Изменения в работе с персональными данными с 1 сентября 2025 года

09.11.2025|7 Minutes

Краткий обзор изменений в законодательстве о защите персональных данных, вступивших в силу с 1 сентября 2025 года.

Новые правила оформления согласий на обработку персональных данных

Ввели обязанность оформлять согласие на обработку персональных данных всегда отдельно от другой информации или документов, которые физлицо подтверждает либо подписывает.

Новшество исключит частую практику, когда разрешение обрабатывать личные сведения включают в пользовательские соглашения и т. д. С 1 сентября 2025г. такие формулировки считаются недействительными.

Ранее сходное ограничение касалось лишь согласия на обработку данных, которые физлицо разрешает распространять. Этот документ по-прежнему составляют отдельно от иных согласий того же субъекта на работу с его персональной информацией.

Важно понимать: речь идет не только о бумажных документах. Согласие может быть оформлено в любой форме, которая позволяет подтвердить волю человека. Это может быть:

  • Бумажный документ с подписью;
  • Электронная форма (например, отдельное поле или кнопка на сайте);
  • Чекбокс или иное техническое средство, если оно явно отделено от согласия с условиями договора.

При этом согласие должно содержать обязательные реквизиты, перечисленные в ч. 4 ст. 9 закона № 152-ФЗ:

  • Сведения о самом субъекте (ФИО, паспортные данные);
  • Данные об операторе (наименование ООО или ФИО ИП, адрес);
  • Перечень данных и цель их обработки;
  • Действия, которые планируется совершать с информацией (сбор, хранение, передача и др.);
  • Срок действия согласия и порядок его отзыва.

На заметку: если планируется передача данных третьим лицам, потребуется еще одно отдельное согласие — с указанием конкретного получателя и цели передачи.

Что нужно сделать сейчас:

  • проверить все шаблоны договоров, анкет, оферт – убрать встроенные согласия;
  • подготовить отдельные формы согласий (бумажные и электронные);
  • проверить, как собираются согласия на сайте: галочки должны ставиться вручную пользователем;
  • форма должна содержать все обязательные реквизиты;
  • ознакомить работниками с новыми требованиями и обновить ЛНА.

Обезличивание и передача данных в государственные системы

С 1 сентября все операторы (от ИП до крупных компаний) обязаны использовать только сертифицированные методы обезличивания.

Обезличивание — это процедура, которая исключает возможность определить конкретного человека по хранящейся информации. На практике для этого используются разные методы, например: замена персональных данных на коды, обобщение атрибутов, разделение данных на части.

Новое требование заключается в том, что обезличенные массивы данных необходимо передавать по запросу в государственные информационные системы (ГИС), которые курирует Минцифры.

Передача таких данных возможна только через защищенные каналы связи. При этом в их состав не могут входить сведения о здоровье, политических или религиозных убеждениях, а также другие специальные категории.

Это означает, что операторам  необходимо:

  • Состоять в реестре операторов персональных данных;
  • в ЕГРЮЛ должны быть указаны достоверные сведения;
  • Внедрить инструменты для корректного обезличивания;
  • Наладить процесс хранения исходных и обезличенных данных отдельно;
  • Быть готовым к запросам со стороны государства и уметь быстро выгрузить данные в нужном формате.
  • Проверить, функционируют ли программы и алгоритмы обезличивания персональных данных. Они могут понадобиться в случае получения соответствующего требования от Минцифры.

Персональные данные и курирующие органы

До недавнего времени основным органом, контролирующим обработку персональных данных, оставался Роскомнадзор. С 1 сентября 2025 года к системе подключились и силовые структуры:

  • ФСБ России — теперь она может проверять, насколько корректно компании внедряют технические и организационные меры защиты персональных данных. Причем речь идет о любых (в том числе коммерческих) организациях, которые работают с данными;
  • ФСТЭК (Федеральная служба по техническому и экспортному контролю) — занимается разработкой методик и сертификацией средств защиты. Но в будущем если будут приняты поправки, Служба сможет проверять информационные системы на соответствие требованиям.

Таким образом, у ИП и организаций появилось сразу несколько надзорных центров. Это означает:

  • Повышение рисков проверок: если раньше достаточно было привести в порядок документы и политику, теперь придется уделять особое внимание IT-инфраструктуре;
  • Усиление требований к ПО: операторам нужно убедиться в том, что их системы хранения и обработки данных соответствуют сертифицированным стандартам;
  • Более серьезная ответственность: нарушения, выявленные ФСБ или ФСТЭК, могут трактоваться не только как административные, но и как угрозы национальной безопасности.

Ужесточение требований к работе с персональными данными продолжится и в 2026г.

Реестр центров обработки данных (ЦОД)

С 1 марта 2026 года начнет работу реестр центров обработки данных (ЦОД). Главная цель — систематизация инфраструктуры, в которой хранится информация о гражданах, и обеспечение ее соответствия требованиям безопасности.

Это означает, что:

  • Операторы персональных данных смогут использовать только те ЦОДы, которые включены в государственный реестр;
  • К ЦОДам будут предъявляться требования по технической защите, резервированию и территориальному размещению;
  • Использование зарубежных облачных сервисов для хранения персональных данных останется под запретом, а нарушение правил будет наказываться штрафами.

Для компаний (ИП) это в первую очередь вопрос выбора поставщика услуг: перед заключением договора на хостинг или аренду серверов будет необходимо проверить, есть ли провайдер в официальном реестре.

Биометрические данные для аккредитованных операторов

Особое внимание уделяется биометрическим данным (фото, голос, отпечатки пальцев, параметры внешности). С 2026 года их смогут обрабатывать только компании, прошедшие специальную аккредитацию Минцифры.

Это требование особенно важно для:

  • Банков и сферы финтеха;
  • IT-компаний и сервисов дистанционной идентификации;
  • Медицинских организаций, которые работают с цифровыми профилями пациентов.

Для компаний без аккредитации хранение или обработка биометрии будет считаться нарушением и грозить серьезными санкциями.

Новые оборотные штрафы

С 2026 года в КоАП планируется внедрить оборотные штрафы за повторные или систематические нарушения в сфере персональных данных — до 3% от годовой выручки компании.

Усиление автоматического контроля

Роскомнадзор активно развивает систему мониторинга утечек и нарушений с применением искусственного интеллекта.

К 2026 году планируется внедрить автоматизированные проверки: алгоритмы будут выявлять сайты и сервисы, которые собирают данные без согласия, используют иностранные платформы или не публикуют политику обработки.

Это означает, что нарушения будут фиксироваться в автоматическом режиме.

Санкции за нарушения в сфере персональных данных продолжают расти.

Наши специалисты помогут разработать, проверить необходимый пакет документов по персональным данным в целях минимизации рисков привлечения к ответственности.

152-ФЗ Защита персональных данных Операторам персональных данных Персональные данные

Автор

Konsu - Анна Резникова
Анна Резникова
  • Руководитель практики трудового и миграционного права

Напишите нам

Опишите вашу ситуацию, и мы подберём оптимальное решение.
Info@konsugroup.com

    Имя*

    Email* Телефон

    Сообщение


    Privacy Preference Center

    Privacy Preferences

    Our site uses cookies to improve user experience. Please read Konsu's Privacy Policy.