Что ждёт бизнес после 30 мая: новые штрафы за персональные данные и как их избежать

Опубликовано: 27.05.2025

Разобрали поправки к закону о персональных данных с юристом Анной Бессмертной: что поменяется, кто сильнее всех рискует и как защититься от штрафов.

В статье — всё о новой системе: сколько придётся платить при нарушениях и что будет проверять Роскомнадзор. В конце мы дали чёткую инструкцию, как подготовиться и уберечь себя от штрафов.

Что изменится в законе с 30 мая 2025 года

Будут действовать новые правила обработки персональных данных. Раньше за многие нарушения не наказывали. Теперь штрафы вырастут, а Роскомнадзор будет проверять чаще и строже.

Статья 13.11 КоАП РФ станет вдвое длиннее — появится ещё 9 видов нарушений. До поправок в законе наказывали, когда сведения утекали в сеть или на посадочной странице не было согласия на обработку. Теперь ответственность будет и за менее очевидные ситуации. Например, бизнес могут оштрафовать, если:

не зарегистрироваться в Роскомнадзоре как оператор персональных данных;
не сообщить Роскомнадзору об утечке данных.

С 1 июля 2025 года ужесточаются правила трансграничной передачи данных. Информация должна сначала обрабатываться на российском сервере — и только после этого передаваться за рубеж. Например, нарушением будет считаться, если сайт на WordPress использует Contact Form 7 с интеграцией в зарубежную CRM.

Коллтрекинг

Покажет, сколько звонков компания получает с вашей рекламы

Почему ужесточают штрафы: частые утечки данных и непрозрачная система

Большинство нарушений связано не с хакерскими атаками, а небрежностью компаний. Пользователь оставляет данные в формах и попапах, но не понимает зачем они нужны и как будут использоваться. Скрипты отправляют email, IP и cookie в сторонние сервисы без предупреждения. Согласие на обработку либо не спрашивают вовсе, либо прячут в пользовательском соглашении.

Похожие проблемы возникают, когда информацию передают подрядчикам. Контакты автоматически уходят в CRM, коллтрекинг и аналитику, но в политике конфиденциальности об этом ничего не сказано. Пользователь не понимает, кто и для чего получит его данные.

С утечками всё ещё хуже. Даже крупные компании не всегда могут выяснить: какие сведения утекли, кто отвечал за их хранение и как давно нарушена безопасность. Проблема не в технических уязвимостях, а в подходе: персональные данные собирают как попало — без правил, без оценки рисков, без понимания последствий. Поэтому с 2025 года Роскомнадзор ужесточает требования.

Как будет устроена система штрафов

Нарушения по степени ответственности можно разделить на три категории: общие нарушения, серьёзные и особо тяжёлые.

Ответственность за общие нарушения описана в ч. 1 статьи 13.11. К таким нарушениям относят формальные ошибки: неправильно указаны цели обработки, не обновлена политика конфиденциальности, не учтён внешний подрядчик в уведомлении. Подобные случаи рассматриваются как нарушение порядка хранения или обработки сведений. Штрафы здесь сравнительно мягкие — для бизнеса от 150 000 до 300 000 ₽.

Более серьёзные нарушения описаны в следующих частях статьи. За них полагаются фиксированные штрафы, причём немаленькие. За что могут оштрафовать компанию:

не зарегистрировалась как оператор;
собирала данные пользователей без их согласия;
не сообщила в Роскомнадзор об утечке или использует информацию не по назначению.

Тяжёлые случаи: массовая утечка, небрежная работа с биометрией или сокрытие инцидентов. В таких ситуациях применяют миллионные штрафы, а в случае повторной утечки – оборотный штраф — от 1% до 3% от годовой выручки, но не менее 20 и не более 500 миллионов рублей.

Чтобы избежать рисков, важно выстроить систему: провести аудит процессов, назначить ответственного за защиту данных, оформить его обязанности документально, прописать требования к подрядчикам и регулярно обучать сотрудников правилам работы с персональной информацией.

Ответственность за неуведомление Роскомнадзора о начале обработки персональных данных

Любая компания, ИП или самозанятый, собирающие данные пользователей, обязаны заранее уведомить Роскомнадзор. Регистрация нужна, даже если собираете минимум информации — например, только email.

Нарушением считается не только отсутствие уведомления, но и любые неточности: неполный перечень целей, устаревшие сведения, ошибки в описании способов обработки. Если, например, вы отправляете письма, но рассылка не указана в уведомлении — это уже основание для штрафа. Ответственность предусмотрена по статьям 13.11 КоАП РФ.

Факт нарушения в обработке может выясниться по жалобе, при проверке, после утечки. Наличие регистрации проверяется автоматически. Отсутствие записи в реестре — самостоятельное нарушение, даже если обработка формально корректна.

Чтобы избежать санкций:

проверьте, есть ли запись в реестре;
убедитесь, что цели и способы обработки актуальны;
при необходимости подайте или обновите уведомление — очно или онлайн через сайт Роскомнадзора.

Чат-бот для сайта

Ответит клиентам и соберет заявки, пока вы отдыхаете или заняты

Штрафы за неуведомление Роскомнадзора о начале обработки персональных данных

Требование зарегистрироваться как оператор персональных данных существует не первый год, но до 2025-го многие на него закрывали глаза. Теперь уведомить Роскомнадзор нужно обязательно, причём до того, как начнёте собирать данные. Иначе можно получить штраф от 100 до 300 тысяч рублей.

Речь идёт не только о передаче информации, но о любом её получении. Например, если пользователь оставляет заявку, подписывается на рассылку или вводит контакты для обратного звонка, это уже считается обработкой. После того как информация попадёт в систему, за неё будет отвечать тот, кто её собирал — юридическое или физическое лицо. Такой участник должен быть зарегистрирован в реестре Роскомнадзора. Даже полное соответствие остальным требованиям не спасёт от штрафа, если упущен этот момент.

Фиксированные штрафы за утечку персональных данных

Теперь при утечке данных штраф рассчитывается не только по числу пострадавших, но и по объёму информации, попавшей в третьи руки. Например, если в базе содержались имя, email и телефон одного человека, это считается тремя отдельными идентификаторами. Утечка данных 10 000 клиентов с тремя полями — это уже 30 000 ID. Именно по этой цифре и рассчитают сумму ущерба.

Наибольшие штрафы предусмотрены за утечку специальных категорий данных — например, сведений о здоровье, религии или личной жизни, — а также за утечку биометрии. Такие случаи рассматриваются как особо опасные, и штрафы за них выше, чем за утечку обычных контактных данных.

Размеры штрафов:

Оборотные штрафы за повторную утечку персональных данных

За повторную утечку персональных данных применяется оборотный штраф — до 3% от годовой выручки.

Утечкой будут считать любое разглашение персональных данных, произошедшее без согласия субъекта, по вине или из-за неосторожности оператора данных, в том числе:

публикацию клиентской базы или экспортов из CRM;
скомпрометированные пароли, токены и другие ключи доступа, если такое раскрытия произошло из базы данных оператора;
передачу персональных данных подрядчику без согласия и договора.

Чтобы снизить риски, важно не только соблюдать требования при сборе и хранении, но и заранее подготовить процедуру реагирования на инцидент — от фиксации до уведомления Роскомнадзора и пользователей.

Штрафы за неуведомление Роскомнадзора об утечке персональных данных

С 30 мая 2025 года компании обязаны сообщать об утечке персональных данных в Роскомнадзор не позднее чем через 24 часа после того, как узнали об инциденте. Пропуск этого срока — отдельное нарушение, за которое предусмотрен штраф до 3 миллионов рублей.

Важно: штраф всё равно назначат, даже если последствия утечки устранены. Отсчёт времени начинается с момента, когда компания узнала об инциденте. Доказать, что это произошло позже, на практике почти невозможно.

Если компания знала об утечке, но не уведомила Роскомнадзор — это приравнивается к сокрытию. Что делать при утечке:

зафиксировать инцидент технически — с логами, скриншотами, датой и IP;
отправить уведомление через личный кабинет на сайте Роскомнадзора;
оценить масштаб проблемы, устранить источник утечки;
при необходимости — уведомить пострадавших;
обновить внутренние инструкции, чтобы избежать повторений ситуации.

Размеры штрафов:

Наказание за обработку данных без согласия

Закон требует, чтобы на каждую цель обработки было отдельное, подтверждённое согласие. Если его нет — это считается нарушением. Согласие может быть интегрировано в политику конфиденциальности.

Нарушением считается любая ситуация, когда пользователь не дал разрешения или не был проинформирован. Например:

форма запрашивает телефон и имя или email, но в ней нет чекбокса с согласием;
на сайте установлены счётчики, которые собирают IP, cookie и поведение — без уведомления;
коллтрекинг связывает номер с визитом, но пользователь не знает об этом.

За нарушение также посчитают ошибки технического характера. Например, когда согласие спрятано в пользовательском соглашении, которое не показывается перед отправкой формы. Или когда одна галочка охватывает сразу всё: обработку, рассылки, согласие с правилами сайта. Такие формулировки считаются недостаточно ясными. Пользователь должен чётко понимать, на что он соглашается и кому передают его данные. Если это не очевидно — можно получить штраф.

Чтобы избежать рисков:

проверьте все точки сбора данных: формы, попапы, виджеты, внешние сервисы;
убедитесь, что на каждую точку сбора данных есть согласие — оформленное через чекбокс или подтверждение;
добавьте понятное уведомление: кто собирает данные, зачем и что с ними будет происходить.

Трансграничная передача данных: новые правила

Если компания передаёт персональные данные за границу, она обязана заранее уведомить об этом Роскомнадзор. Нарушением считается не только явная отправка — например, в зарубежную CRM, — но и автоматическая передача через формы, скрипты, пиксели, email-сервисы, платёжные шлюзы или cookie. Даже если данные уходят в фоновом режиме и без участия человека, это уже трансграничная передача.

С 1 июля 2025 года вводится дополнительное требование: персональные данные россиян должны первоначально собираться на сервере в России. Только после этого их можно передавать за рубеж.

Пример. Если форма сбора персональных данных на сайте настроена через Google Forms, а ответы автоматически попадают в таблицу Google Sheets — это считается передачей данных в иностранную юрисдикцию.

Чтобы избежать штрафов, проверьте все сервисы, через которые передаются данные. Если есть автоматическая отправка за границу — настройте первоначальный сбор в России и подайте уведомление в Роскомнадзор. Обновите политику обработки данных и запросите у пользователей отдельное согласие на трансграничную передачу при необходимости.

Что делать бизнесу: пошаговая инструкция

1. Зарегистрируйтесь как оператор персональных данных. Если вы собираете контакты через сайт, форму, квиз, CRM, чат-бот или виджет — вы обрабатываете персональные данные. Значит, обязаны зарегистрироваться в реестре Роскомнадзора. Сделать это нужно до 30 мая 2025 года.

Даже если вы не компания, а ИП или самозанятый, и на сайте просто форма «оставьте заявку» — вы тоже оператор и обязаны зарегистрироваться. Ответственность наступает ровно с момента сбора.

Как подать уведомление: перейдите на сайт Роскомнадзора → заполните форму одним из представленных способов.

2. Проверьте, как устроен сбор данных в компании. Убедитесь, что:

на сайте есть актуальная политика обработки данных;
все формы сопровождаются согласием на обработку — через чекбокс или текст с подтверждением;
cookie-файлы собираются с согласия пользователя, через баннер при первом заходе;
в политике прописано, какие данные собираются автоматически, и на каком основании.

В Callibri мы сделали всё, чтобы вы могли собирать и обрабатывать персональные данные клиентов по закону. В онлайн-чате, поп-апах и обратном звонке предусмотрены поля для вставки ссылок на политику обработки и, при необходимости, на согласие на рассылку.

Без подтверждения согласия пользователь не сможет отправить заявку — кнопка останется неактивной. Это техническое ограничение встроено в интерфейс Callibri и помогает снизить риск нарушений.

Важно: политика и согласие должны быть оформлены корректно, с учётом реальных целей обработки. Callibri предоставляет шаблоны и технические настройки, но ответственность за содержание документов остаётся на стороне клиента. Если вы отправляете данные в рассылку, необходимо разместить две ссылки: на политику обработки и на отдельное согласие на маркетинговые сообщения.

Где вставлять документы:

Онлайн-чат или МультиЧат Callibri

Зайдите в личный кабинет: Настройки → Онлайн-чат → Виджет на сайте → Включить Защитник от ФЗ 152 и вставить ссылки на документы в нужные поля

Обратный звонок Callibri

Зайдите в личный кабинет: Настройки → Обратный звонок → Оформление → Заполнить согласие на обработку персональных данных.

Попапы Callibri

В каждом попапе, который собирает персональные данные мы уже предусмотрели готовую формулировку: Заполняя форму, я даю согласие на обработку моих персональных данных и принимаю условия политики

Вам останется только добавить ссылки на документы. Для этого зайдите в личный кабинет: Настройки → Попапы → Оформление → Добавить юридическую информацию или кликните на формулировку прямо в редакторе, чтобы отредактировать. Включите чек-бокс согласия.

3. Наведите порядок в документах и доступах. Системные нарушения чаще всего связаны с отсутствием базовых регламентов.

Проверьте доступ и инструкции. Выясните, кто имеет доступ к персональным данным: CRM, таблицам, заявкам из мессенджеров или форм на сайте. Ограничьте его по роли — сотрудники должны видеть только ту информацию, которая нужна им для работы. Убедитесь, что у команды есть инструкции, как обращаться с данными.

Заключите договоры с подрядчиками. Если данные автоматически передаются в сторонние сервисы — коллтрекинг, email-рассылки, аналитику — у вас должен быть договор обработки. Это обязательное условие. В нём фиксируются цели, объём, порядок и меры защиты. Отсутствие договора — самостоятельное нарушение.

Обновите внутренние документы. Зафиксируйте, как в компании организована работа с данными: кто имеет доступ, что делать при утечке, как реагировать на запросы пользователей.

4. Проверьте, что данные защищены и подготовьте план действий на случай утечки.

Убедитесь, что все устройства и сервисы, с которыми работает команда, защищены паролями и двухфакторной авторизацией. Настроены ограничения доступа: сотрудники видят только те данные, которые им действительно нужны. Включено логирование — система автоматически фиксирует действия пользователей. Персональные данные, хранящиеся в облаке или на сервере, зашифрованы, а резервные копии — защищены.

Чтобы снизить риски, подготовьте понятный план действий: кто отвечает за инцидент, как его фиксировать, кого уведомить и что писать пострадавшим.

Сервисы Callibri

Автоматизируем работу с лидами на всех этапах воронки

Помогаем понять, какая реклама приводит платящих клиентов

Делаем работу маркетинга прозрачной и эффективной

Что важно запомнить

Роскомнадзор может прийти с проверкой в любой момент — по жалобе, после утечки или в рамках общего надзора. Чтобы не действовать в спешке, проверьте заранее, готовы ли вы показать документы: актуальную политику обработки, журнал обращений, внутренние регламенты и инструкции. Все материалы должны быть оформлены, легко доступны и соответствовать фактической практике работы с данными. Если чего-то не хватает — лучше подготовить документы сейчас, чем объясняться перед инспектором.