Осенью 2025 года регулирование работы с персональными данными в России вышло на новый уровень строгости. Законодатель усилил требования к хранению информации, порядку получения согласий и мерам защиты данных. Для бизнеса это означает одно: прежние подходы больше не работают, а цена ошибки стала существенно выше.
Разберем, какие изменения стали ключевыми и что компаниям необходимо сделать уже сейчас.
Локализация данных: теперь без альтернатив
С середины 2025 года требования к локализации персональных данных фактически стали безусловными. Все основные операции — сбор, запись, систематизация и хранение — должны происходить исключительно на территории России.
Это означает:
- нельзя использовать зарубежные облака для первичного хранения данных;
- перенос данных за границу без соблюдения требований — прямое нарушение;
- инфраструктура должна быть физически размещена в РФ.
Компаниям, использующим иностранные сервисы, необходимо либо мигрировать данные в российские дата-центры, либо полностью пересматривать архитектуру ИТ-систем.
Отдельный нюанс касается международных компаний: доступ сотрудников из-за рубежа должен быть строго ограничен. В идеале — без возможности просмотра персональных данных.
Согласие на обработку: больше никакой «галочки в договоре»
С сентября 2025 года согласие на обработку персональных данных больше нельзя «прятать» в пользовательских соглашениях или договорах. Теперь это всегда отдельный документ или самостоятельный элемент интерфейса.
Что это меняет:
- требуется четкое разделение правовых оснований обработки;
- согласие должно быть конкретным и осознанным;
- пользователь должен явно подтвердить его отдельно.
Важно понимать: не во всех случаях согласие вообще нужно.
Например, в трудовых отношениях обработка данных происходит на основании закона, а при регистрации на вебинар или маркетинговую рассылку — согласие обязательно.
Вывод: бизнесу необходимо пересобрать пользовательские сценарии и юридические документы, а не просто обновить формулировки.
Обезличивание данных: новые правила игры
С 2025 года введены стандартизированные подходы к обезличиванию данных. Теперь это не формальность, а регулируемый процесс с конкретными методами:
- замена данных идентификаторами;
- изменение структуры информации;
- декомпозиция наборов данных.
Кроме того, по запросу государства компании обязаны передавать обезличенные данные в государственные системы.
Что это дает бизнесу:
- возможность использовать данные без согласия субъектов (при корректном обезличивании);
- снижение регуляторных рисков;
- расширение аналитических возможностей.
Штрафы: кратный рост и оборотные санкции
Самое чувствительное изменение — резкое ужесточение ответственности.
Ключевые тенденции:
- штрафы за базовые нарушения выросли в разы;
- за утечки предусмотрены многомиллионные санкции;
- введены оборотные штрафы — до 3% выручки;
- отдельные санкции — за утечку биометрии и чувствительных данных.
Пример масштаба:
- крупная утечка может стоить компании до 15 млн рублей;
- повторное нарушение — до 500 млн рублей или процент от оборота.
Дополнительные риски: блокировка сайта, внеплановые проверки и даже репутационные потери.
Безопасность данных: формальный подход больше не работает
Требования к защите персональных данных остаются комплексными, но их контроль стал значительно строже.
Компании обязаны:
- анализировать угрозы безопасности;
- внедрять технические и организационные меры защиты;
- использовать сертифицированные средства защиты;
- фиксировать и расследовать инциденты;
- контролировать доступ и действия пользователей;
- регулярно проверять эффективность защиты.
Ключевой момент: речь идет не о документах «для галочки», а о реально работающей системе безопасности.
Чек-лист: готова ли ваша компания
Для первичной оценки можно использовать базовый список:
- подано уведомление о работе с персональными данными;
- разработана и опубликована политика обработки;
- согласия оформлены корректно и отдельно;
- данные локализованы в России;
- реализованы меры защиты;
- сотрудники обучены;
- проведена инвентаризация ИТ-систем.
Но на практике каждый пункт — это отдельный проект с множеством этапов: от классификации систем до внедрения средств защиты.
Главная проблема бизнеса — не законы, а компетенции
Наиболее частая причина нарушений — не игнорирование требований, а отсутствие экспертизы. Компании просто не понимают:
- где именно у них обрабатываются данные;
- какие риски существуют;
- какие меры действительно необходимы.
Самостоятельно закрыть эти вопросы сложно, особенно в средних и крупных организациях.
Что дает профессиональный аудит
Независимая оценка помогает:
- выявить реальные нарушения;
- оценить уровень соответствия требованиям;
- сформировать план доработок;
- подготовиться к проверкам;
- снизить риск штрафов и инцидентов.
Кроме того, аудит становится отправной точкой для построения полноценной системы защиты данных.
Итоги
Изменения 2025 года — это переход от формального соблюдения закона к реальной ответственности за данные.
Компании, которые ограничатся поверхностными мерами, рискуют столкнуться с серьезными финансовыми и репутационными потерями. Те же, кто выстроит системный подход к защите информации, получат не только соответствие требованиям, но и устойчивость бизнеса в долгосрочной перспективе.