Изменения в 152-ФЗ в 2025 году: что ждет бизнес с 1 сентября

📅 Опубликовано:
⏱ Время чтения: 1 мин
👁 Просмотров: 83
Изменения в 152-ФЗ в 2025 году: что ждет бизнес с 1 сентября

Все основные изменения в Федеральном законе №152-ФЗ «О персональных данных», которые вступают в силу с 1 сентября 2025 года. Новые обязанности для операторов, требования к сайтам, работа с согласиями. Анализ и готовые решения.

Если майские поправки 2025 года ударили по кошельку бизнеса через штрафы, то сентябрьские изменения в сам 152-ФЗ ломают устоявшиеся процессы работы с персональными данными. Законодатель не просто ужесточает наказание, а перестраивает саму систему отношений между оператором и субъектом.

Личный опыт: Мы уже начали получать вопросы от клиентов, которые обновляют свои сайты. Раньше можно было ограничиться галочкой «Я согласен». Теперь же, чтобы не нарушать новые требования к информированию, приходится полностью перерабатывать формы сбора данных и политики конфиденциальности.

Ключевые изменения в 152-ФЗ с 1 сентября 2025 года: ТОП-5 нововведений

  1. Расширенный объем информации при сборе ПДн.
    Раньше можно было указать лишь цели обработки. Теперь оператор обязан до получения согласия предоставить субъекту полную информацию, включая:

    • Сроки обработки по каждому основанию.

    • Перечень действий с данными, которые будут совершаться.

    • Способ отзыва согласия.

    • Последствия отзыва согласия.

    *Практический пример: На сайте при регистрации теперь нужно не просто поставить галочку, а дать ссылку на документ, где расписано, что вы храните email 3 года для рассылок, а телефон — 2 года для смс-напоминаний, и что отозвать согласие можно по email на info@site.ru, после чего все данные будут удалены.*

  2. Ужесточение требований к политике конфиденциальности.
    Политика на сайте перестает быть «дежурной страницей». Она должна содержать всю информацию, предусмотренную ст. 18.1 152-ФЗ, включая сведения о реализуемых требованиях к защите данных и порядке их выполнения.

  3. Новые правила обработки данных сотрудников.
    Несмотря на то, что трудовые отношения являются отдельным основанием для обработки, работодатель теперь обязан локальным актом (например, положением) установить четкие перечни данных, цели и сроки их обработки, а также ознакомить с этим каждого сотрудника под подпись.

  4. Усиление контроля за обезличиванием.
    Закон четче прописывает требования к обезличенным данным. Теперь это не просто «убрал ФИО». Процедура обезличивания должна быть такой, чтобы исключалась возможность обратного преобразования данных без использования дополнительной информации, хранящейся отдельно.

  5. Прямая обязанность прекратить обработку и уничтожить данные.
    По истечении срока обработки или при отзыве согласия оператор обязан не просто «перестать использовать» данные, а провести их актуальное уничтожение. Факт уничтожения должен быть документально зафиксирован.

Сравнительная таблица: Было / Стало (на примере формы на сайте)

 
 
Аспект Было (до 01.09.2025) Стало (с 01.09.2025)
Согласие на обработку Галочка и ссылка «согласен с политикой». Галочка + явная ссылка на полную информацию, включающую сроки, способы отзыва и последствия.
Политика конфиденциальности Часто шаблонный документ. Детализированный документ, являющийся частью публичной оферты, со всеми требованиями ст. 18.1.
Данные сотрудников Обработка в рамках трудового договора, часто без детального информирования. Обязательное наличие Положения о обработке ПДн сотрудников и ознакомление под подпись.
Уничтожение данных Фактически не контролировалось. Прямая обязанность с необходимостью документального подтверждения.

Кейс: Как мы помогли онлайн-школе подготовиться к сентябрю

Задача: Клиент — онлайн-школа с аудиторией 20 000+ учеников. Сайт собирал данные через стандартные формы, политика была шаблонной.
Проблема: Новые требования делали старую систему нерабочей. Риск штрафов за неинформирование и несоблюдение сроков.
Наше решение:

  1. Мы разработали новую Многоуровневую политику конфиденциальности. Первый уровень — краткая сводка прямо в форме подписки. Второй уровень — полный текст политики по ссылке.

  2. Для каждой формы на сайте прописали целевые страницы информирования. Для вебинара — одни сроки хранения email для доступа к записи. Для покупки курса — другие.

  3. Внедрили процедуру отзыва согласия через личный кабинет ученика и по заявке на email.

  4. Настроили в CRM автоматические уведомления о необходимости уничтожения данных, срок обработки которых истек.

Итог: Клиент не просто избежал штрафов, а повысил лояльность аудитории за счет прозрачности работы с их данными.

Чек-лист «Что проверить до 1 сентября 2025»

  • Аудиторский пересмотр всех форм сбора данных на сайте и в офлайне.

  • Разработка/актуализация Политики конфиденциальности в соответствии со ст. 18.1 152-ФЗ.

  • Создание и внедрение Положения об обработке ПДн сотрудников.

  • Разработка простого и понятного механизма отзыва согласия.

  • Внедрение регламента по уничтожению данных с истекшим сроком обработки.

Изменения фундаментальны. Готовиться нужно уже сейчас, чтобы не стать «крайним» на волне первых же проверок Роскомнадзора после вступления поправок в силу.

← Вернуться к статьям