Закон о персональных данных 2025: что изменилось для бизнеса

Кому важно прочитать:

1. Малому бизнесу и ИП – если у вас есть клиентская база, сайт с формами заказов или подписки, вы уже являетесь оператором персональных данных (ПД).
2. Интернет-магазинам – сбор контактов, адресов доставки и платежных данных теперь требует строгого соблюдения закона.
3. Сервисным компаниям – запись через сайт, WhatsApp или телефон означает обработку ПД.
4. HR-специалистам – даже если в компании 1-2 сотрудника, их данные нужно хранить по новым правилам.
5. Самозанятым – коучи, дизайнеры, юристы, ведущие клиентские базы, тоже попадают под действие закона.
6. Маркетологам – рассылки, сбор данных для рекламы и работа с CRM требуют перепроверки документов.

В чем суть?

С 30 мая 2025 года в России вступают в силу существенные поправки к Федеральному закону «О персональных данных» (152-ФЗ). Эти изменения ужесточают требования к обработке личной информации и значительно увеличивают штрафы за нарушения. Если ваш бизнес собирает данные клиентов через сайт, соцсети, CRM или даже просто отображает контакты сотрудников — вы в зоне риска.

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1. Общие (ФИО, номер телефона)
2. Специальные (расовая принадлежность, информация о судимостях)
3. Биометрические (ДНК, отпечатки пальцев)
4. Иные (зарплата, периоды отпусков).

Что считается за обработку персональных данных:

• сбор
• запись
• систематизация
• накопление
• хранение
• уничтожение
• извлечение
• передача и распространение
• доступ
• обезличивание
• блокирование
• удаление
• уничтожение.

 Закон о персональных данных. Главные изменения:

1. Обязательное уведомление Роскомнадзора для всех операторов персональных данных (ПД) — штраф до 300 тыс. руб. за отсутствие
2. Увеличенные штрафы за утечки (до 15 млн руб.)
3. Новые правила трансграничной передачи данных
4. Расширенный перечень спецкатегорий ПД

Даже ИП и микробизнес теперь под прицелом проверок. В статье разберём, как привести документы в соответствие и избежать штрафов.

Пример надписи “о согласии с политикой конфиденциальности” на одном из сайтов, разработанных в Mindrepublic.

Что изменилось в законе о персональных данных с 2025 года?

Одним из ключевых изменений стали новые требования к уведомлению Роскомнадзора. Если ранее многие малые предприятия и индивидуальные предприниматели могли избежать этой процедуры, то теперь подача уведомления становится обязательной для всех операторов персональных данных без исключений. При этом документ необходимо предоставить до начала фактической обработки данных, что особенно важно учитывать при запуске новых проектов или сервисов.

Особое внимание следует уделить уточнённым правилам трансграничной передачи данных. Законодатель чётко прописал требования к передаче информации за пределы Российской Федерации, что актуально для компаний, использующих зарубежные облачные сервисы, CRM-системы или аналитические инструменты. Теперь такая передача возможна либо при наличии явного согласия субъекта данных с указанием конкретной страны назначения, либо при условии хранения копии информации на серверах в России.

Значительно расширился перечень специальных категорий персональных данных. Помимо традиционно учитываемых сведений о здоровье, расовой или национальной принадлежности, теперь к ним могут относиться и другие виды информации, включая некоторые финансовые показатели и параметры. Это изменение требует пересмотра существующих политик обработки данных и процедур получения согласий от клиентов и сотрудников.

Стоит отметить, что все эти изменения происходят на фоне ужесточения ответственности за нарушения. Размеры штрафов увеличились в несколько раз, что делает соблюдение новых требований не просто формальностью, а важной составляющей бизнес-процессов любой компании, работающей с персональными данными.

Новые штрафы

Отсутствие уведомления в Роскомнадзор:
для компаний и ИП штраф — 100 000–300 000 руб.

Неправомерное распространение персональных данных спецкатегорий:
для компаний и ИП штраф — 10–15 млн руб.

Несообщение ведомству об утечке, которая нарушила права физлиц:
Для компаний и ИП штраф — 1–3 млн руб.

Если неправомерная передача данных затронула:
– от 1 до 10 тысяч граждан — от 3 до 5 млн. руб.
– от 10 до 100 тысяч граждан — от 5 до 10 млн. руб.
– более 100 тысяч граждан — от 10 до 15 млн. руб.

Кого коснутся изменения?

Новые требования затронут практически все сферы бизнеса, работающие с персональными данными. В зоне особого внимания оказались:

• интернет-магазины и сайты с формами обратной связи,
• сервисные компании, принимающие заявки через мессенджеры,
• работодатели (включая ИП с наемными сотрудниками),
• самозанятые специалисты с клиентскими базами.

Даже микробизнес, собирающий минимальный набор данных (например, только телефоны клиентов), теперь обязан соблюдать все требования закона. Проверки Роскомнадзора стали массовыми, а штрафы — ощутимыми даже для достаточно крупных предприятий.

Что нужно сделать прямо сейчас?

1. Юридическая подготовка

Самозанятым, компаниям и ИП без сотрудников необходимо срочно разработать базовый пакет документов:

– политику обработки персональных данных,

– форму согласия на обработку (доступную как в электронном, так и бумажном виде),

– согласие на получение рекламной рассылки

– согласие на публикацию отзывов, а также

– подготовить уведомление для Роскомнадзора. Последнее особенно важно — подача должна осуществляться до начала обработки любых данных.

Для организаций с сотрудниками требования расширяются: необходимо оформить целый комплект внутренних документов. Речь идет о двенадцати обязательных позициях, включая приказы о назначении ответственных лиц, журналы учёта данных, положения об уничтожении информации и акты оценки возможного вреда.

2. Техническая проверка

Параллельно с юридическим оформлением стоит провести технический аудит. Первоочередная задача — обеспечить надежную защиту от утечек:

– настроить шифрование,

– разграничить права доступа,

– проверить системы хранения.

Особое внимание следует уделить сайту: все формы сбора данных должны содержать явный запрос согласия, а используемые cookies и метрические системы — соответствовать новым требованиям прозрачности.

3. Трансграничная передача данных

Если бизнес использует зарубежные сервисы для обработки данных, важно либо получить явное согласие каждого клиента с указанием страны-получателя, либо организовать хранение копии информации на российских серверах. Закон предусматривает исключения для некоторых случаев, но они носят ограниченный характер и требуют особого оформления.

Новые правила особенно актуальны для бизнесов, использующих популярные зарубежные сервисы. Типичные примеры:

1. Облачные хранилища: Google Drive, Dropbox, iCloud (данные по умолчанию хранятся в США/ЕС)
2. CRM-системы: HubSpot, Salesforce (американские серверы)
3. Аналитика: Google Analytics, Meta Pixel (передают данные в США)
4. Платежные системы: PayPal, Stripe (обрабатывают финансовые данные за рубежом)
5. Мессенджеры: WhatsApp, Telegram (при определенных условиях).

Закон о персональных данных. Практический пример:
Интернет-магазин использует Google Analytics для отслеживания поведения пользователей. С 2025 года это требует:

• Явного согласия посетителя на передачу данных в США (отдельный чекбокс)
• Альтернативы — переход на российские аналоги (Яндекс.Метрика) или настройка анонимизации данных.

Законные способы передачи:

1. Получение конкретного согласия (с указанием страны)
2. Использование серверов в России (например, S3 от Mail.ru Cloud Solutions)
3. Работа с сервисами, имеющими локальные дата-центры (Microsoft Azure теперь предлагает российские серверы).

Важно: Даже если сервис просто обрабатывает данные временно (например, чат-поддержка на зарубежной платформе), это попадает под регулирование. Рекомендуется провести инвентаризацию всех используемых инструментов и либо получить согласия, либо перейти на локализованные решения.

Что в итоге?

Многие предприниматели совершают типичные ошибки, которые могут привести к серьезным штрафам. Одно из самых опасных заблуждений — уверенность, что малый бизнес останется вне поля зрения проверяющих. Практика 2025 года показывает, что Роскомнадзор активно проверяет даже индивидуальных предпринимателей и микропредприятия. Не менее распространенная проблема — сбор данных через формы на сайте без явного согласия пользователя. Простая контактная форма с полями для имени и телефона уже требует четкого чекбокса согласия на обработку данных.

Особого внимания заслуживает вопрос хранения информации. Многие продолжают использовать популярные облачные сервисы вроде Google Диска или Dropbox, не задумываясь о географическом расположении серверов. Между тем, такая практика может быть расценена как незаконная трансграничная передача данных.

Главный совет — не откладывать приведение документов и процессов в соответствие с новыми требованиями. Проверка политики конфиденциальности, форм сбора данных на сайте и условий хранения информации займет не так много времени, но поможет избежать штрафов, которые для малого бизнеса могут оказаться критичными. Если возникают сомнения — разумнее сразу обратиться к юристам и специалистам по комплаенсу (они занимаются именно проверкой соблюдения фирмой всех необходимых правовых норм). Вложения в юридическое сопровождение окупятся сохранением репутации и отсутствием проблем с регуляторами.