Редакция Рег.облако

Персональные данные: правила хранения и обработки. Гид по изменениям 2025 года

10 октября 2025

8 минут

Сегодня мы поговорим о теме, которая касается абсолютно любого бизнеса — о персональных данных. Возможно, вам кажется, что это что-то сложное и относящееся только к IT-гигантам, но это не так. Если у вас есть хотя бы один клиент или сотрудник, эта статья для вас.

Мы разложим все по полочкам: что такое ПДн, как с ними правильно работать, чего ждать от нового законодательства и как избежать многомиллионных штрафов.

Что такое персональные данные

Давайте начнем с основ. Персональные данные (ПДн) — это любая информация, по которой можно прямо или косвенно определить конкретного человека.

Что сюда входит?

Как вас зовут;
Где и когда вы родились;
Адрес, где вы живете;
Ваш телефонный номер и email;
Ваше фото;
Где вы работаете и кем;
Даже ваш IP-адрес и файлы cookie могут быть признаны ПДн.

Источник: Freepik. Если из набора сведений можно понять, о ком именно идет речь, — вы имеете дело с персональными данными

Почему важно знать правила работы с персональными данными в 2025 году

Игнорирование правил — это не просто формальность, а серьезный риск для вашего бизнеса. Вот три ключевые причины, почему этому стоит уделить внимание:

Финансовые риски. Штрафы за нарушения в сфере ПДн постоянно растут. Утечка данных может стоить компании миллионов рублей, что критично для любого бизнеса.
Репутационные потери. Новости об утечках разлетаются моментально. Потерять доверие клиентов легко, а вот вернуть его — задача практически невыполнимая.
Лояльность клиентов. Прозрачная и честная работа с данными показывает клиентам, что вы их уважаете.

Источник: Freepik. Если вы ответственно храните данные клиентов, это укрепляет лояльность и выгодно отличает вас от конкурентов

Основные законы и последние изменения в обработке персональных данных 2025

Главный документ, который регулирует все в этой сфере в России, — это Федеральный закон 2025 № 152-ФЗ «О персональных данных». Он постоянно дорабатывается, и важно следить за актуальными требованиями.

Что изменилось в 2025 году?

Законодатели продолжают ужесточать контроль. Ключевые изменения, которые вступают в силу в 2025 году, касаются усиления ответственности и конкретизации правил:

Возрастают санкции за несоблюдения манипуляций с персональными данными.
Усиливаются стандарты по размещению сведений.
Внедряется стандартизированный бланк одобрения на манипуляции с ПДн.
Усиливаются стандарты к охране информации.
Возрастают санкции за разглашение ПДн.
Появляются актуальные стандарты к манипуляциям с биометрическими сведениями.
Расширяется реестр сценариев манипуляций ПДн без одобрения человека.
Появляются актуальные стандарты к анонимизации сведений и их отправке в Минцифры.

Усиление санкций за правонарушения

С 30 мая 2025-го санкции за ошибки в манипуляции персданными возрастают — для юрлиц их размеры могут достигать 300 тыс. руб. Внедрены новые типы правонарушений, такие как:

неподача оповещения о решении манипулировать персональными данными,
игнорирование стандартов по публикации персданных,
запоздалое оповещение о разглашении персданных,
поступки либо бездействие, спровоцировавшие разглашение ПДн.

Усиление стандартов к размещению сведений

С 1 июля 2025-го начинают действовать корректировки в закон № 152-ФЗ, уточняющие стандарты к размещению: операторы вынуждены обеспечивать регистрацию, структурирование, аккумуляцию, корректировку и извлечение персданных жителей РФ с применением баз данных, размещенных в пределах РФ. Исключения из этой нормы сужены и строго регламентированы законодательством.

Корректировки затрагивают и применение Гугл Аналитикс и прочих иностранных систем веб-аналитики: информация о пользователях в таком сценарии имеет право обрабатываться на копьютерах за границей. Если в них есть необходимость, критично важно сообщить в Роскомнадзор.

Актуальные бланки одобрения на манипуляции биометрическими сведениями

С 1 января 2025-го меняются бланки одобрения на размещение и манипуляции персданными в Единой системе идентификации и аутентификации (ЕСИА) и биометрией в единой биометрической системе. Определены бланки одобрения, подаваемые на бумаге или в цифровом варианте.

Усиленные санкции за разглашение персданных

30 мая 2025-го начали действовать корректировки, предусматривающие заметное возрастание санкций за разглашение персданных:

При разглашении данных от 1 до 10 тысяч индивидов: для ИП и компаний — от 3-5 млн руб.
При разглашении данных от 10 до 100 тысяч индивидов: для ИП и компаний — от 10 - 15 млн руб.
За разглашение спецкатегорий персданных (например, биометрии) — до 15 млн руб.
За запоздалое сообщение в Роскомнадзор о разглашении — до 3 млн руб.

Актуальные стандарты к манипуляциям биометрией

С 30 мая 2025-го внедряются новые стандарты к манипуляциям биометрическими персданными:

Манипуляции биометриией без прохождения аккредитаций не разрешаются.
Нельзя отказать в услугах людям, не предоставившим биометрию.

Эти нарушения могут навлечь санкции в размере до 15 млн руб.

Новые сценарии для манипуляций данными без одобрения

С 1 сентября 2025-го расширяется реестр сценариев, когда манипуляции персданными допустимы без одобрения индивида: это сценарии уголовно-процессуального кодекса.

Введение стандартов к анонимизации персданных

С 1 сентября 2025-го обработчики персданных станут обязаны поставлять по запросу Минцифры анонимизированные информацию. В обновлённой версии законного акта появится реестр требуемой информации и периоды ее поставки.

Источник: Freepik. Правительство определит актуальные стандарты и методы анонимизации ПДн, то, какие персданные и в какие периоды следует поставлять

Принципы обработки данных

Закон устанавливает несколько базовых принципов, которым должен следовать любой оператор ПДн.

Законность. Обрабатывать персданные можно только при наличии законного основания, чаще всего — согласия человека.
Конкретные цели. Вы должны четко определить, для чего собираете данные, и не использовать их для других целей.
Минимизация. Собирайте только тот объем данных, который действительно необходим. Не нужно просить паспортные данные для подписки на новости.
Ограничение хранения. Храните данные не дольше, чем это требуется для достижения цели их сбора. Как только цель достигнута (например, выполнен заказ), ненужные данные следует удалить.

Правила хранения персональных данных

Хранение — один из самых ответственных этапов. Данные должны быть защищены от случайной потери, уничтожения и, что самое главное, от несанкционированного доступа.

Бумажные носители (анкеты, копии документов) должны храниться в сейфах или запираемых шкафах, доступ к которым имеет строго ограниченный круг сотрудников.
Электронные носители (базы данных, файлы на серверах) требуют серьезной технической защиты. Это включает в себя использование антивирусов, межсетевых экранов, систем резервного копирования и шифрования.

Организовать такую защиту самостоятельно — задача сложная и дорогая. Нужно закупать оборудование, нанимать IT-специалистов, постоянно следить за обновлениями.

Современный и эффективный подход — использовать готовую защищенную инфраструктуру. Компания Рег.ру предоставляет защищенные облачные решения, полностью соответствующее требованиям ФЗ-152 до первого уровня защищенности данных. Размещая свои базы данных и приложения в таком облаке, вы перекладываете значительную часть технических забот на плечи провайдера. Работайте с чувствительными данными без риска — все под контролем и в рамках законодательства.

Кто и как имеет право обрабатывать данные

Право на обработку данных есть у оператора — любой компании или ИП, которые организуют и осуществляют обработку ПДн.

Как это должно происходить:

С согласия субъекта. Это золотое правило. Человек должен добровольно и осознанно дать вам право работать с его данными.
Строго в рамках заявленных целей. Если вы получили данные для доставки товара, вы не можете передавать их партнерам для рекламы без отдельного согласия.
С ограничением доступа внутри компании. Доступ к данным клиентов должен быть только у тех сотрудников, которым он необходим для выполнения их рабочих обязанностей.