Изменения в 152 ФЗ о персональных данных в 2025 году
Наверное, нет ни одного человека, который никогда не заполнял бы согласие на обработку персональных данных. Сейчас мы делаем это повсеместно, но, к сожалению, наши данные часто оказываются в руках мошенников. Поэтому несколько месяцев назад законодатель внес значительные изменения в 152-ФЗ. Что поменялось в законе о персональных данных и какие изменения коснутся бизнеса?
Список изменений 152-ФЗ в 2025 году
Поправки и изменения, которые вступили в силу в 2025 году, направлены на ужесточение закона о персональных данных:
- Распоряжение Правительства РФ № 856-р утверждена новая форма согласия на размещение и обработку ПДн. После изменений, эта форма станет единой для электронного и бумажного варианта.
- Федеральный закон РФ № 233-ФЗ внесена дополнительная статья 13.1 в главу 2 ФЗ № 152. Согласно этой статье, после изменений персональные данные теперь будут обрабатываться и храниться обезличено. Как эти изменения будут выглядеть на практике? Об этом расскажем ниже в статье.
- Федеральный закон от 28.02.2025 N 23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации» в 18 статью ФЗ № 152 внесены важные изменения и поправки, касающиеся использования баз персональных данных. В соответствии с изменениями использование баз данных, которые находятся за пределами РФ, не допускается уже с 1 июля 2025 года.
- Федеральный закон № 420-ФЗ ввел изменения сильно ужесточив штрафы за утечку персональных данных после их сбора.
- Федеральный закон № 421-ФЗ внес изменения в Уголовный кодекс РФ за злоупотребление при сборе и обработке персональных данных.
С 1 сентября 2025 года вступает в силу Федеральный закон от 24.06.2025 №156-ФЗ, который вносит изменения в 152-ФЗ. Согласно нововведенным изменениям, согласие на обработку персональных данных теперь нужно оформлять строго отдельно от другой информации и документов, которые подтверждает (подписывает) физическое лицо, пользователь сайта.
Это краткий обзор всех изменений в 152-ФЗ. Рассмотрим теперь изменения более подробно и выясним, какие именно изменения могут затронуть каждого, у кого есть свой сайт или сервис в сети Интернет.
Специальная форма на обработку персональных данных
Форма согласия на размещение и обработку ПДн изменена по сравнению с предыдущей. ФЗ содержит ее полный бланк со всеми изменениями. Посмотреть эту форму можно в файле ниже.
Форма согласия на обработку персональных данных
Форма должна содержать:
- Основные сведения о субъекте или о несовершеннолетнем, за которого заполняет согласие субъект.
- Цель согласия.
- Информация о том, какой оператор получает и передаёт сведения.
- Перечисление, какие именно ПДн передаются.
- Наименование организации, которая обрабатывает персональные данные по поручению оператора.
- Перечень действий, которые будут совершаться с ПДн (систематизация, хранение, использование, удаление и т.д.)
- Срок действия согласия.
Большие изменения, введенные поправками к закону, касаются биометрических данных и организаций, которые их передают и обрабатывают. По сравнению с формой согласия до изменений, перечень ПДн значительно расширен именно за счет включения биометрических данных.
Теперь в бланке обязательно должен содержаться указание на следующие виды ПДн:
Персональные данные, на обработку которых предоставляется настоящее согласие, – изображение лица и (или) голос (биометрические персональные данные), векторы единой биометрической системы, полученные в результате преобразования биометрических персональных данных, гражданство, дата рождения, страховой номер индивидуального лицевого счета, номер абонентского устройства подвижной радиотелефонной связи, адрес электронной почты.
Кроме того, в форме, которая подверглась изменениям обязательно должна быть указана не только организация, которая предоставляет согласие, но и вся цепочка операторов. Это одно из значимых изменений, касающихся прозрачности обработки данных. Наглядно это можно представить так:
Дополнительные меры для предотвращения риска утечки ПДн
Для того, чтобы минимизировать риски при работе с персональными данными, 24 июня 2025 года был принят ФЗ N 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации». Согласно ст.1 этого закона в России создается новая система и программа – многофункциональный сервис обмена информацией.
Фактически это электронное хранилище персональных данных о субъекте. Предполагается, что теперь предъявление материальных документов, например, для подтверждения возраста или заселения в гостиницу будет необязательно. Вся эта информация будет храниться на многофункциональном сервисе. За счет внесения этих изменений будет минимизирован риск утечки ПДн.
Закон с изменениями содержит ст. 5, которая регламентирует, что теперь согласие на обработку персональных данных должно быть обязательно оформлено отдельно от любых других документов.
Рекомендации Роскомнадзора
Из-за участившихся случаев неправомерной передачи данных Роскомнадзор опубликовал дополнительные рекомендации.
Они касаются всех субъектов, которые собирают данные пользователей:
- Минимизировать сбор ПДн.
- Хранить их в разных автоматизированных базах данных.
- Уведомить Роскомнадзор, что вы собираете ПДн пользователей.
- Назначить специалиста из числа сотрудников, ответственного за защиту ПДн, полученных организацией.
- После необходимой обработки своевременно уничтожать ПДн пользователей.
- Незамедлительно информировать Роскомнадзор об утечке или возможной утечке персональных данных.
Стоит отметить, что эти рекомендации касаются не только крупных организаций, но и индивидуальных предпринимателей.
Наши специалисты помогут вам с разработкой всей необходимой документации. Мы проводим правовой аудит сайта и бизнес-процессов, разрабатываем все документы и подготавливаем уведомление в Роскомнадзор. Подробнее об этих услугах можно узнать здесь.
Требование по передаче обезличенных сведений в ГИС
Для того, чтобы предотвратить утечку ПДн, законодатель предусмотрел в изменениях еще одну меру. С первого сентября 2025 года операторы, которые работают с персональными данными, будут передавать их обезличенно. Что это означает?
При передаче массива данных оператор сначала будет обрабатывать их, а потом обезличивать и передавать в государственные информационные системы (ГИС). Все персональные данные будут группироваться по определенным признакам, и работа с ними будет происходить исходя из этих признаков. А принадлежность ПДн конкретному субъекту установить уже будет невозможно.
Пользователями ГИС могут быть госорганы, а также граждане и организации. Но для того, чтобы получить доступ к системе, физические и юридические лица должны отвечать определенным требованиям (быть включены в реестр операторов, не быть связаны с экстремистскими организациями, не иметь гражданства иностранных государств и т.д.).
Таким образом, если, например, данные передаются в Государственную информационную систему ЖКХ, то в ней оказывается только та информация, которая нужна для работы этой системы. Остальные данные обезличиваются и не попадают в процесс обработки ПДн. Эти изменения особенно важны для цифровых сервисов.
Сбор и хранение данных Интернет-пользователей
Процесс хранения персональных данных тоже очень изменился. Изменения напрямую касаются предпринимателей, которые имеют сайты, например, Интернет-магазины. 28 февраля 2025 года был принят ФЗ № 23-ФЗ. Пункт 2 статьи 1 этого закона гласит, что сбор, систематизация, хранение, извлечение, удаление ПДн граждан с использованием баз данных, которые расположены за рубежом, запрещено.
Аналогичное требование изложено в п.5 статьи 18 ФЗ-152:
«5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.»
Как гласят изменения в законе, с 1 июля 2025 года процесс первичного сбора и обработки персональных данных должен происходить в России. А это значит, что любые формы, чат-боты, формы обратной связи, которые используют в своей работе серверы иностранных компаний, теперь под запретом.
Бондарева
Мы занимаемся оформлением с 2015 года, предоставляя полный цикл услуг: от проверки до получения свидетельства. Вы всегда будете в курсе статуса своей заявки, благодаря персональным уведомлениям, а наши специалисты помогут вам онлайн. Также мы расскажем, как сохранить права на ваш бренд после регистрации.
- Ежедневно подаем заявки на регистрацию в Роспатент
- Рассчитаем пошлины, возьмем делопроизводство на себя
- Аттестованные поверенные и более 3000 успешных регистраций
- Бесплатно проверим ваш бренд по всем реестрам вручную
Например, вы пользуетесь Google-аналитикой для подсчета количества пользователей, посещающих сайт. Но компания Google передает данные пользователей в США, а значит, ее использование для первичного сбора теперь запрещено. Аналогичная ситуация с формами обратной связи Whatsapp и Telegram. Пользователи вводят в форму свой номер телефона и имя, а обрабатываются эти данные на иностранных серверах. Для того, чтобы продолжать пользоваться зарубежными серверами, необходимо не только уведомить Роскомнадзор об их использовании, но и получить от него специальное разрешение. Учитывая, что Whatsapp принадлежит американской компании Meta (запрещена в РФ), такое разрешение навряд ли будет получено.
Важное изменение: если вы используете в своем бизнесе сервисы, которые обрабатывают ПДн за пределами РФ, вам нужно уведомить Роскомнадзор не только о сборе персональных данных, но и о том, какими именно программами вы пользуетесь. И только после получения официального разрешения от Роскомнадзора можно размещать на сайтах подобные формы.
Другим вариантом решения проблемы, возникшей после изменения может стать использование российских сервисов, которые физически размещаются на отечественных серверах. Например, вместо Google Analytics включить в работу Яндекс Метрики.
Официально прямого запрета на использование мессенджеров пока нет, но тенденция ужесточения требований после изменений явно прослеживается. Роскомнадзор уже начал проверять сайты на наличие запрещенных форм и счетчиков, а также соответствующей правовой документации.
Поэтому бизнесу необходимо в срочном порядке привести ту часть работы, которая касается персональных данных пользователей, в законные рамки. Один из первых шагов к этому – разработка пользовательского соглашения. С этим вам помогут IT-юристы патентного бюро Ezybrand.
Ужесточение штрафов за утечку персональных данных
Внесенными изменениями в КоАП также значительно увеличились штрафы за незаконную работу с ПДн и за их утечку. С 30 мая 2025 года наказания за эти правонарушения будут такими:
За незаконную работу с персональными данными:
За утечку персональных данных:
За утечку биометрических персональных данных:
Предусмотрена ли уголовная ответственность?
Значительное повышение штрафов в КоАП – не единственное ужесточение и изменения закона, касающееся персональных данных. В 2024 году в Уголовный кодекс РФ были внесены изменения и введена статья 272.1. Она предусматривает уголовную ответственность за незаконные действия с ПДн. По аналогии с административными правонарушениями санкции за уголовное преступление значительно строже, если действия касаются биометрических данных.
Первая часть этой статьи предусматривает наказание за общую категорию преступлений, например, незаконные предоставление доступа или хранение информации, которая касается персональных данных.
Следующие части описывают отягчающие обстоятельства за такие преступления. К ним, в частности, относятся:
- Использование ПДн несовершеннолетних.
- Использование биометрических ПДн.
- Трансграничное перемещение информации, содержащей ПДн. Это и передача по сети, и ввоз/вывоз с территории РФ любых носителей, содержащих персональные данные субъектов.
- Если преступление совершено организованной группой или повлекло тяжкие последствия.
- Если был создан сайт, компьютерная программа или специальная информационная система, которые заведомо предназначались для незаконного использования ПДн.
Наказания по этой статье УК варьируются от штрафа в размере 300 тысяч рублей до 10 лет лишения свободы.
Подводя итог по всем изменениям, можно отметить, что государство очень активно упорядочивает получение и обработку персональных данных. Вносятся системные изменения: принимаются новые законы, увеличиваются штрафы, ужесточается контроль. Причем касается это всех: крупных корпораций, должностных лиц, индивидуальных предпринимателей и физических лиц.
Обратитесь к профессионалам – специалистам патентного бюро Ezybrand, и мы поможем вам привести ваш сайт в соответствие со всеми изменениями и актуальными нормативными актами по ФЗ о персональных данных. У нас работает профессиональный IT-юрист, который не только хорошо знает законодательство в сфере ПДн, но и как именно применять нормы закона на практике для различных областей бизнеса, включая IT-компании.
Изменения коснулись и самозанятых. С 1 сентября 2025 года самозанятые являются операторами сбора персональных данных, если они обрабатывают информацию с использованием онлайн-сервисов. Например, самозанятый психолог создает сайт и предлагает клиентам оставить в обратной форме свои контакты для связи. При этом он автоматически становится оператором обработки ПДн и обязан уведомить об этом Роскомнадзор еще до того, как запустит свой сервис. Если этого не сделать, то из-за новых изменений в ПДн самозанятый получит штраф.
Это можно сделать тремя способами:
- в бумажном варианте;
- в электронном виде на сайте Роскомнадзора, подписав уведомление УКЭП (цифровой подписью);
- через портал Госуслуги.
Если вы подойдете под критерии оператора ПДн, то через 30 дней после направления уведомления Роскомнадзор внесет сведения в единый реестр операторов персональных данных. Направить такое уведомление вам поможет ИТ-юрист патентного бюро Ezybrand.
Важным моментом является то, что вместе с ужесточением законов касающихся изменений в ПДн, расширяются полномочия Роскомнадзора по проверке этой сферы. Пока ведомство узнает о нарушениях в результате проверок, а также по жалобам пользователей.
В 2025 году Минцифры подготовило законопроект об использовании Роскомнадзором автоматизированных сервисов для проверки. В Положение о госконтроле за обработкой ПДн предложено внести значительные изменения. Теперь сайты будут отслеживаться на соблюдение законодательства в сфере персональных данных автоматически.
