С 30 мая 2025 года в России ужесточаются штрафы за нарушения в работе с персональными данными. Под персональными данными понимается любая информация, позволяющая идентифицировать человека: ФИО, контакты, электронная почта и т. д.
Новые правила затронут практически все компании и ИП, которые собирают данные клиентов — через сайты, CRM-системы, мессенджеры или другие каналы. Ужесточение мер связано с участившимися утечками: по статистике, Россия находится в числе лидеров по количеству утекших данных.
Какие штрафы грозят бизнесу?
Наказания коснутся как рядовых сотрудников, так и организаций. Основные штрафы для юрлиц и ИП:
100–300 тыс. руб. — за отсутствие уведомления Роскомнадзора (РКН) о начале обработки данных. Теперь любой сайт, собирающий информацию о пользователях, должен сообщать об этом регулятору.
100–300 тыс. руб. — за обработку данных без согласия или сбор избыточной информации (например, если для подписки на рассылку запрашивают не только email, но и номер телефона без необходимости).
1–15 млн руб. — за утечку данных. Размер штрафа зависит от масштаба инцидента:
3–5 млн руб. — если данные утекли у 1–10 тыс. человек.
До 15 млн руб. — при утечке более 100 тыс. записей.
Важно: Штрафуют даже за случайные утечки — будь то хакерская атака, потеря флешки с данными или ошибка сотрудника.
Почему это касается почти всех?
Сегодня персональные данные собирают даже небольшие компании — через формы обратной связи, онлайн-заказы, подписки. Увеличение штрафов говорит о том, что проверки участятся.
Спорные моменты:
Использование Google Forms может считаться передачей данных в «недружественную» страну.
Неясно, как трактовать пересылку данных через мессенджеры (WhatsApp, Telegram). Ожидаются разъяснения от РКН.
Что нужно срочно проверить на сайте?
- Политика конфиденциальности
Должна включать: - Контакты для отзыва согласия.
- Сроки хранения и удаления данных.
- Четкие цели обработки (например, «для оформления заказа» или «рассылки новостей»).
- Данные должны соответствовать целям: если для заказа нужен только телефон, не требуйте email без необходимости.
- Согласие на обработку данных (Отдельный документ, подтверждающий разрешение пользователя.)
- Если данные собираются и вне сайта (например, в переписке), это тоже нужно указать.
Обязательные моменты
- Чекбоксы «Я согласен» должны быть во всех формах.
- Галочки не могут быть проставлены по умолчанию — пользователь должен отметить их сам.
- Уведомление о cookies
- Cookies (данные о действиях на сайте) тоже считаются персональными, если позволяют идентифицировать человека.
- Согласие на рекламные рассылки
- Если отправляете промо-письма, нужно отдельное разрешение.
Как защитить данные и избежать штрафов?
Уведомите РКН через форму на их сайте (но будьте готовы к техническим сбоям — некоторые пользователи жалуются на ошибки при отправке).
Проверьте CRM и мессенджеры: если храните данные там, у вас также должны быть Политика и Согласие.
Инвестируйте в безопасность: лучше потратиться на защиту данных, чем платить миллионные штрафы.
Частые вопросы
— «У меня маленький сайт — меня тоже проверят?»
— Да. У РКН есть боты, которые автоматически сканируют сайты на наличие документов.
— «Можно ли взять шаблонные документы?»
— Можно, но в них часто есть ошибки. Лучше доработать их с юристом, чтобы избежать штрафов.
— «Что, если внести изменения после 30 мая?»
— Теоретически можно, но штраф может прийти в любой момент. Чем раньше обновите документы, тем лучше.
Вывод: Новые правила требуют срочных действий. Проверьте сайт, настройте документы и минимизируйте риски, пока не начались массовые проверки.