С начала 2025 года в России действует обновлённая редакция Федерального закона № 152-ФЗ «О персональных данных», которая кардинально ужесточила правила работы с информацией о гражданах. Новые нормы касаются не только крупных корпораций, но и малого бизнеса, индивидуальных предпринимателей, а также владельцев сайтов с формами обратной связи. Разбираемся, что изменилось и как избежать серьёзных штрафов.
Что такое персональные данные: расширенное понимание
Согласно статье 3 закона № 152-ФЗ, персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу. К ним относятся не только очевидные реквизиты (ФИО, дата рождения, паспортные данные), но и:
контактные данные (телефон, email);
биометрические параметры (отпечатки пальцев, изображение лица, голос);
сведения о трудовой деятельности (должность, доход, стаж);
медицинская информация;
банковские реквизиты;
семейное положение и образование.
Особую ценность представляет совокупность данных: отдельно взятая должность малоинформативна, но в комбинации с местом работы и уровнем дохода она формирует детальный портрет человека, который может быть использован как в легальных маркетинговых целях, так и мошенниками.
Ключевые изменения 2025 года
С 1 января 2025 года введена новая форма согласия на обработку биометрических данных в Единой биометрической системе (распоряжение Правительства № 856-р от 09.04.2024). Документ теперь должен содержать:
сведения о субъекте персональных данных;
информацию об операторе ЕБС и организации-инициаторе размещения;
перечень компаний, привлечённых к обработке;
дату и подпись субъекта, передающего данные для обработки.
С 30 мая 2025 года вступило в силу требование об обязательной регистрации всех операторов персональных данных в реестре Роскомнадзора. Без подачи уведомления и получения статуса оператора любая обработка данных считается нарушением.
С 1 сентября 2025 года операторы обязаны по запросу регулятора предоставлять обезличенные массивы персональных данных в государственные информационные системы (ГИС). Исключение составляют биометрия и медицинские сведения. Граждане получили право в течение 30 дней до передачи данных заявить возражение против использования своих обезличенных изображений лица и голосовых записей.
Резкое ужесточение ответственности
Федеральный закон № 420-ФЗ от 30.11.2024 ввёл градацию штрафов в зависимости от масштаба утечки:
При нарушении конфиденциальности данных 1–10 тыс. человек:
физические лица — 100–200 тыс. руб.;
должностные лица — 200–400 тыс. руб.;
юридические лица — до 5 млн руб.
При утечке более 100 тыс. записей:
физлица — до 400 тыс. руб.;
должностные лица — до 600 тыс. руб.;
организации — до 15 млн руб.
За повторное нарушение:
физлица — до 600 тыс. руб.;
должностные лица — до 1,2 млн руб.;
юрлица — 1–3% годовой выручки.
Отдельно выделена ответственность за утечку биометрических данных: штрафы достигают 500 тыс. руб. для физических и 20 млн руб. для юридических лиц. Индивидуальные предприниматели в ряде случаев несут ответственность наравне с организациями.
Уголовная ответственность по закону № 421-ФЗ от 30.11.2024 также усилена:
незаконное получение или распространение ПДн — до 4 лет лишения свободы;
те же действия в отношении несовершеннолетних — до 5 лет;
преступления с тяжкими последствиями или совершённые организованной группой — до 10 лет колонии и штраф до 3 млн руб.
Что делать бизнесу: практические шаги
Эксперты рекомендуют компаниям немедленно:
Подать уведомление в Роскомнадзор через Госуслуги, личный кабинет на сайте ведомства или в письменном виде для включения в реестр операторов.
Локализовать данные — перенести хранение всей информации о гражданах РФ на серверы, расположенные исключительно на территории России.
Обновить документы — переработать политику конфиденциальности, формы согласий, договоры с подрядчиками с учётом новых требований.
Настроить сайт — добавить явное согласие пользователя (без предварительной отметки), разместить ссылку на политику в футере, настроить уведомление о cookie, исключить передачу данных зарубежным аналитическим сервисам.
Обучить персонал — провести инструктаж для сотрудников, имеющих доступ к персональным данным (кадры, бухгалтерия, клиентские менеджеры).
Внедрить техническую защиту — использовать сертифицированные средства криптографии, двухфакторную аутентификацию, регулярно обновлять ПО.
Выводы
Новые нормы 152-ФЗ превратили работу с персональными данными из формальной обязанности в комплексную систему защиты. Штрафы достигают десятков миллионов рублей, а в отдельных случаях грозит уголовное преследование. При этом нарушить закон легко: достаточно собрать email через форму на сайте без актуального согласия или хранить данные клиентов на зарубежном хостинге. Регуляторы активно проводят проверки — игнорирование требований недопустимо даже для микробизнеса. Своевременная адаптация к изменениям — не просто юридическая формальность, а необходимое условие устойчивой работы в цифровой среде.
