Работа с персональными данными с 1 сентября: чек-лист для проверки бизнеса

Чек-лист для руководителей, чтобы проверить свои процессы на соответствие новым требованиям работы с персональными данными.

02.09.2025 00:00 18

С 1 сентября 2025 года вступают в силу новые требования по обработке персональных данных. Для бизнеса это означает не только обновление форм согласий и уведомлений, но и необходимость документально подтверждать процессы обезличивания данных, хранение и передачу информации. Нарушения будут караться не символическими штрафами, а серьезными санкциями, которые способны ударить по бюджету и репутации компании.

Теперь это задача не только юристов, но и руководителей и собственников бизнеса, поскольку речь идет о прямых операционных рисках. Рассказываем, что нужно сделать, чтобы проверить свои бизнес-процессы на соответствие поправкам.

Содержание:

— Что значит новый закон для руководителя на практике?

— Что относится к категории персональных данных

— Изменения по персональным данным с 1 сентября

— Что делать прямо сейчас: три шага

— Как обезопаситься от нарушений

— Самые частые нарушения и их последствия

— Что такое обезличивание и зачем оно нужно

— Быстрый чек-лист для бизнеса

— Что сделать прямо сейчас

— Пошаговый план действий

Что значит новый закон для руководителя на практике?

Работа с персональными данными с 1 сентября существенно меняется: требования напрямую влияют на операционные процессы компании. Нужно пересмотреть формы согласий и уведомлений для сотрудников и клиентов, обновить внутренние регламенты, проверить настройки IT-систем и интеграций с подрядчиками. В противном случае бизнес рискует столкнуться не только со штрафами и проверками РКН, но и с блокировкой сервисов или утратой доверия со стороны клиентов. Это означает, что задача соблюдения закона выходит за рамки юридического департамента — руководителю нужно подключиться и проконтролировать, чтобы процессы компании соответствовали новым требованиям.

Что относится к категории персональных данных

Персональные данные — это любая информация, по которой можно прямо или косвенно идентифицировать человека. Сюда относятся все личные сведения — ФИО, паспортные данные, СНИЛС, контакты, IP-адрес, cookie, а также фото, видеозаписи и записи разговоров. В эту категорию попадают и финансовые сведения, например данные о доходах.

Отдельно нужно учесть обработку специальных категорий персональных данных, например, медицинскую информацию или сведения о мировоззрении, и биометрические данные. Для их обработки действуют более строгие требования и ограничения, поскольку именно они связаны с наибольшими рисками для человека.

Изменения по персональным данным с 1 сентября

Рассказываем коротко об изменениях в ключевых правилах работы с ПД:

Обезличивание как отдельный режим — данные можно использовать без согласия, только если они корректно обезличены по методикам РКН (Приказ № 140).
Отдельные согласия — на каждую цель обработки требуется отдельная форма (ст. 9 ФЗ-152).
Уведомления и реестр обработок — любые изменения в обработке данных нужно отражать в реестре (ст. 22 ФЗ-152).
Ужесточение ответственности и рост штрафов: за незаконный сбор или передачу до 500 тыс. руб., за утечку персональных или биометрических данных — до 1–3 млн руб., а при массовых нарушениях — процент от оборота.

Что сделать прямо сейчас: три шага

Составьте актуальный список всех трансграничных потоков данных: список сервисов, задачи, страны хранения, контактные лица.
Приведите в соответствие правовую и договорную базу: отдельные согласия, договоры с иностранными провайдерами с чёткими обязанностями по защите и уведомлениям.
Минимизируйте и шифруйте: снизьте объём передаваемых данных, используйте надёжное обезличивание, шифрование и держите ключи под контролем. Если данные критичны — локализуйте.

Как обезопаситься от нарушений

Собрали практический чек-лист, который применим в любой компании и поможет проверить ваши риски. Делайте шаги в указанном порядке и документируйте каждый шаг — это ваше главное доказательство в случае проверки или претензий регулятора. Если процессы оформлены на бумаге и подтверждены внутренними актами, компания может показать, что требования закона выполняются. Это снижает риск штрафов, даже если допущена ошибка, и демонстрирует, что бизнес действует добросовестно.

Картирование (data mapping). Зафиксируйте какие категории ПДн пересылаются за границу, кому и в каких целях. Запишите юрисдикции получателей и их роль (контролёр/обработчик). (ст. 12 ФЗ-152).

Пример: если вы используете зарубежную CRM, отметьте, какие поля уходят: ФИО, контакты, платежи.
Оценка риска и DPIA. Для передач в «сомнительные» юрисдикции проведите оценку воздействия на защиту персональных данных (DPIA) — формализуйте выводы и меры минимизации риска (технические и организационные). Это пригодится при проверке. Например, если вы используете иностранный сервис для аналитики пользователей, проверьте, какие персональные данные собираются и как они защищены от несанкционированного доступа.
Проверьте правовую базу передачи. Убедитесь, что есть законное основание для передачи: отдельное согласие субъекта (оформл. по ч. 4 ст. 9 ФЗ-152), договор с гарантиями безопасности, или иное правовое основание, разрешённое законом. Если нет — не передавайте.
Договоры и обязательства с получателями. Включите в договор с иностранным провайдером (или подрядчиком) обязательства по:

— уровню защиты данных (соответствие стандартам безопасности),
— запрету раскрытия третьим лицам без уведомления,
— обязанности уведомлять оператора о запросах от иностранных органов, порядку и срокам уведомления об инцидентах и утечках (контрактная гарантия — ключевой элемент доказательной базы).

Например,если вы работаете с зарубежным хостингом, пропишите в контакте пункт, что они обязаны уведомлять вас об утечке в течение 24 часов».
Технические меры: шифрование и ключи управления. Передача данных должна сопровождаться надёжным шифрованием; где возможно, храните ключи шифрования в РФ — контроль над ключами снижает риск доступа со стороны иностранного провайдера. Документируйте настройки.
Минимизация объёмов передаваемых данных. Передавайте только те данные, которые необходимы. И рассмотрите возможность передачи обезличенных или псевдонимизированных данных, при этом соблюдайте методики обезличивания (Приказ РКН № 140).
Локализация критичных баз. Если есть высокие риски вероятности нарушения (например, передача специальных/биометрических данных), храните и обрабатывайте критичные данные внутри РФ. (ст. 12 ФЗ-152).
Процедура реагирования и уведомлений. Пропишите алгоритм действий при инциденте: оповестить получателя, собрать доказательств, уведомить Роскомнадзор и субъекты данных в установленные законом сроки. Обязательно храните логи и доказательства.
Регулярный аудит и контроль подрядчиков. Периодически проверяйте подрядчиков (включая проверку сертификатов безопасности, отчетов по PenTest, SOC, ISO), обновляйте договоры и оценки рисков.
Документируйте всё. Сохраняйте все протоколы, договоры, согласия и отчёты — любое решение о трансграничной передаче должно иметь «след доказательств», это ваша страховка при проверках. (ст. 12, ст. 22 ФЗ-152).

Самые частые нарушения и их последствия

Даже компании, которые формально выполняют требования закона, часто допускают ошибки в деталях. Именно на этих слабых местах регулятор делает акцент при проверках. Ниже — самые распространенные «болевые точки», которые приводят к штрафам и репутационным потерям.

Согласия «вшиты» в пользовательские соглашения, в то время как регулятор требует отдельного и понятного согласия. С 1 сентября его обязательно нужно будет оформлять в виде отдельного документа, за неправильное оформление можно будет получить штраф до 700 тысяч рублей (ч. 2 ст. 13.11 КоАП).

Например, клиент подписал общие условия при регистрации на сайте, но отдельное согласие не получено — штраф до 700 тыс. руб.
Передача подрядчикам данных без должных договоров — есть риск утечки и претензий. Например, когда данные сотрудников переданы облачному сервису без обязательств о защите.
Формальные политики и журналы — здесть есть риск, что при проверке будет невозможно доказать соблюдение требований. Такое случается, когда в компании есть политика безопасности, но нет записей об обновлениях и аудите — РКН может наложить штраф.
Нет установленной процедуры на случай утечки данных. Так есть риск, что вы не сразу уведомите РКН об утечке, а это увеличивает штрафы.
Неправильное обезличивание, например, когда использовали данные частично или без методики РКН и человека все еще можно найти по данным.

Что такое обезличивание и зачем оно нужно

В Федеральном законе № 152-ФЗ о персональных данных начинает действовать новая статья 13.1, касающаяся обезличивания данных. Она обязывает операторов персональных данных передавать данные в ГИС (Государственную информационную систему) в обезличенном виде. Основные требования и методы обезличивания приведены в Приказе Роскомнадзора от 19.06.2025 № 140. Если же оператор шифрует данные по требованию Минцифры, то надо применять Постановление Правительства от 01.08.2025 № 1154. Этот документ содержит требования и методы обезличивания для ЕИП НСУД.

Простыми словами, обезличивание — это когда вы перерабатываете данные так, чтобы по ним уже нельзя было однозначно «найти» человека. Например: вместо точной даты рождения — возрастная группа, вместо ФИО — случайный код, вместо паспортных данных — код ID. Закон и Регулятор разрешают работать с такими наборами без согласия людей — но только если обезличивание серьёзное и документированное (поправки к ФЗ-152 в соответствии с ФЗ № 233-ФЗ, Приказом РКН №140 от 19.06.2025 и Постановлением Правительства от 01.08.2025 № 1154 вступают в силу с 01.09.2025г.).

Что от вас требует закон — объясняем простыми словами

Проверьте, что данные реально обезличены. Если по ним можно восстановить личность — это всё ещё персональные данные.
Используйте официально разрешённые методы. Метод обезличивания должен быть утверждён регулятором и подходить именно вашей задаче. Не придумывайте свои «методы по опыту».
Сделайте тест на ре-идентификацию. Проверьте, можно ли восстановить личность по обезличенному набору. Это не формальность — результат теста нужно зафиксировать. Тест на
Не храните «ключи» вместе с обезличенными данными. Таблицы подстановок, алгоритмы восстановления и ключи должны быть в отдельном, строго защищённом месте.
Документируйте всё. Выбор метода, результаты тестов, локальный регламент — это ваша защита при проверке.
Если передаёте такие наборы третьим лицам — пропишите в договоре запрет на попытки восстановить личности и ответственность.

Коротко о рисках

Если обезличивание формальное или недокументированное, регулятор признает данные персональными — значит, применяются все правила ФЗ-152 и санкции за нарушения (штрафы, предписания и т.д.). Поэтому экономия времени на методике может обернуться гораздо большими затратами.

Размеры санкций

Шкала санкций по практике и новым поправкам показывает, что разговор уже не о «тысячах»: штрафы для организаций варьируются от сотен тысяч до многомиллионных сумм, а при массовых и повторных нарушениях возможна и процентная оценка от выручки. За утечку специальных или биометрических данных санкции особенно высоки. Планируйте бюджет риска соответственно и имейте подготовленные юридические аргументы и доказательства исполнения.

Быстрый чек-лист для бизнеса

Выясните, какие данные вы хотите обезличить и для чего (анализ, обучение моделей, отчёты).
Выберите метод(ы) из тех, что рекомендует регулятор (псевдонимизация, агрегация, удаление идентификаторов и т. п.) и обоснуйте выбор.
Проведите и запишите тест на ре-идентификацию, чтобы показать, что восстановление личности невозможно.
Храните «ключи» и алгоритмы отдельно; ограничьте к ним доступ.
Включите в договоры с партнёрами запрет на попытки ре-идентификации и порядок действий при инциденте.
Сохраните все документы — это ваша «страховка» при проверке.

Что сделать прямо сейчас

Проверьте: подано ли уведомление в РКН.
Уберите «согласия-галочки» — переходите на отдельные формы.
Составьте список критичных подрядчиков — CRM, облачные хранилища, платёжные системы, и уточните, где данные хранятся за рубежом.

Пошаговый план действий

Организационные шаги

1. Назначьте ответственного (DPO/куратора).

2. Соберите реестр обработок: виды данных, цели, хранение, доступ, передачи (ст. 22 ФЗ-152).

3. Проверьте уведомления в РКН и при необходимости подайте/обновите.

Юридические шаги

4. Переоформите согласия: отдельные формы по каждой цели/передаче: отдельное согласие для рассылок, обучения моделей, маркетинговых акций. Фиксируйте согласия и отказы.

5. Проанализируйте подрядчиков и трансграничные передачи: договоры, технические гарантии, оценка риска.

6. Обновите договоры и включите обязательства по защите ПДн у подрядчиков.

Технические шаги

7. Документируйте методику обезличивания при работе с датасетами (Приказ РКН № 140) — сохраняйте описание метода, результаты теста на ре-идентификацию и журналы обработки.

8. Внедрите технические меры: разграничения прав, шифрование, логи, резервное копирование.

9. Ведите доказательную базу: журналы, сканы согласий, результаты DPIA/DPIA-подобных оценок.

Обучение и аудит

10. Пропишите план реагирования на инциденты: ответственные, сроки уведомления, шаблоны.

11. Проведите обучение HR, маркетинга, IT и службы поддержки.

12. Закажите внешний правовой и технический аудит — получите приоритетный план исправлений. Например, партнеры РШУ, юридическая компания «Лекс» предлагает специальную услугу, в которую входят комплексный аудит, разработка и внедрение полного пакета документов (политики, отдельные формы согласий, реестры, журналы), оценка трансграничных рисков, сопровождение проверок и представительство в РКН.

Итак, персональные данные — это зона повышенного внимания государства и регуляторов, и ошибки здесь обходятся бизнесу слишком дорого. Чтобы защитить компанию, важно уже сейчас проверить процессы, обновить документы и подготовиться к новым требованиям. Делегирование этой задачи профессионалам снижает риски и экономит время руководителей. В итоге бизнес получает не только юридическую защиту, но и уверенность в устойчивом развитии.