Как соблюдать закон о персональных данных в 2025 году: что нужно знать бизнесу

Меня зовут Гусева Александра, я аналитик в компании RDN Group. Мы разрабатываем цифровые решения для бизнеса — от простых сайтов до масштабных корпоративных порталов и высоконагруженных личных кабинетов. И одна из ключевых задач, с которой мы регулярно сталкиваемся, — это соблюдение законодательства в области защиты персональных данных.

В 2025 году компании в России столкнулись с усилением ответственности за нарушения в сфере персональных данных. В декабре 2024 и мае 2025 года вступили в силу важные поправки в Уголовный и Административный кодексы. Теперь за нарушения в обработке ПДн грозят многомиллионные штрафы, а в некоторых случаях — реальный срок. Ниже расскажу, какие правила действуют, кто отвечает за их соблюдение и как организовать процессы безопасной обработки персональных данных.

Что считается персональными данными?

Персональные данные — это любая информация, прямо или косвенно относящаяся к конкретному человеку. В том числе:

• ФИО, дата рождения, паспортные данные;
  
  
• номер телефона, email, адрес проживания;
  
  
• IP-адрес, история заказов, поведение на сайте;
  
  
• любые данные, которые позволяют идентифицировать личность.
  
  

Если вы собираете данные через сайт, CRM, форму обратной связи или чат-бота — вы обрабатываете персональные данные и обязаны соблюдать закон.

1. Уголовная ответственность: кто и за что отвечает

С декабря 2024 года вступила в силу статья 272.1 УК РФ, введённая законом 421-ФЗ. Она предусматривает наказание за:

• незаконное использование, передачу, сбор или хранение информации с ПДн;
• получение данных через неправомерный доступ к ИС, вмешательство в работу системы или обход установленного порядка.

Даже если ущерб не наступил, факт незаконной обработки уже может быть основанием для уголовного преследования.

Кто отвечает:

• физлица с 16 лет (включая сотрудников);
• должностные лица, действующие от имени компании;
• ИП, обрабатывающие ПДн самостоятельно.

Ответственность за деяния несет именно то лицо, которое фактически совершило незаконное действие, независимо от его должности.

Наказание:

• штрафы до 1–3 млн рублей;
• лишение свободы до 10 лет;
• санкции жёстче при работе с детьми, биометрией или трансграничной передачей.

Примеры рисков:

• копирование клиентской базы без согласия;
• при передаче данных подрядчику не было оформлено поручение, и подрядчик использовал данные в своих интересах;
• выгрузка базы на сторонний сервер без согласования.

2. Административная ответственность: штрафы и основания

С 30 мая 2025 года действует обновлённый КоАП (ФЗ 420-ФЗ). Он усиливает наказания за:

• неуведомление Роскомнадзора о факте инцидента;
• отсутствие оснований обработки перс. данных (согласия, договора);
• утечки ПДн или несвоевременное информирование об инцидентах;
• отсутствие локализации хранения данных в РФ.

Ответственность:

Ответственность за нарушения в области обработки персональных данных несет оператор персональных данных.

При наличии вины также может быть привлечено к ответственности должностное лицо (например, директор, руководитель подразделения ИТ или безопасности).

Размеры штрафов:

За утечку:

• 1–10 тыс. записей — до 5 млн руб.;
• 10–100 тыс. — до 10 млн руб.;
• более 100 тыс. — до 15 млн руб.;
• за повторную утечку — 1–3% от оборота (не менее 20 млн руб.);
• За утечку специальных категорий данных или биометрических данных - до 20 млн руб.

3. Как работать с персональными данными правильно

Основания обработки

Обработка ПДн допускается при наличии:

• согласия субъекта;
• исполнения договора;
• исполнения обязательства по закону;
• других оснований, прямо предусмотренных законом.

Если обработку данных не удаётся обосновать договором или обязанностью по закону — обязательно оформляется отдельное согласие.

Уведомление Роскомнадзора

Перед началом обработки нужно подать уведомление через личный кабинет РКН. В уведомлении указываются цели, категории субъектов, перечень данных, способы обработки, место хранения.

Локализация

Сбор, систематизация и хранение ПДн россиян должны вестись на территории РФ. Облака, подрядчики и ЦОДы — только с физическим размещением серверов в России.

Хранение и удаление

Хранить данные можно только до достижения цели. По завершении — обязателен процесс удаления.

Реестр обработки

Рекомендуется вести внутренний реестр процессов обработки ПДн: цели, категории, перечень, сроки, системы, основания.

Реестр помогает быстро ориентироваться в обработках, проверять соответствие требованиям закона и готовить документы для проверок.

Обучение сотрудников

Обязательное ежегодное обучение для всех, кто имеет доступ к ПДн. Ознакомление с локальными актами под роспись.

4. Работа с подрядчиками, облаками и хостингом

Поручения

Любая передача ПДн подрядчику требует оформления поручения, где указаны:

• цели обработки;
• перечень и действия с данными;
• меры безопасности;
• порядок удаления/возврата данных.

Проверка подрядчиков

Оператор должен убедиться, что подрядчик соблюдает меры ИБ: антивирус, разграничение доступа, шифрование, лицензии ФСТЭК/ФСБ (если нужно).

Ответственность оператора

Даже если утечка произошла по вине подрядчика, ответственность перед субъектами данных и Роскомнадзором несет именно оператор персональных данных.

Трансграничная передача

Необходимо уведомить РКН. Передавать данные можно только в страны, обеспечивающие адекватную защиту прав субъектов данных (перечень утвержден Роскомнадзором). При передаче в страны, не обеспечивающие адекватную защиту прав субъектов данных, необходимо получить разрешение Роскомнадзора.

5. Как организовать сбор согласий

Согласие обязательно при отсутствии основания на договоре или законе. Необходимо:

• указать цели, перечень, действия, срок хранения;
• получить волеизъявление (чекбокс, кнопка);
• хранить доказательство получения.

В CRM-формах Битрикс24 согласие автоматически логируется (IP, текст, факт подтверждения).

На сайте:

• использовать отдельный чекбокс;
• не устанавливать его по умолчанию;
• не путать с согласием на “политику”.

Cookie:

• отдельное уведомление и согласие на обработку ПДн, если идентификаторы собираются через cookie.

6. Реагирование на инциденты и предотвращение утечек

Профилактика

• назначить ответственного за ИБ;
• разработать политику, положение и план реагирования;
• ограничить доступ к перс. данным (Need-to-Know);
• вести аудит и журналы действий;
• использовать шифрование, фаерволы, антивирус, резервное копирование.

Реестр обработки

Рекомендуется вести реестр. Он позволяет быстрее выявить пострадавшие процессы и источники утечки.

При инциденте:

1. Зафиксировать факт. Определить: какие данные, в каком объеме и каким способом стали доступны.
2. В течение 24 часов — уведомить РКН.
3. В течение 72 часов — направить результаты расследования.
4. Устранить причины, зафиксировать действия.
5. При необходимости — уведомить субъектов данных.

7. Что должно быть на сайте

Политика обработки ПДн:

• доступна на каждой странице, где осуществляется сбор данных;
• рекомендуется размещать в футере и рядом с формами.

Политика должна содержать:

• Цели обработки персональных данных.
• Перечень обрабатываемых данных.
• Категории субъектов данных.
• Способы обработки персональных данных.
• Сроки хранения данных.
• Порядок уничтожения данных.
• Сведения о реализуемых мерах защиты персональных данных.

Политика обработки ПДн публикуется для информационных целей. Нельзя требовать «согласие с политикой» — согласие нужно получать отдельно на саму обработку данных.

Форма согласия:

• отдельный чекбокс без предустановленной галочки;
• не объединяется с пользовательским соглашением.

Cookie:

Ссылка на политику:

• баннер с категоризацией целей, кнопкой согласия, ссылкой на политику.

Иностранные сервисы аналитики:

• не рекомендуется использовать (Google Analytics, Meta Pixel), так как данные передаются напрямую на иностранные серверы без локализации в России.

Вывод

Соблюдение закона о персональных данных в 2025 году — это не просто формальность, а критически важная часть бизнес-процессов. Игнорирование требований может обернуться многомиллионными штрафами или даже уголовной ответственностью. Правильная организация обработки, документирование, локализация, обучение и техническая защита — ключевые меры для защиты вашей компании.

Чтобы минимизировать риски и убедиться, что ваша компания соответствует требованиям законодательства, воспользуйтесь кратким чек-листом:

Чек-лист по защите персональных данных:

1. Анализ и реестр
   ─ Провести аудит процессов обработки ПДн
   ─ Вести внутренний реестр целей, данных и сроков хранения
   
   
2. Правовые основания
   ─ Проверить наличие договоров, согласий или иных оснований
   ─ Отдельно проверить биометрию и трансграничную передачу
   
   
3. Уведомление Роскомнадзора
   ─ Подать уведомление до начала обработки
   ─ Обновлять при изменениях
   
   
4. Работа с подрядчиками
   ─ Оформить поручение на обработку
   ─ Проверить меры защиты и локализацию
   
   
5. Локализация данных
   ─ Обеспечить хранение ПДн на территории РФ
   
   
6. Техническая защита
   ─ Ограничить доступ, шифровать данные
   ─ Обновлять ПО и использовать антивирусы
   
   
7. Согласия и права субъектов
   ─ Настроить сбор согласий через формы
   ─ Отвечать на запросы и удалять данные по требованию
   
   
8. Сайт и cookie
   ─ Разместить политику ПДн и cookie-баннер
   ─ Не использовать иностранные трекеры без уведомлений
   
   
9. Реагирование на инциденты
   ─ Уведомлять Роскомнадзор в течение 24 часов об утечке данных
   ─ При необходимости — информировать субъектов
   
   
10. Обучение и контроль
    ─ Обучать сотрудников ежегодно
    ─ Проводить внутренние проверки и аудит ИБ

«Компании, которые осознанно подходят к обработке персональных данных, снижают не только юридические, но и репутационные риски» - Ольга Марковская, руководитель проектов RDN Group.