Масштабные изменения в 152-ФЗ: что бизнесу нужно знать о новых правилах с 1 сентября 2025 года

С 1 сентября 2025 года вступили в силу два ключевых федеральных закона (№ 156-ФЗ и № 233-ФЗ), которые кардинально меняют правила работы с персональными данными. Нововведения затрагивают два основных направления: порядок получения согласия на обработку данных и легализацию работы с обезличенными данными. Для компаний это означает как новые возможности, так и возросшие требования к compliance.

Цель законодателя — найти баланс между защитой приватности граждан и созданием условий для развития технологий и анализа больших данных. Бизнесу необходимо оперативно адаптировать внутренние процессы, чтобы использовать новые возможности и избежать значительных штрафных рисков.

1. Согласие как отдельный документ: ужесточение правил

Поправки, внесенные законом № 156-ФЗ, прямо запрещают включать согласие на обработку персональных данных в состав других документов — договоров, оферт или заявлений.

Что было: Возможность «спрятать» согласие в виде clauses (пунктов) в других документах.

Что стало: Согласие должно быть оформлено исключительно в виде отдельного, самостоятельного документа. Каждая цель обработки (основная деятельность, рекламные рассылки, передача партнерам) требует получения отдельного согласия.

Практическое значение: Компаниям пришлось провести аудит всех точек сбора данных (сайт, договоры, формы) и разработать новые, изолированные бланки согласий. Нарушение грозит штрафами по ст. 13.11 КоАП РФ: для юрлиц — до 700 тыс. рублей, а при повторном нарушении — до 1,5 млн рублей.

2. Обезличенные данные: новые возможности и обязанности

Закон № 233-ФЗ ввел новую статью 13.1 в 152-ФЗ, которая создает правовой режим для работы с обезличенными данными.

• Обработка без согласия: Ключевое нововведение — надлежащим образом обезличенные данные теперь можно обрабатывать без получения согласия субъекта. Это открывает возможности для аналитики, машинного обучения и передачи данных третьим лицам в исследовательских и коммерческих целях.
• Обязательная передача государству: Операторов могут обязать предоставлять обезличенные данные в государственную информационную систему (ЕИП НСУД) по запросу Минцифры. При этом формировать такие наборы из биометрических данных запрещено.
• Ужесточение требований к методам: Обезличивание должно быть необратимым. Запрещено хранить обезличенные данные вместе с исходными, раскрывать методики обезличивания третьим лицам. Роскомнадзор актуализировал требования к методам (псевдонимизация, изменение состава данных, декомпозиция, перемешивание).

Практическое значение: Обезличивание перестало быть факультативной мерой. Теперь это часто — обязанность оператора в конце жизненного цикла данных или при их передаче. Компаниям необходимо:

• Разработать и утвердить внутренние регламенты обезличивания.
• Внедрить технические средства для надежной анонимизации.
• Обеспечить раздельное хранение обезличенных и персональных данных.
• Назначить ответственных за взаимодействие с государственной системой ЕИП НСУД.

Итоги для бизнеса: что делать сейчас?

Новые правила создают для организаций два вектора работы:

1. Защита и compliance. Ужесточение требований к согласию означает необходимость срочного аудита и пересмотра всех процессов сбора данных. Одновременно возросла ответственность за некорректное обезличивание.

2. Возможности для развития. Легализация работы с обезличенными данными открывает путь к новым бизнес-моделям, основанным на аналитике big data, развитию AI-продуктов и безопасному обмену данными с партнерами.

Рекомендуемые шаги:

1. Провести аудит процессов обработки ПДн на соответствие новым требованиям к согласию.
2. Разработать отдельные бланки согласий для разных целей обработки.
3. Начать внедрение регламентов и технологий для надлежащего обезличивания данных.
4. Внести соответствующие изменения в Политику обработки персональных данных и иные локальные акты.