Обработка персональных данных 2025: как бизнесу не попасть под штрафы до 20 млн рублей

Сбор данных через сайт, email-рассылку или CRM без уведомления Роскомнадзора теперь может обернуться штрафом в миллионы рублей — новые требования действуют для всех: от малого бизнеса до самозанятых. Разбираемся, кто считается оператором ПДн, что изменилось с 1 июля и 1 сентября, как правильно получить согласие, настроить защиту данных, избежать санкций и что делать в случае утечки.

Кто такой оператор персональных данных

С 2025 года под определение «оператор персональных данных» попадает гораздо больше организаций и частных лиц. По закону №152-ФЗ оператором считается тот, кто сам решает, зачем и как будет обрабатывать личные данные. Это не только компании и госструктуры, но и ИП, самозанятые и даже физлица — если они регулярно собирают и используют чужие сведения, например, через сайт, мессенджеры или CRM.

• Закон охватывает все виды персональных данных: от имени, телефона и email до фото, записей разговоров, cookie, IP-адресов и даже поведения пользователя на сайте.
• Если у вас есть сайт с формами или вы используете аналитику — вы уже обрабатываете персональные данные и по закону считаетесь оператором.

Важно! Прежде чем начинать обрабатывать данные, оператору нужно уведомить Роскомнадзор, чтобы компанию внесли в Реестр операторов ПДн. Без этого формально работать с ПДн нельзя — даже если речь о простом сборе заявок через сайт. Исключения есть, но они строго ограничены, и при проверке придется доказать, что вы под них подпадаете.

{{cta}}

Согласие на обработку ПДн: новые требования с 1 сентября 2025 года

Обновленная статья 9 №152-ФЗ фиксирует, что документ должен быть действительно добровольным и осознанным — с понятной формулировкой, без «галочек по умолчанию» и скрытых условий.

Согласие должно быть оформлено отдельно. Распространенная практика включения согласия в договор, оферту или заявление теперь не допускается. Это должен быть самостоятельный документ, не объединенный ни с какими другими.

Запрещены заранее проставленные галочки. Пользователь должен самостоятельно поставить отметку, подтверждающую согласие. Поля, заполненные по умолчанию, нарушают закон.

Согласие должно быть конкретным и информированным. В документе нужно четко указать:

• Цель обработки.
• Конкретный список обрабатываемых сведений.
• Перечень организаций и партнеров, которые получат доступ к информации.
• Подробное описание операций с данными.
• Период действия документа и понятная процедура отмены.

За неправильное оформление согласия компании и предприниматели заплатят штраф от 300 до 700 тыс. рублей. Если компания повторно нарушит требования, сумма вырастет до 1,5 миллиона рублей.

Порядок уничтожения ПДн: что говорит Роскомнадзор

Многие компании следят за сбором и хранением данных, но игнорируют их удаление после окончания обработки. Это нарушение. Роскомнадзор особенно тщательно проверяет данный аспект.

• Срок: нужно удалить данные в 30-дневный срок с момента выполнения цели обработки или получения отзыва согласия.
• Документы: удаление фиксируется официальным актом — в нем указываются дата, причина и способ уничтожения. Этот документ предъявляется при проверке.
• Надежность: данные должны быть удалены без возможности восстановления. Простое удаление файла не подходит — нужен надежный способ, исключающий восстановление.
  ‍

Обязанности оператора: уведомление Роскомнадзора и защита данных

Согласие — только часть требований. У оператора есть и другие обязательства, за нарушение которых предусмотрены серьезные штрафы и проверки.

Когда и как уведомлять Роскомнадзор

Подача уведомления — это обязательство, которое необходимо выполнить до начала обработки данных. 

• Обязанность: практически все операторы, включая малый бизнес и ИП, должны направить уведомление, если они собирают ПДн.
• Исключения: уведомление можно не подавать, если вы обрабатываете данные исключительно в рамках трудовых отношений или в случаях, когда этого требуют законы о защите транспорта. Однако, если вы делаете рассылку или собираете информацию через сайт, уведомление нужно подать.

Для подачи уведомления доступны 3 варианта: заполнить бумажный бланк, отправить документ через сайт Роскомнадзора или воспользоваться порталом Госуслуг. Если ваша деятельность меняется (например, добавилась новая цель обработки или изменился перечень ПДн), нужно направить информационное письмо об изменении сведений.

Что должно быть на сайте компании

Любой сайт, взаимодействующий с пользователями, является инструментом обработки персональных данных. Его необходимо привести в соответствие с законом:

• Опубликуйте на сайте полную версию политики обработки ПДн — в ней открыто опишите цели обработки, период хранения, применяемые способы работы с информацией и реализованные меры защиты. Обычно политику размещают в футере.
• Добавьте уведомление о cookie — Роскомнадзор считает их частью персональных данных, поэтому вы должны получить согласие от пользователя на их использование.
• Обязательно запрашивайте отдельное согласие — в любых формах взаимодействия с пользователем без заранее отмеченных галочек.
• Проверьте, где хранятся данные — с 1 июля 2025 года вся первичная обработка информации о гражданах РФ должна идти через российские серверы.
  ‍

Новые штрафы и ответственность 

Ответственность за нарушения при работе с ПДн с 30 мая 2025 года ужесточилась — как административная, так и уголовная. Законодатель ввел дополнительные нарушения, а сумму штрафа теперь рассчитывают исходя из масштаба утечки и числа затронутых людей.

Размеры штрафов за нарушения с учетом изменений:

‍

Помимо штрафов за утечки, серьезно выросли санкции и за другие нарушения:

• Использование персональных данных без согласия или не в соответствии с заявленными целями теперь карается санкциями от 150 до 300 тысяч рублей. В случае повторного нарушения сумма увеличится до 500 000 рублей.
• Если вы не сообщили в Роскомнадзор о том, что начинаете работать с ПДн, это может обойтись бизнесу в 300 тыс. рублей.
• За незаконный сбор и распространение личной информации теперь предусмотрено более строгое наказание. В самых серьезных случаях, особенно если действовала организованная группа, суд может назначить до 10 лет заключения.
  ‍

{{cta}}

Кейсы из практики: как нужно и как нельзя работать с ПДн

1. Правильная работа с персональными данными  

Региональной службе по тарифам Ростовской области требовалась система защиты персональных данных, чтобы:

• Не допустить утечку или кражу данных.
• Обеспечить сотрудникам стабильный доступ к информации для работы.
• Выполнить предписания ФСТЭК и ФСБ в полном объеме.
• Пройти официальную аттестацию системы.

Команда партнеров внедрила качественную систему защиты ПДн. Сначала эксперты проанализировали ИТ-инфраструктуру: проверили оборудование, софт и каналы передачи данных, чтобы определить, что и где нужно защищать. 
‍

После специалисты собрали модель угроз, описали возможные риски и на их основе подготовили техзадание и рабочие инструкции. Завершающий этап — аттестация по требованиям ФСТЭК: проверили документы и протестировали систему на устойчивость к несанкционированному доступу.

Что получили в итоге:

• Рабочая система защиты, отвечающая законодательным нормам.
• Снижение рисков утечки и штрафов.
• Безопасный доступ сотрудников к нужным сведениям.
• Успешная аттестация и полный комплект документов для отчетности.

2. Неправильная обработка ПДн: штраф для «Почты России»

В 2022 году «Почта России» допустила утечку ПДн из-за ненадлежащей организации доступа к базам. Роскомнадзор зафиксировал, что сотрудники подрядной организации имели доступ к клиентским данным без должного уровня защиты и контроля. У одного из подрядчиков был взломан аккаунт, через который преступники смогли проникнуть в сегмент клиентской базы данных.

В чем ошибка:

• Не были настроены ограничения по доступу — подрядчики работали с данными напрямую.
• Не использовалась двухфакторная аутентификация.
• Не было журнала учёта доступа и регулярного пересмотра прав.
• Некоторые записи хранились без актуализации и правовых оснований.

Что пришлось делать после инцидента:

• Провели экстренный аудит ИТ-инфраструктуры и всех подрядчиков.
• Обновили систему доступа и ввели обязательную авторизацию через защищенные каналы.
• Отозвали доступ у всех внешних подрядчиков до прохождения повторной проверки.
• Сотрудников обязали пройти обучение по новым правилам работы с ПДн.
• Удалили устаревшие и избыточные данные, составив акт уничтожения.

Финансовые последствия:

• Потрачено несколько миллионов рублей на восстановление системы доступа, аудит и обучение.
• Получено предписание от Роскомнадзора.
• Ряд контрактов с подрядчиками пришлось пересмотреть.
• Компания понесла репутационные потери: инцидент широко освещался в СМИ. 
  ‍

Локализация баз данных: ваше конкурентное преимущество

С июля действуют новые требования по локализации конфиденциальных сведений. Главное изменение — это прямой запрет на проведение за пределами России ключевых действий с персональными данными граждан РФ. Вот какие операции нужно проводить исключительно в российской юрисдикции:
‍

Теперь запрещено использовать зарубежные CRM, облачные сервисы и другие инструменты для первичного сбора и обработки данных российских пользователей. Весь этот процесс (от записи до хранения) должен происходить на серверах, расположенных в России.

Трансграничная передача все еще разрешена, но только после того, как данные были сначала сохранены в РФ. Для этого нужно подать отдельное уведомление в Роскомнадзор и строго придерживаться действующих нормативов.

Что делать бизнесу, чтобы не нарушить закон и не потерять данные

• Проверить, где хранятся сведения клиентов. Проведите аудит: на каких серверах работают ваш сайт, CRM-платформа, почтовые сервисы, формы для сбора данных и аналитика. Важно убедиться, что данные не поступают на зарубежные платформы и не обрабатываются за границей. Это касается и популярных сервисов — многие из них не соответствуют требованиям локализации.
• Перенести хранение на российские серверы. Если персональные данные граждан РФ попадают в иностранные дата-центры — вы нарушаете закон. Перенос баз на российские площадки снижает риск блокировки, штрафов и утечки. Лучше выбрать проверенного провайдера с технической поддержкой и резервным копированием.
• Ограничить участие иностранных сервисов. Если полностью отказаться от зарубежных систем не получается, убедитесь, что они не касаются начального сбора и хранения данных. Например, платформа может быть подключена только на этапе рассылки или поддержки. Подобные решения нужно документально зафиксировать.
• Сообщить о трансграничной передаче данных. Если вы работаете с клиентами или подрядчиками за границей, уведомите Роскомнадзор и внесите данные в специальный реестр. Без этого передавать данные за рубеж нельзя — даже через API или облако.
• Обновить документы и форму согласия. Убедитесь, что ваши политика работы с данными и формы разрешений работают правильно и соответствуют требованиям закона. Все документы должны быть актуальными, понятными и не объединенными с другими офертами или договорами. Так вы сможете избежать претензий при проверке.

Чек-лист по обработке ПДн для бизнеса

Чтобы работать с персональными данными без нарушений, используйте наш практический чек-лист. Он поможет быстро проверить основные процессы и избежать типичных ошибок. 

1. Знайте, какие данные вы собираете — составьте список: ФИО, email, телефоны, IP, переписка, фото, документы. Убедитесь, что вы не храните лишнее и понимаете, где физически находятся эти данные.
2. На каждую цель обработки получайте отдельное разрешение — это не только требование закона, но и способ повысить доверие клиентов. Документы должны быть отдельными, понятными и без «мелкого шрифта».
3. Обновите политику конфиденциальности — разместите ее на сайте и в офисе. Убедитесь, что в ней содержатся: список собираемых данных, цели использования, сроки и условия хранения, перечень получателей информации применяемые меры безопасности. Это упростит ответы на запросы и снизит риски при проверках.
4. Защитите доступ к базе данных — используйте надежные пароли, разграничьте права доступа сотрудников к сведениям, включите двухфакторную авторизацию, шифруйте информацию. Это предотвратит утечку и сэкономит миллионы на устранение последствий.
5. Проведите обучение сотрудников — даже одна ошибка менеджера может привести к штрафу. Дайте четкие инструкции, как работать с персональными данными: что можно, что нельзя, куда сообщать об инциденте.
6. Храните данные на российских серверах — проверьте хостинг, CRM, формы на сайте. Если данные хоть раз проходят через иностранные облака — вы нарушаете закон. Перенос в РФ решает вопрос и снижает юридические риски.
7. Готовьте план на случай утечки — назначьте ответственного, пропишите, кому сообщать, как действовать, как восстановить доступ. Быстрая реакция снижает штрафы и помогает сохранить доверие клиентов.
8. Уведомите Роскомнадзор — подача уведомления займет 10-15 минут через Госуслуги, но избавит от крупных штрафов за «скрытую» обработку. Делайте это до начала работы с данными.

Согласно исследованиям InfoWatch, 65% утечек ПДн в России происходят по вине сотрудников компаний, а не из-за хакерских атак. Это значит, что обучать сотрудников так же важно, как и настраивать техническую защиту конфиденциальных сведений.

FAQ

Что изменилось в обработке персональных данных?
Обязательное уведомление Роскомнадзора, отдельный документ согласия, запрет на галочки по умолчанию, взыскания до 20 млн рублей и запрет на первичную обработку данных за границей. Даже сбор cookie теперь считается обработкой.

Кто считается оператором ПДн?
Любой, кто работает с личной информацией: собирает, хранит, использует или передает ее. Это относится к компаниям, индивидуальным предпринимателям, самозанятым специалистам, а также администраторам сайтов, которые собирают данные через формы обратной связи или другие инструменты.

Когда нужно уведомить Роскомнадзор?
Прежде чем начать работать с личной информацией. Например, если на сайте появляется форма подписки — уведомление должно быть подано заранее. Исключения есть, но их мало (например, только трудовые отношения без внешней обработки).

Можно ли включать согласие в договор или оферту?
Нет. Согласие должно быть отдельным документом, без объединения с другими текстами.

Что грозит за неправильную работу с персональными данными?
За нарушения в работе с персональными данными штрафуют на суммы от 100 тысяч до 20 миллионов рублей — точный размер зависит от тяжести нарушения и количества пострадавших. В особых случаях злоумышленникам грозит реальный срок — вплоть до 10 лет.

Какие данные обязательно нужно хранить в России?
Все, что связано с гражданами РФ: ФИО, телефонные номера, электронные адреса, фото, переписка, IP-адреса, данные из CRM. первоначальная запись, организация информации и ее хранение — должны осуществляться на российских серверах.

Что делать, если клиент отозвал согласие?
Уничтожьте данные точно в 30-дневный срок. Удаление должно быть необратимым (просто удалить файл — недостаточно). Также составляется акт об уничтожении.

Как настроить сайт по требованиям закона?

1. Опубликовать политику работы с ПДн.
2. Настроить уведомление о cookie и запрос согласия.
3. Убрать галочки по умолчанию.
4. Хранить данные на российских серверах.
5. Перед сбором данных подать уведомление в надзорный орган.

{{cta}}