Обработка персональных данных: правовые аспекты и важные нюансы 2025 года
Раннее утро, кофе с ароматом корицы и уведомление в чатике: «Клиент просит срочно образец персональных данных для согласия, Роскомнадзор заходит с проверкой». И вроде бы всё как всегда, но на календаре 2025 год, правила уже другие, штрафы болезненнее, а привычка хранить базы в случайных гугл-табличках больше не тянет на простительную шалость. Если вы работаете с заявками из формы на сайте, ботами в Telegram и рекламой в VK, то у вас уже есть обработка персональных данных, хотите вы этого или нет. И значит – пора не просто читать заголовки про 152 ФЗ о персональных данных, а собрать у себя понятный процесс: что мы берем, где храним, зачем и насколько надежно. Чтобы и продажи шли, и юрист спал спокойно, и маркетолог не рыдал над формой «согласия на обработку персональных данных» на двадцать абзацев мелким шрифтом.
Я Артур Хорошев. Последние годы помогаю выстроить автоматизацию с make.com и нейросетями так, чтобы это было не «магия», а прозрачный конвейер. В 2025 все, кто собирает заявки, платежи и подписки, столкнулись с тремя трезвыми новостями. Первая – легальное обезличивание: если вы действительно обезличили данные, их можно крутить без согласия, но именно обезличили, а не прикрылись словом. Вторая – локализация: реплики, бэкапы и DR-сайты с персональными данными граждан РФ держим в российских дата-центрах. Третья – ответственность: за утечку и незаконную обработку можно получить не только административный штраф, но и очень неприятные последствия, которые к бизнес-плану никак не подходят. Скажем прямо, шансы «проскочить» становятся невысокими.
Что поменялось в 2025 и зачем вам этим заниматься
Юридическая основа стара как 27.07 2006 152 ФЗ о персональных данных, но сам строй стал плотнее и практичнее. С 1 июля 2025 бэкапы и резервные копии с данными россиян – в отечественных дата-центрах. Это значит, что сервер с PostgreSQL в Яндекс Облаке, Selectel или VK Cloud выглядит логичнее, чем Google Drive, куда кочуют XLS-ки «на всякий случай». С 1 сентября 2025 появляется интересная опция – обработка персональных данных после корректного обезличивания без согласия. Обратите внимание, это не про «закрыли глаза и забыли имя», а про реальную невозможность обратной идентификации. И, наконец, ответственность. Повысились штрафы за нарушение порядка обработки, увеличилась внимательность к уведомлениям и к качеству технических мер. Если раньше слово «роскомнадзор персональные данные» вызывало нервную ухмылку, то теперь вызывает план работ.
Нужно ли согласие на обработку персональных данных в 2025 году всегда? Нет. Есть законные основания помимо согласия – исполнение договора, законная обязанность, защита прав и интересов. Но маркетинг, аналитика, ретаргетинг, обучающие выборки для ваших моделей почти всегда упираются в согласие. Нормальное, ясное и фиксируемое. Старые формы часто устарели. Перепроверьте цели, состав данных, срок, способы отзыва, перечислите сторонних операторов, ссылку на политику и контакт ответственного. Любимый лайфхак – хранить «отпечаток» согласия с точной датой, IP, версией формы и источником. В споре помогает лучше, чем «ну, мы же ставили галочку».
Как автоматизировать законность на практике: конвейер на make.com
Честный способ не утонуть – положить процессы на рельсы. Платформа make.com позволяет собирать интеграции без боли: вяжем формы, боты, CRM, облака, документы и проверки в одну линию. Ограничение простое: если это персональные данные 2025 в смысле закона о персональных данных 152 ФЗ, храните их в российской инфраструктуре и соблюдайте требования к безопасности. А теперь сама логика.
Вы размещаете форму заявки на сайте или в Telegram-боте. В момент отправки Webhook передает данные в сценарий make.com. Сценарий разбирает payload, проверяет, пришло ли согласие на обработку персональных данных и какую версию формы применили. Дальше генерируется PDF-файл с текстом согласия, персональными полями, временем, IP и цифровой подписью отправителя или меткой подтверждения. Этот файл складывается в хранилище в Яндекс Облаке или Selectel, а в карточке лида в CRM (Bitrix24, amoCRM) появляется ссылка на документ. Параллельно операторы получают уведомление в Slack или Telegram с тихим напоминанием: «Не забудь закрыть заявку в течение 24 часов, иначе мы автоматически удалим все лишнее». Всё, журнал согласий живет сам, без ручных скринов и Excel, который всегда ломается в пятницу вечером.
Отдельная ветка – обезличивание данных для аналитики и обучения моделей. В make.com есть модуль Code, где можно на лету приводить данные к агрегированным срезам. Вы убираете прямые идентификаторы, подрезаете адрес до города, возраст до возрастной группы, телефоны превращаете в однонаправленные хэши с солью, а редкие комбинации обобщаете. Важно, что псевдонимизация не равна обезличиванию. Если у вас есть ключ, который позволяет вернуться к человеку, значит это всё еще персональные данные. Для безопасного «обезличено и точка» ключ не должен существовать, а методика должна исключать обратную сборку. И лучше документировать эту методику внутрь Политики – да, это скучно, но экономит нервы.
Где хранить и как дышит локализация
С 2025 года требования к локализации подтянули не только основной контур, но и реплики с DR. На практике это значит, что резервное копирование на зарубежный S3 без правовой и технической оболочки – плохая идея. В сценариях make.com выставляйте конечные точки хранения в российских облаках, а для документов используйте папки с регламентированными правами. Если хочется мониторинга, настраивайте периодические проверки наличия бэкапов и тестовые восстановления, а отчеты складывайте в отдельную «невидимую» папку для внутреннего аудита. Мелочь, но во время проверки снимает вопросы.
Согласие без барокко: как выглядит живой образец
В 2025 году правильное согласие на обработку персональных данных не обязано казаться налоговым учебником. Оно должно указывать цели обработки, перечень данных, срок, операторов и третьих лиц, порядок отзыва, ссылку на политику, способ подтверждения личности и факт, что вы не собираете сверхнужное. Подпись может быть простой электронной – галка плюс подтверждение кода или клика по письму. В сценарии make.com удобно хранить версии текста согласия. При следующем апдейте вы не потеряете историю согласий и не спутаете «образец персональных данных» от января с майской редакцией. На экране у пользователя – простой текст и понятная галочка, в бэкенде – аккуратный журнал с датами и IP. Всё, как любит проверяющий.
Тут всплывает вопрос: а если человек оставил заявку в Instagram* или в VK, этого достаточно? Если вы приглашаете человека в чат, запрашиваете телефон и электронку, такие данные уже попадают в зону фз о персональных данных. Лучше дать короткую ссылку на политику и согласие прямо в первом касании, а в боте – вывести экран с подтверждением. Это не убивает конверсию, если текст нормальный и без канцелярита. Формулу «ставьте галочку чтобы получить чек-лист» можно оставить, но ниже напишите человеческое объяснение, зачем вам эти данные и что вы с ними делаете. Никто не любит сюрпризы, особенно когда звонок спустя 5 минут.
AI, большие данные и тонкая грань
Использовать обезличенные данные для обучения моделей можно, но важно не перепутать жареное с вареным. Если вы обучаете классификатор жалоб на базе текстов заявок, то уберите поля с ФИО, контактами и редкими связками, которые легко объединяются. В make.com это автоматизируется: блок разбора текста, блок замены имен на маркеры, фильтр удаления строк с персональными метками, и уже потом отправка в набор для обучения. Периодически запускайте тест на обратную идентификацию – грубо говоря, попробуйте «собрать» человека из датасета. Если получается, дорабатывайте правила. И не храните «чистые» и «обезличенные» рядом. Примитивно, но это часто спасает.
Вторая тема – кросс-бордер. Если ваши подрядчики или сервисы за пределами РФ и получают доступ к персональным данным, готовьте документы и технические ограничения, либо откажитесь от такой схемы. Легкая опечатка в настройках может стоить тяжелого письма от надзора. Когда привязываете сервисы через make.com, используйте русские хранилища для данных и стройте сценарии так, чтобы за рубеж уходили только обезличенные агрегаты. Да, это чуть сложнее, но зато закон о персональных данных 152 ФЗ не будет стоять над душой мрачной тенью.
Мини-история: как одна компания перестала бояться проверок
Компания Х продавала онлайн-курсы и собирала заявки с лендинга, бота и рекламы. Согласия были, но в трех версиях, хранились где попало, а обработка персональных данных 2025 тянула на квест с неизвестным финалом. Мы собрали единый сценарий: webhook из сайта, сообщения из бота и карточки из CRM падали в make.com, где автоматически формировался документ согласия, подписывался и укладывался в S3 в Яндекс Облаке. Отдельный поток обезличивал события для аналитики – оставлял только каналы привлечения и сегменты, без имен и телефонов. Бэкапы шли в российский DR, еженедельный отчет по журналу согласий приходил руководителю, а при отсутствии согласия лид уходил в корзину через 24 часа. Спустя месяц у ребят прошла внутренняя проверка – не идеально, но твердо и без истерик. И продажи выросли, потому что менеджерам перестали мешать «формальности» – система сама напоминала, где можно звонить, а где лучше промолчать.
Инструменты, ссылки и обучение
Если хочется собрать подобный конвейер и не наступать на грабли, у меня есть материалы и курсы. Хотите научиться автоматизации рабочих процессов с помощью сервиса make.com и нейросетей? Подпишитесь на наш Telegram-канал. Для тех, кто готов в бой, вот аккуратно собранные маршруты: Обучение по make.com и готовые сценарии на подписке – Блюпринты по make.com. Начать работу с платформой можно здесь – официальная регистрация make.com. Там же есть бесплатный тариф для первых экспериментов, хватит, чтобы поставить на рельсы журналы согласий и базовую обезличку. И да, проверяйте текст согласий с вашим юристом – так спокойнее, я не спорю.
Частые вопросы по персональным данным в 2025 году
Нужно ли всегда брать согласие на обработку персональных данных, если пользователь оставил заявку на сайте
Если вы работаете в рамках договора или преддоговорных отношений, часть операций можно проводить без согласия. Но маркетинговые рассылки, ретаргетинг и обучение моделей почти всегда требуют именно согласие. В 2025 логика простая: хотите использовать данные шире – оформляйте согласие в понятной форме и храните его цифровой след. Указывать цели, состав данных, срок и третьих лиц обязательно, иначе текст легко признают невалидным.
Можно ли хранить персональные данные в Google Sheets или зарубежных CRM
Без специальных мер – нет, это риск. Локализация требует хранения баз и бэкапов в РФ, а кросс-бордер доступ нужно отдельно обосновывать и ограничивать. Надежнее использовать российские облака и локальные инсталляции. Для оперативных дашбордов используйте обезличенные выгрузки. В make.com обычно делают так: в PostgreSQL в российском облаке живут персональные данные, а в зарубежную табличку уходит только агрегированная статистика без идентификаторов.
Что такое корректное обезличивание и можно ли после него работать без согласия
Корректное обезличивание – это когда восстановить личность человека по набору практически невозможно. Удаляются прямые идентификаторы, обобщаются редкие значения, исключаются уникальные комбинации. Псевдонимизация с ключом не считается обезличиванием по смыслу закона. Если обезличивание выполнено правильно, данные можно использовать без согласия, но только в заявленных целях. Документируйте методику и храните протоколы – так вы докажете добросовестность.
Как Роскомнадзор проверяет и где тонко
Смотрят на реальность процессов: есть ли политика, уведомление об обработке, журнал согласий, локализация хранения, порядок удаления и обновления. Очень часто проблемы вылезают в мелочах – забытый тестовый бэкап в зарубежном облаке, некорректный виджет рассылки, который тащит данные в сторонний сервис, или рассылка без доказанного согласия. В сценариях make.com удобно ставить автоматические проверки и алерты, чтобы такие огрехи ловить заранее.
Можно ли обучать нейросеть на обращениях клиентов
Да, при корректном обезличивании. Уберите персональные поля, маскируйте редкие сущности, агрегируйте. Не храните обучающие датасеты рядом с исходной базой. Если нужно тестировать качество модели на реальных примерах, делайте это в контролируемом контуре и не выносите данные наружу. Для придирчивых коллег используйте протоколы обезличивания и короткую внутреннюю инструкцию – две страницы спасают спор, проверено.
Что насчет фз 152 2006 о персональных данных с изменениями в 2025 году
Базовые принципы остались прежними, но акценты сместились: локализация усилилась, появились нюансы с обезличиванием, ответственность стала ощутимее. Стоит обновить политику, формы согласий и внутренние регламенты. Если вы оператор по смыслу статьи 152 ФЗ о персональных данных, неплохо назначить ответственного, наладить обучение персонала и периодические тесты восстановления бэкапов.
Как долго хранить данные и что делать с «вечными» лидами
Храните не дольше, чем нужно для заявленных целей. Если цель отпала, удаляйте или обезличивайте. В make.com удобно ставить таймеры: через 30 дней без договора мы удаляем Константина П. из CRM вместе с его согласием, оставляем только агрегат в статистике. Когда придет новая заявка – соберем всё заново, уже по актуальной форме.
Какие штрафы и как их избежать
Штрафы по КоАП за нарушения в сфере персональных данных растут и могут исчисляться миллионами рублей, а за жесткие истории с незаконным распространением и утечками можно схлопотать и уголовку. Избежать помогает трио: понятные процессы, техническая гигиена и спокойная автоматизация. Журнал согласий, локализованные бэкапы, ограничение доступа и своевременное удаление – это не героизм, а обычная рутинная настройка. Которую, впрочем, лучше один раз сделать толково.
Где взять нормальный «образец персональных данных» и тексты документов
Единого «волшебного» шаблона нет, потому что бизнесы разные. Но структура известна: цели, состав данных, срок, третьи лица, порядок отзыва, контакт оператора, ссылка на политику. Мы в курсах даем набор аккуратных примеров и показываем, как встроить их в сценарии make.com так, чтобы версии фиксировались автоматически. Если нужно «вчера», заглядывайте сюда – Обучение по make.com и сюда – Блюпринты по make.com. Под вопросы и нюансы я отвечаю в канале, присоединяйтесь: Telegram-канал.
