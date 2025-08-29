Персональные данные с 1 сентября 2025 года: согласие, соцсети и чат-боты
Что меняется в работе с персональными данными с 1 сентября 2025 года
Поправки, введенные Федеральными законами № 233-ФЗ и № 156-ФЗ, затрагивают несколько ключевых аспектов:
Новая форма согласия на обработку персональных данных. Согласие должно быть оформлено строго отдельно от любого другого документа (договора, заявления, оферты). Его нельзя «прятать» в общем тексте.
Правовые рамки для обезличенных данных. Теперь бизнес может легально использовать обезличенные данные для Big Data и AI-анализа без получения дополнительного согласия субъекта, но при строгом соблюдении регламентированных методов.
Расширение полномочий контролирующих органов. ФСБ и ФСТЭК России получают значительные контрольные полномочия, что увеличивает риски внеплановых проверок.
Создание Многофункционального сервиса обмена информацией (МСОИ). Появление защищенного канала для взаимодействия между гражданами, бизнесом и государством. По распоряжению Правительства РФ от 12 июля 2025 года №1880-р компания «Коммуникационная платформа» (дочерняя структура холдинга VK) станет оператором многофункционального сервиса обмена информацией (МСОИ).
Существенное ужесточение ответственности. Введены новые составы административных правонарушений и многократно увеличены размеры штрафов, вплоть до 500 млн рублей и уголовной ответственности.
Новая форма согласия: что должно быть в документе
С 1 сентября 2025 года согласие на обработку персональных данных должно содержать исчерпывающий перечень сведений (ч. 4 ст. 9 № 152-ФЗ):
Полные ФИО, адрес, паспортные данные субъекта ПДн (или его представителя).
Наименование и адрес оператора, получающего согласие.
Конкретная цель обработки.
Перечень персональных данных, на обработку которых дается согласие.
Данные лица, которому обработка будет поручена (если применимо).
Перечень действий с данными (сбор, запись, хранение, использование и т.д.) и общее описание способов обработки.
Срок действия согласия и способ его отзыва.
Подпись субъекта.
Важно! Согласия, полученные до 1 сентября 2025 года по старым правилам, остаются действительными, но только если они были получены корректно.
Расплывчатые формулировки или согласие через молчаливое использование сайта (старые cookie-баннеры) могут быть признаны недействительными.
Что такое обезличенные данные и как с ними работать
Обезличенные данные — это сведения, которые не позволяют определить их принадлежность конкретному человеку без использования дополнительной информации (ключей деобезличивания).
Когда обезличивание становится обязательным:
По завершении цели сбора персональных данных (например, после проведения акции).
Для использования данных в новых целях (например, для обучения AI-моделей).
При передаче данных третьим лицам для аналитики.
Для публикации отчетов и статистики.
По запросу государственных органов (в ЕИП НСУД).
Методы обезличивания (согласно Приказу Роскомнадзора № 140 от 19.06.2025 г.):
Введение идентификаторов (с созданием отдельной таблицы соответствия).
Изменение состава или семантики данных.
Декомпозиция (разбиение массива на части).
Перемешивание записей.
Преобразование.
Прямые запреты при обезличивании:
Нельзя хранить обезличенные данные вместе с исходными.
Запрещено раскрывать методику и «ключи» обезличивания третьим лицам.
Нельзя включать в обезличенные наборы данные, составляющие гостайну, банковскую или медицинскую тайну.
Что нужно срочно поменять на сайте
1. Cookie-баннеры.
Полностью недопустимы формулировки вида «продолжая использовать сайт, вы соглашаетесь...». Необходимо внедрить интерактивный баннер с тремя равноценными кнопками:
«Принять все»
«Настроить» (выбор типов cookie)
«Отклонить все» (должна блокировать все, кроме технически необходимых cookie).
2. Формы подписки и регистрации.
Убрать любые предустановленные галочки.
Ввести раздельные согласия для каждой цели обработки (например, отдельно для e-mail-рассылки и отдельно для смс-информирования).
Формулировки целей должны быть конкретными и понятными.
Рядом с каждой галочкой — ссылка на актуальную Политику конфиденциальности.
3. Политика конфиденциальности
Документ необходимо полностью переработать, добавив:
Детализацию всех целей обработки.
Полный перечень действий с ПДн и способов обработки.
Условия обработки (согласие, договор, законный интерес).
Конкретные сроки хранения данных для каждой цели.
Права субъекта и контакты для их реализации.
Как легально обрабатывать данные, пока новое согласие не получено
Проведите аудит всех имеющихся согласий. Если старое согласие было конкретным, получено через явное подтверждение (галочка) и имело ясные цели — его можно считать действительным.
Если же согласие было расплывчатым («на все цели») или получено через молчание (старый cookie-баннер) — его необходимо перезапросить до 1 сентября 2025 года.
Каналы для переопроса и их эффективность
Канал
Плюсы
Минусы
Высокий охват, дешево, простота отслеживания, юридическая сила.
Риск попадания в спам, низкая открываемость, риск отписок.
SMS
Высокая доставляемость и открываемость, срочность.
Дорого, ограничение по длине, может раздражать.
Личный кабинет
Целевая аудитория, возможность детализации, можно сделать обязательным.
Медленный охват, не подходит для неактивных пользователей.
Оффлайн
Высокий процент согласия, доверие.
Дорого, трудоемко, сложно масштабировать и учитывать.
Рекомендуемая стратегия. Используйте комбинированный подход. Основной канал — email-рассылка с объяснением причин и ссылкой на форму. Для активных пользователей — уведомление в личном кабинете. Для ценных и неответивших клиентов — SMS или оффлайн-каналы.
Жесткая локализация: запрет иностранных сервисов
Закон ужесточает требования к локализации обработки данных:
Чат-боты и формы сбора данных обязаны обрабатывать данные исключительно на территории РФ. Первичный сбор на зарубежных серверах запрещен.
Запрещено использование иностранных сервисов (Google Analytics, WhatsApp1, Telegram и т.д.) без разрешения Роскомнадзора.
Предпочтение необходимо отдавать сервисам из Единого реестра российского ПО (Яндекс.Метрика, VK Мессенджер, MTS Link и др.).
Чат-боты
Если чат-бот находится не на сайте, то необходимо разместить в нем ссылку на политику конфиденциальности и взять согласие на сбор и обработку персональных данных. Документ с политикой нужно хранить на российских облачных сервисах, например на Яндекс. Диске.
Ответственность: новые штрафы и риски
Размеры административных штрафов по обновленной ст. 13.11 КоАП РФ пугают своими масштабами.
Часть 1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка, несовместимая с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа:
для граждан — от 10 до 15 тыс. рублей;
для должностных лиц — от 50 до 100 тыс. рублей;
для юридических лиц — от 150 до 300 тыс. рублей.
Часть 1.1. Повторное совершение административного правонарушения, предусмотренного частью 1 статьи, влечет наложение административного штрафа:
для граждан — от 15 до 30 тыс. рублей;
для должностных лиц — от 100 до 200 тыс. рублей;
для юридических лиц — от 300 до 500 тыс. рублей.
Без оформленного в письменной или электронной форме согласия предусмотрены штрафы по ч. 2 ст. 13.11 КоАП РФ:
для самозанятых — 10–15 тыс. рублей;
для ИП и должностных лиц —100–300 тыс. рублей;
для юридических лиц — 300–700 тыс. рублей.
При повторных нарушениях:
для самозанятых — 15–30 тыс. рублей;
для ИП —500 тыс. рублей;
для должностных лиц — 300–500 тыс. рублей;
для юридических лиц — 1 млн–1,5 млн рублей.
Утечка данных:
от 1 до 10 тыс. граждан: штраф для юрлиц — от 3 до 5 млн руб.
от 10 до 100 тыс. граждан: от 5 до 10 млн руб.
свыше 100 тыс. граждан: от 10 до 15 млн руб.
повторная утечка: штраф может достигать 3% от годовой выручки, но не менее 20 млн и до 500 млн рублей.
утечка биометрических данных: для юрлиц — от 15 до 20 млн рублей; повторно — от 25 до 500 млн рублей.
Уголовная ответственность (ст. 272.1 УК РФ) за несанкционированное распространение данных грозит руководителям штрафом до 300 тыс. рублей, принудительными работами или лишением свободы на срок до 4 лет.
План действий
Провести аудит всех текущих процессов обработки ПД, существующих согласий и документов.
Разработать и внедрить новую форму согласия, привести в порядок cookie-баннеры и формы на сайте.
Переработать Политику конфиденциальности.
Настроить процессы обезличивания данных и написать соответствующую инструкцию.
Запустить кампанию по переопросу клиентов, чьи старые согласия не соответствуют новым требованиям.
Обеспечить полную локализацию обработки данных и отказаться от запрещенных иностранных сервисов.
Обучить сотрудников, особенно тех, кто работает с клиентскими данными.
- Деятельность компании Meta Platforms Inc. (Facebook и Instagram) на территории РФ запрещена
