Новый ФЗ-152 — капкан для бизнеса в 2025: как избежать штрафов до 500 млн и уголовной ответственности

Российский бизнес в 2025 году ждут серьезные изменения в законодательстве о персональных данных — с риском штрафов до 500 млн рублей и даже уголовной ответственности для руководителей. Компаниям придется оперативно адаптироваться под новые требования к обработке клиентских данных, чтобы не допустить нарушений. 

В материале разбираем нововведения ФЗ-152 и объясняем, как подготовить агентский и не только бизнес к новой реальности. Углубиться в тему и разобраться со всеми деталями поможет наш гайд-исследование. Получить его можно в конце статьи.

Грядущие нововведения в Федеральном законе № 152-ФЗ «О персональных данных» поднимают его значимость для бизнеса на совершенно новый уровень: из простого регуляторного акта он превращается в фундамент цифровой безопасности и репутации. Государство планомерно усиливает контроль за данными граждан, стремясь лучше защитить их в растущем цифровом пространстве, где утечки, увы, не редкость. Для российского бизнеса это значит одно: игнорировать ФЗ-152 или подходить к его соблюдению формально — теперь очень рискованно. Ошибки могут стоить не только денег, но и репутации, привести к приостановке работы и даже к уголовным разбирательствам для ответственных лиц.

Ключевые изменения 2025 года: на что обратить внимание в первую очередь

Рассмотрим наиболее важные нововведения, которые затронут деятельность практически каждого бизнеса, обрабатывающего данные физических лиц, и оценим их реальное влияние.

1. Согласие на обработку ПДн: принципиальные изменения в процедурах и маркетинге (на рассмотрении с 1 марта 2025 г.)

Суть изменений: законопроект № 679980-8, с высокой долей вероятности, вступит в силу в течение  2025 года и изменит сам подход к получению согласия. Ключевое требование – согласие на обработку ПДн должно оформляться как отдельный, самостоятельный документ. Это означает, что практика включения соответствующих пунктов в многостраничные договоры, пользовательские соглашения или оферты прекращается.

Значение для бизнеса: изменение нацелено на то, чтобы процесс предоставления согласия стал максимально прозрачным и осознанным для субъекта ПДн. Для компаний это потребует полной перестройки процессов сбора согласий, разработки новых форм и, возможно, дополнительного обучения персонала.

Влияние на маркетинг: одновременно вводится запрет на обусловливание доступа к информации о товарах или услугах предоставлением ПДн (если их предоставление не обязательно по закону). Это окажет прямое воздействие на некоторые модели лидогенерации, где доступ к прайс-листам или детальным описаниям предоставлялся только после указания контактных данных. Компаниям придется искать иные, соответствующие закону, способы стимулирования пользователей к предоставлению информации.

1. Штрафы за утечки ПДн: от ощутимых к критическим (с 30 мая 2025 г.)

Масштаб ужесточения: если ранее штрафы за нарушения в сфере ПДн могли рассматриваться как неприятность, то новые санкции способны создать серьезные угрозы для финансовой устойчивости компании. Ответственность за утечки ПДн становится дифференцированной и напрямую зависит от масштаба инцидента и категории данных. Законодатель вводит следующие размеры штрафов:

1. Утечка данных от 1 000 субъектов: штраф 3 – 5 млн руб.
2. От 10 000 субъектов: штраф 5 – 10 млн руб.
3. Более 100 000 субъектов: штраф 10 – 15 млн руб.
4. Утечка чувствительных (специальных) категорий ПДн: 10 – 15 млн руб.
5. Утечка биометрических ПДн: 15 – 20 млн руб.

За повторную утечку любой категории ПДн штраф составит от 1% до 3% годовой выручки компании (в диапазоне от 20-25 млн до 500 млн руб.). Такие суммы могут иметь очень серьезные последствия для бизнеса. Кроме того, штраф за неуведомление Роскомнадзора об утечке возрастет до 1 – 3 млн руб. Важно отметить, что 50% скидка при быстрой уплате штрафов по ст. 13.11 КоАП РФ на данные нарушения распространяться не будет. Это означает, что избежать полной суммы штрафа за утечку станет значительно сложнее.

👉 Получите гайд OMNIMIX по изменениям ФЗ-152 

Мы подготовили бесплатный, подробный гайд-исследование, который поможет адаптировать бизнес к новым требованиям законодательства о персональных данных в 2025 году. Внутри — разбор ключевых изменений, рекомендации по легальной работе с данными и практические советы. Получить гайд можно по ссылке.

Важно: OMNIMIX не является юридической фирмой. Наш гайд создан на основе глубокого маркетингово-аналитического исследования, но не заменяет профессиональную юридическую консультацию.

1. Уголовная ответственность: когда небрежность становится преступлением (уже действует с 11 декабря 2024 г.)

Новые реалии для руководства: введение статьи 272.1 Уголовного кодекса РФ является четким сигналом о намерении государства пресекать небрежное или злонамеренное обращение с ПДн. За неправомерные сбор, хранение, использование или распространение ПДн, совершенные из корыстной или иной личной заинтересованности и повлекшие существенное нарушение прав граждан, теперь предусмотрено уголовное преследование.

Если в результате таких незаконных действий данные были переданы за границу, наказание может достигать 8 лет лишения свободы. Это выводит персональную ответственность руководителей и сотрудников, работающих с данными, на принципиально новый уровень.

1. Маркетинг и согласия на обработку ПДн: двойные требования для коммуникаций

Фундаментальное правило, усиленное новыми нормами: для любой маркетинговой коммуникации (телефонные звонки, SMS, email-рассылки) необходимо получить два различных согласия от физического лица:

1. Первое – на обработку его персональных данных для целей продвижения товаров, работ, услуг (согласно ст. 15 ФЗ-152).
2. Второе – на получение непосредственно рекламных сообщений по сетям электросвязи (согласно ст. 18 ФЗ "О рекламе").

Обязательство оформления согласия на обработку ПДн как отдельного документа делает эти «двойные требования» еще более критичными. Если первое согласие получено с нарушениями (например, не оформлено как отдельный документ после 1 марта 2025 года), оно будет признано недействительным. Это автоматически делает недействительным и второе согласие – на получение рекламы, так как оно базировалось на нелегитимно обработанных данных. Таким образом, нарушение одного закона может повлечь за собой нарушение другого, многократно увеличивая совокупные риски для компании.

1. Иллюзия доступности: «публичные» данные и покупные базы с высокими рисками

Многие компании до сих пор полагают, что если данные сотрудника (например, рабочий email или телефон) опубликованы на корпоративном сайте или в деловой соцсети, их можно свободно использовать для прямых продаж или рассылок. Это крайне рискованная позиция. ФЗ-152 четко разделяет факт нахождения данных в открытом доступе и наличие законного основания (чаще всего – предварительного согласия субъекта) для их обработки в маркетинговых целях. Так называемый режим «персональных данных, разрешенных для распространения» (ПДРД) требует получения от субъекта специального, отдельного согласия, где он сам определяет, какие данные и для каких целей могут быть распространены.

Покупные базы = высокие риски: в свете многократно возросших штрафов и введения уголовной ответственности, использование покупных баз данных становится экономически неоправданным и крайне рискованным шагом. Ответственность за законность обработки каждого контакта из такой базы ляжет именно на вашу компанию, а не на продавца. Доказать наличие всех необходимых и корректно оформленных согласий для каждого субъекта в такой базе практически нереально, а риски несоизмеримы с потенциальной выгодой. Инвестиции в подобные схемы с высокой вероятностью приведут к значительным финансовым потерям.

Адаптация или стагнация: что предпринять бизнесу уже сейчас?

Новые законодательные реалии требуют системного, глубокого пересмотра всей архитектуры работы с персональными данными. Вопрос не в том, «если» компания столкнется с проверкой или жалобой, а «когда» это может произойти. Поэтому действовать нужно на опережение, формируя проактивную позицию:

1. Проведите всесторонний аудит: оцените текущие процессы сбора, хранения, обработки и защиты ПДн в вашей компании. Какие формы согласий используются, как они фиксируются, где хранятся доказательства их получения? Выявите все потенциально уязвимые места.
2. Пересмотрите и обновите документацию: политика в отношении обработки ПДн (должна быть публичной!), Положение об обработке и защите ПДн, формы согласий, внутренние регламенты для сотрудников – все эти документы должны быть приведены в полное соответствие с последними требованиями закона.
3. Организуйте обучение персонала: каждый сотрудник, имеющий доступ к ПДн, должен четко понимать новые правила, свою роль и меру ответственности. Недостаточная осведомленность персонала часто является причиной нарушений.
4. Проверьте контрагентов и IT-инфраструктуру: если компания передает обработку ПДн третьим лицам (колл-центры, сервисы рассылок, маркетинговые агентства, облачные провайдеры CRM), убедитесь, что они также соблюдают закон и у вас есть с ними корректно оформленное поручение на обработку ПДн. Особое внимание уделите требованию локализации баз данных на территории РФ.

По пунктам и без паники — бесплатный гайд-исследование изменений ФЗ-152

Специально для тех, кто понимает серьезность ситуации и стремится обеспечить соответствие новым требованиям, мы подготовили объемное исследование. В нем детально разобраны все нюансы новых правил, даны практические рекомендации по выстраиванию юридически корректных процессов, включая настройку популярных IT-инструментов (AmoCRM, Unisender, Telegram-боты) и легитимные способы лидогенерации в 2025 году.

Переходите по ссылке и забирайте этот материал бесплатно! 

Остались вопросы или хотите обсудить запуск рекламы? Пишите на hi@omnimix.ru.

Заходите на сайт: https://omnimix.agency/

Если статья была для вас интересна, подписывайтесь на Telegram-канал: https://t.me/omnimix. Там — полезные материалы, инсайты, обзор инструментов и исследования digital-рынка.