Блог
Новости Релизы Узнать о Пассворке
Автор: Анастасия Лебедева в Информационная безопасность

Персональные данные 2025: новые правила для бизнеса

Персональные данные 2025: новые правила игры для бизнеса

Введение

Ещё пару лет назад тема защиты персональных данных чаще звучала в профессиональной среде юристов, специалистов по информационной безопасности и в крупных корпорациях. Но новые требования 152-ФЗ и Роскомнадзора сделали её топ-темой в 2025 году для всех, превратив в одну из ключевых вызовов для любого российского бизнеса. 

С начала года вступили в силу значительно ужесточённые требования Роскомнадзора к хранению и защите персональных данных. Теперь утечка данных может стоить компании не символических 50–100 тысяч рублей, как это было ранее, а миллионы. В теме нам помог разобраться Аким Величко, сооснователь и CEO центра работы с персональными данными Агент 152.

«Сегодня в России мы видим переломный момент: тема персональных данных вышла за рамки узкопрофильных конференций и превратилась в ежедневную реальность любого предпринимателя. Даже владелец небольшой сети кафе или интернет-магазина теперь понимает: утечка это не "проблема больших", это угроза лично для него», — Аким Величко, CEO Агент 152

Хакеры стали действовать гораздо активнее, и их мишенью всё чаще становятся не только гиганты индустрии с миллиардными оборотами, но и малый и средний бизнес. У злоумышленников своя логика: атаковать мелкие компании зачастую проще, поскольку их системы обычно хуже защищены, сотрудники не так хорошо обучены основам цифровой гигиены, а последствия для бизнеса могут быть не менее разрушительными.

Чем грозят российскому бизнесу поправки в законе о персональных данных

Новая реальность в сфере персональных данных и поправки в 152-ФЗ несут для российского бизнеса целый комплекс рисков, включая возросшие штрафы за персональные данные. Что ожидать?

Утечка данных и удар по репутации
Если клиентская база попадёт в сеть, доверие к компании обрушится. Для малого бизнеса, который живёт за счёт повторных покупок и рекомендаций, это может означать фактический крах. Вернуть репутацию крайне сложно.

Финансовые потери и простой работы
Кибератака часто парализует процессы: интернет-магазин без CRM и платежей теряет выручку каждый день. Украденные данные используют для мошенничества — от кредитов на имена клиентов до поддельных договоров, что влечёт новые убытки и судебные риски.

Штрафы от государства
С 2025 года за утечку ПДн штрафы начинаются от 1,5 млн ₽. И это только часть проблемы — клиенты уходят, это влияет на репутацию и доверие, а бизнесу приходится тратить ресурсы на восстановление.

Как менеджеры паролей помогают соблюдать закон

Когда речь заходит о защите персональных данных, компании думают о сложных и дорогостоящих системах, серверах, шифровании, DLP-решениях. Всё это, безусловно, важно, но существует критическая уязвимость, о которой часто забывают: доступы, пароли и секреты, особенно в контексте защиты персональных данных. Именно с них начинается подавляющее большинство утечек.

Типичный сценарий: сотрудник использует один и тот же не всегда сложный пароль для корпоративной почты и своего личного аккаунта на каком-либо стороннем ресурсе. Этот ресурс подвергается атаке, база данных утекает в сеть, и хакеры, получив доступ к паролю, проверяют его в корпоративной системе — и вот они уже внутри вашей инфраструктуры.

«Надёжный доступ — это фундамент. Если ваши пароли лежат в Excel или пересылаются в Telegram, считайте, что они уже утекли. Менеджер паролей не роскошь, а минимальная гигиена, такой же базовый инструмент, как касса в магазине», — Аким Величко, CEO Агент 152

Менеджеры паролей с лицензиями ФСТЭК и ФСБ эффективно решают проблему защиты персональных данных, предлагая комплексный подход к управлению учётными данными, как это делает корпоративный менеджер паролей и секретов Пассворк:

  • Генерирует уникальные и сложные пароли для каждого ресурса, исключая возможность использования одинаковых или легко подбираемых комбинаций
  • Хранит пароли в зашифрованном виде, обеспечивая их безопасность даже в случае компрометации устройства
  • Позволяет удобно управлять доступами внутри компании, сотрудники видят только необходимые для их работы пароли и типы сейфов
  • Мгновенно отключает доступ у уволенного работника, предотвращая несанкционированный доступ к корпоративным ресурсам 

Менеджеры паролей помогают выполнить ключевые требования закона: ограничение доступа к персональным данным, контроль действий сотрудников, предотвращение несанкционированного доступа и фиксацию всех операций в логах. Это снижает вероятность утечек и упрощает прохождение проверок Роскомнадзора: компания может показать, что доступы регулируются, пароли защищены, а процессы документированы. Пассворк — полноценная платформа для управления корпоративными данными, рассчитанная на реальные задачи и высокие требования к безопасности. 

Практические рекомендации для бизнеса: чек-лист соответствия 152-ФЗ

Поправки в Федеральном законе № 152-ФЗ «О персональных данных» направлены на усиление защиты прав субъектов персональных данных и усиление контроля со стороны Роскомнадзора. В этих условиях бизнесу необходимо проактивно выстраивать систему защиты персональных данных. 

«Теперь это минимальный набор требований для любой компании, работающей с персональными данными. В новой реальности — игнорирование грозит штрафами до 20 млн рублей, потерей репутации и даже уголовными сроками для должностных лиц», — Аким Величко, CEO Агент 152.

1. Разработать Политику обработки персональных данных в соответствии с 152-ФЗ. Это отдельный базовый документ, который обязателен для любой компании, работающей с ПДн. Политика показывает клиентам и Роскомнадзору, как именно вы собираете, храните и защищаете данные. Без неё невозможно пройти проверку или корректно взаимодействовать с пользователями. Политика должна содержать:

  • Цели обработки персональных данных
  • Состав обрабатываемых данных
  • Категории субъектов персональных данных
  • Перечень действий, совершаемых с данными
  • Сроки и порядок хранения данных
  • Условия передачи данных третьим лицам
  • Применяемые меры защиты персональных данных

2. Определить правовое основание для обработки. Каждое действие с персональными данными должно иметь чёткое правовое основание, предусмотренное законом. Какие могут быть основания:

  • Согласие субъекта. Должно быть добровольным, конкретным, информированным и сознательным. Важно правильно оформить согласие, указав цель обработки, перечень ПДн, список действий, срок хранения и круг третьих лиц. Неправильно оформленное согласие — прямой путь к штрафу.
  • Исполнение требований законодательства. Например, ведение бухгалтерского учёта.
  • Выполнение договора. Если субъект является стороной договора или выгодоприобретателем.
  • Защита жизни и здоровья. В случаях, когда получение согласия невозможно.

3. Локализация баз данных. С 1 июля 2025 года Роскомнадзор запускает платформу автоматизированного мониторинга сайтов. Рекомендуется отказаться от иностранных облачных решений (Google Docs, Google Forms, Google Analytics) и перейти на локальные или проверенные российские аналоги, обеспечивающие соблюдение этого требования.

4. Cookie-файлы. Cookie-файлы относятся к персональным данным, поскольку они позволяют идентифицировать пользователя и отслеживать его поведение. Компаниям нужно:

  • Указать использование cookie в Политике обработки персональных данных
  • Внедрить на сайте баннер или отдельное уведомление с запросом согласия пользователя на использование cookie
  • Чётко прописать цели использования cookie: аналитика, маркетинг, персонализация

5. Передача данных третьим лицам. Передача персональных данных третьим лицам допустима только при наличии законного правового основания и соответствующего документального оформления. Для этого необходимо:

  • Проверить уровень информационной безопасности партнёра, которому передаются данные
  • Получить согласие субъекта персональных данных на такую передачу или сослаться на другой законный вариант (например, исполнение договора)
  • Заключить поручение на обработку персональных данных или включить соответствующие условия в договор с третьим лицом. Это поможет выполнить требования закона, снизить риски и частично снять ответственность с вашей компании
«Сегодня защищаться от утечек нужно не только ради бизнеса и клиентов, но и ради того, чтобы пережить проверку РКН. В реальности это два разных уровня защиты: первый — чтобы данные не утекли, второй — чтобы потом доказать регулятору, что вы сделали всё возможное», — Аким Величко, CEO Агент 152

С 30 мая 2025 года штрафы выросли до миллионов рублей: оплатить придётся от 3 до 15 млн, до 20 млн в тяжёлых случаях, введена уголовная ответственность должностных лиц. О факте утечки нужно сообщать в Роскомнадзор в течение 24 часов.

Заключение

Защита персональных данных это не формальность, а обязательное условие выживания бизнеса. Формальные документы больше не спасут, теперь Роскомнадзор проверяет реальные процессы. Чтобы избежать штрафов и рисков, нужно:

  • привести в порядок сайт компании: обновить политику обработки ПДн, добавить баннер согласия на cookie, убрать запрещённые виджеты и скрипты, настроить корректный сбор данных
  • обновить внутренние процедуры: регламенты обработки и порядок реагирования на инциденты, локализацию баз данных и хранение ПДн на серверах в РФ
  • проводить обучение сотрудников и внутренние аудиты, обеспечивая их соответствие закону 

Всё это поможет выявлять проблемы заранее, а готовый план реагирования на инциденты сократит время реакции при утечке. Если компания соблюдает 152-ФЗ и выполняет требования Роскомнадзора не только на словах, риск штрафов и репутационных потерь становится намного ниже.

Готовы повысить уровень безопасности? Протестируйте Пассворк бесплатно и получите полный контроль, автоматизацию и защиту данных на корпоративном уровне.

Читайте также

Почему бизнес выбирает расширенную версию Пассворка
Расширенная версия Пассворка — основа управления доступом. Она создана для компаний, которым важно не просто хранить пароли, а организовать безопасность, масштабирование и автоматизацию на уровне всей структуры. В расширенную версию включены все ключевые возможности: интеграция с корпоративными сервисами, централизованное управление ролями и правами, разделение доступа по типам сейфов, настройка репликации и
Блог ПассворкаАнастасия Лебедева
Как защитить данные с помощью менеджера паролей
Узнайте, как выбрать и использовать менеджер паролей для защиты данных. Преимущества, безопасность, обзор решений и советы по внедрению для бизнеса.
Блог ПассворкаИлья Шелыгин
Преимущества и недостатки Single Sign-On
Содержание * Вступление * Что такое единый вход * Как работает SSO * Термины и определения * Почему это важно * Преимущества внедрения единого входа * Недостатки единого входа * Разница между менеджером паролей и SSO * Почему SSO и менеджер паролей должны работать вместе * Сравнение подходов к управлению доступом * Заключение Вступление Как часто ваши сотрудники забывают пароли от
Блог ПассворкаИлья Шелыгин
Менеджер паролей для бизнеса

Пассворк упрощает совместную работу с корпоративными паролями. Все данные безопасно храняться на вашем сервере, а сотрудники быстро находят нужные пароли.

Узнать больше