1 сентября 2025 года вступают в силу поправки в ФЗ «О персональных данных» № 152-ФЗ. Сейчас все рассказывают про согласия на обработку персональных данных, но помимо этого, хотелось бы еще рассказать про каналы переопроса клиентов, про работу с соцсетями и чат-ботами.

Что меняется в работе с персональными данными с 1 сентября 2025 года

Поправки, введенные Федеральными законами № 233-ФЗ и № 156-ФЗ, затрагивают несколько ключевых аспектов:

Новая форма согласия на обработку персональных данных. Согласие должно быть оформлено строго отдельно от любого другого документа (договора, заявления, оферты). Его нельзя «прятать» в общем тексте. Правовые рамки для обезличенных данных. Теперь бизнес может легально использовать обезличенные данные для Big Data и AI-анализа без получения дополнительного согласия субъекта, но при строгом соблюдении регламентированных методов. Расширение полномочий контролирующих органов. ФСБ и ФСТЭК России получают значительные контрольные полномочия, что увеличивает риски внеплановых проверок. Создание Многофункционального сервиса обмена информацией (МСОИ). Появление защищенного канала для взаимодействия между гражданами, бизнесом и государством. По распоряжению Правительства РФ от 12 июля 2025 года №1880-р компания «Коммуникационная платформа» (дочерняя структура холдинга VK) станет оператором многофункционального сервиса обмена информацией (МСОИ). Существенное ужесточение ответственности. Введены новые составы административных правонарушений и многократно увеличены размеры штрафов, вплоть до 500 млн рублей и уголовной ответственности.

Новая форма согласия: что должно быть в документе

С 1 сентября 2025 года согласие на обработку персональных данных должно содержать исчерпывающий перечень сведений (ч. 4 ст. 9 № 152-ФЗ):

Полные ФИО, адрес, паспортные данные субъекта ПДн (или его представителя). Наименование и адрес оператора, получающего согласие. Конкретная цель обработки. Перечень персональных данных, на обработку которых дается согласие. Данные лица, которому обработка будет поручена (если применимо). Перечень действий с данными (сбор, запись, хранение, использование и т.д.) и общее описание способов обработки. Срок действия согласия и способ его отзыва. Подпись субъекта.

Важно! Согласия, полученные до 1 сентября 2025 года по старым правилам, остаются действительными, но только если они были получены корректно.

Расплывчатые формулировки или согласие через молчаливое использование сайта (старые cookie-баннеры) могут быть признаны недействительными.

Что такое обезличенные данные и как с ними работать

Обезличенные данные — это сведения, которые не позволяют определить их принадлежность конкретному человеку без использования дополнительной информации (ключей деобезличивания).

Когда обезличивание становится обязательным:

По завершении цели сбора персональных данных (например, после проведения акции). Для использования данных в новых целях (например, для обучения AI-моделей). При передаче данных третьим лицам для аналитики. Для публикации отчетов и статистики. По запросу государственных органов (в ЕИП НСУД).

Методы обезличивания (согласно Приказу Роскомнадзора № 140 от 19.06.2025 г.):

Введение идентификаторов (с созданием отдельной таблицы соответствия). Изменение состава или семантики данных. Декомпозиция (разбиение массива на части). Перемешивание записей. Преобразование.

Прямые запреты при обезличивании:

Нельзя хранить обезличенные данные вместе с исходными. Запрещено раскрывать методику и «ключи» обезличивания третьим лицам. Нельзя включать в обезличенные наборы данные, составляющие гостайну, банковскую или медицинскую тайну.

Что нужно срочно поменять на сайте

1. Cookie-баннеры.

Полностью недопустимы формулировки вида «продолжая использовать сайт, вы соглашаетесь...». Необходимо внедрить интерактивный баннер с тремя равноценными кнопками:

«Принять все»

«Настроить» (выбор типов cookie)

«Отклонить все» (должна блокировать все, кроме технически необходимых cookie).

2. Формы подписки и регистрации.

Убрать любые предустановленные галочки.

Ввести раздельные согласия для каждой цели обработки (например, отдельно для e-mail-рассылки и отдельно для смс-информирования).

Формулировки целей должны быть конкретными и понятными.

Рядом с каждой галочкой — ссылка на актуальную Политику конфиденциальности.

3. Политика конфиденциальности

Документ необходимо полностью переработать, добавив:

Детализацию всех целей обработки.

Полный перечень действий с ПДн и способов обработки.

Условия обработки (согласие, договор, законный интерес).

Конкретные сроки хранения данных для каждой цели.

Права субъекта и контакты для их реализации.

Как легально обрабатывать данные, пока новое согласие не получено

Проведите аудит всех имеющихся согласий. Если старое согласие было конкретным, получено через явное подтверждение (галочка) и имело ясные цели — его можно считать действительным.

Если же согласие было расплывчатым («на все цели») или получено через молчание (старый cookie-баннер) — его необходимо перезапросить до 1 сентября 2025 года.

Каналы для переопроса и их эффективность

Канал Плюсы Минусы Email Высокий охват, дешево, простота отслеживания, юридическая сила. Риск попадания в спам, низкая открываемость, риск отписок. SMS Высокая доставляемость и открываемость, срочность. Дорого, ограничение по длине, может раздражать. Личный кабинет Целевая аудитория, возможность детализации, можно сделать обязательным. Медленный охват, не подходит для неактивных пользователей. Оффлайн Высокий процент согласия, доверие. Дорого, трудоемко, сложно масштабировать и учитывать.

Рекомендуемая стратегия. Используйте комбинированный подход. Основной канал — email-рассылка с объяснением причин и ссылкой на форму. Для активных пользователей — уведомление в личном кабинете. Для ценных и неответивших клиентов — SMS или оффлайн-каналы.

Жесткая локализация: запрет иностранных сервисов

Закон ужесточает требования к локализации обработки данных:

Чат-боты и формы сбора данных обязаны обрабатывать данные исключительно на территории РФ. Первичный сбор на зарубежных серверах запрещен. Запрещено использование иностранных сервисов (Google Analytics, WhatsApp1, Telegram и т.д.) без разрешения Роскомнадзора. Предпочтение необходимо отдавать сервисам из Единого реестра российского ПО (Яндекс.Метрика, VK Мессенджер, MTS Link и др.).

Чат-боты

Если чат-бот находится не на сайте, то необходимо разместить в нем ссылку на политику конфиденциальности и взять согласие на сбор и обработку персональных данных. Документ с политикой нужно хранить на российских облачных сервисах, например на Яндекс. Диске.

Пример сообщения в чат-боте

Ответственность: новые штрафы и риски

Размеры административных штрафов по обновленной ст. 13.11 КоАП РФ пугают своими масштабами.

Часть 1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка, несовместимая с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния, влечет наложение административного штрафа:

для граждан — от 10 до 15 тыс. рублей ;

для должностных лиц — от 50 до 100 тыс. рублей ;

для юридических лиц — от 150 до 300 тыс. рублей.

Часть 1.1. Повторное совершение административного правонарушения, предусмотренного частью 1 статьи, влечет наложение административного штрафа:

для граждан — от 15 до 30 тыс. рублей;

для должностных лиц — от 100 до 200 тыс. рублей;

для юридических лиц — от 300 до 500 тыс. рублей.

Без оформленного в письменной или электронной форме согласия предусмотрены штрафы по ч. 2 ст. 13.11 КоАП РФ:

для самозанятых — 10–15 тыс. рублей;

для ИП и должностных лиц —100–300 тыс. рублей;

для юридических лиц — 300–700 тыс. рублей.

При повторных нарушениях:

для самозанятых — 15–30 тыс. рублей;

для ИП —500 тыс. рублей;

для должностных лиц — 300–500 тыс. рублей;

для юридических лиц — 1 млн–1,5 млн рублей.

Утечка данных:

от 1 до 10 тыс. граждан: штраф для юрлиц — от 3 до 5 млн руб.

от 10 до 100 тыс. граждан: от 5 до 10 млн руб.

свыше 100 тыс. граждан: от 10 до 15 млн руб.

повторная утечка: штраф может достигать 3% от годовой выручки, но не менее 20 млн и до 500 млн рублей.

утечка биометрических данных: для юрлиц — от 15 до 20 млн рублей; повторно — от 25 до 500 млн рублей.

Уголовная ответственность (ст. 272.1 УК РФ) за несанкционированное распространение данных грозит руководителям штрафом до 300 тыс. рублей, принудительными работами или лишением свободы на срок до 4 лет.

План действий

Провести аудит всех текущих процессов обработки ПД, существующих согласий и документов. Разработать и внедрить новую форму согласия, привести в порядок cookie-баннеры и формы на сайте. Переработать Политику конфиденциальности. Настроить процессы обезличивания данных и написать соответствующую инструкцию. Запустить кампанию по переопросу клиентов, чьи старые согласия не соответствуют новым требованиям. Обеспечить полную локализацию обработки данных и отказаться от запрещенных иностранных сервисов. Обучить сотрудников, особенно тех, кто работает с клиентскими данными.

