СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
ICL Services
1 час назад
#Статьи #ИБ

Изменения в законе 152-ФЗ о персональных данных и обязательные меры безопасности

Изменения в законе 152-ФЗ о персональных данных и обязательные меры безопасности

В сентябре 2025 года в российское законодательство о персональных данных были внесены существенные коррективы. Теперь операторы обязаны соблюдать строгие правила оформления согласия на обработку данных, обеспечивать локализацию серверов внутри страны и защищать персональные данные. Нарушение требований влечет значительные штрафы, вынуждая компании пересмотреть свою политику обращения с личной информацией клиентов, сотрудников и партнеров. О наиболее важных нововведениях для соответствия требованиям 152-ФЗ «О персональных данных» рассказывает руководитель Центра ИБ-экспертизы ICL Services Алексей Морозков.

Требования к локализации данных

С 1 июля 2025 года вступили в силу изменения в пункте 5 статьи 18 152-ФЗ. Согласно новым правилам, первичный сбор, записи, систематизации, накопления и хранения данных должны производиться исключительно на территории Российской Федерации. Таким образом, размещение серверов или облачных хранилищ с информацией граждан за пределами страны становится нарушением действующего законодательства.

Использование зарубежной инфраструктуры, ранее применявшейся для хранения персональных сведений клиентов, сотрудников или пользователей, влечет значительные административные санкции. Если компании продолжат нарушать новые правила, они рискуют столкнуться с крупными штрафами.

Организациям, находящимся за пределами Российской Федерации и имеющим доступ к информационным ресурсам, размещенным на территории РФ, необходимо тщательно проработать ролевую модель доступа. Следует разграничить права таким образом, чтобы сотрудники за пределами страны имели доступ только к строго определенному функционалу и не могли просматривать персональные данные или иную информацию о российских сотрудниках.

Согласие, как отдельный документ

С 1 сентября 2025 года вступил в силу запрет на включение согласия на обработку персональных данных в другие документы. Теперь такое согласие должно быть оформлено отдельно. Нельзя включать его в пользовательские соглашения, оферты, анкеты или договоры. Законодательство требует четкого разделения правовых оснований для обработки данных.

Это нововведение направлено не столько на усложнение бюрократического вопросов, сколько на то, чтобы операторы персональных данных пересмотрели свои внутренние процедуры и определить конкретные ситуации, когда действительно требуется получение отдельного согласия от пользователей или клиентов.

Примером ситуаций, не требующих специального разрешения на сбор и использование данных, являются трудовые отношения. Работодатель вправе запрашивать необходимые сведения о сотруднике, включая банковские реквизиты и паспортные данные, поскольку такая обработка предусмотрена законом и необходима для исполнения обязательств по выплате заработной платы.

Но существуют сценарии, где прямое согласие становится обязательным условием. Например, регистрация на онлайн-вебинар. В данном случае единственным правовым основанием является согласие. Для этого нужно будет ознакомиться с документом в электронной форме и поставить «галочку», если согласен с условиями обработки данных оператором.

Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

Новые правила обезличивания персональных данных

С 1 сентября 2025 года также вступили в силу новые требования к обезличиванию персональных данных, утвержденные приказом Роскомнадзора от 19.06.2025 № 140. Они приняты в рамках статьи 13.1 152-ФЗ, регулирующей оборот обезличенных данных. Согласно новым правилам, операторы обязаны передавать обезличенные данные в государственную информационную систему по запросу Министерства цифрового развития.

Также установлены конкретные методы обезличивания: введение идентификаторов, изменение состава, декомпозиция. Поэтому персональные данные, преобразованные в обезличенную форму, можно обрабатывать и без получения согласия от гражданина.

Ответственность за нарушения: новая система штрафов

На основании Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» от 30.11.2024 № 420-ФЗ с 30 мая 2025 года вступают следующие штрафы по ПДн.

За обработку ПДн в случаях, не предусмотренных законодательством Российской Федерации в области ПДн, либо обработку ПДн, несовместимую с целями сбора ПДн, за исключением случаев, предусмотренных частью 2 ст. 13.11 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния (часть 1 ст. 13.11 КоАП РФ) наложение административного штрафа:

  • на граждан от 10 000 до 15 000 рублей;
  • на должностных лиц от 50 000 до 100 000 рублей;
  • на юридических лиц от 150 000 до 300 000 рублей.

За повторное совершение этого административного правонарушения наложение административного штрафа:

  • на граждан от 15 000 до 30 000 рублей;
  • на должностных лиц от 100 000 до 200 000 рублей;
  • на юридических лиц от 300 000 до 500 000 рублей.

Вводятся новые административные штрафы, налагаемые на граждан, должностных и юридических лиц за следующие действия.

Невыполнение и (или) несвоевременное выполнение оператором ПДн обязанности по уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных (часть 10 ст. 13.11 КоАП РФ) наложение административного штрафа:

  • на граждан от 5 000 до 10 000 рублей;
  • на должностных лиц от 30 000 до 50 000 рублей;
  • на юридических лиц от 100 000 до 300 000 рублей.

Невыполнение и (или) несвоевременное выполнение оператором ПДн обязанности по уведомлению Роскомнадзора в случае установления факта неправомерной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн (часть 11 ст. 13.11 КоАП РФ) наложение административного штрафа:

  • на граждан от 50 000 до 100 000 рублей;
  • на должностных лиц от 400 000 до 800 000 рублей;
  • на юридических лиц от 1 000 000 до 3 000 000 рублей

Действия (бездействие) оператора ПДн, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн от 1 тыс. до 10 тыс. субъектов ПДн, и (или) от 10 тыс. до 100 тыс. уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее идентификаторы), если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния (часть 12 ст. 13.11 КоАП РФ) наложение административного штрафа:

  • на граждан от 100 000 до 200 000 рублей;
  • на должностных лиц от 200 000 до 400 000 рублей;
  • на юридических лиц от 3 000 000 до 5 000 000 рублей.

Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн от 10 тыс. до 100 тыс. субъектов ПДн, и (или) от 100 тыс. до 1 млн идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния (часть 13 ст. 13.11 КоАП РФ) наложение административного штрафа:

  • на граждан от 200 000 до 300 000 рублей;
  • на должностных лиц от 300 000 до 500 000 рублей;
  • на юридических лиц от 5 000 000 до 10 000 000 рублей.

Действия (бездействие) оператора ПДн, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей ПДн более 100 тыс. субъектов ПДн, и (или) более 1 млн идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния (часть 14 ст. 13.11 КоАП РФ) наложение административного штрафа:

  • на граждан от 300 000 до 400 000 рублей;
  • на должностных лиц от 400 000 до 600 000 рублей;
  • на юридических лиц от 10 000 000 до 15 000 000 рублей.

Повторное совершение административного правонарушения, предусмотренного частями 12-14 ст. 13.11 КоАП РФ (часть 15 ст. 13.11 КоАП РФ) – наложение административного штрафа:

  • на граждан – от 400 000 до 600 000 рублей;
  • на должностных лиц – от 800 000 до 1 200 000 рублей;
  • на юридических лиц – оборотные штрафы от 1% до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее 20 000 000 рублей и не более 500 000 000 рублей.

Действия (бездействие) оператора ПДн, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей специальную категорию ПДн (часть 16 ст. 13.11 КоАП РФ). При этом за утечку специальных категорий ПДн, относящихся к наиболее чувствительным данным, предполагается установление повышенных административных штрафов:

  • на граждан – от 300 000 до 400 000 рублей;
  • на должностных лиц – от 1 000 000 до 1 300 000 рублей;
  • на юридических лиц – от 10 000 000 до 15 000 000 рублей.

Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей биометрические персональные данные, за исключением случаев, предусмотренных статьей 13.11.3 настоящего Кодекса:

  • на граждан – от 400 000 до 500 000 рублей;
  • на должностных лиц – от 1 300 000 до 1 500 000 рублей;
  • на юридических лиц – от 15 000 000 до 20 000 000 рублей.

Повторное совершение административного правонарушения, предусмотренного частью 16 или 17 ст. 13.11 КоАП РФ (часть 17 ст. 13.11 КоАП РФ):

  • на граждан – от 500 000 до 800 000 рублей;
  • на должностных лиц – от 1 500 000 до 2 000 000 рублей;
  • на юридических лиц – оборотные штрафы от 1% до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее 25 000 000 рублей и не более 500 000 000 рублей.

Нарушение порядка обработки БПДн в ЕБС, порядка обработки БПДн, векторов ЕБС в ИС гос. органов, ЦБ РФ, организаций, прошедших аккредитацию и осуществляющих аутентификацию на основе БПДн физических лиц, либо требований к информационным технологиям и техническим средствам, предназначенным для обработки БПДн, векторов ЕБС в целях проведения идентификации и (или) аутентификации (ч. 2 ст 13.11.3):

  • должностные лица – 100 000 до 300 000 рублей;
  • юридические лица – 500 000 до 1 000 000 рублей.

Непринятие организационных и технических мер по обеспечению безопасности БПДн при их обработке в ЕБС, ее взаимодействии с иными ИС либо непринятие организационных и технических мер по обеспечению безопасности БПДн при их обработке в иных ИС, обеспечивающих аутентификацию с использованием БПДн физических лиц, в том числе в ИС аккредитованных гос. Органов (ч.3 ст 13.11.3):

  • должностные лица – 300 000 до 500 000 рублей;
  • юридические лица – 1 000 000 до 1 500 000 рублей.

Обработка БПДн, векторов ЕБС для аутентификации физических лиц в ИС гос. органов, организаций, ИС ЦБ РФ без аккредитации либо в случае, если аккредитация приостановлена или прекращена (ч.4 ст.13.11.3):

  • должностные лица – 500 000 до 1 000 000 рублей;
  • юридические лица – 1 000 000 до 2 000 000 рублей.

Обязательные меры безопасности

Обработка персональных данных невозможна без обеспечения их надежной защиты. Статья 19 152-ФЗ обязывает операторов применять комплексный подход к безопасности. Речь идет о сочетании правовых, организационных и технических мер, призванных предотвратить утечки, несанкционированный доступ, изменение или уничтожение информации.

Под защиту попадает информационная система персональных данных, в которой эти данные обрабатываются. Требования к защите персональных данных при их обработке в информационных системах утверждены постановлением Правительства России от 01.11.2012 № 1119.

Среди мер защиты выделяются:

  • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • организационные и технические меры, необходимые для обеспечения необходимого уровня защищенности персональных данных;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценка эффективности принимаемых мер защиты до ввода в эксплуатацию информационной системы персональных данных;
  • учет машинных носителей персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Соответствие новому законодательству

Для соблюдения новых требований законодательства, касающихся обработки и защиты персональных данных, компания должна пройти определенную проверку своей готовности. Вот базовый чек-лист, который поможет на начальном этапе:

  • Подано ли уведомление в Роскомнадзору о намерении обрабатывать персональные данные?
  • Разработана ли политика обработки персональных данных для организации в целом и иных лиц?
  • Если у оператора персональных данных есть сайт, размещена ли политика обработки персональных данных там?
  • Получены ли письменные согласия на обработку персональных данных в соответствии с целями, правым основанием которых будет являться только согласие?
  • Внедрены ли технические и организационные меры защиты информации?
  • Проведено ли обучение сотрудников по работе с персональными данными?
  • Обеспечена ли локализация персональных данных на российских серверах?

Каждый из перечисленных пунктов подразумевает проведение целого ряда дополнительных шагов. Например, в пункте про технические и организационные меры защиты информации. Для того, чтобы это проверить, для начала необходимо инвентаризировать информационные ресурсы и системы, понять, где происходит обработка персональных данных. Потом необходимо их классифицировать в соответствии с Постановлением Правительства №1119. После чего необходимо установить уровень защищенности. Затем разработать ряд технической и проектной документации, где нужно описать меры, которые должны выполняться в соответствии с приказом ФСТЭК России от 18.02.2013 № 21. И только потом уже внедрить и проверить организационные и технические меры.

Следовательно, разработанный чек-лист служит лишь ориентиром для первичного анализа ситуации. Для полноценной проверки рекомендуются обратиться к специалистам по информационной безопасности, способным учесть специфику конкретной организации и составить детальные рекомендации.

Адаптация бизнеса: от формального соответствия к реальному исполнению

Главная сложность многих компаний заключается в отсутствии компетентных специалистов по информационной безопасности. Часто сотрудники не понимают, как правильно организовать работу с персональными данными, каким рискам подвергается компания и как минимизировать угрозы. Провести объективную оценку самостоятельно бывает крайне затруднительно.

Профессиональная оценка экспертов ICL Services, которые имеют компетенции и квалификацию, помогает разобраться с целями, процессами, методологией, определить уровень соответствия регуляторным требованиям, выявить проблемы и предложить эффективные решения. Такая проверка гарантирует уверенность в соблюдении всех норм и правил.

При этом внешний аудит на соответствие требованиям 152-ФЗ позволяет не только обнаружить неправомерную обработку персональных данных и подготовиться к проверкам Роскомнадзора, но и служит отправной точкой для последующего проектирования и внедрения систем защиты информации, а также сопровождения инфраструктуры. Как показывает практика, компании, игнорирующие новые реалии, рискуют столкнуться не только с многомиллионными штрафами, но и с блокировкой сайтов и репутационными потерями.

ICL Services
Автор: ICL Services
ICL Services – продуктово-сервисная компания, работающая на российском и международном рынках с 2006 года. Компания состоит в реестре аккредитованных ИТ-компаний Минцифры России и предлагает широкий спектр продуктов и услуг: от аудита, бизнес-консалтинга и проектирования до полной интеграции с информационными системами заказчиков, поставки оборудования и др.
Комментарии: