Жизнь после поправок к 152-ФЗ: три месяца спустя

Привет, герой бизнеса!

Прошло три месяца после вступления в силу нашумевших поправок к закону о персональных данных.

За это время компании разделились: одни успели перестроить процессы, другие ограничились формальными мерами, а часть продолжает работать «по-старинке».

С 1 сентября началась вторая волна изменений — с новыми требованиями к форме согласий и правилам по обезличенным данным.

В статье мы разберём, что уже произошло, какие прецеденты есть на рынке и как бизнес адаптируется к новым требованиям 152‑ФЗ.

Нормативная база: основные нововведения

• Федеральный закон № 420-ФЗ от 30.11.2024 внёс изменения в Кодекс об административных правонарушениях (КоАП) — часть новых норм начала действовать с 30 мая 2025: значительное увеличение штрафов, ввод новых составов правонарушений в сфере ПДн и, в некоторых случаях, оборотные (процент от оборота) санкции.
• Федеральный закон № 233-ФЗ от 08.08.2024 (и сопутствующие поправки) вводит с 1 сентября 2025 новые правила по оформлению согласий и по обязанности передавать регулятору/ГИС обезличенные массивы данных по запросу. Главное изменение: согласие на обработку ПДн, оформляемое как отдельный документ/форма, а не «вшитое» в оферту или политику.

Что это значит (в одном предложении):

Майские поправки сделали ответственность реальной и дорогостоящей, сентябрьские — формализуют процедуру получения согласий и усиливают контроль над массивами данных.

Какие риски несёт бизнес и за что наказывают компании

Ужесточение штрафов и новые составы нарушений.

За непредставление уведомления о начале обработки — штрафы для организаций в диапазоне~100—300 тыс. ₽; за несообщение об утечке —1—3 млн ₽; за массовую утечку (по числу пострадавших) — многомиллионные суммы (пороговые диапазоны — миллионы рублей). Кроме того, в ряде случаев вводятся оборотные штрафы (процент от выручки).

Уведомления.

Теперь обязательна подача уведомления в Роскомнадзор до начала обработки (а также срочное уведомление при инциденте; регламент очень жёсткий, фактически 24-часовой лимит на старт расследования/информирование).

Форма согласия (c 1 сентября 2025).

Согласие должно быть оформлено отдельным документом/электронной формой. Нельзя спрятать его в пользовательском соглашении или оферте; для согласий, выданных после этой даты несоответствие считается отсутствием согласия.

Трансграничная передача и первичная обработка.

Запреты/ограничения на первичную обработку ПДн на зарубежных платформах (требование первичного размещения/записи в РФ) и усиленная проверка электронных виджетов/сервисов (аналитика, формы, чат-боты).

Первые итоги: статистика проверок и прецеденты

• Об утечках и проверках. По данным Роскомнадзора, за первое полугодие 2025 ведомство зафиксировало 35 фактов утечек, в результате которых в сеть попало более 39 млн записей. По некоторым утечкам уже составлены протоколы. Это сигнал: проблема массовая, инциденты крупные и регулятор это считает приоритетом. (Источник: TASS.ru)

• Показательный кейс. Роскомнадзор (и суд) впервые публично привлёк к ответственности банк за пересылку персональных данных через иностранный мессенджер — штраф 200 000 ₽ (прецедент по статье, связанной с запретом иностранного мессенджера для финансовых коммуникаций). Название банка в сообщении РКН не раскрывается. Этот случай демонстрирует, что даже «рутинные» коммуникации сотрудников (WhatsApp) могут стоить дорого. (Источник: РКН)

• Количество предписаний/протоколов. В первом полугодии 2025 по фактам утечек составлено несколько протоколов (в СМИ — цифры о 6 протоколах на отдельные инциденты), а число внеплановых и автоматизированных проверок со стороны РКН выросло. (Источник: Интерфакс)

Как реагируют компании. Четыре типичных сценария

A. «Полный аудит и масштабная подготовка» — крупный бизнес и финтех

Что делают:

Проводят глубокие аудиты (юридические + ИТ), пересматривают политику конфиденциальности, внедряют сервер-сайд сбор данных, переводят первичные записи в российские БД, подписывают дополнительные соглашения с подрядчиками, настраивают IR-процедуры. Это наиболее безопасный путь.

Пример:

Компания РосКом24 заказала полный аудит своего сайта и всех связанных сервисов: юридический и ИТ-анализ, проверку договоров с внешними подрядчиками, формы согласий для клиентов и сотрудников, оформление уведомления в Роскомнадзор. В рамках подготовки был реализован сервер-сайд сбор некоторых аналитических данных, чтобы минимизировать прямую передачу данных клиента через сторонние виджеты.

B. «Временные решения и быстрые правки»

Что делают:

Ставят поверхностные cookie-баннеры, обновляют «шапку» политики, формально назначают ответственного.

Часто этого недостаточно:

Автоматизированные проверки РКН и более глубокие запросы выявляют несоответствия. Много советов по минимальным правкам опубликовано в практических гайдах и статьях.

✅ В нашей «Геройской папке» вы можете скачать бесплатно «Чек-лист соответствия и самопроверки сайта требованиям 152-ФЗ в 2025 году»

C. «Продолжаем на свой страх и риск» — маленькие компании и ИП

Что делают:

Оставляют старые формы согласий, продолжают пользоваться иностранной аналитикой/CRM без изменений. Это краткосрочно экономит ресурсы, но повышает риск предписаний и штрафов.

В ряде отраслей именно такие фирмы чаще всего попадают в поле зрения.

Так, интернет-магазины часто становятся объектом внимания регуляторов, даже если нарушения на первый взгляд незначительные: использование retargeting-скриптов, pop-up-форм для сбора email/телефонов, хранение клиентских данных в CRM без достаточной защиты.

D. «Техническая миграция на российские решения» — провайдеры и провизоры облаков

Что делают:

Поставщики облаков и сайты начинают предлагать готовые решения для локализации и соответствия (новые российские облачные IaaS и сертифицированные сервисы).

Пример:

Несколько отечественных провайдеров объявили о запуске облаков, позиционируемых как соответствующие требованиям 152-ФЗ. Это даёт альтернативу международным платформам.

Серые зоны: где регулятор и бизнес пока не пришли к единому пониманию

1. Старые согласия (до 1 сентября 2025). Закон говорит, что согласия, выданные ранее, по умолчанию не требуют переподписания, если они соответствуют новым требованиям. На практике возникает много сомнений: соответствуют ли старые формы новым стандартам информированности и структурирования. Юридические разборы рекомендуют провести ревизию старых согласий.
2. Трансграничная передача. Правила детализации и исключения пока работают не до конца прозрачно, особенно в связке с SaaS, аналитикой и CRM. Любые операции с иностранными сервисами должны быть спроектированы так, чтобы первичные данные хранились в России, а сбор через сторонние платформы осуществлялся server‑side, что позволяет соблюсти требования закона.
3. Cookies и аналитика. Не каждое cookie = персональные данные. Но если они сочетаются с идентификаторами и используются для ретаргетинга, набор превращается в ПДн. Проверки на сайтах ускоряются, включая автоматизированные сканеры, а значит, простой баннер cookie уже не гарантирует соответствие закону.
4. Малый бизнес и ресурсы. У малого и среднего бизнеса часто не хватает внутренних ресурсов и экспертизы для полноценного аудита и миграции данных в соответствии с 152‑ФЗ. Из-за этого многие компании ограничиваются формальными правками на сайте или временно приостанавливают сбор определённых данных. Для регулятора эта зона остаётся самой непрозрачной и непредсказуемой, поскольку сложно оценить, насколько компании действительно соблюдают требования, и именно здесь чаще всего выявляются нарушения при проверках.

⚠️ Малые компании без ресурсов на аудит и адаптацию данных находятся в зоне повышенного риска для регулятора.

Прогнозы: что можно ждать в ближайшие 6–12 месяцев

Усиление автоматических и плановых проверок РКН(включая авто-сканирование сайтов на сторонние виджеты/инструменты).

Появление показательных многомиллионных штрафов для крупных операторов (эксперты ожидают эскалацию в отношении игроков e-commerce и финтеха).

Ускорение миграции на российские облака и «сервер-сайд» архитектуры как техническая реакция рынка. Поставщики уже предлагают готовые продукты для перевода данных в РФ.

Рост спроса на услуги «compliance + security»: юридические фирмы, MSSP и интеграторы получают запросы на аудит и внедрение.

Заключение

Три месяца после поправок к 152-ФЗ показали: жить «по-старому» уже невозможно. Регулятор усилил контроль, штрафы выросли, а автоматические проверки стали реальностью.

Но вместе с этим рынок начал формироваться заново — появляются российские облака, готовые решения и сервисы, которые помогают бизнесу быстрее адаптироваться.

Главный вывод: выигрывают те, кто воспринимает комплаенс не как дополнительную бюрократию, а как стратегию защиты данных и репутации.

Если вы сомневаетесь, соответствует ли ваш сайт новым требованиям 152-ФЗ, мы можем провести аудит: проверить формы согласия, cookie-баннеры, хранение и обработку данных, интеграции с внешними сервисами.

По результатам вы получите список доработок и рекомендации. При необходимости — реализуем технические изменения.

➡️ Подробнее на странице услуги