Новый закон о персональных данных: что изменилось для бизнеса с 1 сентября 2025 года

С 1 сентября 2025 года в России вступили в силу масштабные изменения в сфере обработки персональных данных. Это не просто технические правки, а очередная серьёзная трансформация, затрагивающая практически весь бизнес - от крупных корпораций до индивидуальных предпринимателей. Как водится в последнее время, она сопряжена с абсолютно драконовскими штрафами. Так что - кто предупрежден, тот вооружен.

Кто такой оператор персональных данных?

Для начала стоит осознать, что это касается… ну, нельзя сказать «всех», но явно большее количеств людей, чем можно было бы подумать.

Многие ошибочно считают, что статус «оператора данных» относится только к IT-компаниям или госструктурам. На самом деле, любое лицо, собирающее и использующее данные клиентов, сотрудников или партнёров, становится таким оператором. Это может быть владелец фитнес-клуба, онлайн-магазина, бухгалтерской фирмы или даже самозанятый, ведущий базу контактов.

Если у вашей компании есть сайт, на котором предусмотрена возможность регистрации – поздравляем, вы оператор личных данных. Используете email-рассылку, CRM или платёжные системы? Добро пожаловать на борт.

В предыдущих сериях

На самом деле, все эти нововведения не свалились на нас разом, а вводятся поэтапно. Уже с 30 мая 2025 года начали действовать первые – уже довольно жесткие - требования:

• Регистрация в Роскомнадзоре до начала обработки данных — стало нельзя собирать информацию до подачи уведомления в РКН.
• Повышенные штрафы за раскрытие: от 300 тыс. до 1 млн рублей для компаний, от 50 тыс. до 100 тыс. — для руководителей. ИП платят от 10 до 30 тысяч.
• Хранение персональных данных на территории РФ — передача за рубеж возможна только с разрешения Роскомнадзора (да, это то самое, в чем постоянно обвиняют Telegram, YouTube и прочих зарубежных ребят, действующих в России).
• Контроль за метриками: использование Google Analytics и Яндекс.Метрики требует уведомления, а иностранные сервисы (в данном случае это гугл-аналитика) — дополнительного разрешения.
• Утечки данных — о них нужно сообщать в Роскомнадзор в течение 24 часов после обнаружения.
• Уголовная ответственность — а за «злостные нарушения» замаячили, как водится, очень строгие наказания: до 8 лет лишения свободы.

Однако именно с первого сентября система окончательно сформировалась. Появились: 

Новое оформление согласия

С 1 сентября согласие на обработку персональных данных должно быть оформлено отдельно от договоров, анкет и других документов. Простая «галочка» в конце формы больше не будет засчитываться.

Форма согласия (бумажная или электронная) должна содержать:

• полные реквизиты оператора;
• цель обработки;
• перечень собираемых данных;
• список действий с данными (сбор, хранение, передача);
• способ и срок обработки;
• информацию о третьих лицах, если данные передаются.

А чтобы к этому относились достаточно серьезно, за неправильное оформление формы с 1 сентября назначены серьезные штрафы — до 700 тысяч рублей для юрлиц и до 300 тысяч — для должностных лиц.

Передача обезличенных данных в ГИС

Кроме того, все операторы обязаны будут предоставлять обезличенную информацию в федеральную геоинформационную систему (ГИС) по запросу Минцифры. Тут нужно понять, что речь идёт не о персональных данных как таковых, а о статистике — например, демографических или географических данных, по которым невозможно идентифицировать человека.

Доступ к системе получат госорганы, лицензированные компании и граждане. Чтобы попасть в реестр, компания должна состоять в реестре операторов ПД, не находиться под иностранным контролем и иметь достоверные сведения в ЕГРЮЛ

Усиленные требования к безопасности

Кроме того, закон упоминает технические и организационные меры защиты:

• обязательное шифрование;
• контроль доступа;
• регулярный аудит;
• резервное копирование;
• план действий при утечках.

В общем, теперь недостаточно просто хранить данные — нужно доказать, что они защищены от утечек на всех уровнях. А не то, сами понимаете, огромные штрафы – в зависимости от количества утекших данных они колеблются от 3 до 20 млн рублей для организаций, а при повторных утечках станут вообще оборотными. Также штрафуются (понятно, на меньшие, но всё равно весьма внушительные суммы) и должностные, и обычные физические лица, допустившие утечку. Если выяснится, что лицо причастно к организации утечки – ответственность сразу становится уголовной.

И что делать бизнесу?

1. Прежде всего, подайте уведомление в Роскомнадзор, если вдруг ещё этого не сделали, и разработайте/найдите в сети форму согласия на обработку с учетом новых требований.
2. Проведите мини-аудит - выявите, какие данные вы собираете и где их храните. Также стоит поднять все актуальные договоры и ПЕРЕДЕЛАТЬ с учетом новых требований. Да, это муторно, но от штрафа в 700 тысяч, поверьте, будет еще муторнее.
3. Обновите политику конфиденциальности на сайте с учетом новых данных.
4. Стоит позаботиться о защите данных от утечек - потребуется консультация специалиста по кибер-безопасности. Это точно обойдется дешевле, чем платить многомиллионные штрафы при утечке.