если вашей организации необходимо передавать персональные данные клиентов за рубеж (например, для расчёта зарплат сотрудникам-экспатам, интеграции с зарубежными партнёрами), следует заранее:
— Запросить у Роскомнадзора разрешение на трансграничную передачу.
— Внести сведения о конкретной передаче в Реестр трансграничных передач (рассмотрение заявки — до 10 рабочих дней).
— Заключить договоры с иностранными операторами ПДн, которые предусмотрят обязательства по защите данных в соответствии с российским законодательством.
Нужно ли получать повторные согласия на ПДн, собранные до 2025 года?
Если первоначальные согласия были оформлены до вступления обновлённых норм и теперь подпадают под новые критерии (например, раньше собирались биометрические отпечатки для пропускных систем без отдельного согласия, а сейчас это запрещено), нужно направить субъектам новым согласие с учётом изменённых формулировок и конкретных целей обработки.
Если же человек уже давал явное, развернутое согласие на обработку обычных контактных данных, и условия не изменились, повторно запрашивать разрешение не требуется. Однако рекомендуется проверить все шаблоны и формы согласий, чтобы они соответствовали актуальным требованиям (например, не расплывчаты, содержат чёткие цели и сроки).
Что делать в случае утечки ПДн?
При любой фактической утечке или несанкционированном доступе к персональным данным в течение 24 часов необходимо уведомить Роскомнадзор в установленном формате.
Параллельно провести внутреннюю проверку с целью установить причину и минимизировать последствия.
Если установлено, что есть высокий риск нарушения прав и свобод граждан (например, раскрыты данные о здоровье, кредитах, биометрия), следует оповестить пострадавших субъектов и предоставить им рекомендации по защите своих интересов (смене паролей, контролю за кредитными отчётами и т. д.).
Как узнать, подпадает ли компания под «Озеро данных»?
«Озеро данных» — это единая государственная платформа, на которой аккумулируются сведения обо всех гражданах РФ. В неё будут передаваться данные из различных ведомств и коммерческих систем.
Компании, обрабатывающие огромное количество ПДн (например, банки, страховые организации, крупные онлайн-ритейлеры), попадут под обязательную сдачу данных в «Озеро данных» по решению Правительства и Минцифры.
Следите за официальными публикациями Минцифры, списками участников проекта и разъяснениями профильных юристов: информация о том, какие отрасли и к какому сроку должны передать данные, публикуется заблаговременно.
10. Размеры штрафов за несоблюдение обновлённых норм
За отсутствие сведений о трансграничной передаче в реестре — до 200 000 ₽ для компании (при первом нарушении) и до 500 000 ₽ за повтор.
За сбор биометрии без согласия и за хранение её за рубежом — до 300 000 ₽ для должностного лица и до 1 000 000 ₽ для юридического лица.
За непредоставление обязательной информации «Озера данных» — до 500 000 ₽.
За утечку данных без уведомления Роскомнадзора — до 200 000 ₽ за первое нарушение и до 500 000 ₽ за повторное.
Что нужно сделать прямо сейчас?
Провести аудит всех форм и баз ПДн. Проверить, какие категории данных вы собираете, где они хранятся и кто к ним имеет доступ.
Обновить политику конфиденциальности и получить согласия заново, если это необходимо. Все формы должны содержать подробно прописанные цели обработки, сроки хранения, информацию о третьих лицах и порядке трансграничной передачи.
Перенести все базы с персональными данными российских граждан на серверы в РФ или заключить договоры с отечественными дата-центрами, сертифицированными по ФСТЭК/ФСБ.
Наладить процесс работы с «Ревизором»: убедиться, что ваш IP-диапазон и домены корректно зарегистрированы, а трафик не маршрутизируется через «небезопасные» каналы.
Внедрить механизм управления cookies: реализовать на сайте удобный интерфейс для пользователей с кнопками «Принять всё», «Отклонить всё» и настройкой уровней согласий.
Подготовить процедуры реагирования на инциденты: выбрать ответственных лиц, разработать внутренний регламент уведомления Роскомнадзора и субъекта и провести обучение сотрудников ИТ-служб.
Резюмируя, поправки призваны усилить контроль за хранением и обработкой персональных данных на территории РФ, запретить несанкционированный вывоз и неограниченное использование биометрической и «специальной» информации. Чтобы избежать штрафов и репутационных рисков, каждому предпринимателю и юридическому лицу важно не откладывать до последнего дня доработку своих систем и внутренних процедур.