Федеральный закон № 152-ФЗ «О персональных данных». Изменения от 30 мая 2025 года

С 30 мая 2025 года в России вступают в силу значительные изменения в Федеральный закон № 152-ФЗ «О персональных данных», которые существенно затрагивают предпринимателей, собирающих и обрабатывающих персональные данные, включая email-базы подписчиков. Ниже представлены ключевые изменения и рекомендации для соблюдения новых требований.

Основные изменения в законе

1. Обязательное уведомление Роскомнадзора

Перед началом обработки персональных данных необходимо уведомить Роскомнадзор. Ранее за отсутствие уведомления не предусматривались санкции, но с 30 мая 2025 года вводятся штрафы:

• для юридических лиц — от 100 000 до 300 000 рублей;
• для индивидуальных предпринимателей — от 10 000 до 30 000 рублей.

Уведомление подается через портал Роскомнадзора: https://pd.rkn.gov.ru.

2. Получение согласия на обработку данных

Теперь требуется отдельное согласие на обработку различных категорий данных:

• Биометрические данные (например, голос, отпечатки пальцев) — только с письменного согласия.
• Специальные данные (например, сведения о здоровье, религиозных убеждениях) — требуется явное согласие и, как правило, обезличивание.
• Обычные персональные данные (например, имя, email) — обработка возможна после получения согласия, оформленного отдельно от других документов.

Также необходимо получать отдельное согласие на сбор данных через файлы cookie, особенно если они используются для аналитики или рекламы.

3. Локализация хранения данных

Все персональные данные российских граждан должны храниться и обрабатываться исключительно на территории России. Использование иностранных сервисов для хранения или обработки данных без соответствующего разрешения запрещено. Нарушение этого требования влечет штрафы:

• первичное нарушение — от 1 000 000 до 6 000 000 рублей;
• повторное нарушение — от 6 000 000 до 18 000 000 рублей.

Это касается использования зарубежных облачных сервисов, аналитических инструментов и других платформ, передающих данные за границу.

4. Увеличение штрафов за нарушения

С 30 мая 2025 года значительно увеличиваются штрафы за нарушения в сфере обработки персональных данных:

• за отсутствие согласия на обработку данных — до 700 000 рублей для юридических лиц;
• за неправильное хранение данных — до 6 000 000 рублей;
• за несвоевременное уведомление Роскомнадзора об утечке данных — до 3 000 000 рублей.

При повторных утечках данных может применяться оборотный штраф в размере от 1% до 3% годовой выручки компании.

Рекомендации для предпринимателей

1. Подача уведомления в Роскомнадзор: если вы еще не уведомили Роскомнадзор о намерении обрабатывать персональные данные, сделайте это незамедлительно через официальный портал.
2. Получение согласий: обеспечьте наличие отдельных согласий на обработку персональных данных, включая согласие на использование файлов cookie для аналитики и рекламы.
3. Локализация данных: проверьте, что все персональные данные хранятся и обрабатываются на серверах, расположенных на территории России. При необходимости перенесите данные с иностранных сервисов на российские платформы.
4. Обновление политики конфиденциальности: пересмотрите и обновите политику конфиденциальности на вашем сайте, чтобы она соответствовала новым требованиям законодательства.
5. Обучение сотрудников: проведите обучение для сотрудников, работающих с персональными данными, чтобы они были осведомлены о новых требованиях и соблюдали их.

Соблюдение новых требований законодательства о персональных данных не только поможет избежать значительных штрафов, но и повысит доверие клиентов к вашему бизнесу.

А если я в ручном режиме собираю данные или если нет сайта?

Если вы предприниматель и собираете персональные данные вручную — например, через офлайн-мероприятия, мессенджеры, соцсети, формы или иные каналы без сайта, — поправки к 152-ФЗ всё равно распространяются на вас. Вот что важно:

Что обязан сделать предприниматель, даже без сайта

1. Получить согласие на обработку персональных данных

• Согласие должно быть зафиксировано — в письменной или электронной форме.
• В нём должны быть указаны:ФИО и контактные данные субъекта (например, email),
  цель обработки (например, рассылка информации),
  перечень собираемых данных,
  срок хранения и способы хранения.

Важно: нельзя «по умолчанию» считать, что согласие есть — оно должно быть явно выражено.

2. Уведомить Роскомнадзор

• Даже если вы не используете сайт, но обрабатываете email, ФИО, телефоны и другие данные — вы обязаны подать уведомление в Роскомнадзор через https://pd.rkn.gov.ru.
• Это можно сделать онлайн, указав, в каком виде вы собираете данные (например, Excel, CRM, формы в Telegram и т.п.).

3. Хранить данные только в России

• Это касается даже Excel-файлов: они должны храниться на локальном компьютере, на российских облачных сервисах или в CRM с серверами в РФ.
• Google Диск и Notion — не подходят.

4. Обеспечить безопасность

• Защита доступа к таблицам, наличие паролей, антивирусов и резервного копирования — это уже обязанность оператора.

🛠 Пример, как действовать

Если вы ведёте Telegram-канал и собираете заявки в Google-форму:

• Используйте российские аналоги форм — например, Yandex Forms, Dashamail или формы через GetCourse.
• Получайте явное согласие (галочка + формулировка: «Согласен на обработку персональных данных в соответствии с Политикой…»).
• Ведите учёт базы (откуда, когда и зачем получены данные).
• Зарегистрируйтесь в Роскомнадзоре как оператор ПДн.

1. ШАБЛОН СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Согласие на обработку персональных данных

Я, [ФИО пользователя], даю согласие [Ваше ФИО / название ИП / ООО] (ИНН: [ваш ИНН], ОГРН/ОГРНИП: [ваш ОГРН/ОГРНИП], адрес: [юридический адрес]) на обработку моих персональных данных, в том числе:

• ФИО,
• адрес электронной почты,
• номер телефона,
• иные сведения, указываемые мною при заполнении [формы / заявки / анкеты и т.п.].

Обработка данных осуществляется в целях:

• регистрации в базе подписчиков;
• направления информационных и рекламных материалов;
• аналитики и улучшения предоставляемых услуг.

Настоящее согласие действует с момента его предоставления и до момента отзыва в письменной форме.
Я уведомлён(а), что могу в любой момент отозвать согласие по email: [ваш email].
Также подтверждаю ознакомление с [Политикой конфиденциальности / ссылкой на неё].

Дата: [дата]
Подпись (если в бумажном виде): ___________

2. СООБЩЕНИЕ ПРИ СБОРЕ EMAIL ЧЕРЕЗ ФОРМУ

Можно использовать на кнопке или рядом с ней:

Отправляя данные, вы соглашаетесь с [Политикой обработки персональных данных] и даёте согласие на их обработку в соответствии с 152-ФЗ.

3. ИНСТРУКЦИЯ: УВЕДОМЛЕНИЕ В РОСКОМНАДЗОР

Шаг 1. Перейдите на портал Роскомнадзора:

https://pd.rkn.gov.ru/operators-registry/notification/form

Шаг 2. Подготовьте данные:

• Название юрлица / ИП;
• ИНН, ОГРН/ОГРНИП;
• Адрес хранения данных;
• Цель обработки: маркетинг, рассылки, регистрация пользователей;
• Категории данных: имя, email, телефон и т.д.;
• Место хранения: сервер в РФ (например, Яндекс Диск, GetCourse, Тильда и т.п.).

Шаг 3. Заполните форму и подпишите:

• Через КЭП (электронную подпись) или в бумажном виде;
• После подачи вы получите регистрационный номер уведомления — его желательно сохранить.

Рекомендации

• Если вы используете сервисы сбора email (GetCourse, Dashamail, SendPulse и др.), проверьте, соответствуют ли они требованиям локализации хранения данных в РФ.
• Добавьте публичную политику конфиденциальности на лендинг или сайт, если такой есть. Если нет сайта — можете предоставить политику по запросу, как PDF.