Федеральный закон «О персональных данных»: ключевые изменения 2025 года и что ждать в 2026-м

Суть закона «О персональных данных»

Федеральный закон № 152-ФЗ «О персональных данных» — базовый документ, который регулирует, как в России можно собирать, хранить, использовать и передавать данные о людях.

Михаил Тевс, руководитель провайдера услуг удаленного удостоверения личности IDX, поясняет: закон «О персональных данных» определяет, что такое персональные данные, кто может их обрабатывать и на каких основаниях. Закон также закрепляет ключевые обязанности оператора: иметь законное основание обработки, уведомлять Роскомнадзор о начале обработки, принимать организационные и технические меры защиты и выполнять запросы граждан на доступ, уточнение, блокирование или уничтожение их данных.

Эксперт напоминает: оператор персональных данных — это любой государственный орган, муниципальный орган, юридическое или физическое лицо, которое организует обработку персональных данных и определяет её цели, состав данных и действия с ними.

Он подчёркивает: оператором считается любой государственный орган, юрлицо или предприниматель, который организует обработку персональных данных и определяет, зачем они нужны, какие именно данные берутся и что с ними делать. На такого оператора и ложится весь комплект обязанностей, предусмотренных 152-ФЗ.

Дмитрий Шуваев, директор по маркетингу бизнес-консалтинга Б_152, дополняет, что 152-ФЗ задаёт широкий подход к тому, какие сведения считать персональными, и становится отправной точкой для всех последующих требований, изменений и штрафов в этой сфере.

Что такое персональные данные и кто за них отвечает

Федеральный закон № 152-ФЗ «О персональных данных», начинается с общих положений, а уже в третьей статье даёт ключевые определения — в том числе, что считать персональными данными. Там они описываются максимально широко: это любая информация, которая относится к прямо или косвенно определяемому человеку.

На практике, как поясняет Дмитрий Шуваев, директор по маркетингу бизнес-консалтинга Б_152, к персональным данным относятся любые сведения, по которым можно идентифицировать человека: ФИО, паспорт, телефон, e-mail, ИНН, СНИЛС, биометрия, интимная жизнь, IP-адрес, cookie, геолокация история покупок и многое другое.

Эксперт добавляет, что информация относится к персональным данным тогда, когда она имеет отношение к конкретному физическому лицу и позволяет либо точно его идентифицировать, либо описать его индивидуальные характеристики. По словам Дмитрия, прямую идентификацию обеспечивают, например, ФИО и паспортные данные, а косвенную — технические данные, как cookie-файлы, с помощью которых можно настроить таргетированную рекламу, не зная имени пользователя.

Что не считается персональными данными

Даже при таком широком определении в законе не любая информация считается персональными данными. Эксперты приводят примеры ситуаций, когда информация не относится к персональным данным:

• Само по себе ФИО без контекста не всегда персональные данные. Так, надпись «Кошкин Пётр Иванович» на листке бумаги не раскрывает чьи-то данные, пока по ней нельзя установить конкретного человека. Как только добавляются дата рождения и место работы — это уже персональные данные.
  
  
• Анонимный опрос «50% опрошенных не состоят в браке» не касается конкретных лиц и не считается обработкой персональными данными. Если рядом фиксируется ФИО и семейное положение каждого — это уже персональные данные.
  
  
• Государственный регистрационный номер автомобиля относится к машине, а не к человеку, и сам по себе номер персональными данными не является.

• Анонимные данные или данные, которые невозможно отнести к конкретному лицу без дополнительной информации, тоже не считаются персональными.

Обязанности бизнеса при обработке персональных данных

Как только компания становится оператором персональных данных, на неё «падает» весь набор обязанностей по 152-ФЗ.

Эксперты, резюмируют ключевые обязанности оператора так:

• Обеспечить законное основание обработки: согласие, договор, требование закона.
  
  
• Уведомить Роскомнадзор о начале обработки и, при необходимости, о трансграничной передаче.
  
  
• Локализовать сбор данных граждан РФ в российских базах.
  
  
• Назначить ответственного за организацию обработки и утвердить политику, локальные акты по ПД.
  
  
• Регулярно контролировать соответствие обработок закону, обучать сотрудников и оценивать риски.
  
  
• Применять организационно-технические меры защиты данных, вести учёт действий и носителей.
  
  
• Реагировать на запросы субъектов и Роскомнадзора, блокировать и исправлять данные при нарушениях, уничтожать ПД при достижении цели или отзыве согласия.
  
  
• Уведомлять Роскомнадзор в течение 24 часов о факте утечки данных и в течение 72 часов о результатах внутреннего расследования.
  
  

Закон о персональных данных в 2025 году: штрафы и риски

По словам Дмитрия Шуваева, директора по маркетингу бизнес-консалтинга Б_152, за последние годы регулирование персональных данных заметно ужесточилось, а основной акцент сместился на контроль утечек.

Штрафы за неправомерную обработку персональных данных доведены до 300 тыс. рублей, за повторное нарушение — до 500 тыс. рублей. Появились и новые штрафы: неподача уведомления об обработке персональных данных в Роскомнадзор может обойтись компании до 300 тыс. рублей, неуведомление об утечке — до 3 млн рублей, а за сами утечки теперь предусмотрены штрафы от 3 млн до 500 млн рублей, причём при повторных случаях применяются оборотные штрафы в процентах от годового оборота компании.

Одно из ключевых изменений в 2025 году — перенос дел об административных нарушениях в сфере персональных данных в арбитражные суды.Эксперты обращают внимание, что после переноса дел может измениться трактовка отдельных норм законодательства о персональных данных: арбитражные суды ориентированы на предпринимательские споры и могут подходить к таким делам иначе, чем суды общей юрисдикции. Эксперты также подчёркивают, что юристам компаний важно формировать собственные правовые позиции, а не копировать аргументы из писем регулятора или чужих решений — выводы конкретных судов нельзя использовать без учёта особенностей своей фактической ситуации.

Когда действительно нужно согласие на обработку персональных данных

Самый популярный миф по части персональных данных — «на всё нужно согласие». На самом деле согласие — лишь одно из 11 правовых оснований.

Дмитрий Шуваев, директор по маркетингу бизнес-консалтинга Б_152, отмечает, что согласие субъекта не является единственным и главным правовым основанием обработки персональных данных. Его имеет смысл использовать тогда, когда никакие другие основания не подходят. Эксперт поясняет, что во многих случаях обработка может строиться на законе, например на нормах Трудового кодекса РФ при работе с кадровыми данными, или на договоре с клиентом, и в таких ситуациях отдельное согласие не требуется.

Дмитрий Шуваев дополняет, что когда согласие всё же нужно, к нему есть жёсткие требования. Оно должно быть конкретным, сознательным и однозначным. Для ряда операций закон требует письменной формы с полным набором реквизитов субъекта, оператора, цели и перечня данных. Например, для особых категорий, биометрии, включение в общедоступные источники, полностью автоматизированные решения с юрзначимыми последствиями и передача данных работников третьим лицам.

По словам Дмитрия Шуваева, директора по маркетингу бизнес-консалтинга Б_152, для остальной обработки достаточно согласия в любой форме, позволяющей подтвердить факт получения: галочка под текстом на сайте, отдельная веб-форма, бумажный документ. Главное — не прятать согласие в договор, чтобы не нарушить ст. 9 152-ФЗ, и уметь доказать, что человек его действительно давал.

Сложные кейсы: банки, сотрудники, медицина

Банки обрабатывают максимально широкий спектр данных. У них смешиваются разные основания обработки — закон (банковское, налоговое, AML-право) и согласие клиента (маркетинг, передача партнёрам, интеграции). Отдельное ограничение, на которое указывает Дмитрий Шуваев, банковским организациям запрещено собирать и обрабатывать ПД через иностранные мессенджеры вроде Telegram, WhatsApp и Viber (согласно ч.8 ст.10 149-ФЗ ).

Всё, что нужно для исполнения трудового договора и закона ТК РФ, обрабатывается без отдельного согласия. Но как только речь идёт о передаче данных третьим лицам, фото и видео на сайте, рассылках и прочем «сверх ТК» — нужно письменное согласие по строгим требованиям ч. 4 ст. 9 152-ФЗ. Эксперты делятся чек-листом для работодателей:

• В согласии должна быть только одна цель. Под каждую — отдельный документ.
• Нужно указать паспортные данные работника.
• Подпись — собственноручная или электронная.
• Работодатель обязан ознакомить сотрудников с политикой и локальными актами.

По словам Бориса Зингермана, генерального директора ассоциации медицинских информатиков НАМИ-НБМЗ, требования ФЗ-152 усилили и перекрыли режим медицинской тайны, создав у врачей «запуганность» в отношении любых действий с данными. Закон требует письменных согласий, жёстких формулировок целей, перечисления всех получателей и готовности уничтожить обезличенные данные по отзыву. Нормативная база по обезличиванию до конца не проработана, поэтому отрасль вынуждена рассчитывать на экспериментальные правовые режимы, судьба которых пока не очевидна.

В разных отраслях к персональным данным подходят по-разному, но базовые требования одинаковы для всех.

Что делать бизнесу прямо сейчас

Распространение персональных данных, то есть любое раскрытие данных неопределённому кругу лиц, эксперты называют рискованной операцией для оператора. Ошибки здесь могут обернуться штрафами до 20 млн рублей или 6% годовой выручки, а также репутационными потерями и исками от клиентов.

Дмитрий Шуваев также отмечает: чтобы не потеряться в своих процессах, операторы всё чаще ведут реестр персональных данных — это внутренний документ, который описывает все цели и операции обработки. Формальных требований к нему в законе нет, но практика показывает, что он сильно упрощает подготовку уведомлений, политик, согласий и поручений. Вести и актуализировать такой реестр — зона ответственности ответственного за организацию обработки персональных данных.

Эксперты делятся чек-листом для легального сбора данных:

1. Чётко сформулировать цель обработки.
   
   
2. Отразить её в уведомлении, политике и договорах с подрядчиками.
   
   
3. Определить правовое основание и подготовить соответствующий документ.
   
   
4. Соблюсти требования локализации базы и минимальной достаточности: собирать только то, что реально нужно для цели.

Какие изменения в законе «О персональных данных» ждать в 2026 году

Точного текста всех поправок пока нет, но в профессиональной среде уже обсуждаются контуры ближайших изменений.

По словам Дмитрия Шуваева, директора по маркетингу бизнес-консалтинга Б_152, сейчас обсуждается пакет поправок «Антифрод-2». Он предполагает, что операторы будут собирать согласия только в тех случаях, когда закон прямо требует их получения, и вводит функционал сбора и управления согласиями через сервис «Госуслуги».

Эксперт также отмечает, что эта инициатива продолжает курс Роскомнадзора по уменьшению согласий, а, по словам вице-премьера, главы Аппарата Правительства Дмитрия Григоренко, до конца 2025 года законопроект планируется внести на рассмотрение депутатов.

Основной тренд 2026 года, по мнению Шуваева, — отказ от согласий как универсального костыля. Операторам придётся провести ревизию процессов и переехать на другие основания: требования закона, договор, законный интерес. Параллельно нужно следить за отраслевыми стандартами обработки персональных данных, которые будут описывать цели и процессы и позволять работать без согласий в ряде сценариев.

Александра Орехович также отмечает: с 2026 года может заработать автоматизированная система мониторинга. Роскомнадзор сможет дистанционно сканировать сайты и политики обработки персональных данных, выявлять нарушения и инициировать внеплановые проверки. А количество операторов, о которых знает регулятор, уже перевалило за два миллиона — за счёт штрафов за неуведомление.

Картина будущего от экспертов

В картине будущего, которую рисуют эксперты, меньше согласий, больше осмысленной обработки и стандартизации.

Александр Партин, адвокат и партнёр компаленс-компании Privacy Advocates, отмечает, что, несмотря на официальное снижение количества утечек, их по-прежнему много, поэтому ключевой тренд для операторов — минимизация обработки персональных данных и усиление защиты.

Эксперт прогнозирует, что всё больше внимания будет уделяться технологиям защищённой обработки — privacy enhancing technologies, а также созданию так называемых спецоператоров — крупных компаний, которые смогут «под ключ» брать на себя обработку данных за малый и средний бизнес.