⚡ Персональные данные под контролем: что изменится с осени 2025 года

Осенью 2025 года в России вступают в силу новые правила обработки персональных данных. Поправки внесены в Федеральный закон №152‑ФЗ «О персональных данных», а также в законы №420‑ФЗ и №421‑ФЗ. Роскомнадзор подготовил инструкции для бизнеса, и теперь любая компания, работающая с данными россиян, обязана соблюдать новые требования.

1. Обезличивание без согласия (ст. 13.1, 152‑ФЗ — с 1 сентября 2025)

С 1 сентября 2025 года компании смогут использовать обезличенные персональные данные без согласия граждан.

Обезличенные данные — это информация, из которой невозможно определить личность конкретного человека.

На практике это значит: данные можно использовать в аналитике, тестировании и ИИ, но компании обязаны вести учёт операций и фиксировать методику обезличивания для Роскомнадзора. Доступ к этим данным ограничен: их можно передавать в ГИС Минцифры только по официальным запросам.

(основание: ФЗ №233‑ФЗ, приказ Роскомнадзора №140 от 19.06.2025)

2. Локализация — базы только в России (ст. 18, 152‑ФЗ — с 1 июля 2025)

С этого дня хранение персональных данных россиян за границей запрещено. Исключение — передача с разрешением Роскомнадзора и записью в специальный реестр.

Это касается всех компаний: интернет-магазины, банки, клиники, школы, IT-сервисы.

3. Штрафы и уголовная ответственность (ФЗ №420‑ФЗ и №421‑ФЗ — с 30 мая 2025)

• Неуведомление Роскомнадзора об обработке или утечке — штрафы до 3 млн руб.
• Утечка данных — до 15 млн руб.; для крупных компаний — до 3% годовой выручки (минимум 20–25 млн руб.)
• Особо тяжкие случаи (например, утечка биометрических данных) — уголовная ответственность: лишение свободы до 4–5 лет.

4. Согласие — отдельный документ (ст. 9, 152‑ФЗ — с 1 сентября 2025)

Согласие на обработку персональных данных не может быть спрятано в договоре. Оно должно быть отдельным документом, в котором указаны:

• цели обработки данных,
• перечень данных,
• срок хранения,
• информация о передаче третьим лицам.

Нарушение правил — штраф до 700 тыс. руб.

Кого коснётся

• Интернет-магазины, банки, медучреждения, школы — пересмотр форм согласий и перенос баз на российские серверы.
• IT-компании — запрещено использовать зарубежные облака без разрешения.
• Люди — увидят отдельные согласия и смогут отказаться от обработки и передачи данных.

Что делать прямо сейчас

Для юридических лиц (компаний, организаций)

1. Проверить все базы персональных данных — данные россиян должны храниться только на российских серверах.
2. Обновить документы согласия — отдельные согласия для клиентов, сотрудников и подрядчиков.
3. Внедрить процедуры обезличивания — вести учёт операций и фиксировать методику для Роскомнадзора.
4. Обучить сотрудников — минимизировать риск случайной утечки данных.
5. Оценить финансовые риски — подготовить бюджет на штрафы и страхование утечек данных.

Для ИП и самозанятых

1. Проверить, где хранятся данные клиентов — переводить их на российские сервисы.
2. Составить отдельные формы согласия — для обработки контактных данных, заказов, платежей.
3. Обеспечить безопасность — надёжные пароли, резервное копирование, антивирусные решения.
4. Фиксировать обработку данных — даже простые базы в Excel должны иметь отметки о дате и цели обработки.

Для физических лиц

1. Внимательно читать согласия — не подписывать галочки в «договоре оферты», требовать отдельное согласие.
2. Отказываться от лишней передачи данных — не указывать паспортные данные, телефон или адрес там, где это не обязательно.
3. Следить за уведомлениями — проверять, какие компании получили ваши данные и для чего они их используют.
4. Хранить данные безопасно — личные документы, пароли, фото и номера телефонов — на надёжных устройствах или локальных хранилищах.

⚡ Персональные данные под контролем: что изменится с осени 2025 года