Как работать с персональными данными в 2025 году: изменения с 1 сентября

Для тех, кому нужно освежить в памяти основные термины, в начале материала есть вводные разделы. Если вы глубоко погружены в тему персональных данных, сразу переходите к главе «Как поменялись требования».

Персональные данные (ПДн) — это любая информация, которая прямо или косвенно относится к физическому лицу. По ним можно понять, что вы — это вы и никто иной.

Например, персональными данными считаются полные Ф. И. О., дата и место рождения, номер и серия паспорта, адрес регистрации. А само по себе имя или, допустим, госномер не относятся к ПДн, потому что по ним нельзя идентифицировать конкретного человека.

Основной акт, который регулирует работу с персональными данными, — Федеральный закон «О персональных данных» от 27.07.2006 №152-ФЗ. Чтобы разобраться в нем и других нормативных документах, важно знать термины:

• Субъект ПДн — физическое лицо, к которому относится информация.
• Оператор ПДн — орган, компания или физическое лицо, которые определяют состав персональных данных, собирают их, обрабатывают и хранят.
• Обработка ПДн — любое действие с персональными данными: сбор, систематизация, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление.

Операции с информацией об одном и том же субъекте могут совершать несколько операторов. Например, в облаке компания-заказчик собирает и использует данные в бизнес-целях, а провайдер отвечает за хранение. 

Для чего компании используют персональные данные

Организации обрабатывают персональные данные сотрудников и клиентов, чтобы повышать продажи, соблюдать безопасность, упрощать бизнес-процессы. Рассмотрим частые сценарии использования ПДн.

Кадровый учет. На HR-платформах и в информационных системах персональных данных (ИСПДН) хранят Ф. И. О. персонала, даты и места рождения, паспортные данные, СНИЛС, ИНН, контакты. Также у компаний есть сведения о должностях сотрудников, зарплате, семейном положении, состоянии здоровья.

Персонализация в интернет-магазинах. Бизнес собирает Ф. И. О., контакты и адреса покупателей для доставки товаров. В системах аналитики хранится история покупок, идентификаторы заказов, платежные данные.

Видеонаблюдение с распознаванием лиц. Для таких систем нужны фото и видео с изображением лиц, биометрические шаблоны и векторы. На записях указаны время и место съемки, а в базах сохранены идентификаторы пропусков и посетителей.

Колл-центр с голосовой биометрией. Во внутренних системах хранятся записи разговоров, номера телефонов, метаданные звонка и акустические модели для идентификации.

Обучение и использование LLM. К персональным данным относятся тексты запросов, учетные записи, лог-метаданные и биометрия.

Во всех этих процессах важно правильно хранить и защищать данные.

Как изменились требования к работе с персональными данными

С 1 сентября 2025 года действуют поправки к 152-ФЗ и отдельные законодательные акты, которые вносят изменения в правила обработки ПДн. Для бизнеса наиболее важны следующие требования:

Локализация хранения при сборе — только в России. Согласно ч. 5, ст. 18 152-ФЗ, реплики, бэкапы и DR-сайты с персональными данными граждан РФ должны храниться в только в отечественных дата-центрах. Запись, накопление и хранение за рубежом запрещены, а иностранные регионы и SaaS-аналитику с записью ПДн необходимо заменить.

Обезличивание по утвержденным методам. Это снижает риск реидентификации и исключает ненадежные способы работы с данными. Для обезличивания можно применять только методы из приказа Роскомнадзора №140: введение идентификаторов, изменение состава и семантики данных, перемешивание, декомпозиция, преобразование. Перед любым использованием или передачей ПДн необходимо проверить, что повторная идентификация с протоколом невозможна, а при смене алгоритмов или моделей — переобезличивать информацию.

Согласие на обработку ПДн — в отдельном окне. По обновленной ч. 1, ст. 9 152-ФЗ, текст согласия нельзя прятать в договор, оферту или политику сайта. Также необходимо хранить информацию о том, кто, когда и какую версию документ принял. Так вы сможете доказать, что получили согласие пользователя законно.

Раздельное хранение исходных ПДн. Требование из приказа Роскомнадзора №140 распространяется на резервные копии и DR. Единые склады и бэкапы запрещены. Необходимы три разных сегмента или хранилища, а также разные права доступа — например, чтобы имя, фамилия и отчество субъекта находились в разных местах. Так с одним доступом у киберпреступников не получится опознать личность.

Реестр и журналирование операций с обезличенными данными. Согласно новой статье 13.1 152-ФЗ, оператор ПДн обязан вести реестр обезличивания с указанием источника, метода, параметров, даты, ответственного и места хранения. В журнале нужно фиксировать, когда, кому, какие данные и на каком основании вы передали.

Передача обезличенных данных в ГИС Минцифры в установленном составе. По статье 13.1 в 152-ФЗ, операторы обязаны по требованию передавать обезличенные данные. Чувствительные категории, в том числе биометрию, нужно включать в состав, только если это прямо указано.

Как изменились штрафы за утечки и как их смягчить

С 1 сентября 2025 года штрафы за утечку персональных данных увеличились для юридических лиц, индивидуальных предпринимателей, самозанятых и граждан. Для граждан также предусмотрены денежные санкции за неуведомление об инцидентах.

Можно снизить штрафы или избежать их, если данные хранились в соответствии с правилами, но были украдены киберпреступниками. Чтобы доказать это, задокументируйте добросовестность до инцидента: заранее создайте и исполняйте внутренние регламенты, обучите персонал кибербезопасности, проведите сегментацию и контролируйте доступы.

Также смягчить санкции помогут оперативные и последовательные действия после инцидента:

Шаг 1. В течение 24 часов уведомите Роскомнадзор об инциденте через электронную форму «Инциденты», войти можно через Госуслуги. Это считается содействием органу.

Шаг 2. Оперативно остановите распространение данных — снимите дампы с публичных площадок, обратитесь к хостерам, заблокируйте ссылки.

Шаг 3. Расследуйте инцидент и устраните уязвимость. Сохраните логи, артефакты и акты, поменяйте ключи и пароли. Предоставьте максимум информации об утечке. 

Шаг 4. В течение 72 часов уведомите Роскомнадзор о ходе расследования.

Из-за чего происходят утечки

Часто персональные данные утекают через распространенные уязвимости. Проверьте их у себя, чтобы минимизировать нарушения.

• Логи и телеметрия — IP, cookie, user-ID в зарубежных лог-хранилищах и дашбордах относятся к персональным данным.
• Тест/Dev — копии прод-БД в тестовых средах без обезличивания, выгрузка их в общие диски для аналитики.
• Вендоры и подрядчики — встраиваемые виджеты, маркетинговые платформы, колтрекинг и антифрод записывают персональные данные.
• Облако — снимки дисков, объектное хранилище, CDN часто находятся вне основного региона, что повышает риск.
• ИИ-инструменты — заливка клиентских данных во внешние модели и сервисы без обезличивания и локального контура.

Снизить риск компрометации ПДн помогает размещение в готовой облачной инфраструктуре, которая разработана специально для хранения персональных данных. У VK Cloud в свободном доступе есть аттестаты и сертификаты соответствия облачного сегмента: УЗ1, ГОСТ Р, PCI DCC. Они подтверждают безопасность и соответствие системы 152-ФЗ.

Изменения в 152-ФЗ — коротко

1 сентября 2025 года вступили в силу новые требования, которые касаются обработки персональных данных.

Локализация хранения при сборе — только в России. Реплики, бэкапы и DR-сайты с персональными данными граждан РФ могут храниться только в отечественных ЦОД.

Согласие на обработку ПДн — в отдельном окне. Текст нельзя прятать в договор, оферту, политику сайта. Важно хранить информацию о том, кто, когда и какую версию согласия принял.

Раздельное хранение. Для резервных копий и DR единые склады и бэкапы запрещены — необходимы три разных сегмента или хранилища, разные права доступа.

Журналирование операций. Оператор должен вести реестр обезличивания с источниками, методами, параметрами, датами, ответственными и местами хранения. А также фиксировать, когда, кому, какие данные и для чего передали.

Работа с обезличенными данными. Для обезличивания можно применять только методы из приказа Роскомнадзора №140. Также по требованию информацию нужно передавать в ГИС Минцифры в установленном составе.