Изменения в 152-ФЗ с 1 сентября 2025 года: новые правила для онлайн-бизнеса

С первого дня осени 2025 года в силу вступят новые нормы закона № 152-ФЗ «О персональных данных», вносящие ряд серьезных корректив. Они напрямую коснутся каждого, кто собирает данные клиентов в интернете: владельцев интернет-магазинов, ИП, работающих через соцсети и маркетплейсы, фрилансеров и самозанятых. Государство ужесточает правила, и главная цель — защита прав граждан. Но для бизнеса это не повод для паники, а четкий план действий. Разберемся, что меняется и как подготовиться без лишнего стресса.

Ключевые изменения в 152-ФЗ для онлайн-бизнеса

Поправки, внесенные законами № 233-ФЗ и № 156-ФЗ, вводят несколько новых обязанностей для операторов персональных данных. Оператором является любой человек или организация, если собирает на сайте ФИО, телефоны или email клиентов.

1. Согласие на обработку персональных данных по-новому

Это одно из главных изменений ФЗ-152. Раньше галочка о согласии часто была «спрятана» в общей форме заказа. Теперь правило строгое:

• Согласие должно быть оформлено отдельно от любых других документов (оферты, договора, заявки на услугу).
• Его нельзя совмещать с акцептом публичной оферты.

В форме необходимо четко прописать:

• Цели обработки (например, «для оформления заказа и доставки»).
• Перечень данных, которые вы собираете.
• Сведения обо всех третьих лицах (подрядчиках), которым вы можете передавать данные: сервисы email-рассылок, CRM-системы, курьерские службы.
• Срок действия согласия и способ его отзыва.

2. Новые правила обезличивания данных

С 1 сентября 2025 года у операторов появляется обязанность по запросу регулятора передавать обезличенные массивы данных в государственные информационные системы (ГИС). Это не касается биометрии и данных о здоровье.

• Обезличивание персональных данных 2025 — это процесс, после которого невозможно определить принадлежность информации конкретному человеку без использования дополнительных ключей.
• На практике это означает, что вам нужно будет иметь техническую возможность «очистить» данные от прямой привязки к клиенту (например, заменить имя и email на уникальный идентификатор) и сформировать такой массив для передачи.

3. Хранение и удаление данных

Закон усиливает акцент на принципе «храните только то, что необходимо, и ровно столько, сколько нужно».

• В политике конфиденциальности нужно четко прописывать сроки хранения персональных данных.
• Необходимо настроить процессы своевременного удаления данных, которые больше не нужны для заявленных целей. Например, данные клиента, который не делал заказы несколько лет.
• Обезличивание может стать альтернативой полному удалению для аналитических задач.

Штрафы за персональные данные с 1 сентября 2025

С 1 сентября 2025 года закон № 420-ФЗ ужесточает наказание за утечки персональных данных. Размер штрафов теперь напрямую зависит от масштаба инцидента:

• Утечка 1-10 тыс. записей: для юрлиц — до 5 млн руб., для ИП — 200-400 тыс. руб. (как для должностных лиц).
• Утечка более 100 тыс. записей: для юрлиц — до 15 млн руб., для ИП — до 600 тыс. руб.

За повторное нарушение компаниям грозит штраф в размере от 1% до 3% от годовой выручки.

Более подробно штрафные санкции рассмотрены в статье о подготовке к работе с персональными данными.

Что будет проверять Роскомнадзор в первую очередь

Регулятор придет с проверкой чаще всего после жалобы клиента. Проверят: наличие правильно оформленного согласия для сайта, актуальную политику конфиденциальности, законность передачи данных подрядчикам и вашу реакцию на запрос субъекта об удалении его данных.

Что нужно сделать интернет-магазину или сервису прямо сейчас

Чтобы спокойно работать после 1 сентября 2025, начните готовиться уже сейчас. Вот практические шаги:

1. Обновите политику конфиденциальности. Опишите в ней все новые процессы: обезличивание, передачу данных в ГИС, уточните сроки хранения.
2. Переделайте формы согласий. Сделайте получение согласия отдельным явным шагом. Укажите всех операторов (курьеры, SMS-сервисы, CRM) и цели.
3. Проверьте договоры с подрядчиками. Убедитесь, что в договорах с хостингом, CRM-системами и сервисами рассылок есть пункт о том, что они обязуются соблюдать № 152-ФЗ и являются вашим порученным оператором.
4. Настройте процессы удаления и обезличивания. Проконсультируйтесь с вашим IT-специалистом или хостинг-провайдером о возможности настроить автоматическое удаление неактивных данных через определенный срок.
5. Назначьте ответственного. Даже если бизнес маленький, оформите это назначение приказом. Ответственным можете быть вы сами как руководитель. Это покажет регулятору вашу добросовестность.

Чек-лист: как подготовиться к изменениям в 152-ФЗ

Отметьте пункты, которые вы уже выполнили:

✔ Проверить сайт и формы согласий: согласие оформлено отдельно, есть чек-бокс, указаны все операторы.

✔ Уточнить правила хранения: определены и прописаны сроки хранения данных клиентов.

✔ Обновить политику конфиденциальности: документ отражает все новые требования закона.

✔ Настроить автоматическое удаление или обезличивание: есть техническая возможность чистить базы от старых данных.

✔ Проверить договоры с сервисами (CRM, маркетинг, рассылки): везде есть пункты о конфиденциальности и соблюдении 152-ФЗ.

Заключение

Изменения в законе о персональных данных 2025 — это серьезный шаг, который затрагивает практически весь онлайн-бизнес. Но они не несут катастрофы для тех, кто готовится заранее. Суть поправок — в большей прозрачности и ответственности за данные клиентов.

Если вы поэтапно выполните рекомендации из этого руководства, вы не только избежите штрафов осенью 2025, но и повысите доверие своих клиентов, демонстрируя уважительное отношение к их приватности. Проверьте свои процессы сейчас, чтобы работать спокойно и уверенно в новых условиях.