Ожидается, что с 30 мая 2025 года вступят в силу крупнейшие за последние десять лет изменения в законе «О персональных данных» (152-ФЗ). Обновлённые нормы затрагивают всех операторов персональных данных — включая экспертов, продюсеров и онлайн-школы. Если вы собираете заявки, ведёте базу учеников или отправляете рассылки, — вам необходимо адаптировать процессы под новые требования.
Почему это касается всех, кто работает онлайн
Онлайн-школы, наставники и digital-эксперты ежедневно работают с персональными данными: через формы обратной связи, CRM, регистрацию на вебинары, оплату курсов и подписку на рассылки. Даже установка аналитики на сайт (например, Яндекс.Метрики или пикселей) может считаться обработкой персональных данных, если позволяет идентифицировать пользователя.
Не имеет значения, чьи данные вы обрабатываете — клиентов, учеников, сотрудников, партнёров или подписчиков. Если вы способны связать эти сведения с конкретным человеком — вы являетесь оператором и обязаны соблюдать закон.
Что меняется в 152-ФЗ
1. Отдельное согласие на аналитику и cookie
Поведенческие данные — такие как клики, прокрутка, действия на сайте — относятся к персональным, если могут быть связаны с конкретным пользователем. Их сбор через cookie теперь требует отдельного, явного согласия. Простого уведомления недостаточно — нужен активный выбор пользователя.
2. Новые категории данных
- Биометрические — отпечатки пальцев, изображение лица, голос и пр. Обрабатываются только при наличии письменного согласия и только если используются для идентификации личности.
- Специальные — сведения о здоровье, политических взглядах, судимости и пр. Требуют отдельного согласия и чаще всего — обезличивания.
- Обычные — ФИО, телефон, email и пр. Обрабатываются при наличии информированного согласия субъекта.
3. Ужесточение санкций
В новых поправках предусмотрено более гибкое регулирование ответственности:
- За отсутствие согласия, политики обработки или уведомления в Роскомнадзор — до 800 тыс. рублей для должностных лиц и до 3 млн рублей для юридических лиц;
- За утечку персональных данных — до 600 тыс. рублей для должностных лиц и до 15 млн рублей для юридических лиц;
- До 3% от годовой выручки компании — за систематические или грубые нарушения (данная мера пока находится на стадии законодательного проекта);
- Уголовная ответственность — при нарушении неприкосновенности частной жизни (например, при неправомерном распространении персональных данных).
4. Локализация данных и запрет на иностранные сервисы
В рамках требований по локализации, персональные данные российских граждан должны обрабатываться и храниться на территории РФ. Использование иностранных аналитических и облачных сервисов — таких как Google Analytics, Hotjar, Meta Pixel и других — может нарушать эти нормы, если не соблюдены условия трансграничной передачи.
Рекомендуется перейти на российские аналоги, такие как: Яндекс.Метрика, Roistat, Calltouch.
Уведомление об обработке данных: что важно знать
Если вы обрабатываете персональные данные, вы обязаны уведомить Роскомнадзор. Без уведомления обработка считается нарушением, независимо от объёма данных.
Где и как подать уведомление
На сайте rkn.gov.ru:
Раздел "Персональные данные" → Сервис "Подача уведомлений"
Что указать в уведомлении:
- Цели обработки: регистрация, обучение, рассылки, ведение базы клиентов и др.
- Состав данных: ФИО, email, телефон, cookie, переписка, история заказов и т. д.
- Категории субъектов: ученики, клиенты, участники вебинаров, сотрудники и др.
- Меры защиты: контроль доступа, шифрование, локальное хранение, пароли.
- Территория хранения: только Российская Федерация.
- Согласие: ссылка на электронную форму согласия, размещённую на вашем сайте (если согласие даётся онлайн).
Подтверждение
После подачи в личном кабинете появится статус — сохраните PDF или скриншот, чтобы предъявить при проверке.
Когда подавать
- Если вы ещё не уведомляли Роскомнадзор — сделайте это сейчас.
- Если уведомление подавалось до 2023 года — его нужно обновить, так как форма изменилась.
Как подготовиться к изменениям
- Проверьте наличие актуального положения об обработке ПДн.
- Назначьте ответственного за работу с персональными данными.
- Введите журнал обращений (на удаление, изменение, доступ к данным).
- Обновите формы согласия — они должны быть отдельными, прозрачными и не «спрятанными» в оферту.
- Установите cookie-баннер с возможностью выбора (не только «ОК»).
- Удалите с сайта иностранные скрипты и виджеты, не соответствующие требованиям локализации.
Итог
Поправки к 152-ФЗ — это не формальность. Для экспертов, коучей и онлайн-школ это означает переосмысление всех процессов: от сбора заявок до email-рассылок. Подготовка к изменениям — это не бюрократия, а защита репутации и легальности бизнеса.
Начните с простого: проверьте уведомление в РКН и обновите согласия. Всё остальное — сверху.