152-ФЗ о персональных данных с изменениями на 2025 – полный гайд

21 мая 2025 (обновлено 24 июня 2025)
1.7K
20 мин.

Законы в области сбора, хранения и обработки персональных данных постоянно обновляются и дорабатываются, поэтому так важно держать руку на пульсе, чтобы вдруг не получить штраф до 500 000 000 рублей.

Да-да, вы правильно посчитали количество нулей – речь идет о пятистах миллионах, с 30 мая 2025 года вступили в силу изменения по персональным данным и вводятся миллионные штрафы и даже уголовная ответственность. Настолько все серьезно.

К счастью, следить за актуальной информацией очень легко, если вы читаете наш блог и подписаны на наш Telegram-канал, ведь здесь мы своевременно сообщаем обо всех важных изменениях.

Разбираемся, что принципиально поменялось в работе с персональными данными в 2025 году.

Для тех, кто ищет ответы на конкретные вопросы, удобное меню по гайду, чтобы сразу перейти к нужному пункту. Для всех остальных рекомендуем читать весь материал – объясним сложное максимально простыми фразами.

Еще рекомендую прочитать вот эту статью, чтобы был полный обзор по теме 152-ФЗ: Утечка персональных данных: что считать утечкой, когда и кого надо уведомить при утечке, какие штрафы и как избежать.

Но прежде всего, поясню, зачем вообще этот закон нужен – для этого достаточно процитировать статью 2, 152-ФЗ:

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Если кратко, он нужен, чтобы ваши данные никуда не «утекали» и вас не беспокоили те, кому вы звонить и писать не разрешали.

Теперь поговорим о 152-ФЗ, всех его изменениях в 2025 году и разберёмся, кого они касаются.

Что считается персональными данными по 152-ФЗ

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Т.е. любая информация о физическом лице, по которой его можно идентифицировать: имя, фамилия, отчество; дата, месяц, год рождения; номер телефона; email; адрес проживания; любое социальное положение; образование; профессия; биометрические данные.

В эту же категорию относятся куки-файлы, геопозиция, IP-адрес, паспорт/СНИЛС, иные идентификаторы в соцсетях и мессенджерах, сведения о семейном положении/о родственниках, сведения о зарплате, информация о судимостях, индивидуальные данные (политические и религиозные взгляды, раса, национальность), фото и/или видео, которые позволяют идентифицировать личность и многое другое.

Нужно больше информации

Если копнуть немного глубже, то персональные данные можно поделить на несколько видов:

  • Общедоступные – те данные, на доступ к которым субъект дал свое письменное согласие, а не те, которые находятся в общем доступе, как вы могли подумать =)
  • Специальные – данные, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 ФЗ «О персональных данных») – здесь установлены определенные порядки обработки персональных данных.
  • Биометрические – данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ст. 11 152-ФЗ) – это генетическая информация, отпечатки пальцев и т.д. – также установлен определенный порядок обработки персональных данных.
  • Иные – это все остальное, например, email, IP-адрес, геолокация.

При этом есть еще понятие обезличенных персональных данных, т.е. данные персональные, но идентифицировать пользователя сами по себе не позволяют и требуют уточнения. Например, по фамилии Петров или только по номеру телефона, или любой другой подобной информации не определишь конкретного пользователя. Но если у вас есть совокупная информация, по которой можно определить конкретного человека, то вы обязаны много чего сделать, чтобы не нарушать закон. Но об этом позднее.

Тут важно тщательно проговорить про общедоступные данные, еще в 2020 году было введено такое понятие:

Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом (п. 1.1 ст. 3).

Если простыми словами, то обрабатывать и распространять можно только те персональные данные, на которые субъект дал свое согласие.

Сделано это для того, чтобы третьи лица НЕ могли осуществлять сбор и последующее использование персональных данных в целях, отличных от цели их первоначального распространения (нарушая положения п. 2 ст. 5 ФЗ «О персональных данных», где четко сказано, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей).

Банальный пример – ваша страничка во ВКонтакте, где вы тщательно заполнили профиль (ФИО, дата рождения, номер телефона, город, email, политические/религиозные взгляды и т.п.).

Страничка в ВК

Это все ваши персональные данные, которые вы разместили в общем доступе. И если раньше компании, которые собирали персональные данные из таких общедоступных источников (и потом звонили вам с разными сомнительными предложениями), могли делать это свободно, то теперь нужно обязательно получить ваше согласие на обработку и на распространение ПД.

справедливость торжествует

Также до 2020 года, чтобы требовать у оператора блокировки/удаления своих персональных данных, нужно было ДОКАЗАТЬ, что они являются неполными/устаревшими/неточными/незаконно полученными или не являются необходимыми для заявленной цели обработки.

Сейчас субъект вправе потребовать оператора удалить его персональные данные из общего доступа без объяснения причин. И оператор обязан это сделать.

Для полной картины мира следует дать еще и определение для термина «Оператор ПДн».

Оператор персональных данных – государственный/муниципальный орган, юридическое/физическое лицо, самостоятельно или совместно с другими лицами организующие/осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия/операции, совершаемые с ПД (ст. 3 152-ФЗ).

Кстати, согласие на обработку персональных данных и согласие на распространение персональных данных – это два разных документа. Какие данные можно обрабатывать и распространять, а какие нет – решает сам субъект ПД.

На практике это означает, что теперь всем операторам персональных данных, которые выкладывают их в общий доступ, необходимо получать два согласия от субъекта.

Сейчас может показаться слегка запутанно, но в итоге разложу все по полочкам. А пока продолжаем разбираться в терминологии.

Обработка ПД – это любое действие с персональными данными, например, сбор, хранение, обновление, блокирование/удаление, обезличивание, использование, передача.

Передача ПД – это распространение, предоставление персональных данных.

Предоставление ПД – это раскрытие своих персональных данных определенному кругу лицv.

Распространение ПД – это раскрытие своих персональных данных неопределенному кругу лиц.

Из этих определений становится очевидно, что распространение персональных данных входит в обработку ПД. Тогда зачем два согласия? Давайте посмотрим на примере.

Как работают на практике изменения в ФЗ-152

Заходите вы на сайт компании, чтобы что-то заказать, например, ноутбук =). Оформляя заказ и/или регистрируя личный кабинет, вы даете свое согласие на обработку персональных данных.

И до вступления поправок в 152-ФЗ компания имела возможность распространять ваши ПД третьим лицам без вашего отдельного на то согласия (ведь вы согласились на обработку ПД, а распространение туда входит). И стали вы получать рекламные рассылки, на которые не подписывались, звонки от банков с предложениями взять кредит и т.д.

Теперь компания не имеет права распространять ваши ПД никак и никому. Только если вы сами дадите на это согласие. Обратите внимание, что по идее, даже оставляя отзыв на сайте компании, с вами должны заключить соглашение о распространении персональных данных, в котором вы должны указать, какие конкретно ПД компания может распространять. Например, только ваше фото или email.

Какие изменения внесли в ФЗ-152 в 2025 году?

На самом деле, больше всего изменились штрафы. Они выросли до каких-то невообразимых цифр, введена даже уголовная ответственность за утечку персональных данных. Но об этом чуть позже. Нововведения также касаются следующих пунктов:

1. Уточнение понятия «персональные данные»

В закон добавлены биометрические данные (включая голосовые и поведенческие характеристики, используемые для идентификации). Расширен перечень специальных категорий персональных данных (например, данные о здоровье, религиозных взглядах, политической позиции). Об этом мы уже поговорили тут.

2. Новые требования к операторам

Обязательное использование российского ПО для обработки персональных данных (если есть аналоги), плюс введен полный запрет на хранение данных за рубежом для критически важных информационных систем (КИИ). И обязательна локализация баз данных на серверах в России (есть некоторые исключения, об этом в разделе про Трансграничную передачу).

3. Усиление контроля за трансграничной передачей

Тут все серьезно. Требуется получение согласия от Роскомнадзора о передаче данных за границу еще ДО начала такой передачи. Введены ограничения на передачу данных в «недружественные» страны. Список таких стран меняется, тут лучше в моменте уточнять в РКН.

4. Новые обязанности для обработчиков

Обязательная регистрация в реестре Роскомнадзора для операторов ДО начала обработки ПДн. А с 1 сентября 2025 еще актуален этот пункт: «Оператор в соответствии с требованием, указанным в части 2 настоящей статьи, обязан предоставить персональные данные, полученные в результате обезличивания персональных данных, в государственную информационную систему уполномоченного органа в сфере регулирования информационных технологий». Следовательно, оператор обязан в обезличенном виде все полученные персональные данные передавать государству.

5. Новые права граждан

Право на удаление данных из всех источников (аналог «права на забвение»), о котором мы уже ранее говорили.

Важно: Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п. 8 ст. 10.1 152-ФЗ).

На практике это значит, что, даже ставя галочку напротив поля «Согласен на обработку персональных данных», вы НЕ даете своего согласия на их распространение.

И да, не забывайте, что отозвать свое согласие на распространение ПД вы можете в любой момент (п. 2 ст. 9 152-ФЗ). Оператор обязан прекратить распространение ПД в течение 3 рабочих дней с момента получения вашего требования.

А теперь давайте поговорим об исключениях из правил (куда же без них).

Все исключения, когда оператор может передавать ваши персональные данные без вашего согласия, прописаны в пп. 2-11 ст. 6. Чтобы не делать из статьи портянку, приведу лишь несколько примеров, все равно они вам не пригодятся, скорее всего:

  • обработка ПД осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
  • обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка ПД необходима для осуществления профессиональной деятельности журналиста и/или законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
  • обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных.

Представим, что в вашем городе проводят опрос на тему «Устраивает ли вас ваша заработная плата». В опрос будут входить такие вопросы, как нынешний размер вашей зп, место работы, должность. Эта информация относится к персональным данным, но поскольку опрос проводится в статистических целях, то ваши ПД могут обработать без вашего согласия, но с условием их обезличенности.

В общем, как вы уже поняли, 152-ФЗ регулирует как раз отношения, связанные с обработкой любых персональных данных.

А значит, если вы нанимаете на работу, принимаете заявки от клиентов, заключаете договоры, просто имеете сайт, продаете на маркетплейсах и доставляете курьером товары, вы являетесь оператором персональных данных и должны быть зарегистрированы в РКН. Даже если фактически имеете статус физлица или самозанятого (это никак не влияет, оператором может быть кто угодно).

Все сайты обязаны размещать информацию о персональных данных и их защите. А сами персональные данные должны обрабатываться только с согласия оставившего их пользователя. Еще раз подчеркну, что такое согласие, согласно текущему законодательству, должно быть получено от пользователя явно.

Ст. 9 152-ФЗ гласит:

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

И второе важное замечание:

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных… возлагается на оператора.

Таким образом, наша с вами задача – подготовить сайт так, чтобы можно было легко доказать, что согласие у нас имеется.

К сожалению, конкретных инструкций «надо делать вот так, а вот так не надо» нет, именно поэтому никто не гарантирует, что будет 100% защита. Но в 2025 году определенностей стало гораздо больше.

Поправки в 152-ФЗ в 2025 году вступают в силу в две итерации: с 30 мая 2025 и с 1 сентября 2025.

Как подготовить сайт к 152-ФЗ: законно собирать, хранить и обрабатывать ПД в онлайн-пространстве в 2025

Даже если у вас просто есть сайт, вы автоматические становитесь оператором персональных данных, ведь там стоят системы аналитики и используются cookie-файлы. А значит, данные, накопленные на вашем сайте, должны обрабатываться по 152-ФЗ, а еще вы обязаны быть зарегистрированы оператором ПД и иметь пакет документов, скорее всего, довольно большой.

Не буду рассказывать, какие нормативные документы нужны, чтобы соблюдать 152-ФЗ – они разрабатываются индивидуально под каждую компанию. Примерный перечень можно посмотреть тут.

Остановимся только на документах, которые необходимо разместить на сайте. Ведь именно сайт проще всего проверить Роскомнадзору.

1. Зарегистрироваться в качестве Оператора

Прежде всего, вы должны быть зарегистрированы в качестве оператора ПД.

Проверить, есть ли такая регистрация, можно в специальном реестре через поиск по организации (достаточно указать ИНН). При регистрации в качестве оператора необходимо максимально подробно расписать, какие данные и для каких целей вы собираете. Это сильно упростит дальнейшую подготовку всех документов. Поэтому лучше начинать именно с регистрации.

Часто уже тут можно наделать кучу ошибок, поэтому посмотрите, что указано у конкурентов, а уже потом заполняйте сами. В идеале, если этим займется человек, который в дальнейшем в организации и будет отвечать за персональные данные.

Если ваша компания уже есть в реестре, то внимательно проверьте данные, указанные там, они должны соответствовать тому, что будет указано в политике конфиденциальности и размещено на сайте.

Важно: В старой форме уведомления РКН есть поле «Список информационных систем и их параметры», в новой вместо него стоит пункт «Цели обработки персональных данных» – ваше уведомление должно быть заполнено по текущей форме, иначе надо его актуализировать, а это, увы, снова обязанность оператора.

Инструкция по регистрации в качестве оператора ПДн

2. Разработать Политику конфиденциальности и разместить на сайте

Кому нужна политика конфиденциальности? Всем, у кого есть сайт =)

Итак, вам потребуется сам документ Политики, ссылки на нее со всех форм на сайте, дисклеймер, предупреждающий о том, что на сайте есть куки и система аналитики. Но обо всем по порядку.

1) Документ о Политике конфиденциальности

Документ по обработке персональных данных должен быть размещен в свободном доступе, обычно ссылку на него размещают в подвале сайта. И если раньше можно было использовать шаблон, то теперь это не вариант, и нужно разработать свой =)

В тексте должны быть следующие пункты:

  • Наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных
  • Каким образом и для каких целей собираются персональные данные
  • Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
  • Как могут использоваться эти данные
  • Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных
  • Что происходит с куки-файлами
  • Как данные предоставляются другим организациям
  • Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу

    Важно: Не забывайте брать отдельное согласие на распространение данных и заключать соглашение на обработку персональных данных на сайте со сторонними компаниями, с которыми вы сотрудничаете (служба доставки, банк, хостер и т.д.), об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные компания обрабатывает, в каких целях и какие действия с ними выполняет, как должна их защищать.

  • Сколько хранятся данные и как обеспечивается их защита
  • Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом
  • Что не будет происходить с персональными данными
  • Контактные данные организации и все внесенные изменения в Политику конфиденциальности, если они были

В конце текста про политику конфиденциальности добавьте рабочий адрес электронной почты, куда пользователь может обратиться с просьбой удаления, изменения или блокировки данных. Сотрудникам необходимо ежедневно проверять письма, чтобы не пропустить ни один запрос.

Требования к Политике конфиденциальности, чтобы она также помогла вам соблюдать GDPR (если среди ваших клиентов есть пользователи из Европы), можно почитать тут.

Важно: Сама политика должна четко соответствовать тому, что вы указали при регистрации в РКН в качестве оператора. Поэтому внимательно соотнесите данные Политики и данные, указанные в Реестре операторов, они должны совпадать.

Проверить по чек-листу свою Политику конфиденциальности.

2) Ссылка на документ о Политике конфиденциальности с главной страницы

Это нужно для того, чтобы любой пользователь и проверяющий орган увидел, что документ находится в свободном доступе, и его легко найти.

Как правило, достаточно разместить общую ссылку в подвале сайта. Например, так:

Ссылка на политику конфиденциальности в подвале сайта

3. Получить согласие пользователя на обработку ПДн

Отдельно следует получить согласие на обработку, распространение, трансграничную передачу, маркетинговые активности и рекомендательные технологии. Ужас, да и только! Чаще всего для получения таких согласий используются не предустановленные галочки в чек-боксах – соглашаясь с условиями, пользователь ставит галочку.

1) Чек-бокс или «галочка», которая подтверждает согласие пользователя на обработку персональных данных

Обязательна под каждой формой на сайте, где пользователя просят указать персональные данные.

Например, вот так получают согласие пользователя на обработку персональных данных и рекомендательные технологии на сайте интернет-магазина Детский мир:

Согласие пользователя на обработку ПДн и рекомендательные технологии

К слову, способ получения согласия довольно спорный, вспомним, что в статье 9 152-ФЗ указано, что оно должно быть «сознательным и однозначным». Текущий вариант получения согласия оператору доказать будет сложно: пользователь сознательно мог и не согласиться, ведь сценарии «я не прочитал/не заметил» остаются возможными, да и однозначным этот вариант не посчитаешь.

Кстати, замечу, что важно пользователя уведомить и о рекомендательных технологиях, если они используются на сайте.

А вот так получают согласие пользователя на сайте интернет-магазина «М.Видео», когда запрашивают email для отправки рекламных рассылок:

Согласие на обработку персональных данных на сайте М.Видео

Кстати, согласия пользователя на обработку персональных данных на сайте «Эльдорадо» нет в том случае, когда в форме просят указать только телефон:

Форма без галочки согласия на обработку ПД

При этом в подвале сайта ссылка на Политику конфиденциальности имеется.

Комментарии юристов:

Следует отметить, что не все элементы информации автоматически попадают под действие Закона № 152-ФЗ. Защита распространяется лишь на те сведения, которые самостоятельно или в сочетании с другими данными позволяют точно идентифицировать конкретное физическое лицо.

Телефонный номер как персональные данные:

Номер телефона, по нашему мнению, не обладает таким свойством. Согласно п. 2 Правил оказания услуг телефонной связи (утв. Постановлением Правительства РФ от 09.12.2014 № 1342), абонентский номер служит для идентификации конечного оборудования сети связи или абонентского устройства в мобильной сети. Однако без дополнительной информации (ФИО, адрес и т.д.) он не позволяет установить личность пользователя, а значит, не считается персональными данными в рамках Закона № 152-ФЗ.

Подобный подход подтверждается и судебной практикой:

  • Решение Верхнепышминского горсуда Свердловской обл. от 18.08.2017 (№ 2-1628/2017)
  • Постановление Черемушкинского райсуда г. Москвы от 11.10.2017 (№ 02-5330/2017)
  • Определение Алтайского краевого суда от 14.12.2016 (№ 33-13389/2016)

Позиция Роскомнадзора:

Судя по этому видео, эксперты ведомства также разделяют эту точку зрения.

Важно: Тем не менее, если номер телефона сочетается с другими идентификаторами (например, ФИО), такая комбинация уже будет признаваться персональными данными, поскольку делает субъект узнаваемым (Определение Второго кассационного суда общей юрисдикции от 04.08.2020 № 8Г-17070/2020).

Электронная почта: спорный вопрос

Роскомнадзор относит email к персональным данным, аргументируя это его уникальностью и прямой связью с пользователем (Письмо Минцифры от 17.03.2022 № П25-5623-ОГ). Однако данная позиция не является однозначной. В ряде случаев суды отказываются признавать email персональными данными, особенно если он не содержит явных указаний на личность владельца (например, решения Заельцовского райсуда г. Новосибирска от 27.06.2018 № 2-1770/2018, Московского горсуда от 12.12.2016 № 33-42101/16). В этом случае лучше запрашивать согласие, что и сделано на сайте М.Видео.

Таким образом, квалификация тех или иных сведений как персональных данных требует индивидуального подхода с учётом конкретных обстоятельств. Будьте аккуратны!

Важно: Если планируете отправлять рекламные сообщения, должен быть отдельный чекбокс и отдельно полученное согласие на маркетинговые активности в адрес пользователя. Посмотрите пример на сайте М.Видео (скриншот выше).

Пример согласия на получение рекламных сообщений на сайте Касперского:

Согласие на получение рекламных сообщений

Итак, согласие на обработку данных, указанных в формах на сайте получено, как-то надо уведомить про куки и сбор данных метрическими и рекламными системами на сайте. Для этого используют дисклеймер.

2) Дисклеймер

Это всплывающее сообщение-предупреждение, что на сайте собираются статистические данные. Те самые куки-файлы, информация о геопозиции и поведенческие для настройки догоняющей рекламы, о которых мы говорили выше.

Наличие дисклеймера четко не регламентировано, но многие юристы советуют его установить, другого способа, как получить согласие пользователя и предупредить о том, что куки и счетчики аналитики собирают данные, еще не придумали. С точки зрения юзабилити настраивать показ окна стоит только новым пользователям и скрывать его от повторных заходов.

Вот так реализовали дисклеймер на сайте интернет-магазина Лемана Про:

Дисклеймер про cookies

А вот дисклеймер сайта Jacobs:

Дисклеймер про сбор куки-файлов

И даже у Сбербанка есть дисклеймер:

Дисклеймер про обработку куки

Кстати, многие крупные компании политику использования cookies вообще выносят на отдельную страницу:

Ссылка на политику использования cookies

Обычно внутри она выглядит так (пример с сайта kaspersky.ru):

Политика использования куки-файлов

Как мы рекомендуем настроить дисклеймер по 152-ФЗ (с учетом GDPR-практики)

Обязательные элементы:

  • Явные кнопки согласия

    • «Я согласен», «Принять все» и т.п.
    • Дополнительно можно использовать кнопку «Настроить» (если cookie делятся на категории: необходимые, аналитические, рекламные и технически можно дать пользователю их настроить) и «Отклонить», если важно соответствовать GDPR
  • Запрет скрытого согласия

    • Нельзя считать согласием: закрытие баннера, прокрутку страницы, продолжение использования сайта
    • Нельзя использовать формулировки типа: «Используя сайт, вы автоматически соглашаетесь...»
  • Грузить трекеры после согласия

    • Трекеры (Метрика и т.п.) должны грузиться только после получения согласия (проверяется через инструменты разработчика в браузере)
    • Если есть «Настроить», пользователь должен легко отключить ненужные типы cookie (например, рекламные)
  • Сохранение выбора

    • Если пользователь нажал «Согласен/Отклонить», сайт обязан запомнить это и не показывать баннер повторно, и конечно, не должен больше собирать и хранить Куки, если выбрано Отклонить. Однократный выбор посетителя может учитываться при посещении всех страниц сайта (домена)

На нашем сайте рекомендации реализованы так:

Дисклеймер про куки по 152-ФЗ

Пока не согласишься, сайт не увидишь, трекеры не загрузятся. Тут без вариантов и доказать легко, да и Яндекс Метрика от роботных визитов застрахована.

Важно: К сожалению, стандартная установка Яндекс Метрики собирает данные ДО получения согласия пользователя. И получается, что каждый второй сайт уже этим нарушает законодательство. В идеале, только после получения согласия посетителя на передачу информации код счетчика должен загрузиться. Чтобы включить оповещение и реализовать правильную отложенную загрузку кода счетчика, требуется дополнительная настройка, обратитесь к своему вебмастеру или напишите нам, проверим исправим, если это не так. Подробнее

Итак, какие документы должны быть на вашем сайте, чтобы соответствовать 152-ФЗ.

  • Еще до начала обработки данных, вы должны уведомить Роскомнадзор об этом (особенно, если речь идет про трансграничную передачу данных)
  • Вы должны уведомить пользователя и получить его согласие на обработку и распространение персональных данных

Это два основных пункта, которые требуется учесть всем владельцам сайтов, а вот детали уже зависят от самого сайта.

Подготовка сайта к требованиям 152-ФЗ: еще несколько важных моментов, которые вы могли упустить

  • Хранение данных на территории РФ

    Узнайте, где физически расположен хостинг. По закону базы данных должны находиться в России. Уточните у техподдержки хостинг-провайдера, если вдруг серверы за границей – лучше сменить хостинг.

  • Работа с особыми категориями данных

    Если собираете биометрические и специальные категории ПДн (раса, здоровье, религия и т.д.) – требуется письменное согласие пользователя, а сайт должен быть технически подготовлен к их обработке.

  • Особенности для интернет-магазинов

    У вас должен быть раздел о праве на обработку ПДн для исполнения договора. Информация о передачи данных платежным системам, службам доставки и др. Не забудьте получить согласие на рекомендательные системы (например: «Рекомендуем на основе ваших покупок»).

  • Обязательное использование HTTPS

    Тут все просто: HTTPS – обязателен. Без него возможны штрафы по ст. 13.11 КоАП РФ.

  • Внимание к сторонним сервисам

    Любой сервис, работающий с данными пользователей, должен быть учтен и описан в Политике: CRM, коллтрекинг, рекламные пиксели, теги (Google Tag Manager и др.), платежные системы, аналитика (Яндекс Метрика).

    Важные замечания при работе со сторонними сервисами, которые могут привести к штрафам:

    • Счетчики аналитики (Яндекс.Метрика, Google Analytics) должны загружаться только после согласия пользователя. Так как Google Analytics передает данные за рубеж – требуется ДО его установки на сайте получить разрешение Роскомнадзора на трансграничную передачу.

    • Cloudflare и другие CDN/DDoS-защиты. Если серверы за границей – опять же нужно получить разрешение на трансграничную передачу.

    • Рекламные пиксели (ВКонтакте и др.). Запрещенные в РФ системы (например, пиксель фейсбука*) следует удалить – много случаев, когда висят с давних времен в коде сайта. Разрешенные – следует описать в Политике конфиденциальности и получить согласие пользователя.

    • Email-рассылки и маркетинг. Нужна отдельная галочка на согласие с рассылками. Информация должна быть описана в Политике конфиденциальности.

  • Политика конфиденциальности

    Документ должен соответствовать данным, указанным при регистрации в Роскомнадзоре, описывать все сервисы, которые обрабатывают ПДн, уведомлять о рекомендательных технологиях (если они используются).

Каждый инструмент на сайте (хостинг, аналитика, реклама, CRM) может влиять на соответствие 152-ФЗ.

Проверьте свой сайт по полному чек-листу на соответствие 152-ФЗ.

Что насчет самозанятых? Надо ли регистрировать себя как оператора ПД в РКН фрилансерам, парикмахерам, мастерам маникюра и другим самозанятым?

Да, надо, если вы обрабатываете персональные данные не у себя в блокнотике =)

Примеры, когда самозанятым регистрироваться точно нужно:

У вас есть:

  • Сайт
  • CRM-система (например, AmoCRM, Битрикс24 и аналоги)
  • Гугл-таблицы или Excel с данными клиентов (это еще и трансграничная передача!)
  • WhatsApp/Telegram-бот для записи, который собирает персональную информацию (и снова это трансгран!)
  • Рассылка email/SMS (даже если это просто напоминания в ручном режиме)
  • Онлайн-запись (например, через Яндекс Бизнес)
  • Электронные чеки (принимаете оплату через эквайринг или онлайн-кассу)

Трансграничная передача и использование ПД для общения с клиентами через Телеграм, Whatsapp и другие мессенджеры – что надо знать?

Трансграничная передача — это передача или хранение персональных данных (ФИО, телефона, email и др.) за пределы России, где их обрабатывают иностранные сервисы, компании или серверы.

Когда она происходит?

  • Используете зарубежные сервисы, например, мессенджеры (WhatsApp, Telegram, Facebook* Messenger), облачные хранилища (Google Drive, Dropbox), CRM и email-рассылки (Mailchimp, Google Workspace, HubSpot), платежные системы (PayPal, Webmoney и другие), системы аналитики (на сайте есть Google Analytics и иные).
  • Храните данные на зарубежных серверах: хостинг сайта в Германии, США и др.
  • Работаете с иностранными подрядчиками. Фрилансер из другой страны получает доступ к данным ваших клиентов.

Что говорит закон (152-ФЗ)?

В целом, можно передавать данные за границу, но только если:

  • Есть письменное согласие человека (с указанием страны передачи)
  • Страна-получатель обеспечивает защиту ПДн (для этого должна быть включена в список стран, одобренных РКН)
  • Роскомнадзор уведомлен и дал разрешение ДО начала передачи
Ситуация Трансграничная передача? Что делать?
Клиент пишет вам в WhatsApp (есть ПДн) Да (серверы Meta* в США) Получить согласие
Храните документы в Google Drive Да Шифровать данные или перейти на Яндекс Диск
Используете Zoom для консультации Да (США) Указать в Политике конфиденциальности, получить разрешение РКН

Как работать легально?

  • Получайте согласие клиента (в договоре или отдельным документом) и разрешение от РКН, укажите в реестре, что есть трансграничная передача.
  • Используйте российские аналоги:
    • Мессенджеры: СБЕР Чат, VK Мессенджер
    • Облака: Яндекс Диск, Mail.ru Cloud
    • CRM: Битрикс24, AmoCRM (российские серверы)

Важно: Даже если клиент сам написал вам в WhatsApp, формально это все-таки трансграничная передача. Лучше подстраховаться!

Трансграничная передача — это не запрет, а повод правильно оформить документы и выбрать безопасные сервисы.

Что насчет мессенджеров?

Использование мессенджеров для работы с клиентами подразумевает передачу персональных данных (ПДн) за рубеж (WhatsApp – Meta*, Telegram, Viber, Skype, WeChat, Snapchat, Discord). По 152-ФЗ это требует соблюдения особых правил. Роскомнадзор пока массово не штрафует за мессенджеры, но прецеденты уже есть. Лучше соблюдать правила заранее!

А есть еще №149-ФЗ, согласно которому организациям определённых категорий запрещено применять зарубежные мессенджеры в рабочих процессах, связанных с оказанием услуг, обработкой персональных данных клиентов, а также проведением финансовых операций.

Под ограничения попадают:

  • Органы государственной и муниципальной власти
  • Предприятия с участием государства в уставном капитале
  • Банки, микрофинансовые организации и другие учреждения финансового сектора

С 5 мая 2023 года использование указанных приложений для сбора персональных сведений или информирования клиентов о денежных переводах считается прямым нарушением законодательства РФ, будьте внимательны.

Штрафы за нарушение 152-ФЗ о Персональных данных

И вот мы плавно подошли к, пожалуй, самому важному пункту: ответственность операторов ПДн за нарушения 152-ФЗ.

Чем грозит несоблюдение изменений в ФЗ-152, тут для удобства сделала таблицу.

Таблица штрафов по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных). Актуально на 2025 год с учетом изменений ФЗ от 30.11.2024 № 420-ФЗ:

Часть статьи Нарушение Граждане Должностные лица ИП Юридические лица
1 Обработка персональных данных в не предусмотренных законом случаях или несовместимая с целями сбора 10 000 - 15 000 ₽ 50 000 - 100 000 ₽ 150 000 - 300 000 ₽
1.1 (повтор ч. 1) То же нарушение повторно 15 000 - 30 000 ₽ 100 000 - 200 000 ₽ 300 000 - 500 000 ₽
2 Обработка без письменного согласия субъекта или с нарушением требований к согласию 10 000 - 15 000 ₽ 100 000 - 300 000 ₽ 300 000 - 700 000 ₽
3 Неопубликование политики обработки персональных данных 1 500 - 3 000 ₽ 6 000 - 12 000 ₽ 10 000 - 20 000 ₽ 30 000 - 60 000 ₽
4 Непредоставление субъекту информации об обработке его данных 2 000 - 4 000 ₽ 8 000 - 12 000 ₽ 20 000 - 30 000 ₽ 40 000 - 80 000 ₽
5 Невыполнение требований субъекта об уточнении, блокировке или уничтожении данных 2 000 - 4 000 ₽ 8 000 - 20 000 ₽ 20 000 - 40 000 ₽ 50 000 - 90 000 ₽
5.1 (повтор ч. 5) То же нарушение повторно 20 000 - 30 000 ₽ 30 000 - 50 000 ₽ 50 000 - 100 000 ₽ 300 000 - 500 000 ₽
6 Нарушение условий хранения персональных данных (без автоматизации) 1 500 - 4 000 ₽ 8 000 - 20 000 ₽ 20 000 - 40 000 ₽ 50 000 - 100 000 ₽
7 Необезличивание данных (для госорганов) 6 000 - 12 000 ₽
8 Несоблюдение требования о хранении данных в РФ 30 000 - 50 000 ₽ 100 000 - 200 000 ₽ 1 000 000 - 6 000 000 ₽
9 (повтор ч. 8) То же нарушение повторно 50 000 - 100 000 ₽ 500 000 - 800 000 ₽ 6 000 000 - 18 000 000 ₽
10 Неуведомление Роскомнадзора о намерении обрабатывать данные 5 000 - 10 000 ₽ 30 000 - 50 000 ₽ 100 000 - 300 000 ₽
11 Неуведомление о факте утечки персональных данных 50 000 - 100 000 ₽ 400 000 - 800 000 ₽ 1 000 000 - 3 000 000 ₽
12 Утечка данных 1 000-10 000 субъектов или 10 000-100 000 идентификаторов 100 000 - 200 000 ₽ 200 000 - 400 000 ₽ 3 000 000 - 5 000 000 ₽
13 Утечка данных 10 000-100 000 субъектов или 100 000-1 000 000 идентификаторов 200 000 - 300 000 ₽ 300 000 - 500 000 ₽ 5 000 000 - 10 000 000 ₽
14 Утечка данных > 100 000 субъектов или > 1 000 000 идентификаторов 300 000 - 400 000 ₽ 400 000 - 600 000 ₽ 10 000 000 - 15 000 000 ₽
15 (повтор ч. 12-14) Повторная утечка в крупном размере 400 000 - 600 000 ₽ 800 000 - 1 200 000 ₽ 1-3% выручки (мин. 20 млн. ₽, макс. 500 млн. ₽)
16 Утечка специальных категорий персональных данных 300 000 - 400 000 ₽ 1 000 000 - 1 300 000 ₽ 10 000 000 - 15 000 000 ₽
17 Утечка биометрических данных 400 000 - 500 000 ₽ 1 300 000 - 1 500 000 ₽ 15 000 000 - 20 000 000 ₽
18 (повтор ч. 16-17) Повторная утечка спецкатегорий/биометрии 500 000 - 800 000 ₽ 1 500 000 - 2 000 000 ₽ 1-3% выручки (мин. 25 млн. ₽, макс. 500 млн. ₽)

Примечания к таблице:

  • ИП приравниваются к юрлицам в частях 1.1, 8-18.
  • В частях 10-18 под должностными лицами понимаются госслужащие и работники некоммерческих организаций
  • В частях 10-18 под юрлицами понимаются коммерческие операторы (не госорганы и не НКО)
  • Идентификатор – уникальный код, относящийся к физлицу в системе персональных данных

Но помимо административной ответственности, можно напороться и на уголовную, ведь происходит нарушение неприкосновенности частной жизни (ст. 137 УК РФ).

К частной жизни законодатель относит: сведения о происхождении, о месте пребывания или жительства, о личной и семейной жизни (ст. 152.2 ГК РФ).

И за незаконный сбор или распространение сведений о частной жизни лица (без его согласия) или распространение этих сведений в публичном выступлении/публично демонстрирующемся произведении/СМИ наказание от административного штрафа до лишения свободы сроком до 5 лет.

Санкции нехилые, поэтому рекомендую вам озадачиться пересмотром соглашений о персональных данных/политикой конфиденциальности на ваших сайтах и быть готовыми блюсти закон.

А если сомневаетесь, что у вас получится сделать все правильно и грамотно – обращайтесь к нам, поможем подготовить сайт к 152-ФЗ.

1
2
0
2
0

Валерия Смолина

Руководитель SMM-отдела сервиса 1PS.RU

© 1PS.RU, при полном или частичном копировании материала ссылка на первоисточник обязательна

Скидка 7% на продвижение вашего бизнеса

Скидка на любые наши услуги, которая поможет немножко сэкономить или привести чуть больше клиентов за те же деньги. Активируйте, чтобы не потерялась.

Активировать

Популярные статьи

25 декабря 2024

Эффект от SEO-сопровождения: чего ждать и в какие сроки?

Читать статью 17.9K 7 мин.
21 августа 2018

Метод AARRR, или 5 пиратских метрик для продвижения бизнеса

Читать статью 41.5K 9 мин.
7 марта 2019

Coca-cola vs. Pepsi, BMW vs. Audi: войны брендов, или «мое кунг-фу круче, чем твое»

Читать статью 47.3K 12 мин.
6 февраля 2024

Инструкция, как добавить свою компанию в Яндекс.Карты

Читать статью 8.3K 4 мин.
28 ноября 2018

Стратегия продвижения: ТОП-3 лучших стратегий

Читать статью 62.5K 18 мин.
29 декабря 2020

Яндекс YATI: о новом алгоритме ранжирования простыми словами

Читать статью 23K 5 мин.
4 февраля 2021

Оптимизация блога: что делать, чтобы статьи в блоге занимали высокие позиции

Читать статью 14.8K 11 мин.
4 октября 2024

Яндекс.Вордстат: инструкция по применению

Читать статью 298.8K 8 мин.
14 марта 2020

План продвижения: как вывести свой бизнес в сеть и не запутаться?

Читать статью 39.9K 17 мин.
7 июня 2024

Как найти и устранить битые ссылки на сайте

Читать статью 7.8K 8 мин.
8 апреля 2020

Без денег не останетесь: 10 способов заработка в интернете

Читать статью 98.6K 10 мин.
11 января 2021

SEO-аудит сайта самостоятельно: анализ и проверка оптимизации сайта

Читать статью 102.9K 20 мин.

Все популярные статьи

Закрытый клуб для маркетологов и владельцев бизнеса. Оставьте запрос на вступление!

Бизнес-завтраки онлайн, эксклюзивные материалы, доступ к Обучающему центру.
Специальные предложения для своих. Бесплатно навсегда

250 000 участников сообщества каждую неделю получают письма от нас

Еженедельные полезные советы по продвижению бизнеса и эксклюзивные предложения абсолютно бесплатно – подайте заявку на вступление!

Услуги, которые могут вас заинтересовать

Любые работы по оптимизации: составление сем. ядра, настройка вебмастеров, теги Title, Description, H1-H6, файлы robots.txt, sitemap и др.

Привлечем новых клиентов текстами! Напишем качественные статьи, промаркируем их, разместим на сторонних площадках – вы получите большие охваты, рост узнаваемости и трафика на сайт.

Стоимость:
от 32 500

Полный глубокий анализ сайта, аналогов которого нет на рынке. Проверим сайт по более 40 параметрам, ошибки разметим по степени критичности.

Стоимость:
-20% до 30 июняот 16 000 от 20 000

Смотреть все услуги Попробовать бесплатно