Главные нововведения в 152-ФЗ в 2025 году: на что обратить внимание операторам персональных данных

Введение:
Федеральный закон № 152-ФЗ «О персональных данных» продолжает активно развиваться, следуя за вызовами цифровой эпохи. 2025 год не стал исключением — в силу вступил ряд важных поправок и разъяснений, которые ужесточают требования к обработке персональных данных и усиливают ответственность за их нарушение. В этой статье мы собрали ключевые изменения, которые должны быть на контроле у каждого оператора.

1. Ужесточение требований к трансграничной передате данных
Одним из самых значимых изменений стало уточнение процедуры трансграничной передачи данных.

• Прямое уведомление Роскомнадзора: Теперь для передачи данных в иностранные государства, которые не обеспечивают адекватную защиту (не входят в соответствующий перечень), оператор обязан не просто получить согласие субъекта, но и напрямую уведомить об этом Роскомнадзор до начала такой передачи.
• Оценка последствий: На практике от операторов могут потребовать проведения оценки рисков и последствий такой передачи для прав субъектов ПДн.

2. Расширение прав субъектов и обязанностей операторов
Законодатель продолжает усиливать позицию человека, чьи данные обрабатываются.

• Право на забвение для юридических лиц: Впервые закрепляется механизм, аналогичный праву на забвение, но для данных публичных лиц (ИП, руководителей компаний). При определенных условиях они могут требовать удаления информации, если она неактуальна или распространяется с нарушениями.
• Упрощенный порядок отзыва согласия: Поправки детализируют процедуру отзыва согласия на обработку ПДн. Оператор обязан предоставить простой и понятный механизм для такого отзыва (например, через специальную кнопку в личном кабинете) и исполнить требование в укороченные сроки.

3. Новые требования к защите данных в облачных сервисах
С ростом популярности облачных технологий появились и специфические требования.

• Локализация метаданных: Помимо самой базы персональных данных, критически важная информация о ней (метаданные, логи доступа, системные журналы) также должна храниться на территории Российской Федерации.
• Сертификация облачных провайдеров: Рекомендовано использовать облачные инфраструктуры только от провайдеров, прошедших сертификацию в системе ФСТЭК России. Это становится стандартом де-факто для государственных и корпоративных заказчиков.

4. Фокус на Big Data и автоматизированную обработку
Обработка больших данных и принятие решений алгоритмами поставлены под более строгий контроль.

• Запрет на полностью автоматизированное принятие решений: Оператор не имеет права принимать исключительно на основе автоматической обработки решения, имеющие юридические последствия для субъекта (например, отказ в кредите или увольнение). Требуется обязательное участие человека.
• Обязательная transparency (прозрачность): Если решение было принято с использованием алгоритмов, субъект ПДн имеет право получить объяснение логики, на основе которой оно было вынесено.

5. Усиление надзора и ответственности
Роскомнадзор и ФСТЭК получают расширенные полномочия по проведению плановых и внеплановых проверок.

• Увеличение штрафов: Существенно увеличены штрафы за повторные нарушения, особенно связанные с несоблюдением требований по локализации данных.
• Уголовная ответственность за утечки: Активно применяется практика привлечения к уголовной ответственности по статье 137 УК РФ («Нарушение неприкосновенности частной жизни») за масштабные утечки персональных данных, повлекшие тяжкие последствия.

Заключение:
Нововведения 2025 года в 152-ФЗ четко демонстрируют тренд на ужесточение регулирования и повышение прозрачности процессов обработки персональных данных. Для компаний это означает необходимость пересмотра внутренних политик, инвестиций в ИТ-инфраструктуру и системы безопасности, а также проведения аудитов на соответствие актуальным требованиям. Соблюдение закона перестает быть формальностью и становится критическим элементом бизнес-процессов и деловой репутации.

---

Website Article (in English)

Title: Key Updates to Russian Data Protection Law (Federal Law 152-FZ) in 2025: What Data Operators Need to Know

Introduction:
Federal Law No. 152-FZ «On Personal Data» continues to evolve rapidly, keeping pace with the challenges of the digital age. The year 2025 is no exception, with a series of significant amendments and clarifications coming into force. These changes tighten the requirements for personal data processing and strengthen liability for non-compliance. This article summarizes the key updates that every data operator must be aware of.

1. Stricter Rules for Cross-Border Data Transfer
One of the most significant changes concerns the procedure for cross-border data transfer.

• Direct Notification to Roskomnadzor: To transfer data to foreign states that do not provide adequate protection (those not on the relevant list), operators are now required not only to obtain the subject’s consent but also to notify Roskomnadzor directly before initiating such a transfer.
• Impact Assessment: In practice, operators may be required to conduct an assessment of the risks and consequences of such transfers for data subjects’ rights.

2. Expansion of Data Subject Rights and Operator Obligations
The legislator continues to strengthen the position of the individual whose data is being processed.

• «Right to Be Forgotten» for Legal Entities: A mechanism similar to the right to be forgotten is being introduced for the data of public figures (e.g., sole proprietors, company executives). Under certain conditions, they can request the deletion of information if it is irrelevant or was disseminated in violation of the law.
• Simplified Consent Withdrawal Procedure: The amendments detail the procedure for withdrawing consent to process personal data. Operators are obliged to provide a simple and clear mechanism for such withdrawal (e.g., a dedicated button in a personal account) and comply with the request within shorter deadlines.

3. New Requirements for Cloud Service Data Protection
With the growing popularity of cloud technologies, specific requirements have emerged.

• Localization of Metadata: In addition to the primary personal database, critical information about it (metadata, access logs, system journals) must also be stored on Russian territory.
• Certification of Cloud Providers: It is recommended to use cloud infrastructure only from providers certified by the FSTEC of Russia system. This is becoming a de facto standard for government and corporate customers.

4. Focus on Big Data and Automated Processing
The processing of big data and algorithmic decision-making is now under stricter control.

• Ban on Fully Automated Decision-Making: An operator cannot make decisions that have legal consequences for the data subject (e.g., loan denial or dismissal) based solely on automated processing. Human involvement is mandatory.
• Mandatory Transparency: If a decision was made using algorithms, the data subject has the right to receive an explanation of the logic behind it.

5. Strengthened Supervision and Liability
Roskomnadzor and FSTEC have been granted expanded powers to conduct scheduled and unscheduled inspections.

• Increased Fines: Fines for repeated violations, especially those related to non-compliance with data localization requirements, have been significantly increased.
• Criminal Liability for Leaks: There is an active practice of initiating criminal liability under Article 137 of the Criminal Code of the Russian Federation («Violation of privacy») for large-scale personal data leaks that have led to serious consequences.

Conclusion:
The 2025 updates to Federal Law 152-FZ clearly demonstrate a trend towards stricter regulation and increased transparency in personal data processing. For companies, this means the need to review internal policies, invest in IT infrastructure and security systems, and conduct audits for compliance with current requirements. Compliance is ceasing to be a formality and is becoming a critical element of business processes and corporate reputation.