Новый порядок обработки персональных данных в России: что изменилось в 2025 году и как адаптироватьс

С 1 марта 2025 года в России вступили в силу масштабные изменения в законе о персональных данных. Компании обязаны хранить данные в России, детально фиксировать согласие пользователей и незамедлительно сообщать об утечках. За нарушение — штрафы до 30 миллионов рублей и блокировки. В статье рассказываем, что именно изменилось, как обезопасить бизнес и не попасть под санкции Роскомнадзора. Это касается всех, кто работает с данными клиентов, сотрудников или партнёров.

Популярное по теме
90 чек-листов по всем направлениям для HR и бизнес-тренеров: подборка от экспертов hrtime.ru
Полезные инструменты по подбору, оценке персонала, обучению, консалтингу, разработке СОТ, корпоративной культуре, коучингу, кадровому учету и карьерному консультированию в одном месте.

С 1 марта 2025 года в России вступили в силу ключевые поправки к закону № 152-ФЗ «О персональных данных». Эти изменения стали ответом на возрастающие угрозы цифровой безопасности, трансформацию IT-инфраструктур и усиление международного давления на защиту национальных интересов в сфере информации. Нововведения касаются практически всех компаний, работающих с данными клиентов, сотрудников или партнёров, и требуют немедленной адаптации.

Причины изменений

В последние годы в России отмечается рост числа инцидентов, связанных с утечками персональных данных. По данным Роскомнадзора, только в 2024 году зафиксировано более 300 крупных случаев, при которых данные миллионов граждан стали доступны третьим лицам. В то же время большое количество компаний продолжало обрабатывать данные в иностранных облаках, не обеспечивая соответствующий уровень защиты.

Обновление законодательства направлено на усиление суверенитета в области обработки данных, повышение ответственности операторов и усиление прав граждан.

Ключевые изменения

1. Обязательная локализация данных

Все операторы персональных данных обязаны обеспечивать локализацию хранения и первичной обработки данных на территории России. Это правило теперь распространяется не только на интернет-сервисы, но и на офлайн-бизнес, использующий облачные платформы.

Если данные изначально собираются через сайт или приложение, они должны быть сначала сохранены на сервере, физически расположенном в России, прежде чем передаваться за рубеж.

Штраф за нарушение — до 18 млн рублей (в случае повторного — до 30 млн), а в отдельных случаях возможно административное приостановление деятельности.

2. Новые требования к согласию на обработку данных

Теперь согласие должно быть:

  • раздельным — для каждой цели обработки (например, маркетинг, аналитика, передача третьим лицам);

  • детализированным — указание категорий данных, сроков и способов обработки;

  • верифицируемым — должна быть возможность подтвердить, что пользователь реально дал согласие (например, путём электронной подписи, SMS-кода, подтверждающего действия).

Также запрещено привязывать получение услуги к согласию на избыточную обработку — например, отказ от обработки данных в маркетинговых целях не может ограничивать доступ к основной услуге.

3. Ужесточение ответственности за утечку данных

Уточнены критерии, при которых утечка считается значимой, и вводятся следующие обязательства:

  • Уведомление Роскомнадзора в течение 24 часов;

  • Уведомление пострадавших граждан в течение 72 часов;

  • Публикация отчёта об инциденте (в случаях, затрагивающих более 1000 человек).

Нарушение этих сроков — повод для усиленных проверок и наложения оборотных штрафов (процент от годовой выручки).

4. Реестр операторов персональных данных

Создан единый публичный реестр операторов, в который обязаны быть внесены все юридические лица и ИП, осуществляющие сбор, хранение и обработку персональных данных. Для регистрации необходимо указать:

  • цели и способы обработки;

  • технические и организационные меры защиты;

  • сведения об ответственном за защиту данных лице.

Компании, не подавшие информацию, будут считаться нарушителями закона с соответствующими санкциями.

5. Обязательный DPO (ответственный за защиту ПДн)

Компании с численностью более 100 сотрудников или обрабатывающие специальные категории персональных данных (например, биометрические) обязаны назначить ответственного за защиту ПДн (аналог Data Protection Officer в Европе). Это лицо должно иметь соответствующую квалификацию и быть включено в реестр специалистов Роскомнадзора.

Как это повлияет на бизнес

Для большинства компаний изменения означают необходимость:

  • пересмотра юридических документов (политик, форм согласий, договоров с подрядчиками);

  • перехода на российские серверы и облачные решения;

  • внедрения внутренних процессов мониторинга и реагирования на инциденты;

  • обучения персонала и назначения ответственного за защиту данных.

Особенно остро вопрос стоит перед компаниями, использующими зарубежные CRM, ERP и маркетинговые платформы. Они вынуждены либо искать аналоги внутри РФ, либо обеспечивать двойную инфраструктуру.

Риски для нарушителей

  • Блокировка ресурсов Роскомнадзором;

  • Административные штрафы до 30 млн рублей;

  • Повышенное внимание со стороны прокуратуры и ФНС;

  • Репутационные риски — утечка данных в 2025 году воспринимается обществом крайне болезненно.

Что делать сейчас

  • Провести аудит персональных данных — какие данные вы собираете, где храните, кто имеет доступ.

  • Перейти на российские платформы хранения, если это ещё не сделано.

  • Обновить формы согласий и политики конфиденциальности, сделать их индивидуальными под каждый процесс обработки.

  • Подать сведения в реестр операторов — сделать это можно через Госуслуги или сайт Роскомнадзора.

  • Назначить ответственного по защите данных, при необходимости — привлечь внешнего специалиста.

  • Обучить сотрудников, особенно тех, кто взаимодействует с клиентскими данными.

  • Разработать план реагирования на инциденты, включая шаблоны уведомлений и процедуру внутреннего расследования.

Заключение

2025 год стал ключевым этапом формирования суверенной модели защиты персональных данных в России. Для бизнеса это не только обязанность, но и возможность выстроить прозрачные и безопасные процессы взаимодействия с клиентами. Компании, которые первыми адаптируются к новым реалиям, получат конкурентное преимущество и доверие пользователей. А те, кто проигнорирует — рискуют оказаться под санкциями и потерять репутацию.

Поделиться статьей
Есть задача по hr-консалтингу?
Ответьте на несколько вопросов и я пришлю вам расчет бесплатно
Наталья Кретова
Наталья, спасибо за материал. Действительно, последнюю неделю мая бизнес стоит "на ушах" с изменениями закона о "Защите персональных данных" и необходимостью уведомления Роскомнадзора об их использовании. На неделе, даже были отмечены сбор в работе сервиса. Хороши такие ужесточения закона или нет - время покажет Сейчас рано делать какие-то выводы. Потому, что уверена - не все операторы подали уведомдения и вошли в период "ожидания".
2025-05-31 07:51 0
Показать все комментарии
avatar-default-icon
Тренер Модератор IT Подбор персонала Мотивация Оценка Топ-1 рейтинга НН
PRO В топ 10 Автор статей Спецзаказы
Стаж работы Более 15 лет
Отзывов от клиентов 190
Публикаций 228
Рейтинг в профразделах
Корп.культура 3 место
Оценка 4 место
Подбор 4 место
Рейтинг в номинациях
Мастер лидов 2 место
Лучший результат 4 место
Вас также может заинтересовать
HRTime_faces
148 специалистов сейчас на сайте Опишите задачу. Исполнители откликнутся сами.
Мы используем файлы cookie и рекомендательные технологии. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie (подробнее), а также с пользовательским соглашением.
Согласен
X
Файлы cookie представляют собой файлы или фрагменты информации, которые могут быть сохранены на Вашем компьютере или других интернет-совместимых устройствах конечного пользователя (например, смартфонах и планшетах) при посещении Вами наших веб-сайтов или использовании наших веб-сервисов. Эта информация в большинстве случаев представлена в виде алфавитно-цифровых строк, которые однозначно идентифицируют Ваш компьютер или конечное пользовательское устройство, однако может содержать и иные сведения. На наших веб-сайтах или веб-сервисах мы используем различные типы «cookies» (небольшие текстовые файлы, которые размещаются на Вашем устройстве). Перечень используемых нами файлов cookie, описание целей их использования и дополнительная информация о соответствующих файлах cookie представлена в Инструменте управления файлами cookie, размещенных на соответствующих веб-сайтах и в веб-сервисах нашей компании либо в представленных в них текстах согласий или договоров.