Важные изменения в законе о персональных данных

Новые правила 152-ФЗ с 30 мая 2025 касаются ВСЕХ, у кого есть сайт, CRM или база клиентов. Даже малый бизнес, собирающий телефоны через форму связи или аналитику на сайте, теперь оператор персональных данных (ПДн) и обязан соблюдать закон. Без исключений — касается это данных клиентов, сотрудников (нынешних, бывших и кандидатов), партнеров или посетителей офиса.

Что меняется в законе?

1. Добавлены новые категории ПДн — данные разделили на три группы с разными требованиями к согласию и обработке:
   • обычные (имя, телефон, email): согласие по договору или иное;
   • биометрические (голос, отпечатки, сканы сетчатки): только письменное согласие;
   • специальные (здоровье, религия, политика, судимости): явное согласие + обезличивание.
2. Штрафы выросли кратно — учитывают тяжесть нарушения и риски для людей:
   • нет согласия: до 300 тыс. (физлица) / 700 тыс. (юрлица);
   • неправильное хранение: до 6 млн рублей;
   • просрочка уведомления Роскомнадзора об утечке/обработке: до 3 млн.;
   • грозит и оборотный штраф за повторные утечки!
3. Обязательная локализация — вся обработка и хранение ПДн россиян теперь только на серверах в РФ. Запрещены сервисы вроде Google Analytics, Meta Pixel и т.п., передающие данные за рубеж. Нужны российские аналоги.
4. Новые правила согласия на сайтах — с 30 мая отдельное согласие нужно даже для сбора данных о кликах и времени просмотра товаров (через cookie тоже). Нельзя блокировать контент за отказ дать ПДн.

Что важно сделать бизнесу прямо сейчас?

1. Приведите все документы в порядок:
   • если нет внутреннего документа с положениями об обработке ПДн, то стоит сделать (нужно всем, кроме ИП/самозанятых);
   • заведите журнал обращений клиентов (важно хранить его 3 года);
   • создайте четкий регламент действий при утечке данных и взломе;
   • если обрабатываете более 1 млн. записей в год, то пройдите сертификацию;
   • обновите уведомление в Роскомнадзоре, если подавали до 2023;
   • назначьте ответственного за ПДн.
2. Измените работу с клиентскими данными:
   • отдельная, понятная форма согласия (не в договоре!) с целями, сроками, списком данных;
   • передача данных подрядчикам или на рассылки — только с согласия клиента.
3. Соберите согласие с сотрудников:
   • согласие на обработку ПДн — со всеми, включая фрилансеров, подрядчиков и т.д.;
   • уберите расплывчатые формулировки в согласиях.
4. Внесите изменения на сайтах:
   • политика конфиденциальности и галочка согласия в формах — обязательны;
   • добавьте всплывающее уведомление с согласием использования отслеживания и cookie-файлов;
   • не ограничивайте доступ к сайту, если пользователь отказался от сбора данных;
   • замените иностранные сервисы аналитики и хранения данных (Google Analytics, Meta Pixel и т.д.) на российские.

Передача данных за рубеж возможна только после разрешения Роскомнадзора (подача онлайн, ответ до 10 дней) и внесения в Реестр трансграничных передач.

Основные изменения вступают в силу с 30 мая, часть с июня и сентября 2025. Готовиться нужно уже сейчас. Это не косметические правки, а полная переработка процессов работы с данными — от сайта до внутренних регламентов. Формальный подход тут не сработает и вероятно приведет к большим штрафам.

Если вам требуется помощь в приведении сайта в соответствие с законом — обращайтесь, мы поможем!