Новые правила хранения персональных данных: Обзор поправок в 152-ФЗ на 2025-2026 гг

📅 Опубликовано:
⏱ Время чтения: 1 мин
👁 Просмотров: 78
Новые правила хранения персональных данных: Обзор поправок в 152-ФЗ на 2025-2026 гг

С 1 сентября 2025 года вступают в силу масштабные поправки в Федеральный закон № 152-ФЗ «О персональных данных», утвержденные летом 2024 года. Эти изменения — самый серьезный пересмотр регулирования с момента принятия закона. Они затрагивают ключевые аспекты: от уточнения самого понятия «персональные данные» до ужесточения требований по их хранению и трансграничной передаче. Что нужно сделать операторам ПДн, чтобы подготовиться к новым требованиям 2025-2026 годов?

1. Главные изменения: На что обратить внимание в первую очередь

Поправки вводят новые понятия и ужесточают старые правила. Вот топ-5 самых важных изменений.

Таблица: Ключевые нововведения в 152-ФЗ с 2025-2026 гг.

 
 
Нововведение Суть изменения Срок вступления в силу
Биометрические ПДн Четкое определение: к ним теперь относятся любые сведения о физиологических и биологических особенностях человека, включая фото- и видеоизображения, если они используются для установления личности. 1 сентября 2025
Трансграничная передача Запрет на передачу ПДн в «недружественные» юрисдикции. Исключение — физически выраженное письменное согласие субъекта ПДн на такую передачу. 1 марта 2026
Хранение ПДн Обязательство хранить ПДн преимущественно на российских серверах. Использование зарубежных дата-центров допускается только для резервных копий и при условии уведомления Роскомнадзора. 1 сентября 2025
Нотариальное уведомление При сборе ПДн с согласия субъекта оператор обязан предоставить субъекту информацию о себе в форме, удостоверенной усиленной квалифицированной электронной подписью (КЭП) или на бумаге. 1 сентября 2025
Ответственное лицо по ПДн Для всех операторов, кроме микропредприятий, введение обязательной должности или службы, ответственной за обработку ПДн. 1 января 2026
 

2. Кейс: Интернет-магазин и новые правила для фотографий покупателей

Компания: «ОнлайнМаркет» (крупный ритейлер).
Проблема: На сайте магазина действовала система отзывов, где покупатели могли оставлять свои фотографии. С 1 сентября 2025 года эти изображения могут быть признаны биометрическими ПДн.

Решение:

  1. Аудит процессов. Юристы компании признали, что сбор и хранение фотографий для отзывов подпадает под новое определение биометрических ПДн.

  2. Обновление политики. В пользовательское соглашение и политику обработки ПДн были добавлены отдельные блоки, запрашивающие прямое явное согласие на обработку биометрических ПДн.

  3. Технические изменения. В форме отправки отзыва реализована отдельная галочка: «Даю согласие на обработку моих биометрических персональных данных (фотографии)».

  4. Повышение уровня защищенности. База данных с отзывами-фотографиями была перемещена на сервера с более высоким уровнем защиты, соответствующим требованиям ФСТЭК и ФСБ для биометрии.

Комментарий эксперта: «Многие компании даже не подозревают, что их процессы теперь подпадают под регулирование биометрических данных, — предупреждает Илья Петров, ведущий аналитик rkn-help.ru. — Любая система распознавания лиц, даже для доступа в офис, фото в отзывах, видеозаписи с камер наблюдения, используемые для аналитики — все это теперь требует отдельного, информированного согласия и особых мер защиты. Раньше это была серая зона, теперь — прямое регулирование».

3. Трансграничная передача: Новый порядок работы с иностранными сервисами

Это изменение затронет практически все компании, использующие зарубежные облачные сервисы, CRM, аналитические инструменты (например, Google Analytics, Meta Pixel).

Новый алгоритм легализации передачи ПДн за рубеж:

  1. Определить юрисдикцию: Куда передаются данные? Если в «недружественную» страну (список утверждается Правительством РФ), действует запрет.

  2. Получить письменное согласие: Единственное исключение из запрета. Согласие должно быть физически выраженным (на бумаге) или с использованием КЭП. Проставление галочки на сайте будет недостаточно.

  3. Уведомить РКН: О факте получения такого согласия и планируемой передаче данных необходимо уведомить Роскомнадзор.

Практическая рекомендация: Рассмотрите возможность миграции на российские аналоги сервисов (например, Яндекс Метрика, VK Ретаргетинг) до марта 2026 года, чтобы избежать сложной процедуры получения согласий.

4. Чек-лист подготовки для оператора ПДн на 2025-2026 гг.

  1. Провести аудит всех процессов на предмет сбора и обработки биометрических данных.

  2. Обновить документы: Политику обработки ПДн, формы согласий, пользовательские соглашения.

  3. Проанализировать IT-инфраструктуру: Где физически хранятся ПДн? Соответствует ли это новому требованию о преимущественном хранении в РФ?

  4. Составить реестр трансграничных передач ПДн и начать процесс их легализации или поиска альтернатив.

  5. Издать приказ о назначении ответственного лица/службы по ПДн (актуально с 01.01.2026).

Заключение
Поправки в 152-ФЗ знаменуют новый этап ужесточения контроля за оборотом персональных данных в России. Государство последовательно реализует курс на «цифровой суверенитет», выводя данные граждан из-под юрисдикции иностранных государств. Для бизнеса это означает необходимость срочного аудита, пересмотра процессов и, в большинстве случаев, миграции на отечественные IT-решения. Промедление с адаптацией грозит не только штрафами от РКН, но и репутационными рисками.

← Вернуться к статьям