С 1 марта 2025 года в России вступили в силу масштабные изменения в законе о персональных данных. Компании обязаны хранить данные в России, детально фиксировать согласие пользователей и незамедлительно сообщать об утечках. За нарушение — штрафы до 30 миллионов рублей и блокировки. В статье рассказываем, что именно изменилось, как обезопасить бизнес и не попасть под санкции Роскомнадзора. Это касается всех, кто работает с данными клиентов, сотрудников или партнёров.
С 1 марта 2025 года в России вступили в силу ключевые поправки к закону № 152-ФЗ «О персональных данных». Эти изменения стали ответом на возрастающие угрозы цифровой безопасности, трансформацию IT-инфраструктур и усиление международного давления на защиту национальных интересов в сфере информации. Нововведения касаются практически всех компаний, работающих с данными клиентов, сотрудников или партнёров, и требуют немедленной адаптации.
Причины изменений
В последние годы в России отмечается рост числа инцидентов, связанных с утечками персональных данных. По данным Роскомнадзора, только в 2024 году зафиксировано более 300 крупных случаев, при которых данные миллионов граждан стали доступны третьим лицам. В то же время большое количество компаний продолжало обрабатывать данные в иностранных облаках, не обеспечивая соответствующий уровень защиты.
Обновление законодательства направлено на усиление суверенитета в области обработки данных, повышение ответственности операторов и усиление прав граждан.
Ключевые изменения
1. Обязательная локализация данных
Все операторы персональных данных обязаны обеспечивать локализацию хранения и первичной обработки данных на территории России. Это правило теперь распространяется не только на интернет-сервисы, но и на офлайн-бизнес, использующий облачные платформы.
Если данные изначально собираются через сайт или приложение, они должны быть сначала сохранены на сервере, физически расположенном в России, прежде чем передаваться за рубеж.
Штраф за нарушение — до 18 млн рублей (в случае повторного — до 30 млн), а в отдельных случаях возможно административное приостановление деятельности.
2. Новые требования к согласию на обработку данных
Теперь согласие должно быть:
раздельным — для каждой цели обработки (например, маркетинг, аналитика, передача третьим лицам);
детализированным — указание категорий данных, сроков и способов обработки;
верифицируемым — должна быть возможность подтвердить, что пользователь реально дал согласие (например, путём электронной подписи, SMS-кода, подтверждающего действия).
Также запрещено привязывать получение услуги к согласию на избыточную обработку — например, отказ от обработки данных в маркетинговых целях не может ограничивать доступ к основной услуге.
3. Ужесточение ответственности за утечку данных
Уточнены критерии, при которых утечка считается значимой, и вводятся следующие обязательства:
Уведомление Роскомнадзора в течение 24 часов;
Уведомление пострадавших граждан в течение 72 часов;
Публикация отчёта об инциденте (в случаях, затрагивающих более 1000 человек).
Нарушение этих сроков — повод для усиленных проверок и наложения оборотных штрафов (процент от годовой выручки).
4. Реестр операторов персональных данных
Создан единый публичный реестр операторов, в который обязаны быть внесены все юридические лица и ИП, осуществляющие сбор, хранение и обработку персональных данных. Для регистрации необходимо указать:
цели и способы обработки;
технические и организационные меры защиты;
сведения об ответственном за защиту данных лице.
Компании, не подавшие информацию, будут считаться нарушителями закона с соответствующими санкциями.
5. Обязательный DPO (ответственный за защиту ПДн)
Компании с численностью более 100 сотрудников или обрабатывающие специальные категории персональных данных (например, биометрические) обязаны назначить ответственного за защиту ПДн (аналог Data Protection Officer в Европе). Это лицо должно иметь соответствующую квалификацию и быть включено в реестр специалистов Роскомнадзора.
Как это повлияет на бизнес
Для большинства компаний изменения означают необходимость:
пересмотра юридических документов (политик, форм согласий, договоров с подрядчиками);
перехода на российские серверы и облачные решения;
внедрения внутренних процессов мониторинга и реагирования на инциденты;
обучения персонала и назначения ответственного за защиту данных.
Особенно остро вопрос стоит перед компаниями, использующими зарубежные CRM, ERP и маркетинговые платформы. Они вынуждены либо искать аналоги внутри РФ, либо обеспечивать двойную инфраструктуру.
Риски для нарушителей
Блокировка ресурсов Роскомнадзором;
Административные штрафы до 30 млн рублей;
Повышенное внимание со стороны прокуратуры и ФНС;
Репутационные риски — утечка данных в 2025 году воспринимается обществом крайне болезненно.
Что делать сейчас
Провести аудит персональных данных — какие данные вы собираете, где храните, кто имеет доступ.
Перейти на российские платформы хранения, если это ещё не сделано.
Обновить формы согласий и политики конфиденциальности, сделать их индивидуальными под каждый процесс обработки.
Подать сведения в реестр операторов — сделать это можно через Госуслуги или сайт Роскомнадзора.
Назначить ответственного по защите данных, при необходимости — привлечь внешнего специалиста.
Обучить сотрудников, особенно тех, кто взаимодействует с клиентскими данными.
Разработать план реагирования на инциденты, включая шаблоны уведомлений и процедуру внутреннего расследования.
Заключение
2025 год стал ключевым этапом формирования суверенной модели защиты персональных данных в России. Для бизнеса это не только обязанность, но и возможность выстроить прозрачные и безопасные процессы взаимодействия с клиентами. Компании, которые первыми адаптируются к новым реалиям, получат конкурентное преимущество и доверие пользователей. А те, кто проигнорирует — рискуют оказаться под санкциями и потерять репутацию.
Отправляя данные вы подтверждаете пользовательское соглашение