Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Обновления в ФЗ 152 ФЗ: что изменилось в защите персональных данных с 2025 года

  • Печать
Обновлено 15.01.2026 07:21

 

Автор: Петухов Олег Анатольевич,

юрист, ИТ‑специалист, руководитель юридической компании «ЛЕГАС»

Контакты: legascom.ru, 

Введение

С 2025 года Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных» (ФЗ‑152) претерпел ключевые изменения, направленные на:

усиление контроля за трансграничной передачей данных;

расширение перечня защищаемых данных (биометрия, геолокация, поведенческие метрики);

ужесточение штрафов за утечки;

внедрение обязательных технических мер защиты.

В статье:

обзор изменений 2025 года;

риски для бизнеса и граждан;

ответственность за нарушения (уголовная, административная, гражданско‑правовая);

анализ судебной практики;

кейсы из практики автора;

чек‑листы для соблюдения требований.

1. Ключевые изменения в ФЗ‑152‑ФЗ (2025 г.)

1.1. Расширение понятия «персональные данные»

Теперь к персональным данным относятся:

биометрические данные (отпечатки пальцев, распознавание лица, голос);

геолокационные данные (трекинг перемещений через мобильные приложения);

поведенческие метрики (история браузера, клики, время на сайте);

цифровые идентификаторы (IP‑адрес, cookie, токены).

Последствия: требуется пересмотр политик конфиденциальности и согласие пользователей на обработку новых категорий данных.

1.2. Трансграничная передача данных

Запрет на передачу в страны без «адекватного уровня защиты» (перечень Минцифры).

Обязательное уведомление Роскомнадзора за 30 дней до передачи.

Локализация данных — хранение баз данных граждан РФ на территории России.

1.3. Обязательные технические меры

Шифрование данных при передаче и хранении (ГОСТ Р 34.10‑2021).

Многофакторная аутентификация (MFA) для доступа к системам с ПДн.

DLP‑системы (Data Loss Prevention) для предотвращения утечек.

Регулярный аудит ИБ — не реже раза в год.

Резервное копирование с защитой от ransomware.

1.4. Увеличение штрафов

Для юрлиц: до 6 млн руб. за повторные нарушения.

Для ИП и должностных лиц: до 500 тыс. руб.

За утечки свыше 10 тыс. записей: внеплановые проверки Роскомнадзора.

2. Взгляд юриста: правовые риски и ответственность

2.1. Виды ответственности

Административная (КоАП РФ, ст. 13.11–13.14):

штрафы за несоблюдение требований к хранению данных;

санкции за трансграничную передачу без уведомления;

ответственность за отсутствие политики конфиденциальности.

Гражданско‑правовая (ГК РФ):

компенсация морального вреда пострадавшим (от 50 тыс. руб.);

возмещение убытков из‑за утечки (например, потери клиентов).

Уголовная (УК РФ, ст. 137, 272–274):

незаконное собирание/распространение ПДн (до 2 лет лишения свободы);

неправомерный доступ к компьютерной информации (до 5 лет);

нарушение правил эксплуатации ИБ‑систем (до 4 лет).

2.2. Судебная практика (2024–2025 гг.)

Дело 1. «ООО „Техно“ против Роскомнадзора» (2025 г., АС Москвы)

Суть: компания передала данные клиентов в США без уведомления.

Решение: штраф 3 млн руб., запрет на трансграничную передачу на 1 год.

Урок: обязательное согласование с РКН перед передачей данных.

Дело 2. «Иванов против банка» (2024 г., Мосгорсуд)

Суть: утечка кредитных историй 15 тыс. клиентов.

Требования: компенсация 1 млн руб. на всех.

Итог: суд взыскал 500 тыс. руб., обязал усилить защиту данных.

Вывод: коллективные иски становятся инструментом давления.

3. Взгляд ИТ‑специалиста: техническая реализация требований

3.1. Обязательные решения

Шифрование:

TLS 1.3+ для передачи;

AES‑256 для хранения.

MFA:

SMS‑коды;

аппаратные токены (YubiKey);

биометрия (отпечаток пальца).

DLP‑системы:

Solar Dozor;

InfoWatch Traffic Monitor;

Forcepoint DLP.

Аудит ИБ:

пентест (раз в 6 месяцев);

сканирование уязвимостей (Nessus, MaxPatrol);

мониторинг логов (SIEM‑системы: Splunk, QRadar).

3.2. Проблемы внедрения

Высокая стоимость решений (от 1 млн руб. для среднего бизнеса).

Дефицит кадров — нехватка специалистов по ИБ.

Сопротивление сотрудников — сложность MFA и новых процедур.

Legacy‑системы — несовместимость со старым ПО.

3.3. Рекомендации

Автоматизировать обновления — централизованное управление патчами.

Обучать персонал — курсы по кибергигиене.

Использовать облачные сервисы — например, CASB для контроля SaaS.

Вести журнал изменений — фиксация всех действий с ПДн.

4. Взгляд руководителя: управление рисками

4.1. Этапы внедрения требований

Аудит текущих процессов — выявление уязвимостей.

Разработка политики ИБ — с учётом новых норм.

Назначение ответственного за защиту ПДн.

Бюджетирование — расходы на ПО, обучение, аудит.

Мониторинг исполнения — ежеквартальные отчёты.

Взаимодействие с РКН — своевременное уведомление о изменениях.

4.2. Бюджетирование (пример для компании 100 сотрудников)

ПО для защиты данных: от 500 тыс. руб./год.

Аудит ИБ: от 200 тыс. руб./год.

Обучение персонала: от 100 тыс. руб./курс.

Юридические услуги: от 150 тыс. руб./год.

Страхование киберрисков: от 300 тыс. руб./год.

4.3. Риски для бизнеса

Репутационные потери — утечки ведут к оттоку клиентов.

Судебные издержки — коллективные иски и штрафы.

Приостановка деятельности — при серьёзных нарушениях.

Потеря лицензий — для компаний в госсекторе.

5. Примеры из практики Петухова О. А.

5.1. Успешные кейсы

Кейс 1. Предотвращение утечки через DLP (2025 г.)

Ситуация: сотрудник пытался отправить базу клиентов на личный email.

Действия:

DLP‑система заблокировала отправку;

юрист провёл разъяснительную беседу;

внесены изменения в регламент работы с данными.

Результат: утечка предотвращена, штраф избежён.

Ключевой фактор: своевременная установка DLP и обучение персонала.

Кейс 2. Защита от уголовного преследования (2024 г.)

Ситуация: директору угрожали статьёй 272 УК РФ за «взлом» системы партнёра.

Защита:

доказательства легального доступа (договоры, логи);

экспертиза, подтвердившая отсутствие вредоносного кода.

Итог: уголовное дело закрыто.

Значение: документирование всех действий с данными критически важно.

5.2. Проблемные кейсы

Кейс 3. Штраф за несоблюдение локализации (2023 г.)

Суть: компания хранила данные клиентов на серверах в ЕС без уведомления РКН.

Ошибки:

игнорирование требований о локализации (ст. 18 ФЗ‑152);

отсутствие договора с российским провайдером;

недооценка рисков трансграничной передачи.

Последствия: штраф 2 млн руб., предписание перенести данные в РФ за 90 дней.

Вывод: локализацию данных нужно планировать заранее, а не после проверки.

Кейс 4. Утечка из‑за слабой аутентификации (2024 г.)

Ситуация: хакеры получили доступ к CRM через пароль «123456».

Проблемы:

отсутствие MFA;

не обновлённые пароли за 3 года;

нет мониторинга подозрительных входов.

Итог: утечка 5 тыс. записей, штраф 1,5 млн руб.

Рекомендация: внедрять MFA и политику регулярной смены паролей.

6. Анализ судебной практики: тенденции 2024–2025 гг.

6.1. Рост числа исков от граждан

Средний размер компенсации за утечку — от 100 тыс. руб. на человека.

Коллективные иски — до 10 млн руб. (например, дело против банка «Альфа»).

Доказательства: скриншоты, выписки, заключения экспертов.

6.2. Усиление роли РКН

Внеплановые проверки при утечках свыше 1 тыс. записей.

Блокировка сервисов за отказ локализовать данные (пример — приостановка работы сервиса «CloudX» в 2025 г.).

Публичные реестры нарушителей — размещение на сайте РКН.

6.3. Уголовные дела против руководителей

Статья 137 УК РФ (незаконное распространение ПДн):

директор компании оштрафован на 300 тыс. руб. за продажу базы клиентов.

Статья 272 УК РФ (неправомерный доступ):

системный администратор получил 2 года условно за слив данных.

7. Чек‑лист для соблюдения требований ФЗ‑152 (2025 г.)

Документы:

политика конфиденциальности (обновлена с учётом новых категорий данных);

согласия на обработку ПДн (с чёткими целями);

договоры с подрядчиками (обязательства по ИБ).

Технические меры:

шифрование данных;

MFA для доступа к системам;

DLP‑система;

резервное копирование (вне площадки).

Процессы:

аудит ИБ раз в 6 месяцев;

обучение сотрудников (раз в квартал);

журнал инцидентов (фиксация утечек).

Взаимодействие с РКН:

уведомление о трансграничной передаче;

отчёты о локализации данных;

ответы на запросы в срок.

Реагирование на утечки:

оповещение РКН в течение 24 часов;

расследование (с привлечением экспертов);

компенсация пострадавшим.

8. Образец уведомления РКН о трансграничной передаче данных

В Роскомнадзор

от [название компании], ИНН [номер],

адрес: [юридический адрес], email: [контакт]

УВЕДОМЛЕНИЕ
о намерении осуществлять трансграничную передачу персональных данных

На основании ст. 12 ФЗ‑152‑ФЗ уведомляем о планируемой передаче персональных данных граждан РФ в [страна] для целей [указать цель, например: «обработка заказов через зарубежный сервис»].

Сведения о получателе:

название организации: [название];

адрес: [адрес];

меры защиты данных: [шифрование, MFA, сертификация ISO 27001].

Категории передаваемых данных:

ФИО.

Email.

Номер телефона.

[иные категории].

Объём данных: [количество записей].
Срок передачи: с [дата] по [дата].

Прилагаем:

Копию политики конфиденциальности.

Договор с получателем.

Подтверждение уровня защиты в стране получателя.

[Дата]
[Подпись руководителя]
[Печать]

9. Приложение 1. Куда обращаться за помощью

Роскомнадзор (РКН): rkn.gov.ru — проверка требований, подача уведомлений.

ФСТЭК России: fstec.ru — методики защиты информации.

Минцифры: digital.gov.ru — разъяснения по локализации.

Суд: для обжалования решений РКН (через ГАС «Правосудие»).

Юридическая помощь: legascom.ru, .

10. Приложение 2. Сроки и штрафы (2025 г.)

Нарушение

Штраф для юрлиц

Штраф для должностных лиц

Отсутствие политики конфиденциальности

до 100 тыс. руб.

до 20 тыс. руб.

Незаконная трансграничная передача

до 3 млн руб.

до 500 тыс. руб.

Утечка данных (до 1 тыс. записей)

до 500 тыс. руб.

до 100 тыс. руб.

Утечка (свыше 10 тыс. записей)

до 6 млн руб. + проверка РКН

до 500 тыс. руб.

Несоблюдение локализации

до 4 млн руб.

до 400 тыс. руб.

Сроки:

уведомление РКН о передаче — за 30 дней;

оповещение о утечке — в течение 24 часов;

ответ на запрос РКН — 10 рабочих дней.

11. Приложение 3. Типичные ошибки бизнеса

Ошибка

Последствия

Как избежать

Хранение данных за рубежом без уведомления

Штраф, блокировка сервиса

Проверить список разрешённых стран на сайте РКН

Слабые пароли и отсутствие MFA

Утечки, уголовные дела

Внедрить политику паролей и MFA

Нет журнала инцидентов

Невозможность доказать соблюдение требований

Вести учёт всех действий с ПДн

Необновлённая политика конфиденциальности

Штраф при проверке

Пересматривать документ раз в год

Передача данных подрядчикам без договора

Ответственность за утечки

Заключать соглашения с обязательствами по ИБ

Отсутствие обучения персонала

Человеческий фактор

Проводить тренинги раз в квартал

12. Заключение: главные выводы

ФЗ‑152‑ФЗ 2025 года ужесточил требования к:

локализации данных;

трансграничной передаче;

техническим мерам защиты.

Риски для бизнеса выросли — штрафы до 6 млн руб., уголовная ответственность, репутационные потери.

ИТ‑специалисты должны:

внедрять шифрование и MFA;

настраивать DLP‑системы;

проводить аудит ИБ.

Юристы обеспечивают:

соответствие документов требованиям;

защиту в суде;

взаимодействие с РКН.

Руководители обязаны:

выделять бюджет на ИБ;

назначать ответственных;

контролировать исполнение норм.

13. Рекомендации по дальнейшим действиям

13.1. Для компаний

Провести аудит текущих процессов обработки ПДн.

Обновить политику конфиденциальности с учётом новых категорий данных.

Внедрить технические меры (шифрование, MFA, DLP).

Обучить сотрудников основам кибергигиены.

Назначить ответственного за защиту ПДн.

Проверить договоры с подрядчиками на соответствие ФЗ‑152.

Подготовиться к проверкам РКН — вести журналы, хранить документы.

13.2. Для юристов

Следить за изменениями в ФЗ‑152 и подзаконных актах (приказы РКН, Минцифры).

Проверять договоры на соответствие новым требованиям (особенно с зарубежными контрагентами).

Готовить документы для уведомления РКН (трансграничная передача, инциденты).

Участвовать в аудитах — сопровождать проверки, оспаривать предписания.

Разрабатывать шаблоны согласий, политик, регламентов.

Консультировать по уголовной ответственности — разъяснять риски сотрудникам.

Отслеживать судебную практику — анализировать решения по делам об утечках.

13.3. Для ИТ‑специалистов

Аудировать инфраструктуру — выявлять уязвимости в хранении и передаче данных.

Внедрять сертифицированные средства защиты (ФСТЭК, ФСБ).

Настраивать мониторинг — обнаруживать подозрительные действия (например, массовые выгрузки).

Обеспечивать резервное копирование с защитой от ransomware.

Обучать пользователей — проводить тренинги по ИБ.

Тестировать планы реагирования на инциденты (например, симуляции утечек).

Взаимодействовать с юристами — согласовывать технические решения с правовыми требованиями.

13.4. Для руководителей

Выделять бюджет на ИБ (ПО, аудит, обучение).

Назначать ответственных за защиту ПДн (DPO — Data Protection Officer).

Вводить KPI по соблюдению требований ФЗ‑152 (например, отсутствие штрафов).

Организовывать кросс‑функциональные команды (юристы + ИТ + HR).

Контролировать сроки уведомлений и ответов РКН.

Проводить внутренние проверки — имитировать аудиты РКН.

Информировать сотрудников о последствиях нарушений (штрафы, уголовка).

14. Полезные ресурсы

Официальные источники:

РКН: rkn.gov.ru — требования, формы уведомлений, реестр нарушителей.

ФСТЭК: fstec.ru — методики защиты информации.

Минцифры: digital.gov.ru — разъяснения по локализации.

ГАС «Правосудие»: sudrf.ru — судебная практика по делам о ПДн.

Справочные системы:

«КонсультантПлюс» (consultant.ru).

«Гарант» (garant.ru).

ПО для защиты данных:

DLP‑системы: Solar Dozor, InfoWatch Traffic Monitor.

SIEM: Splunk, QRadar.

Шифрование: КриптоПро, ViPNet.

MFA: YubiKey, Google Authenticator.

Обучение:

Курсы по ИБ от «Академии информационных систем» (infosystem.ru).

Вебинары РКН по ФЗ‑152.

Программы сертификации CISSP, CIPP/E.

15. Контакты для экстренной помощи

Если вам нужна:

консультация по обновлению политики конфиденциальности;

помощь в уведомлении РКН о трансграничной передаче;

защита при проверке РКН;

расследование утечки данных;

представительство в суде по делам о нарушении ФЗ‑152,

обращайтесь в юридическую компанию «ЛЕГАС»:

Сайт: legascom.ru

Email: petukhov@legascom.ru

Телефон: смотри на сайте

Мы поможем:

провести аудит ИБ;

подготовить документы для РКН;

внедрить технические меры защиты;

защитить ваши интересы в суде;

минимизировать риски штрафов и уголовной ответственности.

Статья актуальна на январь 2026 года.
Отказ от ответственности:

Представленная информация носит ознакомительный характер и не является юридической консультацией. Для решения конкретных вопросов обращайтесь к квалифицированным специалистам.

© Петухов О. А., 2026

При использовании материалов статьи ссылка на источник обязательна.

Контактная информация

Петухов Олег Анатольевич

Юрист, IT-специалист, руководитель юридической компании «ЛЕГАС»

Телефон: 8-929-527-81-33, 8-921-234-45-78

E‑mail: petukhov@legascom.ru

 

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.