Закон о персональных данных РФ № 152-ФЗ: обзор закона и ключевые изменения в 2025 году

Федеральный закон № 152-ФЗ «О персональных данных» – основной нормативный акт, регулирующий сбор, хранение и обработку персональной информации в России. Он определяет обязанности компаний и права граждан в сфере персональных данных (ПД). В 2025 году в этот закон внесены крупнейшие за последнее десятилетие изменения, значительно ужесточившие требования и ответственность. Рассмотрим кратко суть закона и те ключевые поправки, которые вступили в силу в 2025 году. Также, расскажем, как подать уведомление в РКН об обработке персональных данных.

Закон о персональных данных РФ № 152-ФЗ: обзор

Закон о персональных данных действует с 2006 года и устанавливает следующие основные положения:

• Понятие персональных данных. Под ПД понимается любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту данных). Это не только ФИО, паспортные данные, но и контактная информация, сведения о здоровье, доходах, и т.д.
• Оператор персональных данных. Это организация или ИП, которая обрабатывает ПД и определяет цели и способы обработки. Любой бизнес, имеющий клиентскую базу, список сотрудников или собирающий данные через сайт – оператор ПД.
• Принципы обработки ПД. Данные должны собираться на законных основаниях, с согласия субъекта (если не применимы другие основания), обрабатываться только для заранее определённых целей, не избыточно, с соблюдением мер защиты (шифрование, ограничение доступа и пр.).
• Права субъектов данных. Граждане имеют право знать, какие их данные обрабатываются, требовать исправления неверных сведений, отозвать согласие, потребовать уничтожения данных при нарушении закона.
• Обязанности оператора. Операторы обязаны получать согласие от граждан на обработку, обеспечивать конфиденциальность, уведомлять Роскомнадзор о начале обработки (в большинстве случаев) и принимать организационные и технические меры защиты данных.
• Контроль и ответственность. Надзор за соблюдением закона осуществляет Роскомнадзор. За нарушения предусмотрены административные штрафы по КоАП, а с 2021 года – и уголовная ответственность за грубые нарушения (ст. 274.1 УК РФ).

До 2025 года закон № 152-ФЗ уже не раз дополнялся (например, введено требование хранить персональные данные россиян на серверах в РФ, введены особые правила обработки биометрии и др.). Однако изменения, вступившие в силу с 30 мая 2025 года, называют самыми масштабными с момента принятия закона. Рассмотрим их подробнее.

Закон о персональных данных РФ № 152-ФЗ: ключевые изменения в 2025 году

Закон о персональных данных РФ № 152-ФЗ претерпел некоторые изменения, в частности повысились требования к операторам персональных данных, а штрафы за несоблюдение закона взлетели до небес. Обо всем расскажем по порядку.

1. Новые категории данных и особые требования к ним.

Закон ввёл дополнительные группы персональных данных и требования по отдельному согласию для некоторых видов сведений. В частности, данные о поведении пользователей (цифровые поведенческие данные) выделены под отдельный контроль. Теперь для сбора и анализа информации о действиях пользователя на сайте (например, клики, время просмотра товара) требуется отдельное явное согласие от пользователя. То есть даже для использования cookies в части отслеживания поведения необходимо получить отдельное разрешение.

Кроме того, закон чётко делит ПД на три группы:

• Биометрические данные. К ним относятся уникальные физические характеристики – отпечатки пальцев, голос, изображение лица, сетчатка глаза и т.д. Их обработка допускается только с письменного согласия субъекта.
• Специальные категории. Сведения о расовой принадлежности, здоровье, политических взглядах, судимостях, религии и т.п. Для их обработки требуется явное согласие и чаще всего обязательна обезличивание (анонимизация) таких данных.
• Обычные данные. ФИО, контактные данные, адрес и т.д. – как и раньше, обрабатывать можно на основании согласия либо других законных оснований (например, исполнение договора).

Практическое значение: бизнесу теперь нужно пересмотреть формы согласия. Например, на сайте должна быть отдельная галочка согласия на сбор аналитических данных (поведенческих), отдельно от согласия на политику обработки ПД.

2. Существенное увеличение штрафов.

Система штрафов стала гораздо строже – размеры административных наказаний возросли в разы. Введена дифференциация ответственности в зависимости от характера нарушения и масштабов риска для граждан. Примеры новых максимальных штрафов:

• За отсутствие положенного согласия на обработку – до 300 тыс. руб. для должностных лиц и до 700 тыс. руб. для компаний (ранее максимумы были 20–75 тыс.).
• За нарушения правил хранения персональных данных – до 6 млн руб. штрафа на компанию.
• За несвоевременное уведомление Роскомнадзора об утечке данных или о начале новой обработки – штраф до 3 млн руб..
• В случае повторных утечек персональных данных теперь возможен оборотный штраф – то есть штраф рассчитывается как процент от годового оборота компании (аналогично механизму наказания за нарушение закона о рекламе). Это фактически приближает российские меры к уровню европейского GDPR, где оборотные штрафы практикуются.

Стоит отметить, что штрафы увеличены примерно в 10 раз по сравнению с прежними санкциями. Например, максимально за общее нарушение правил обработки для юрлица раньше штраф был 50–100 тыс. руб., а теперь – до 500–700 тыс. руб. и более. Это призвано стимулировать бизнес серьезнее относиться к защите данных.

Кроме административных штрафов, напомним, с конца 2024 года действует и уголовная ответственность за неправомерное обращение с персональными данными (ст. 274.1 УК РФ). Она наступает, если действия с ПД нанесли вред или совершены из корыстной заинтересованности. Вплоть до 4 лет лишения свободы предусмотрено за такие деяния. Таким образом, контроль усилился на всех уровнях.

3. Требование хранить данные только в России (локализация).

Поправки 2025 года фактически закрыли возможности обхода требования локализации. Теперь все данные российских пользователей должны обрабатываться и храниться исключительно на территории РФ. Запрещено использовать иностранные сервисы для хранения и передачи ПД. Например, Google Analytics, Meta Pixel, Hotjar и другие зарубежные инструменты веб-аналитики и маркетинга, которые отсылают данные на зарубежные серверы, – вне закона. Бизнес обязан перейти на российские или сертифицированные в РФ аналоги.

Если компания все же критически нуждается в передаче данных за границу (например, для работы международного сервиса), теперь это возможно только с разрешения Роскомнадзора и при включении в специальный реестр трансграничных передач данных. То есть нужно подать заявку в РКН, обосновать необходимость и дождаться разрешения (до 10 рабочих дней рассмотрение). Без этого любая трансграничная передача – нарушение.

4. Новые обязанности для операторов персональных данных.

Поправки ввели ряд дополнительных процедур и документов, обязательных для бизнеса:

• Политика обработки персональных данных. Теперь все организации и ИП (кроме совсем мелких – индивидуальных предпринимателей без работников и самозанятых) должны разработать и опубликовать такую политику. Ранее требование политики было, но теперь его ужесточили – вплоть до штрафов за отсутствие.
• Журнал обращений субъектов. Нужно завести журнал, куда заносятся все запросы граждан об удалении, доступе или изменении их ПД, и хранить эти записи 3 года.
• Регламент на случай утечки данных. Должен быть внутренний документ с чётким алгоритмом действий при компрометации персональных данных (кого уведомлять, какие меры принимать).
• Обязательная сертификация по безопасности данных – для крупных операторов. Если компания обрабатывает более 1 млн записей ПД в год, ей нужно пройти сертификацию в аккредитованном центре на соответствие требованиям.
• Повторное уведомление Роскомнадзора. Если оператор ранее уведомлял РКН о своей работе с ПД до конца 2022 года, ему нужно подать сведения заново, так как форма уведомления обновилась.
• Назначение ответственного за ПД. Каждый оператор обязан официально назначить сотрудника, ответственного за организацию обработки персональных данных и соблюдение законодательства (по сути, аналог Data Protection Officer).

5. Строгие требования к согласию и передаче данных контрагентам.

Закон теперь прямо предписывает:

• Отдельная форма согласия на обработку ПД. Нельзя больше прятать согласие внутри текста договора. Нужно сделать отдельный документ или онлайн-форму, где перечислены цели, срок, конкретный перечень собираемых данных.
• Запрет передавать данные подрядчикам без согласия. Если вы привлекаете сторонние организации (например, для рекламной рассылки или курьерской доставки), необходимо получить согласие субъекта на передачу его данных третьему лицу. То же касается передачи данных для email/SMS-рассылок – пользователь должен быть прямо согласен на это.
• Соглашения с сотрудниками. Со всеми работниками, включая внештатных (фрилансеров), надо иметь подписанные согласия на обработку их персональных данных. Формулировки в этих согласиях должны быть конкретными – расплывчатые цели теперь под запретом. То есть нельзя писать «обработка в любых законных целях» – цель должна быть четко определена.

6. Новые требования к сайтам и онлайн-сервисам.

Бизнес, представленный в интернете, должен обеспечить:

• Публичную политику конфиденциальности на сайте и чекбокс согласия в любых формах, где пользователь оставляет данные (заявка, регистрация и т.п.).
• Запрет принуждения к предоставлению данных. Нельзя ограничивать доступ к контенту или услугам сайта, если пользователь не дал персональные данные. Например, нельзя заставлять регистрироваться ради просмотра цен – если человек отказывается вводить данные, вы не должны его блокировать.
• Гибкая настройка cookie-файлов. Пользователь должен иметь возможность выбрать, какие данные о нем можно собирать через cookies. То есть на сайте должен быть полноценный инструмент управления согласием на разные категории cookies (аналитические, рекламные и т.д.).
• Исключение иностранных сервисов. Нужно убрать с сайта все внешние инструменты, отправляющие ПД за рубеж – заменить Google Analytics, Google Fonts, облачные таблицы и др. на российские аналоги.

Как бизнесу соблюдать новые требования?

Адаптация к поправкам 2025 года требует от компаний пересмотра многих процессов. Краткий чек-лист действий для оператора ПД:

• Привести документы в порядок: обновить Политику обработки ПД и выложить её на сайт, завести журнал обращений граждан, подготовить план на случай утечки.
• Провести аудит IT-систем: убедиться, что все данные хранятся на серверах в РФ, отключить передачу информации в зарубежные сервисы. Если какие-то данные критически нужны за рубежом – подать заранее уведомление в Роскомнадзор для разрешения трансграничной передачи.
• Назначить ответственного за ПД и убедиться, что он обучен новым требованиям.
• Обновить подход к работе с клиентами:
  • Сделать новую форму согласия, вынести её отдельным документом.
  • Получать отдельное согласие при привлечении контрагентов для обработки данных (например, прописать в договоре оферте с клиентом, что он разрешает передать его контакты службе доставки).
  • Пересмотреть все ранее собранные согласия – возможно, нужно запросить их заново, если формулировки не соответствуют новым требованиям (особенно если были «обобщённые» цели).
• Не забыть про сотрудников: собрать со всех актуальные согласия на обработку их данных, проверить трудовые договоры и локальные акты на соответствие требованиям.
• Проверить веб-сайты и приложения: внедрить баннеры/формы управления cookie, добавить галочки согласия в формы, удалить иностранные трекеры. Разместить политику приватности в открытом доступе.
• Подготовиться к уведомительной работе с Роскомнадзором: подать обновленное уведомление о начале обработки (если нужно), выстроить процедуру быстрого уведомления об инцидентах (утечках) – на это по закону даётся 24 часа.
• Если компания большая (более 1 млн записей в год) – озаботиться сертификацией по защите информации. Это может быть долгим процессом, лучше начать заранее.

Закон о персональных данных РФ № 152-ФЗ: ответственность за несоблюдение требований

Как упомянуто, штрафы стали очень значительными – игнорирование новых требований может стоить компании миллионов рублей. Например, уже с июня 2025 года Роскомнадзор начал проверять наличие политики обработки ПД у малых предприятий и вправе штрафовать за её отсутствие. За использование зарубежных облачных сервисов для хранения клиентских баз также грозит наказание. Кроме того, возможны внеплановые проверки: например, в случае утечки данных или жалобы пользователя надзорный орган проверит, выполнены ли новые нормы.

Отдельно стоит помнить про репутационные риски. Общество становится все более чувствительным к вопросам приватности. Нарушение закона о ПД – это не только штраф, но и потеря доверия клиентов, особенно если произошла утечка из-за недостаточной защиты.

Как подать уведомление в Роскомнадзор об обработке персональных данных в 2025 году?

Нужно ли подавлять?	Операторы, чьи данные обрабатываются	Примеры	Основание
ДА, до начала обработки	Клиенты, пациенты, посетители сайтов, пользователи CRM, подписчики рассылок, контрагенты	Клиника хранит истории болезней; интернет-магазин принимает заказы	ст. 22 ФЗ-152
МОЖНО НЕ ПОДАВАТЬ	Только сотрудники (кадровый учёт), пропускной режим, разовый договор с физлицом	ИП ведёт зарплатные ведомости на 3 сотрудников	п. 2 ст. 22 ФЗ-152

⚠️ С 30 мая 2025 г. за отсутствие уведомления штрафы по ст. 13.11 КоАП: 30–50 тыс. руб. для должностных лиц и 100–300 тыс. руб. для юрлиц.

Шаг-за-шагом: как подать уведомление в РКН об обработке персональных данных

1. Подготовьте сведения (сразу держите под рукой)

• Реквизиты оператора: полное наименование, ИНН/ОГРН, адрес.
• Ответственный за ПДн: ФИО, должность, e-mail, телефон.
• Цели и правовые основания: договор, ст. 6 ФЗ-152, трудовое законодательство и т. д.
• Категории субъектов: клиенты, пациенты, сотрудники, подписчики.
• Категории данных: ФИО, контакты, мед-данные, биометрию указать отдельно.
• Способы обработки: сбор, хранение, систематизация, удаление и т. д.
• Меры безопасности: антивирус, ограничение доступа, шифрование.
• Передача за рубеж (да/нет, в какие страны).
• Сроки уничтожения / хранения (по приказам Минздрава, ФНС и т. д.).

2. Зайдите на портал РКН

1. Перейдите в раздел «Электронные формы заявлений» на pd.rkn.gov.ru → «Уведомление о намерении осуществлять обработку ПДн». (pd.rkn.gov.ru)
2. Войдите через Госуслуги или сертификат УКЭП (квалифицированная электронная подпись).

Чтобы получить право подписи уведомления в РКН об обработке персональных данных, вам нужно добавить свою организацию в Госуслуги. Инструкция по привязке организации к аккаунту на Госуслугах: https://www.gosuslugi.ru/help/faq/company_profile/kak_sozdat_uz_ul

3. Заполните электронную форму

Форма утверждена приказом РКН № 180 от 28.10.2022; действует сегодня.

Обратите внимание на поля:

Блок	Что вписывать
«Сведения об операторе»	ЮЛ или ИП, адрес сайта, контакт-центр
«Цели обработки»	«Заключение и исполнение договоров с клиентами» / «Медицинская деятельность по ФЗ-323»
«Категории ПДн»	Общие, специальные, биометрические (разделяются)
«Описание мер защиты»	Отсылка к ГОСТ 57580, локальным политикам, приказу ФСТЭК
«Передача третьим лицам»	Хостинг-провайдер, курьерская служба, 1С-Фреш и т.д.

4. Подпишите и отправьте

• Нажмите «Сформировать XML» и подпишите УКЭП в окне браузера.
• Если УКЭП нет — распечатайте, подпишите на бумаге, отправьте ценным письмом в территориальное управление РКН.

5. Дождитесь ответа

Роскомнадзор вносит оператора в реестр до 30 дней (часто быстрее). Статус появится в личном кабинете, можно скачать выписку для партнёров.

Внимание! Обязательно сохраните номер и ключ поданного уведомления. Также, рекомендуем сделать снимок экрана, который подтверждает отправку. По нашей информации уведомления обрабатываются вручную, поэтому не стоит исключать человеческий фактор.

Что делать дальше после подачи уведомления в РКН о том, что вы являетесь оператором персональных данных?

Ситуация	Ваши действия
Изменилась цель, появились новые категории ПДн	Подайте уведомление об изменениях ≤ 10 рабочих дней через тот же портал.
Прекратили обработку	Отправьте уведомление о прекращении; данные уничтожьте или обезличьте по локальной политике.
Роскомнадзор запрашивает документы	Готовьте локальные акты: Политику ПДн, приказ о назначении ответственного, Журнал инцидентов.

Полезные материалы:

• Портал уведомлений РКН (пошаговая форма и методичка) (pd.rkn.gov.ru)
• Примеры заполнения уведомления в РКН: (https://29.rkn.gov.ru/personal-data/p35574/p37248/)
• Ст. 13.11 КоАП РФ (штрафы) (39.rkn.gov.ru)

Итог

1. До начала работы с данными проверьте, попадаете ли под уведомление.
2. На портале pd.rkn.gov.ru заполните форму № 180, подпишите УКЭП и отправьте.
3. Сохраняйте актуальность сведений и внутренние регламенты — инспекторы РКН чаще стали проверять именно наличие реальных мер защиты, а не только уведомление.

Ключевые выгоды от соблюдения закона

Хотя бизнесу приходится тратить ресурсы на внедрение всех этих мер, в долгосрочной перспективе соблюдение 152-ФЗ – это инвестиция в устойчивость и доверие. Компании, которые прозрачно работают с персональными данными, выигрывают в глазах партнеров и клиентов. Наличие всех обязательных документов и процедур обезопасит от претензий со стороны контролирующих органов.

В условиях цифровой экономики персональные данные стали новым «нефтью», и государство усиливает их охрану. Поправки 2025 года направлены на то, чтобы россияне чувствовали большую защищенность своей информации, а бизнес – более ответственно обращался с этими данными. Как отмечают эксперты, это крупнейшее обновление законодательства о ПД за 10 лет, требующее от компаний не формального, а серьёзного пересмотра процессов.

Вывод: закон о персональных данных № 152-ФЗ устанавливает строгие рамки обработки персональных данных, а изменения 2025 года подняли планку требований: появились новые категории данных, существенно выросли штрафы, введены дополнительные обязанности для операторов и фактически запрещено использование зарубежных сервисов без особого разрешения. Бизнесу важно быстро адаптироваться к этим нововведениям – переработать согласия, усилить защиту, обучить персонал. Это позволит избежать крупных санкций и сохранить лояльность клиентов, доверяющих свои данные. В конечном счёте, добросовестное отношение к персональным данным – часть современной деловой культуры и конкурентного преимущества компании.

Если вам нужна надежная команда юристов с огромным практическим опытом, то обращайтесь в ООО ЮК «Шмелева и Партнеры». Мы поможем привести ваш бизнес в соответствие с требованиями закона о персональных данных №152-ФЗ.  Заявку можно оставить на сайте нашей юридической компании или звоните по указанным номерам телефонов. Отзывы о нашей работе можно посмотреть на Яндекс.Картах.