С конца мая 2025 года на территории РФ вступили в силу обновления к закону 152-ФЗ, регламентирующему работу с персональными данными (ПДн). Новый порядок затрагивает всех операторов ПДн (от федеральных корпораций до локального бизнеса).
Кого касаются изменения
Если в компании есть сайт с формами, база клиентов, email-рассылки, корпоративный портал или CRM, значит вы обрабатываете персональные данные. В частности, к операторам относятся:
- Юридические лица, обрабатывающие персональные данные через сайты, CRM-системы или клиентские базы;
- Компании, использующие аналитику и рекламные инструменты;
- Организации, взаимодействующие с подрядчиками или внешними сервисами;
- Владельцы онлайн-ресурсов, применяющих cookie-файлы и другие технологии слежения;
- Субъекты, передающие данные за пределы РФ, в том числе через облачные платформы.
HR: Вакансии
Курьер в Яндекс.Еда/Яндекс.Лавка
EPC 23,44 ₽
EPL 322,87 ₽
CR 7,26%
AR 3,83%
до 35 471 ₽
+351 
HR: Вакансии
Курьер/Повар-кассир в Burger King
EPC 10,59 ₽
EPL 78,34 ₽
CR 13,52%
AR 0,51%
до 15 840 ₽
+158
HR: Вакансии
Работа в Т-Банке (Массовый набор)
EPC 4,13 ₽
EPL 147,69 ₽
CR 2,79%
AR 1,76%
до 7 875 ₽
+78
HR: Вакансии
СберМаркет // Вакансии
EPC 2,56 ₽
EPL 10,45 ₽
CR 2,79%
AR 0,23%
до 4 875 ₽
+48
Основные положения, вступившие в силу
Изменения в правилах получения согласия
Согласие на обработку ПДн должно быть оформлено отдельно для каждого вида данных. Требуются конкретные формулировки:
- Какие сведения обрабатываются;
- С какой целью;
- На какой срок;
- Способ отзыва согласия.
Также обязательным стало получение отдельного согласия на:
- Поведенческую аналитику (клики, скроллы, длительность сессий);
- Использование cookie-файлов в целях аналитики и маркетинга;
- Передачу данных третьим лицам и подрядчикам.
Локализация хранения данных
Информация о гражданах РФ подлежит обязательному хранению на территории России. Использование иностранных сервисов без разрешения запрещено. Примеры сервисов, подпадающих под ограничение:
- Google Analytics, Google Таблицы;
- Meta Pixel и аналогичные инструменты;
- Хостинги, не сертифицированные в РФ.
Для трансграничной передачи данных необходимо получить разрешение и внести сведения в реестр Роскомнадзора.
Требования к документации
Операторы персональных данных обязаны:
- Опубликовать и поддерживать в актуальном состоянии положение об обработке ПДн;
- Иметь внутренний регламент на случай утечки информации;
- Вести журнал обращений субъектов данных (срок хранения — 3 года);
- Пройти сертификацию, если ежегодно обрабатывается свыше миллиона записей;
- Уведомить Роскомнадзор об актуальном составе и целях обработки данных;
- Назначить ответственного за защиту персональных данных.
Изменения в работе с персоналом и клиентами
- Согласие должно предоставляться отдельно, не в составе общего договора;
- При передаче данных сторонним организациям требуется отдельное согласие;
- Документы о согласии сотрудников (включая внештатных) должны быть оформлены и храниться надлежащим образом.
Работа с цифровыми каналами
- Политику конфиденциальности нужно разместить в открытом доступе;
- Формы на сайте должны содержать чекбокс согласия;
- Cookie-баннер должен давать пользователю возможность выбора;
- Скрипты и плагины, обменивающиеся данными с иностранными серверами, подлежат удалению.
Штрафы и административные меры
С июня 2025 года действует обновленная система санкций за нарушения закона. Установлены следующие меры ответственности:
- До 700 000 рублей за отсутствие согласия;
- До 6 000 000 рублей за несоблюдение требований по хранению и защите данных;
- До 3 000 000 рублей за отсутствие уведомления в Роскомнадзор;
- Оборотные штрафы при повторных утечках (в процентах от выручки).
Если вы не адаптировали процессы, сейчас самое время провести аудит, закрыть правовые и технические дыры, обновить соглашения, удалить иностранные инструменты и актуализировать документы.
