В первую, очередь теперь вам нужно будет получать детальное согласие от пользователей в соответствии с новой ст.10.1 Дальше, если вы планируете использовать общедоступные данные, выложенные в соцсетях и на образовательных платформах, готовьтесь при необходимости доказать «законность последующего распространения или иной обработки этих данных». Кроме того, как только закончится срок действия согласия или субъект ПД потребует их удалить, вы будете обязаны в трехдневный срок это сделать.
Требования к хранению в ФЗ-152 не изменились, но на практике с этим стало немного проще. Если 3-4 года назад хранение персданных ограничивалось в основном On-Premise инфраструктурой, то с развитием облачных сервисов со встроенной защитой вариантов стало больше. Сейчас можно арендовать ресурсы в облаке с аттестацией по УЗ-1 (152-ФЗ), например в облаке
NGcloud, и легально, безопасно хранить в нем персональные данные любого типа. Хоть общедоступные, хоть иные.