152-ФЗ о персональных данных с изменениями на 2025 – полный гайд

Законы в области сбора, хранения и обработки персональных данных постоянно обновляются и дорабатываются, поэтому так важно держать руку на пульсе, чтобы вдруг не получить штраф до 500 000 000 рублей.

Да-да, вы правильно посчитали количество нулей – речь идет о пятистах миллионах, с 30 мая 2025 года вступили в силу изменения по персональным данным и вводятся миллионные штрафы и даже уголовная ответственность. Настолько все серьезно.

К счастью, следить за актуальной информацией очень легко, если вы читаете наш блог и подписаны на наш Telegram-канал, ведь здесь мы своевременно сообщаем обо всех важных изменениях.

Разбираемся, что принципиально поменялось в работе с персональными данными в 2025 году.

Для тех, кто ищет ответы на конкретные вопросы, удобное меню по гайду, чтобы сразу перейти к нужному пункту. Для всех остальных рекомендуем читать весь материал – объясним сложное максимально простыми фразами.

• Что это за закон 152-ФЗ о Персональных данных (ПД) и кого он касается
• Изменения в закон 152-ФЗ №233, принятые 8 августа 2024 и вступившие в силу 30 мая 2025 и 1 сентября 2025
• Как подготовить сайт к 152-ФЗ: законно собирать, хранить и обрабатывать ПД в онлайн-пространстве
• Как подать заявку в РКН, чтобы попасть в реестр операторов ПД, кому и зачем это надо
• Что насчет самозанятых? Надо ли регистрировать себя как оператора ПД в РКН фрилансерам, парикмахерам, мастерам маникюра и другим самозанятым?
• Трансграничная передача и использование ПД для общения с клиентами через Телеграм, WhatsApp и другие мессенджеры – что надо знать?
• Размеры штрафов

Еще рекомендую прочитать вот эту статью, чтобы был полный обзор по теме 152-ФЗ: Утечка персональных данных: что считать утечкой, когда и кого надо уведомить при утечке, какие штрафы и как избежать.

Но прежде всего, поясню, зачем вообще этот закон нужен – для этого достаточно процитировать статью 2, 152-ФЗ:

Если кратко, он нужен, чтобы ваши данные никуда не «утекали» и вас не беспокоили те, кому вы звонить и писать не разрешали.

Теперь поговорим о 152-ФЗ, всех его изменениях в 2025 году и разберёмся, кого они касаются.

Что считается персональными данными по 152-ФЗ

Т.е. любая информация о физическом лице, по которой его можно идентифицировать: имя, фамилия, отчество; дата, месяц, год рождения; номер телефона; email; адрес проживания; любое социальное положение; образование; профессия; биометрические данные.

В эту же категорию относятся куки-файлы, геопозиция, IP-адрес, паспорт/СНИЛС, иные идентификаторы в соцсетях и мессенджерах, сведения о семейном положении/о родственниках, сведения о зарплате, информация о судимостях, индивидуальные данные (политические и религиозные взгляды, раса, национальность), фото и/или видео, которые позволяют идентифицировать личность и многое другое.

Если копнуть немного глубже, то персональные данные можно поделить на несколько видов:

• Общедоступные – те данные, на доступ к которым субъект дал свое письменное согласие, а не те, которые находятся в общем доступе, как вы могли подумать =)
• Специальные – данные, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ст. 10 ФЗ «О персональных данных») – здесь установлены определенные порядки обработки персональных данных.
• Биометрические – данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (ст. 11 152-ФЗ) – это генетическая информация, отпечатки пальцев и т.д. – также установлен определенный порядок обработки персональных данных.
• Иные – это все остальное, например, email, IP-адрес, геолокация.

При этом есть еще понятие обезличенных персональных данных, т.е. данные персональные, но идентифицировать пользователя сами по себе не позволяют и требуют уточнения. Например, по фамилии Петров или только по номеру телефона, или любой другой подобной информации не определишь конкретного пользователя. Но если у вас есть совокупная информация, по которой можно определить конкретного человека, то вы обязаны много чего сделать, чтобы не нарушать закон. Но об этом позднее.

Тут важно тщательно проговорить про общедоступные данные, еще в 2020 году было введено такое понятие:

Если простыми словами, то обрабатывать и распространять можно только те персональные данные, на которые субъект дал свое согласие.

Сделано это для того, чтобы третьи лица НЕ могли осуществлять сбор и последующее использование персональных данных в целях, отличных от цели их первоначального распространения (нарушая положения п. 2 ст. 5 ФЗ «О персональных данных», где четко сказано, что обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей).

Банальный пример – ваша страничка во ВКонтакте, где вы тщательно заполнили профиль (ФИО, дата рождения, номер телефона, город, email, политические/религиозные взгляды и т.п.).

Это все ваши персональные данные, которые вы разместили в общем доступе. И если раньше компании, которые собирали персональные данные из таких общедоступных источников (и потом звонили вам с разными сомнительными предложениями), могли делать это свободно, то теперь нужно обязательно получить ваше согласие на обработку и на распространение ПД.

Также до 2020 года, чтобы требовать у оператора блокировки/удаления своих персональных данных, нужно было ДОКАЗАТЬ, что они являются неполными/устаревшими/неточными/незаконно полученными или не являются необходимыми для заявленной цели обработки.

Сейчас субъект вправе потребовать оператора удалить его персональные данные из общего доступа без объяснения причин. И оператор обязан это сделать.

Для полной картины мира следует дать еще и определение для термина «Оператор ПДн».

Кстати, согласие на обработку персональных данных и согласие на распространение персональных данных – это два разных документа. Какие данные можно обрабатывать и распространять, а какие нет – решает сам субъект ПД.

На практике это означает, что теперь всем операторам персональных данных, которые выкладывают их в общий доступ, необходимо получать два согласия от субъекта.

Сейчас может показаться слегка запутанно, но в итоге разложу все по полочкам. А пока продолжаем разбираться в терминологии.

Из этих определений становится очевидно, что распространение персональных данных входит в обработку ПД. Тогда зачем два согласия? Давайте посмотрим на примере.

Как работают на практике изменения в ФЗ-152

Заходите вы на сайт компании, чтобы что-то заказать, например, ноутбук =). Оформляя заказ и/или регистрируя личный кабинет, вы даете свое согласие на обработку персональных данных.

И до вступления поправок в 152-ФЗ компания имела возможность распространять ваши ПД третьим лицам без вашего отдельного на то согласия (ведь вы согласились на обработку ПД, а распространение туда входит). И стали вы получать рекламные рассылки, на которые не подписывались, звонки от банков с предложениями взять кредит и т.д.

Теперь компания не имеет права распространять ваши ПД никак и никому. Только если вы сами дадите на это согласие. Обратите внимание, что по идее, даже оставляя отзыв на сайте компании, с вами должны заключить соглашение о распространении персональных данных, в котором вы должны указать, какие конкретно ПД компания может распространять. Например, только ваше фото или email.

Какие изменения внесли в ФЗ-152 в 2025 году?

На самом деле, больше всего изменились штрафы. Они выросли до каких-то невообразимых цифр, введена даже уголовная ответственность за утечку персональных данных. Но об этом чуть позже. Нововведения также касаются следующих пунктов:

1. Уточнение понятия «персональные данные»

В закон добавлены биометрические данные (включая голосовые и поведенческие характеристики, используемые для идентификации). Расширен перечень специальных категорий персональных данных (например, данные о здоровье, религиозных взглядах, политической позиции). Об этом мы уже поговорили тут.

2. Новые требования к операторам

Обязательное использование российского ПО для обработки персональных данных (если есть аналоги), плюс введен полный запрет на хранение данных за рубежом для критически важных информационных систем (КИИ). И обязательна локализация баз данных на серверах в России (есть некоторые исключения, об этом в разделе про Трансграничную передачу).

3. Усиление контроля за трансграничной передачей

Тут все серьезно. Требуется получение согласия от Роскомнадзора о передаче данных за границу еще ДО начала такой передачи. Введены ограничения на передачу данных в «недружественные» страны. Список таких стран меняется, тут лучше в моменте уточнять в РКН.

4. Новые обязанности для обработчиков

Обязательная регистрация в реестре Роскомнадзора для операторов ДО начала обработки ПДн. А с 1 сентября 2025 еще актуален этот пункт: «Оператор в соответствии с требованием, указанным в части 2 настоящей статьи, обязан предоставить персональные данные, полученные в результате обезличивания персональных данных, в государственную информационную систему уполномоченного органа в сфере регулирования информационных технологий». Следовательно, оператор обязан в обезличенном виде все полученные персональные данные передавать государству.

5. Новые права граждан

Право на удаление данных из всех источников (аналог «права на забвение»), о котором мы уже ранее говорили.

На практике это значит, что, даже ставя галочку напротив поля «Согласен на обработку персональных данных», вы НЕ даете своего согласия на их распространение.

И да, не забывайте, что отозвать свое согласие на распространение ПД вы можете в любой момент (п. 2 ст. 9 152-ФЗ). Оператор обязан прекратить распространение ПД в течение 3 рабочих дней с момента получения вашего требования.

А теперь давайте поговорим об исключениях из правил (куда же без них).

Все исключения, когда оператор может передавать ваши персональные данные без вашего согласия, прописаны в пп. 2-11 ст. 6. Чтобы не делать из статьи портянку, приведу лишь несколько примеров, все равно они вам не пригодятся, скорее всего:

• обработка ПД осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
• обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• обработка ПД необходима для осуществления профессиональной деятельности журналиста и/или законной деятельности СМИ либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
• обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных.

Представим, что в вашем городе проводят опрос на тему «Устраивает ли вас ваша заработная плата». В опрос будут входить такие вопросы, как нынешний размер вашей зп, место работы, должность. Эта информация относится к персональным данным, но поскольку опрос проводится в статистических целях, то ваши ПД могут обработать без вашего согласия, но с условием их обезличенности.

В общем, как вы уже поняли, 152-ФЗ регулирует как раз отношения, связанные с обработкой любых персональных данных.

А значит, если вы нанимаете на работу, принимаете заявки от клиентов, заключаете договоры, просто имеете сайт, продаете на маркетплейсах и доставляете курьером товары, вы являетесь оператором персональных данных и должны быть зарегистрированы в РКН. Даже если фактически имеете статус физлица или самозанятого (это никак не влияет, оператором может быть кто угодно).

Все сайты обязаны размещать информацию о персональных данных и их защите. А сами персональные данные должны обрабатываться только с согласия оставившего их пользователя. Еще раз подчеркну, что такое согласие, согласно текущему законодательству, должно быть получено от пользователя явно.

Ст. 9 152-ФЗ гласит:

И второе важное замечание:

Таким образом, наша с вами задача – подготовить сайт так, чтобы можно было легко доказать, что согласие у нас имеется.

К сожалению, конкретных инструкций «надо делать вот так, а вот так не надо» нет, именно поэтому никто не гарантирует, что будет 100% защита. Но в 2025 году определенностей стало гораздо больше.

Поправки в 152-ФЗ в 2025 году вступают в силу в две итерации: с 30 мая 2025 и с 1 сентября 2025.

Как подготовить сайт к 152-ФЗ: законно собирать, хранить и обрабатывать ПД в онлайн-пространстве в 2025

Даже если у вас просто есть сайт, вы автоматические становитесь оператором персональных данных, ведь там стоят системы аналитики и используются cookie-файлы. А значит, данные, накопленные на вашем сайте, должны обрабатываться по 152-ФЗ, а еще вы обязаны быть зарегистрированы оператором ПД и иметь пакет документов, скорее всего, довольно большой.

Не буду рассказывать, какие нормативные документы нужны, чтобы соблюдать 152-ФЗ – они разрабатываются индивидуально под каждую компанию. Примерный перечень можно посмотреть тут.

Остановимся только на документах, которые необходимо разместить на сайте. Ведь именно сайт проще всего проверить Роскомнадзору.

1. Зарегистрироваться в качестве Оператора

Прежде всего, вы должны быть зарегистрированы в качестве оператора ПД.

Проверить, есть ли такая регистрация, можно в специальном реестре через поиск по организации (достаточно указать ИНН). При регистрации в качестве оператора необходимо максимально подробно расписать, какие данные и для каких целей вы собираете. Это сильно упростит дальнейшую подготовку всех документов. Поэтому лучше начинать именно с регистрации.

Часто уже тут можно наделать кучу ошибок, поэтому посмотрите, что указано у конкурентов, а уже потом заполняйте сами. В идеале, если этим займется человек, который в дальнейшем в организации и будет отвечать за персональные данные.

Если ваша компания уже есть в реестре, то внимательно проверьте данные, указанные там, они должны соответствовать тому, что будет указано в политике конфиденциальности и размещено на сайте.

Инструкция по регистрации в качестве оператора ПДн

2. Разработать Политику конфиденциальности и разместить на сайте

Кому нужна политика конфиденциальности? Всем, у кого есть сайт =)

Итак, вам потребуется сам документ Политики, ссылки на нее со всех форм на сайте, дисклеймер, предупреждающий о том, что на сайте есть куки и система аналитики. Но обо всем по порядку.

1) Документ о Политике конфиденциальности

Документ по обработке персональных данных должен быть размещен в свободном доступе, обычно ссылку на него размещают в подвале сайта. И если раньше можно было использовать шаблон, то теперь это не вариант, и нужно разработать свой =)

В тексте должны быть следующие пункты:

• Наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных
• Каким образом и для каких целей собираются персональные данные
• Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
• Как могут использоваться эти данные
• Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных
• Что происходит с куки-файлами
• Как данные предоставляются другим организациям
• Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу
  Важно: Не забывайте брать отдельное согласие на распространение данных и заключать соглашение на обработку персональных данных на сайте со сторонними компаниями, с которыми вы сотрудничаете (служба доставки, банк, хостер и т.д.), об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные компания обрабатывает, в каких целях и какие действия с ними выполняет, как должна их защищать.

• Сколько хранятся данные и как обеспечивается их защита
• Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом
• Что не будет происходить с персональными данными
• Контактные данные организации и все внесенные изменения в Политику конфиденциальности, если они были

В конце текста про политику конфиденциальности добавьте рабочий адрес электронной почты, куда пользователь может обратиться с просьбой удаления, изменения или блокировки данных. Сотрудникам необходимо ежедневно проверять письма, чтобы не пропустить ни один запрос.

Требования к Политике конфиденциальности, чтобы она также помогла вам соблюдать GDPR (если среди ваших клиентов есть пользователи из Европы), можно почитать тут.

Проверить по чек-листу свою Политику конфиденциальности.

2) Ссылка на документ о Политике конфиденциальности с главной страницы

Это нужно для того, чтобы любой пользователь и проверяющий орган увидел, что документ находится в свободном доступе, и его легко найти.

Как правило, достаточно разместить общую ссылку в подвале сайта. Например, так:

3. Получить согласие пользователя на обработку ПДн

Отдельно следует получить согласие на обработку, распространение, трансграничную передачу, маркетинговые активности и рекомендательные технологии. Ужас, да и только! Чаще всего для получения таких согласий используются не предустановленные галочки в чек-боксах – соглашаясь с условиями, пользователь ставит галочку.

1) Чек-бокс или «галочка», которая подтверждает согласие пользователя на обработку персональных данных

Обязательна под каждой формой на сайте, где пользователя просят указать персональные данные.

Например, вот так получают согласие пользователя на обработку персональных данных и рекомендательные технологии на сайте интернет-магазина Детский мир:

К слову, способ получения согласия довольно спорный, вспомним, что в статье 9 152-ФЗ указано, что оно должно быть «сознательным и однозначным». Текущий вариант получения согласия оператору доказать будет сложно: пользователь сознательно мог и не согласиться, ведь сценарии «я не прочитал/не заметил» остаются возможными, да и однозначным этот вариант не посчитаешь.

Кстати, замечу, что важно пользователя уведомить и о рекомендательных технологиях, если они используются на сайте.

А вот так получают согласие пользователя на сайте интернет-магазина «М.Видео», когда запрашивают email для отправки рекламных рассылок:

Кстати, согласия пользователя на обработку персональных данных на сайте «Эльдорадо» нет в том случае, когда в форме просят указать только телефон:

При этом в подвале сайта ссылка на Политику конфиденциальности имеется.

Комментарии юристов:

Таким образом, квалификация тех или иных сведений как персональных данных требует индивидуального подхода с учётом конкретных обстоятельств. Будьте аккуратны!

Пример согласия на получение рекламных сообщений на сайте Касперского:

Итак, согласие на обработку данных, указанных в формах на сайте получено, как-то надо уведомить про куки и сбор данных метрическими и рекламными системами на сайте. Для этого используют дисклеймер.

2) Дисклеймер

Это всплывающее сообщение-предупреждение, что на сайте собираются статистические данные. Те самые куки-файлы, информация о геопозиции и поведенческие для настройки догоняющей рекламы, о которых мы говорили выше.

Наличие дисклеймера четко не регламентировано, но многие юристы советуют его установить, другого способа, как получить согласие пользователя и предупредить о том, что куки и счетчики аналитики собирают данные, еще не придумали. С точки зрения юзабилити настраивать показ окна стоит только новым пользователям и скрывать его от повторных заходов.

Вот так реализовали дисклеймер на сайте интернет-магазина Лемана Про:

А вот дисклеймер сайта Jacobs:

И даже у Сбербанка есть дисклеймер:

Кстати, многие крупные компании политику использования cookies вообще выносят на отдельную страницу:

Обычно внутри она выглядит так (пример с сайта kaspersky.ru):

Как мы рекомендуем настроить дисклеймер по 152-ФЗ (с учетом GDPR-практики)

Обязательные элементы:

• Явные кнопки согласия

  • «Я согласен», «Принять все» и т.п.
  • Дополнительно можно использовать кнопку «Настроить» (если cookie делятся на категории: необходимые, аналитические, рекламные и технически можно дать пользователю их настроить) и «Отклонить», если важно соответствовать GDPR

• Запрет скрытого согласия

  • Нельзя считать согласием: закрытие баннера, прокрутку страницы, продолжение использования сайта
  • Нельзя использовать формулировки типа: «Используя сайт, вы автоматически соглашаетесь...»

• Грузить трекеры после согласия

  • Трекеры (Метрика и т.п.) должны грузиться только после получения согласия (проверяется через инструменты разработчика в браузере)
  • Если есть «Настроить», пользователь должен легко отключить ненужные типы cookie (например, рекламные)

• Сохранение выбора

  • Если пользователь нажал «Согласен/Отклонить», сайт обязан запомнить это и не показывать баннер повторно, и конечно, не должен больше собирать и хранить Куки, если выбрано Отклонить. Однократный выбор посетителя может учитываться при посещении всех страниц сайта (домена)

На нашем сайте рекомендации реализованы так:

Пока не согласишься, сайт не увидишь, трекеры не загрузятся. Тут без вариантов и доказать легко, да и Яндекс Метрика от роботных визитов застрахована.

Итак, какие документы должны быть на вашем сайте, чтобы соответствовать 152-ФЗ.

• Еще до начала обработки данных, вы должны уведомить Роскомнадзор об этом (особенно, если речь идет про трансграничную передачу данных)
• Вы должны уведомить пользователя и получить его согласие на обработку и распространение персональных данных

Это два основных пункта, которые требуется учесть всем владельцам сайтов, а вот детали уже зависят от самого сайта.

Подготовка сайта к требованиям 152-ФЗ: еще несколько важных моментов, которые вы могли упустить

• Хранение данных на территории РФ

  Узнайте, где физически расположен хостинг. По закону базы данных должны находиться в России. Уточните у техподдержки хостинг-провайдера, если вдруг серверы за границей – лучше сменить хостинг.

• Работа с особыми категориями данных

  Если собираете биометрические и специальные категории ПДн (раса, здоровье, религия и т.д.) – требуется письменное согласие пользователя, а сайт должен быть технически подготовлен к их обработке.

• Особенности для интернет-магазинов

  У вас должен быть раздел о праве на обработку ПДн для исполнения договора. Информация о передачи данных платежным системам, службам доставки и др. Не забудьте получить согласие на рекомендательные системы (например: «Рекомендуем на основе ваших покупок»).

• Обязательное использование HTTPS

  Тут все просто: HTTPS – обязателен. Без него возможны штрафы по ст. 13.11 КоАП РФ.

• Внимание к сторонним сервисам

  Любой сервис, работающий с данными пользователей, должен быть учтен и описан в Политике: CRM, коллтрекинг, рекламные пиксели, теги (Google Tag Manager и др.), платежные системы, аналитика (Яндекс Метрика).

  Важные замечания при работе со сторонними сервисами, которые могут привести к штрафам:

  • Счетчики аналитики (Яндекс.Метрика, Google Analytics) должны загружаться только после согласия пользователя. Так как Google Analytics передает данные за рубеж – требуется ДО его установки на сайте получить разрешение Роскомнадзора на трансграничную передачу.

  • Cloudflare и другие CDN/DDoS-защиты. Если серверы за границей – опять же нужно получить разрешение на трансграничную передачу.

  • Рекламные пиксели (ВКонтакте и др.). Запрещенные в РФ системы (например, пиксель фейсбука*) следует удалить – много случаев, когда висят с давних времен в коде сайта. Разрешенные – следует описать в Политике конфиденциальности и получить согласие пользователя.

  • Email-рассылки и маркетинг. Нужна отдельная галочка на согласие с рассылками. Информация должна быть описана в Политике конфиденциальности.

• Политика конфиденциальности

  Документ должен соответствовать данным, указанным при регистрации в Роскомнадзоре, описывать все сервисы, которые обрабатывают ПДн, уведомлять о рекомендательных технологиях (если они используются).

Каждый инструмент на сайте (хостинг, аналитика, реклама, CRM) может влиять на соответствие 152-ФЗ.

Проверьте свой сайт по полному чек-листу на соответствие 152-ФЗ.

Что насчет самозанятых? Надо ли регистрировать себя как оператора ПД в РКН фрилансерам, парикмахерам, мастерам маникюра и другим самозанятым?

Да, надо, если вы обрабатываете персональные данные не у себя в блокнотике =)

Примеры, когда самозанятым регистрироваться точно нужно:

У вас есть:

• Сайт
• CRM-система (например, AmoCRM, Битрикс24 и аналоги)
• Гугл-таблицы или Excel с данными клиентов (это еще и трансграничная передача!)
• WhatsApp/Telegram-бот для записи, который собирает персональную информацию (и снова это трансгран!)
• Рассылка email/SMS (даже если это просто напоминания в ручном режиме)
• Онлайн-запись (например, через Яндекс Бизнес)
• Электронные чеки (принимаете оплату через эквайринг или онлайн-кассу)

Трансграничная передача и использование ПД для общения с клиентами через Телеграм, Whatsapp и другие мессенджеры – что надо знать?

Трансграничная передача — это передача или хранение персональных данных (ФИО, телефона, email и др.) за пределы России, где их обрабатывают иностранные сервисы, компании или серверы.

Когда она происходит?

• Используете зарубежные сервисы, например, мессенджеры (WhatsApp, Telegram, Facebook* Messenger), облачные хранилища (Google Drive, Dropbox), CRM и email-рассылки (Mailchimp, Google Workspace, HubSpot), платежные системы (PayPal, Webmoney и другие), системы аналитики (на сайте есть Google Analytics и иные).
• Храните данные на зарубежных серверах: хостинг сайта в Германии, США и др.
• Работаете с иностранными подрядчиками. Фрилансер из другой страны получает доступ к данным ваших клиентов.

Что говорит закон (152-ФЗ)?

В целом, можно передавать данные за границу, но только если:

• Есть письменное согласие человека (с указанием страны передачи)
• Страна-получатель обеспечивает защиту ПДн (для этого должна быть включена в список стран, одобренных РКН)
• Роскомнадзор уведомлен и дал разрешение ДО начала передачи

Как работать легально?

• Получайте согласие клиента (в договоре или отдельным документом) и разрешение от РКН, укажите в реестре, что есть трансграничная передача.
• Используйте российские аналоги:
  • Мессенджеры: СБЕР Чат, VK Мессенджер
  • Облака: Яндекс Диск, Mail.ru Cloud
  • CRM: Битрикс24, AmoCRM (российские серверы)

Трансграничная передача — это не запрет, а повод правильно оформить документы и выбрать безопасные сервисы.

Что насчет мессенджеров?

Использование мессенджеров для работы с клиентами подразумевает передачу персональных данных (ПДн) за рубеж (WhatsApp – Meta*, Telegram, Viber, Skype, WeChat, Snapchat, Discord). По 152-ФЗ это требует соблюдения особых правил. Роскомнадзор пока массово не штрафует за мессенджеры, но прецеденты уже есть. Лучше соблюдать правила заранее!

А есть еще №149-ФЗ, согласно которому организациям определённых категорий запрещено применять зарубежные мессенджеры в рабочих процессах, связанных с оказанием услуг, обработкой персональных данных клиентов, а также проведением финансовых операций.

Под ограничения попадают:

• Органы государственной и муниципальной власти
• Предприятия с участием государства в уставном капитале
• Банки, микрофинансовые организации и другие учреждения финансового сектора

С 5 мая 2023 года использование указанных приложений для сбора персональных сведений или информирования клиентов о денежных переводах считается прямым нарушением законодательства РФ, будьте внимательны.

Штрафы за нарушение 152-ФЗ о Персональных данных

И вот мы плавно подошли к, пожалуй, самому важному пункту: ответственность операторов ПДн за нарушения 152-ФЗ.

Чем грозит несоблюдение изменений в ФЗ-152, тут для удобства сделала таблицу.

Таблица штрафов по ст. 13.11 КоАП РФ (нарушение законодательства в области персональных данных). Актуально на 2025 год с учетом изменений ФЗ от 30.11.2024 № 420-ФЗ:

Примечания к таблице:

• ИП приравниваются к юрлицам в частях 1.1, 8-18.
• В частях 10-18 под должностными лицами понимаются госслужащие и работники некоммерческих организаций
• В частях 10-18 под юрлицами понимаются коммерческие операторы (не госорганы и не НКО)
• Идентификатор – уникальный код, относящийся к физлицу в системе персональных данных

Но помимо административной ответственности, можно напороться и на уголовную, ведь происходит нарушение неприкосновенности частной жизни (ст. 137 УК РФ).

К частной жизни законодатель относит: сведения о происхождении, о месте пребывания или жительства, о личной и семейной жизни (ст. 152.2 ГК РФ).

И за незаконный сбор или распространение сведений о частной жизни лица (без его согласия) или распространение этих сведений в публичном выступлении/публично демонстрирующемся произведении/СМИ наказание от административного штрафа до лишения свободы сроком до 5 лет.

Санкции нехилые, поэтому рекомендую вам озадачиться пересмотром соглашений о персональных данных/политикой конфиденциальности на ваших сайтах и быть готовыми блюсти закон.

А если сомневаетесь, что у вас получится сделать все правильно и грамотно – обращайтесь к нам, поможем подготовить сайт к 152-ФЗ.

---