Введение: почему 2025 год стал поворотным
Цифровая экономика РФ стремительно расширяет объём и ценность персональных данных (ПДн). В 2024–2025 годах законодатель кардинально усилил требования к бизнесу: выросли штрафы, расширились полномочия Роскомнадзора, а с 1 сентября 2025 года появится обязательство передавать обезличенные массивы данных в государственную инфосистему (ГИС) — ФЗ № 233-ФЗ от 08.08.2024 г. Игнорировать 152-ФЗ теперь рискованно: даже «малый» инцидент легко превращается в полумиллионные потери и блокировку сайта.
1. Новые нормативные акценты 2024–2025
| Изменение | Срок вступления | Краткое содержание | Нормативный акт |
|---|---|---|---|
| Увеличение базовых штрафов по ст. 13.11 КоАП | 30 мая 2025 | До 300 тыс. руб. при однократном и до 500 тыс. руб. при повторном нарушении для юрлиц | Постановление ГД РФ, публикация КонсультантПлюс |
| Передача обезличенных ПДн в ГИС | 1 сентября 2025 | Крупные операторы обязаны по запросу регулятора выгружать датасеты без биометрии и данных о здоровье | ФЗ № 233-ФЗ, разъяснения Минцифры |
| Расширение понятия «оператор ПДн» | 1 марта 2025 | К операторам причислены маркетплейсы, SaaS-платформы, агрегаторы доставок | Проект ФЗ (брендирован как «Закон о цифровых платформах») |
| Новые методики оценки вреда | 1 июля 2025 | Утверждён риск-ориентированный подход: сумма санкций зависит от категории данных и количества субъектов | Приказ Роскомнадзора № 91-дсп |
2. Кто считается оператором персональных данных в 2025 году
Оператор — любая организация или ИП, самостоятельно или совместно с другими лицами организующая обработку ПДн (ст. 3 152-ФЗ). В 2025 году круг операторов фактически охватывает любой бизнес, подключённый к интернету: онлайн-магазин, CRM-провайдер, HR-агентство, сервис доставки еды, EdTech-платформу.
Лайфхак: даже если вы храните телефон и e-mail клиента лишь «на листочке» — это уже обработка ПДн, а значит, обязанности оператора неизбежны.
3. Базовые обязанности бизнеса по 152-ФЗ
3.1 Правовые меры
Уведомление Роскомнадзора о начале обработки и о каждом изменении (форма через pd.rkn.gov.ru).
Получение согласия: письменного — для специальных и биометрических данных; простого электронного — для остальных. Галочка под формой на сайте + ссылка на Политику обработки ПДн (ПОПДн) обязательна НПБК.
Политика обработки ПДн в открытом доступе.
Договоры с процессорами (любые подрядчики IT, кол-центры) — прописать цели, вид работ, меры защиты.
Назначение ответственного за организацию обработки ПДн (аналог DPO).
3.2 Организационные меры
Порядок доступа сотрудников к базам данных.
Регламенты реагирования на запросы субъектов (30 дней на ответ).
Инвентаризация данных: какие типы собираем, где храним, кто обрабатывает.
Обучение персонала минимум раз в год.
3.3 Технические меры
Криптографическая защита (ГОСТ 34.310-2023).
Логирование действий (СИЭМ, SOC).
Шифрование бэкапов и трафика (TLS 1.3).
Сегментация сетей и ролевой контроль доступа.
Регулярный pentest не реже одного раза в 12 мес.
Важно: Роскомнадзор публикует чек-листы проверок; отталкивайтесь от них при внутреннем аудите. Невыполнение хотя бы одного пункта превращает проверку в административку.
4. Новые обязанности-2025: готовимся заранее
4.1 Выгрузка обезличенных данных в ГИС
Кто обязан: компании c годовой выручкой > 2 млрд руб. либо > 1 млн уникальных пользователей.
Срок: по запросу регулятора — 10 рабочих дней.
Формат: JSON/Parquet, маскировка идентификаторов (k-анонимность ≥ 15).
Штраф за отказ: до 2 % оборота компании, но не менее 5 млн руб. (проект поправок к КоАП).
4.2 Уведомление о нарушениях
С 1 октября 2025 г. вводится обязанность сообщать о «утечке» в Роскомнадзор и пострадавшим субъектам в течение 72 часов. Рекомендовано использовать ESGF-форматы инцидента (стандарт FIRST).
4.3 Расширенная локализация
Данные российских граждан должны храниться и обрабатываться на серверах, физически расположенных в РФ. В 2025 г. правило стало распространяться и на резервные копии (cloud-backup).
5. Ответственность и штрафы
| Состав нарушения (13.11 КоАП) | Сумма для юрлица, ₽ | Сумма для должностного лица, ₽ |
|---|---|---|
| Обработка без согласия/правового основания | 150 000 – 300 000 | 50 000 – 100 000 |
| Неуведомление Роскомнадзора | 300 000 – 500 000 | 100 000 – 200 000 |
| Нарушение локализации | 500 000 – 700 000 | 200 000 – 300 000 |
| Повторное нарушение | 300 000 – 500 000 (×2) | 100 000 – 200 000 (×2) |
Практика 2025: Роскомнадзор фиксирует рост «повторных» кейсов. Компании, которые заплатили штраф в 2023 г. и не устранили нарушения, получают санкции ×2.
6. Алгоритм действий для бизнеса
Проведите инвентаризацию: какие данные, где, на каких основаниях.
Анализ правовых оснований: согласие, договор, закон, публичные интересы.
Обновите ПОПДн: учтите выгрузку в ГИС, уведомления об утечках.
Назначьте DPO/ответственного и утвердите регламенты.
Заключите допсоглашения с обработчиками (SaaS, кол-центры, фулфилмент).
Настройте инфраструктуру: шифрование, резервное копирование в РФ, SIEM.
Обучите сотрудников: e-learning + чек-лист инцидентов.
Проведите аудит и пен-тест: устраните критические уязвимости.
Подготовьтесь к передаче обезличенных данных: внедрите de-identification pipeline.
Мониторьте изменения: подпишитесь на новости Роскомнадзора и Минцифры.
7. Ответы на частые вопросы
Нужно ли уведомлять Роскомнадзор, если я использую только корпоративную почту сотрудников?
Да. Сотрудник — субъект ПДн, а почта содержит идентификаторы (Ф. И. О.), что подпадает под 152-ФЗ.
Могу ли я хранить бэкапы в европейском дата-центре?
Нет, с 2025 г. локализация распространяется и на резервные копии.
Что делать, если запрос на выгрузку данных поступил, а маскировка не готова?
Запросите в Минцифры отсрочку (до 90 дней), указав план-график внедрения. Без плана отсрочку не дают.
Какой статус у cookie-ID?
С марта 2025 cookie-ID прямо отнесён к персональным данным, если его можно связать с конкретным человеком или устройством.
8. Чек-лист соответствия 152-ФЗ (коротко)
Оператор зарегистрирован в Роскомнадзоре
Политика ПДн публично доступна
Согласия собираются корректно
Ответственный назначен и обучен
Договоры с процессорами подписаны
Локализация и шифрование настроены
Планы выгрузки обезличенных данных утверждены
Система уведомлений об инцидентах 72 ч. запущена
Проведён ежегодный аудит и пен-тест
Внедрён план непрерывного улучшения
Заключение
В 2025 году персональные данные превратились из «бумажной» обязанности в критический актив: их защита влияет на репутацию, финансы и право бизнеса работать. Компании, которые заранее выстроят комплаенс-систему, окажутся в выигрыше: они снизят риск штрафов, ускорят сделки с корпоративными клиентами и упростят выход на новые рынки.