29 авг. в 12:34Защита персональных данных

Персональные данные с 1 сентября 2025 года: согласие, соцсети и чат-боты

1 сентября 2025 года вступают в силу поправки в ФЗ «О персональных данных» № 152-ФЗ. Сейчас все рассказывают про согласия на обработку персональных данных, но помимо этого, хотелось бы еще рассказать про каналы переопроса клиентов, про работу с соцсетями и чат-ботами.

Иллюстрация: Вера Ревина/ Клерк.ру

Что меняется в работе с персональными данными с 1 сентября 2025 года

Поправки, введенные Федеральными законами № 233-ФЗ и № 156-ФЗ, затрагивают несколько ключевых аспектов:

Новая форма согласия на обработку персональных данных. Согласие должно быть оформлено строго отдельно от любого другого документа (договора, заявления, оферты). Его нельзя «прятать» в общем тексте.
Правовые рамки для обезличенных данных. Теперь бизнес может легально использовать обезличенные данные для Big Data и AI-анализа без получения дополнительного согласия субъекта, но при строгом соблюдении регламентированных методов.
Расширение полномочий контролирующих органов. ФСБ и ФСТЭК России получают значительные контрольные полномочия, что увеличивает риски внеплановых проверок.
Создание Многофункционального сервиса обмена информацией (МСОИ). Появление защищенного канала для взаимодействия между гражданами, бизнесом и государством. По распоряжению Правительства РФ от 12 июля 2025 года №1880-р компания «Коммуникационная платформа» (дочерняя структура холдинга VK) станет оператором многофункционального сервиса обмена информацией (МСОИ).
Существенное ужесточение ответственности. Введены новые составы административных правонарушений и многократно увеличены размеры штрафов, вплоть до 500 млн рублей и уголовной ответственности.

Новая форма согласия: что должно быть в документе

С 1 сентября 2025 года согласие на обработку персональных данных должно содержать исчерпывающий перечень сведений (ч. 4 ст. 9 № 152-ФЗ):

Полные ФИО, адрес, паспортные данные субъекта ПДн (или его представителя).
Наименование и адрес оператора, получающего согласие.
Конкретная цель обработки.
Перечень персональных данных, на обработку которых дается согласие.
Данные лица, которому обработка будет поручена (если применимо).
Перечень действий с данными (сбор, запись, хранение, использование и т.д.) и общее описание способов обработки.
Срок действия согласия и способ его отзыва.
Подпись субъекта.

Важно! Согласия, полученные до 1 сентября 2025 года по старым правилам, остаются действительными, но только если они были получены корректно.

Расплывчатые формулировки или согласие через молчаливое использование сайта (старые cookie-баннеры) могут быть признаны недействительными.

Что такое обезличенные данные и как с ними работать

Обезличенные данные — это сведения, которые не позволяют определить их принадлежность конкретному человеку без использования дополнительной информации (ключей деобезличивания).

Когда обезличивание становится обязательным:

По завершении цели сбора персональных данных (например, после проведения акции).
Для использования данных в новых целях (например, для обучения AI-моделей).
При передаче данных третьим лицам для аналитики.
Для публикации отчетов и статистики.
По запросу государственных органов (в ЕИП НСУД).

Методы обезличивания (согласно Приказу Роскомнадзора № 140 от 19.06.2025 г.):

Введение идентификаторов (с созданием отдельной таблицы соответствия).
Изменение состава или семантики данных.
Декомпозиция (разбиение массива на части).
Перемешивание записей.
Преобразование.

Прямые запреты при обезличивании:

Нельзя хранить обезличенные данные вместе с исходными.
Запрещено раскрывать методику и «ключи» обезличивания третьим лицам.
Нельзя включать в обезличенные наборы данные, составляющие гостайну, банковскую или медицинскую тайну.

Что нужно срочно поменять на сайте

1. Cookie-баннеры.
Полностью недопустимы формулировки вида «продолжая использовать сайт, вы соглашаетесь...». Необходимо внедрить интерактивный баннер с тремя равноценными кнопками:

«Принять все»
«Настроить» (выбор типов cookie)
«Отклонить все» (должна блокировать все, кроме технически необходимых cookie).

2. Формы подписки и регистрации.

Убрать любые предустановленные галочки.
Ввести раздельные согласия для каждой цели обработки (например, отдельно для e-mail-рассылки и отдельно для смс-информирования).
Формулировки целей должны быть конкретными и понятными.
Рядом с каждой галочкой — ссылка на актуальную Политику конфиденциальности.

3. Политика конфиденциальности
Документ необходимо полностью переработать, добавив:

Детализацию всех целей обработки.
Полный перечень действий с ПДн и способов обработки.
Условия обработки (согласие, договор, законный интерес).
Конкретные сроки хранения данных для каждой цели.
Права субъекта и контакты для их реализации.

Как легально обрабатывать данные, пока новое согласие не получено

Проведите аудит всех имеющихся согласий. Если старое согласие было конкретным, получено через явное подтверждение (галочка) и имело ясные цели — его можно считать действительным.

Если же согласие было расплывчатым («на все цели») или получено через молчание (старый cookie-баннер) — его необходимо перезапросить до 1 сентября 2025 года.

Каналы для переопроса и их эффективность

Канал	Плюсы	Минусы
Email	Высокий охват, дешево, простота отслеживания, юридическая сила.	Риск попадания в спам, низкая открываемость, риск отписок.
SMS	Высокая доставляемость и открываемость, срочность.	Дорого, ограничение по длине, может раздражать.
Личный кабинет	Целевая аудитория, возможность детализации, можно сделать обязательным.	Медленный охват, не подходит для неактивных пользователей.
Оффлайн	Высокий процент согласия, доверие.	Дорого, трудоемко, сложно масштабировать и учитывать.

Рекомендуемая стратегия. Используйте комбинированный подход. Основной канал — email-рассылка с объяснением причин и ссылкой на форму. Для активных пользователей — уведомление в личном кабинете. Для ценных и неответивших клиентов — SMS или оффлайн-каналы.

Жесткая локализация: запрет иностранных сервисов

Закон ужесточает требования к локализации обработки данных:

Чат-боты и формы сбора данных обязаны обрабатывать данные исключительно на территории РФ. Первичный сбор на зарубежных серверах запрещен.
Запрещено использование иностранных сервисов (Google Analytics, WhatsApp¹, Telegram и т.д.) без разрешения Роскомнадзора.
Предпочтение необходимо отдавать сервисам из Единого реестра российского ПО (Яндекс.Метрика, VK Мессенджер, MTS Link и др.).

Чат-боты

Если чат-бот находится не на сайте, то необходимо разместить в нем ссылку на политику конфиденциальности и взять согласие на сбор и обработку персональных данных. Документ с политикой нужно хранить на российских облачных сервисах, например на Яндекс. Диске.

Пример сообщения в чат-боте

Ответственность: новые штрафы и риски

Размеры административных штрафов по обновленной ст. 13.11 КоАП РФ пугают своими масштабами.

Часть 1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка, несовместимая с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа:

для граждан — от 10 до 15 тыс. рублей;
для должностных лиц — от 50 до 100 тыс. рублей;
для юридических лиц — от 150 до 300 тыс. рублей.

Часть 1.1. Повторное совершение административного правонарушения, предусмотренного частью 1 статьи, влечет наложение административного штрафа:

для граждан — от 15 до 30 тыс. рублей;
для должностных лиц — от 100 до 200 тыс. рублей;
для юридических лиц — от 300 до 500 тыс. рублей.

Без оформленного в письменной или электронной форме согласия предусмотрены штрафы по ч. 2 ст. 13.11 КоАП РФ:

для самозанятых — 10–15 тыс. рублей;
для ИП и должностных лиц —100–300 тыс. рублей;
для юридических лиц — 300–700 тыс. рублей.

При повторных нарушениях:

для самозанятых — 15–30 тыс. рублей;
для ИП —500 тыс. рублей;
для должностных лиц — 300–500 тыс. рублей;
для юридических лиц — 1 млн–1,5 млн рублей.

Утечка данных:

от 1 до 10 тыс. граждан: штраф для юрлиц — от 3 до 5 млн руб.
от 10 до 100 тыс. граждан: от 5 до 10 млн руб.
свыше 100 тыс. граждан: от 10 до 15 млн руб.
повторная утечка: штраф может достигать 3% от годовой выручки, но не менее 20 млн и до 500 млн рублей.

утечка биометрических данных: для юрлиц — от 15 до 20 млн рублей; повторно — от 25 до 500 млн рублей.

Уголовная ответственность (ст. 272.1 УК РФ) за несанкционированное распространение данных грозит руководителям штрафом до 300 тыс. рублей, принудительными работами или лишением свободы на срок до 4 лет.

План действий

Провести аудит всех текущих процессов обработки ПД, существующих согласий и документов.
Разработать и внедрить новую форму согласия, привести в порядок cookie-баннеры и формы на сайте.
Переработать Политику конфиденциальности.
Настроить процессы обезличивания данных и написать соответствующую инструкцию.
Запустить кампанию по переопросу клиентов, чьи старые согласия не соответствуют новым требованиям.
Обеспечить полную локализацию обработки данных и отказаться от запрещенных иностранных сервисов.
Обучить сотрудников, особенно тех, кто работает с клиентскими данными.

⚡️ Новый онлайн-курс по работе с персональными данными-2025 поможет вам защититься от выросших штрафов Роскомнадзора

Создали онлайн-курс «Новые правила по защите персданных - 2025», на котором объясним, как безопасно работать с персданными, а также дадим готовые шаблоны и примеры документов, которые помогут не налететь на гигантские штрафы Роскомнадзора!

Начните учиться на онлайн-курсе уже сегодня со скидкой 67% за ~~14 990~~ 4 900 руб. и защититесь от огромных штрафов за ошибки!

Купить курс

Деятельность компании Meta Platforms Inc. (Facebook и Instagram) на территории РФ запрещена

Елена Ярушкина

Руководитель Центра обучения Клерка в Клерк.Ру

117 подписчиков 71 пост

Этот пост написан блогером Трибуны. Вы тоже можете начать писать: сделать это можно .