1 сентября вступили в силу поправки к ФЗ-152: новые требования к обработке, хранению и использованию персональных данных. Рассказываем, что важно знать
Для тех, кому нужно освежить в памяти основные термины, в начале материала есть вводные разделы. Если вы глубоко погружены в тему персональных данных, сразу переходите к главе «Как поменялись требования».
Персональные данные (ПДн) — это любая информация, которая прямо или косвенно относится к физическому лицу. По ним можно понять, что вы — это вы и никто иной.
Например, персональными данными считаются полные Ф. И. О., дата и место рождения, номер и серия паспорта, адрес регистрации. А само по себе имя или, допустим, госномер не относятся к ПДн, потому что по ним нельзя идентифицировать конкретного человека.
Основной акт, который регулирует работу с персональными данными, — Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ. Чтобы разобраться в нем и других нормативных документах, важно знать термины:
- Субъект ПДн — физическое лицо, к которому относится информация.
- Оператор ПДн — орган, компания или физическое лицо, которые определяют состав персональных данных, собирают их, обрабатывают и хранят.
- Обработка ПДн — любое действие с персональными данными: сбор, систематизация, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление.
Операции с информацией об одном и том же субъекте могут совершать несколько операторов. Например, в облаке компания-заказчик собирает и использует данные в бизнес-целях, а провайдер отвечает за хранение.
Для чего компании используют персональные данные
Организации обрабатывают персональные данные сотрудников и клиентов, чтобы повышать продажи, соблюдать безопасность, упрощать бизнес-процессы. Рассмотрим частые сценарии использования ПДн.
Кадровый учет. На HR-платформах и в информационных системах персональных данных (ИСПДН) хранят Ф. И. О. персонала, даты и места рождения, паспортные данные, СНИЛС, ИНН, контакты. Также у компаний есть сведения о должностях сотрудников, зарплате, семейном положении, состоянии здоровья.
Персонализация в интернет-магазинах. Бизнес собирает Ф. И. О., контакты и адреса покупателей для доставки товаров. В системах аналитики хранится история покупок, идентификаторы заказов, платежные данные.
Видеонаблюдение с распознаванием лиц. Для таких систем нужны фото и видео с изображением лиц, биометрические шаблоны и векторы. На записях указаны время и место съемки, а в базах сохранены идентификаторы пропусков и посетителей.
Колл-центр с голосовой биометрией. Во внутренних системах хранятся записи разговоров, номера телефонов, метаданные звонка и акустические модели для идентификации.
Обучение и использование LLM. К персональным данным относятся тексты запросов, учетные записи, лог-метаданные и биометрия.
Во всех этих процессах важно правильно хранить и защищать данные.
Как изменились требования к работе с персональными данными
С 1 сентября 2025 года действуют поправки к 152-ФЗ и отдельные законодательные акты, которые вносят изменения в правила обработки ПДн. Для бизнеса наиболее важны следующие требования:
Локализация хранения при сборе — только в России. Согласно ч. 5, ст. 18 152-ФЗ, реплики, бэкапы и DR-сайты с персональными данными граждан РФ должны храниться в только в отечественных дата-центрах. Запись, накопление и хранение за рубежом запрещены, а иностранные регионы и SaaS-аналитику с записью ПДн необходимо заменить.
Обезличивание по утвержденным методам. Это снижает риск реидентификации и исключает ненадежные способы работы с данными. Для обезличивания можно применять только методы из приказа Роскомнадзора №140: введение идентификаторов, изменение состава и семантики данных, перемешивание, декомпозиция, преобразование. Перед любым использованием или передачей ПДн необходимо проверить, что повторная идентификация с протоколом невозможна, а при смене алгоритмов или моделей — переобезличивать информацию.
Согласие на обработку ПДн — в отдельном окне. По обновленной ч. 1, ст. 9 152-ФЗ, текст согласия нельзя прятать в договор, оферту или политику сайта. Также необходимо хранить информацию о том, кто, когда и какую версию документ принял. Так вы сможете доказать, что получили согласие пользователя законно.
Раздельное хранение исходных ПДн. Требование из приказа Роскомнадзора №140 распространяется на резервные копии и DR. Единые склады и бэкапы запрещены. Необходимы три разных сегмента или хранилища, а также разные права доступа — например, чтобы имя, фамилия и отчество субъекта находились в разных местах. Так с одним доступом у киберпреступников не получится опознать личность.
Реестр и журналирование операций с обезличенными данными. Согласно новой статье 13.1 152-ФЗ, оператор ПДн обязан вести реестр обезличивания с указанием источника, метода, параметров, даты, ответственного и места хранения. В журнале нужно фиксировать, когда, кому, какие данные и на каком основании вы передали.
Передача обезличенных данных в ГИС Минцифры в установленном составе. По статье 13.1 в 152-ФЗ, операторы обязаны по требованию передавать обезличенные данные. Чувствительные категории, в том числе биометрию, нужно включать в состав, только если это прямо указано.
Как изменились штрафы за утечки и как их смягчить
С 1 сентября 2025 года штрафы за утечку персональных данных увеличились для юридических лиц, индивидуальных предпринимателей, самозанятых и граждан. Для граждан также предусмотрены денежные санкции за неуведомление об инцидентах.
Можно снизить штрафы или избежать их, если данные хранились в соответствии с правилами, но были украдены киберпреступниками. Чтобы доказать это, задокументируйте добросовестность до инцидента: заранее создайте и исполняйте внутренние регламенты, обучите персонал кибербезопасности, проведите сегментацию и контролируйте доступы.
Также смягчить санкции помогут оперативные и последовательные действия после инцидента:
Шаг 1. В течение 24 часов уведомите Роскомнадзор об инциденте через электронную форму «Инциденты», войти можно через Госуслуги. Это считается содействием органу.
Шаг 2. Оперативно остановите распространение данных — снимите дампы с публичных площадок, обратитесь к хостерам, заблокируйте ссылки.
Шаг 3. Расследуйте инцидент и устраните уязвимость. Сохраните логи, артефакты и акты, поменяйте ключи и пароли. Предоставьте максимум информации об утечке.
Шаг 4. В течение 72 часов уведомите Роскомнадзор о ходе расследования.
Из-за чего происходят утечки
Часто персональные данные утекают через распространенные уязвимости. Проверьте их у себя, чтобы минимизировать нарушения.
- Логи и телеметрия — IP, cookie, user-ID в зарубежных лог-хранилищах и дашбордах относятся к персональным данным.
- Тест/Dev — копии прод-БД в тестовых средах без обезличивания, выгрузка их в общие диски для аналитики.
- Вендоры и подрядчики — встраиваемые виджеты, маркетинговые платформы, колтрекинг и антифрод записывают персональные данные.
- Облако — снимки дисков, объектное хранилище, CDN часто находятся вне основного региона, что повышает риск.
- ИИ-инструменты — заливка клиентских данных во внешние модели и сервисы без обезличивания и локального контура.
Снизить риск компрометации ПДн помогает размещение в готовой облачной инфраструктуре, которая разработана специально для хранения персональных данных. У VK Cloud в свободном доступе есть аттестаты и сертификаты соответствия облачного сегмента: УЗ1, ГОСТ Р, PCI DCC. Они подтверждают безопасность и соответствие системы 152-ФЗ.
Изменения в 152-ФЗ — коротко
1 сентября 2025 года вступили в силу новые требования, которые касаются обработки персональных данных.
Локализация хранения при сборе — только в России. Реплики, бэкапы и DR-сайты с персональными данными граждан РФ могут храниться только в отечественных ЦОД.
Согласие на обработку ПДн — в отдельном окне. Текст нельзя прятать в договор, оферту, политику сайта. Важно хранить информацию о том, кто, когда и какую версию согласия принял.
Раздельное хранение. Для резервных копий и DR единые склады и бэкапы запрещены — необходимы три разных сегмента или хранилища, разные права доступа.
Журналирование операций. Оператор должен вести реестр обезличивания с источниками, методами, параметрами, датами, ответственными и местами хранения. А также фиксировать, когда, кому, какие данные и для чего передали.
Работа с обезличенными данными. Для обезличивания можно применять только методы из приказа Роскомнадзора №140. Также по требованию информацию нужно передавать в ГИС Минцифры в установленном составе.
Эта статья из спецпроекта VK Cloud, посвященного повышению отказоустойчивости ИТ-инфраструктуры и защите данных.
Читать другие материалы спецпроекта →
Источники изображений:
Архив VK Tech