Новый закон с 1 июля: изменения, кого затронуло и как избежать штрафов

С 1 июля 2025 года вступили в силу поправки в Федеральный закон № 152-ФЗ «О персональных данных», которые усилили требования к локализации персональных данных граждан Российской Федерации. 

Эти изменения особенно важны для крупного бизнеса, корпоративного сегмента и государственных предприятий Москвы и Центрального федерального округа (ЦФО).

Что изменилось для корпоративного сектора?

Новые поправки напрямую влияют на ИТ-инфраструктуру компаний Москвы и ЦФО, особенно тех, кто использует зарубежные сервисы CRM, ERP или для документооборота. Ниже основные изменения, которые должен учесть корпоративный сегмент:

1. Ужесточены требования к хранению данных российских граждан: базы, используемые для первичного сбора и обработки персональных данных (CRM-системы, корпоративные порталы, ERP-платформы), теперь обязаны располагаться на территории России (новая редакция ч. 5 ст. 18 152-ФЗ).
2. Трансграничная передача данных возможна, но только при наличии законных оснований (уведомления Роскомнадзора, согласия субъектов персональных данных и т. д.).
3. Роскомнадзор получил расширенные полномочия: усилены внеплановые проверки, введён ускоренный порядок внесения нарушителей в реестр и блокировки ресурсов, если те не обеспечили локализацию.

Почему это важно для компаний Москвы и ЦФО?

• В регионе сосредоточены крупнейшие корпоративные центры обработки данных, банковские структуры, телеком-операторы и промышленные предприятия, которые ежедневно обрабатывают миллионы записей персональных данных сотрудников, клиентов и партнёров.
• Риск штрафов и блокировок может привести не только к прямым потерям (до 18 млн ₽ по ст. 13.11 КоАП РФ), но и к срыву контрактов и госзакупок.
• В 2025 году усилились проверки для бизнеса Москвы и Центрального федерального округа, особенно в следующих сферах: финансы, ритейл, телеком, медицина, образование и госзаказы.

Кого касаются поправки в Федеральном законе № 152-ФЗ?

Поправки в первую очередь направлены на бизнес, который обрабатывает большие объёмы персональных данных клиентов и сотрудников. Особенно это актуально для компаний в Москве и ЦФО, работающих с госзаказами и корпоративными подрядчиками:

• Крупные и средние компании B2B-сегмента, работающие с клиентами и подрядчиками по всей России.
• Холдинги и корпоративные группы, использующие зарубежные CRM (Creatio, MS Dynamics, ZOHO), Trello, Google Drive, Notion и другие SaaS-сервисы для обработки персональных данных.
• Госкомпании и организации с участием государства, обязанные обеспечивать хранение данных на территории РФ.

Что грозит нарушителям?

• Внесение в Реестр нарушителей персональных данных. Реестр регулируется Федеральным законом от 21.07.2014 № 242-ФЗ.
• Штрафы до 18 млн ₽ для юридических лиц (ст. 13.11 КоАП РФ).
• Блокировка сервисов и внеплановые проверки, которые особенно активно применяются в отношении крупных компаний Москвы и ЦФО.

Как подготовиться бизнесу в Москве и Центральном федеральном округе?

1. Провести аудит ИТ-инфраструктуры и корпоративных систем: определить все точки хранения и обработки персональных данных.
2. Проверить зарубежные платформы: многие международные сервисы не соответствуют новым требованиям.
3. Рассмотреть переход на российские решения: например, Bitrix24 в облаке .ru или коробочная версия, развернутая в сертифицированных ЦОД Москвы и ЦФО.
4. Обновить внутренние регламенты и согласия на обработку персональных данных, включая трансграничную передачу.
5. Обеспечить шифрование, контроль доступа и журналирование операций

Частые вопросы о законе