Требования 152-ФЗ с 30 мая 2025 года: что нужно для соответствия закону о персональных данных
С 30 мая 2025 года в России вступили в силу изменения в законодательстве о персональных данных, которые затрагивают практически весь российский бизнес. Новые поправки к Федеральному закону №152-ФЗ вводят многократно увеличенные штрафы, ужесточают требования к локализации данных и устанавливают принципиально новые стандарты работы с персональной информацией граждан
Какие организации попадают под новые требования
Новые требования 152-ФЗ затрагивают практически всех участников российского рынка — от крупных корпораций до индивидуальных предпринимателей и самозанятых. Под действие закона попадают государственные органы, муниципальные структуры, юридические лица и физические лица, которые так или иначе обрабатывают персональные данные граждан.
Новые требования касается не только компаний, ведущих клиентские базы или использующих CRM-системы, но и владельцев сайтов с формами обратной связи, аналитикой, программами лояльности.
Даже небольшие предприятия, собирающие контактную информацию посетителей или ведущие учет персонала, автоматически становятся операторами персональных данных и обязаны соблюдать все требования обновленного законодательства.
Организации, обязанные соблюдать 152-ФЗ
Действие обновленного закона о персональных данных распространяется на чрезвычайно широкий круг субъектов. Согласно статье 3 Федерального закона №152-ФЗ, оператором персональных данных считается любой орган власти, юридическое или физическое лицо, самостоятельно или совместно с другими обрабатывающее персональные данные.
Особенно важно понимать, что современное определение оператора персональных данных включает в себя любую организацию, которая имеет сайт с аналитикой, формой обратной связи, ведет клиентскую базу или реализует программу лояльности. Даже если компания просто собирает email-адреса для рассылки новостей или ведет учет посетителей офиса, она автоматически становится оператором персональных данных со всеми вытекающими обязательствами.
Государственные учреждения, муниципальные образования, бюджетные организации также в полной мере подпадают под действие закона. Медицинские учреждения, образовательные организации, банки и финансовые компании традиционно работают с большими объемами персональных данных и несут повышенную ответственность за их защиту.
Виды деятельности, требующие соблюдения 152-ФЗ
Практически любая коммерческая деятельность в современных условиях связана с обработкой персональных данных. Интернет-магазины обрабатывают данные покупателей, включая ФИО, адреса доставки, контактные телефоны и платежную информацию. Сервисные компании ведут базы клиентов с контактной информацией, историей обращений и предпочтениями.
Особую категорию составляют организации, работающие с сайтами и интернет-сервисами. Любой сайт, который использует системы аналитики, формы обратной связи, чаты с посетителями или системы авторизации, автоматически становится площадкой обработки персональных данных. Даже простое использование cookies для отслеживания поведения пользователей Роскомнадзор трактует как сбор персональных данных.
Кадровые агентства, HR-службы, рекрутинговые компании работают с персональными данными соискателей и должны обеспечивать их надежную защиту. Маркетинговые агентства, рекламные компании, которые ведут базы потенциальных клиентов, также подпадают под действие закона.
Изменения в размерах штрафов с 30 мая 2025 года
Все типы организаций, ИП, ООО
Все, ОСНО, ПСН, УСН
Да
- Для новых ИП – обслуживание и бухгалтерия бесплатно; Для ООО – обслуживание бесплатно 3 месяца
Новая система санкций за нарушения 152-ФЗ
Главным нововведением закона №420-ФЗ стало многократное увеличение размеров административных штрафов за нарушения в области персональных данных. Если ранее максимальные штрафы для организаций не превышали 75 тысяч рублей, то теперь они могут достигать 20 миллионов рублей за одно нарушение.
За обработку персональных данных без согласия или с нарушением целей сбора штрафы выросли с 75 тысяч до 300 тысяч рублей. За неуведомление Роскомнадзора об обработке персональных данных размер штрафа увеличился с 5 тысяч до 300 тысяч рублей. Эти изменения означают, что стоимость несоблюдения закона выросла в десятки раз.
Принципиально новым элементом стала дифференцированная система штрафов за утечки персональных данных в зависимости от масштаба инцидента. За утечку данных менее 1000 физических лиц штраф составляет от 3 до 5 миллионов рублей, от 10 000 до 100 000 физических лиц — от 5 до 10 миллионов рублей, а за утечку данных более 100 000 физических лиц — от 10 до 15 миллионов рублей
Штрафы за биометрические и специальные данные
Отдельного внимания заслуживают штрафы за утечку специальных категорий персональных данных. За утечку биометрических данных предусмотрен штраф от 15 до 20 миллионов рублей. За утечку данных специальной категории, включающих информацию о состоянии здоровья, судимостях, расовой и национальной принадлежности, политических взглядах, размер штрафа составляет от 10 до 15 миллионов рублей.
Наиболее серьезные санкции предусмотрены за повторные нарушения. В случае повторной утечки персональных данных любой категории штраф может составить от 1 до 3% годовой выручки компании, но не менее 20 миллионов рублей и не более 500 миллионов рублей. Для банков расчет штрафа производится от размера собственных средств на дату нарушения.
Скачать: Таблица штрафов 152-ФЗ
Ужесточение требований к локализации данных
С 1 июля вступают в силу радикальные изменения в требованиях к локализации персональных данных, полностью запрещающие использование иностранных баз данных на этапе сбора информации о российских гражданах. Новые правила распространяются не только на операторов, но и на обработчиков данных, включая облачные сервисы, CRM-системы и маркетинговые инструменты, которые обязаны обеспечить физическое размещение инфраструктуры исключительно на территории РФ. Запрет касается ключевых этапов обработки — записи, систематизации, хранения и извлечения данных — и фактически блокирует популярные схемы с первичным сбором через зарубежные платформы (например, Google Forms) даже при последующем дублировании в российские базы.
Новые правила размещения персональных данных с 1 июля 2025 года
С 1 июля 2025 года вступают в силу измененные требования к локализации персональных данных российских граждан. Новая редакция части 5 статьи 18 Федерального закона №152-ФЗ формулирует прямой запрет на сбор персональных данных с использованием баз данных, расположенных за пределами Российской Федерации.
Принципиальным изменением стало распространение требований локализации не только на операторов персональных данных, но и на обработчиков — лиц, обрабатывающих персональные данные по поручению. Это означает, что если компания передает обработку данных стороннему подрядчику, например, облачному сервису или CRM-системе, такой подрядчик также должен обеспечивать размещение данных исключительно на территории России.
Новое законодательство вводит концепцию полной физической локализации, которая предполагает размещение всех элементов инфраструктуры, участвующих в сборе, хранении и обработке данных, на территории Российской Федерации. Это требование значительно усложняет использование гибридных облачных решений и международных IT-платформ.
Особенности работы с сайтами и интернет-сервисами
Особое внимание в новых требованиях уделяется работе с сайтами и интернет-платформами. Любой сайт, который собирает персональные данные российских граждан, должен быть размещен на серверах, физически находящихся на территории России. Это требование распространяется не только на основной сайт, но и на все связанные с ним сервисы: системы аналитики, платежные шлюзы, CRM-системы, почтовые сервисы.
Роскомнадзор активно использует автоматизированные инструменты мониторинга, включая систему «Ревизор», для проверки локации серверов и анализа трафика. Компании больше не смогут формально соблюдать требования локализации, используя российские серверы лишь для первичного сбора данных с последующей их передачей за границу.
Несмотря на ужесточение требований к локализации, трансграничная передача персональных данных остается возможной при соблюдении установленных процедур и обязательном уведомлении Роскомнадзора. Однако процедуры сбора и первичной обработки данных должны происходить исключительно на территории России.
Обязательные документы и процедуры для соответствия закону
С 30 мая 2025 года операторы персональных данных обязаны сформировать расширенный пакет организационно-распорядительной документации, обеспечивающий полное соответствие обновленным требованиям 152-ФЗ. Ключевым элементом становится политика обработки персональных данных, которая должна детализировать цели, сроки хранения, категории субъектов и перечень обрабатываемых данных, а также механизмы реализации прав граждан на отзыв согласия. Обязательным условием является подача уведомления в Роскомнадзор через портал Госуслуг или с использованием усиленной электронной подписи, включая своевременную актуализацию сведений при изменении процессов обработки.Для легитимации внутренних процедур требуется издание приказа о назначении ответственного за обработку ПДн, который координирует соблюдение законодательства, проводит аудиты и организует обучение сотрудников.
Документы оператора персональных данных
Каждая организация, обрабатывающая персональные данные, должна подготовить комплект обязательных документов для соответствия требованиям 152-ФЗ. Первым и важнейшим документом является уведомление об обработке персональных данных, которое необходимо подать в Роскомнадзор до начала обработки данных. За неподачу этого уведомления с 30 мая 2025 года предусмотрен штраф от 100 до 300 тысяч рублей.
Политика конфиденциальности (политика обработки персональных данных) является обязательным документом, который должен быть размещен на сайте организации и доступен всем заинтересованным лицам. Документ должен содержать подробную информацию о целях обработки, категориях обрабатываемых данных, правовых основаниях, сроках обработки и мерах защиты.
Приказ о назначении ответственного за организацию обработки персональных данных является обязательным требованием для всех операторов. Ответственное лицо должно обладать необходимыми знаниями в области защиты персональных данных и координировать всю работу по соблюдению требований закона.
Согласия на обработку персональных данных
Получение согласия субъектов персональных данных остается одним из основных правовых оснований для обработки персональной информации. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. В согласии необходимо четко указать цели обработки, перечень данных, которые планируется обрабатывать, и срок обработки.
С 1 января 2025 года введены специальные формы согласия для размещения и обработки персональных данных в ЕСИА и ЕБС. Для сайтов обязательным стало получение согласия на использование cookies, которые Роскомнадзор теперь относит к персональным данным.На сайте должен появляться баннер согласия при первом посещении с возможностью принятия или отклонения обработки данных.
Для работодателей согласие сотрудников на обработку их персональных данных в большинстве случаев не требуется, поскольку обработка осуществляется для исполнения трудового договора. Однако при обработке данных сверх установленных перечней или для целей, не связанных с трудовыми отношениями, согласие работника необходимо.
Скачать: Обязательный комплект документов оператора персональных данных
Технические и организационные меры защиты
Операторы персональных данных обязаны принять комплекс технических и организационных мер по обеспечению безопасности персональных данных. К организационным мерам относятся: разработка внутренних политик и процедур, обучение сотрудников, контроль доступа к данным, аудит процессов обработки.
Технические меры включают: использование антивирусного программного обеспечения, установку межсетевых экранов, шифрование данных, резервное копирование, журналирование доступа к персональным данным. Уровень технических мер должен соответствовать категории обрабатываемых данных и потенциальному ущербу от их утечки.
Особое внимание должно уделяться обучению персонала требованиям законодательства о персональных данных. Все сотрудники, имеющие доступ к персональным данным, должны быть ознакомлены с правилами их обработки, хранения и защиты.
Специальные требования к сайтам и интернет-ресурсам
С 30 мая владельцы сайтов обязаны реализовать комплекс технических и организационных мер для полного соответствия обновлённым требованиям 152-ФЗ, включая обязательное размещение политики конфиденциальности с детальным описанием целей обработки данных и сроков их хранения. Критическим элементом становится баннер согласия на сбор cookie-файлов, который должен отображаться при первом посещении ресурса и содержать механизм явного подтверждения пользователя. Для сайтов, использующих формы обратной связи или аналитические инструменты, вводится требование предварительной подачи уведомления в Роскомнадзор через портал Госуслуг с указанием перечня обрабатываемых данных и используемых технологий. Обязательной становится локализация серверов на территории РФ не только для хранения, но и для первичного сбора информации через веб-формы, что исключает использование зарубежных хостингов и CDN-сервисов. Дополнительно требуется внедрение HTTPS-шифрования для всех страниц, обрабатывающих персональные данные, и регулярный аудит систем защиты на соответствие уровню УЗ-3 согласно приказу ФСТЭК №21.
Обязательные элементы сайта для соответствия 152-ФЗ
Любой сайт, который собирает персональные данные посетителей, должен соответствовать строгим требованиям Роскомнадзора. На сайте обязательно должна быть размещена политика конфиденциальности, доступная по прямой ссылке из любого раздела сайта.Документ должен содержать полную информацию о том, какие данные собираются, для каких целей, как долго хранятся и какие меры защиты применяются.
Использование файлов cookies требует обязательного получения согласия пользователей через специальный баннер, который должен появляться при первом посещении сайта.Баннер должен предоставлять пользователю возможность принять или отклонить использование cookies, а также настроить их категории. Простое продолжение использования сайта больше не может рассматриваться как согласие на обработку данных.
Все формы на сайте, включая формы обратной связи, регистрации, подписки на рассылку, должны содержать чекбокс для получения явного согласия на обработку персональных данных. Согласие не может быть предустановленным — пользователь должен сознательно поставить галочку.
Запрет на использование зарубежных аналитических систем
С ужесточением требований к локализации данных использование зарубежных аналитических систем стало серьезным нарушением закона. Google Analytics и другие международные системы аналитики должны быть отключены или заменены на российские аналоги.
Роскомнадзор проводит активные проверки сайтов с использованием автоматизированных средств, выявляя подключенные зарубежные сервисы. Компании должны аудировать все подключенные к сайту сервисы и убедиться, что обработка данных происходит исключительно на территории России.
Альтернативными решениями могут стать российские системы веб-аналитики, такие как Яндекс.Метрика (при условии обработки данных в России), российские рекламные платформы и отечественные CRM-системы.
Переход на российские аналоги должен быть завершен до 1 июля 2025 года.
Автоматизация под ключ
— экономьте время и ресурсы
Подберем CRM, ERP или систему электронного документооборота под ваши задачи.
Оставьте заявку — расскажем о решениях, которые окупятся в первые месяцы использования.
Требования к хостингу и техническим решениям
Все сайты, обрабатывающие персональные данные российских граждан, должны быть размещены на серверах, физически находящихся на территории Российской Федерации. Это требование распространяется не только на основной сайт, но и на все связанные сервисы: базы данных, почтовые серверы, системы резервного копирования.
При выборе хостинг-провайдера необходимо убедиться, что все серверы и оборудование находятся в российских дата-центрах. Использование CDN (сетей доставки контента) допускается только при условии, что персональные данные не передаются на зарубежные серверы. Облачные решения должны быть сертифицированы для работы с персональными данными и обеспечивать их локализацию в России.
Компании должны заключать с хостинг-провайдерами и облачными сервисами специальные соглашения об обработке персональных данных, которые должны содержать обязательства по соблюдению требований 152-ФЗ. Такие поставщики услуг должны быть зарегистрированы в реестре операторов персональных данных Роскомнадзора.
Поэтапный план приведения в соответствие с законом
Эффективное внедрение требований 152-ФЗ требует системного подхода и четкого планирования. На первом этапе необходимо провести комплексный аудит всех процессов обработки персональных данных в организации. Следует выявить все источники персональных данных: клиентские базы, кадровая документация, сайты, мобильные приложения, системы видеонаблюдения.
Скачать: Чек-лист соответствия по 152-ФЗ
Немедленными мерами, которые необходимо принять уже сейчас, являются: назначение ответственного за обработку персональных данных, подача уведомления в Роскомнадзор, отключение зарубежных аналитических систем, размещение политики конфиденциальности на сайте. Эти действия помогут избежать наиболее серьезных штрафов в первые дни действия новых санкций.
До 1 июля 2025 года необходимо завершить локализацию всех данных российских граждан, включая перенос сайтов на российские серверы и переход на отечественные IT-решения.Этот этап требует значительных технических ресурсов и должен планироваться заранее.
Организация работы с персональными данными
Создание эффективной системы работы с персональными данными начинается с назначения компетентного ответственного лица. Ответственный должен обладать необходимыми знаниями в области информационной безопасности и законодательства о персональных данных. В крупных организациях может быть создано специальное подразделение по защите данных.
Обучение персонала является критически важным элементом соответствия закону.Все сотрудники, имеющие доступ к персональным данным, должны пройти обучение по вопросам их обработки, хранения и защиты. Необходимо разработать внутренние инструкции и регламенты, определяющие порядок работы с различными категориями персональных данных.
Система контроля доступа должна обеспечивать принцип минимально необходимых прав. Каждый сотрудник должен иметь доступ только к тем персональным данным, которые необходимы для выполнения его служебных обязанностей. Все операции с персональными данными должны фиксироваться в журналах доступа.
Подготовка к проверкам Роскомнадзора
Роскомнадзор активизирует проверочную деятельность после вступления в силу новых требований. Проверки могут быть плановыми, внеплановыми или инициированными жалобами пользователей. Современные технологии позволяют регулятору проводить автоматизированные проверки сайтов, выявляя нарушения в режиме реального времени.
Для успешного прохождения проверки необходимо подготовить полный комплект документов: уведомление в Роскомнадзор с отметкой о принятии, политику конфиденциальности, приказы о назначении ответственных лиц, согласия субъектов на обработку данных, документы о технических мерах защиты. Все документы должны быть актуальными и соответствовать фактическим процессам обработки данных.
Особое внимание следует уделить готовности ответить на типовые вопросы проверяющих: какие данные обрабатываются, с какой целью, где хранятся, кто имеет доступ, какие меры защиты применяются. Ответы должны быть подкреплены соответствующими документами и техническими решениями.
Сравните тарифы и сроки регистрации бизнеса на нашей витрине