Штрафы за персональные данные, как их не допустить и что делать
Мы сами разбирались в этими вопросами и консультировались с юристами, на что обратить внимание и что важно?
Что изменится с 30 мая 2025 года, давайте разбираться вместе
Вступают в силу обновлённые нормы работы с персональными данными. Если раньше многие нарушения оставались без последствий, то теперь штрафные санкции увеличатся, а проверки Роскомнадзора станут регулярнее и жёстче.
Статья 13.11 КоАП РФ расширится почти вдвое — в ней появится 9 дополнительных составов нарушений. Раньше наказание грозило только за утечку информации в интернет или отсутствие согласия на обработку данных на лендинге. Теперь же под ответственность попадут и менее явные случаи. К примеру, бизнес могут оштрафовать за:
С 1 июля 2025 года ужесточаются требования к передаче данных за границу. Сначала информация должна обрабатываться на российских серверах — и лишь затем отправляться за пределы страны. Например, использование сторонних форм типа Wordpress, Notion, Google Form с интеграцией в иностранную CRM без соблюдения этого правила будет считаться нарушением.
Причины ужесточения: участившиеся утечки и неясность процессов
Основная часть нарушений происходит не из-за действий хакеров, а по вине самих компаний. Пользователи оставляют свои данные в формах и всплывающих окнах, но не знают, зачем они нужны и как будут применяться. При этом скрипты могут передавать email, IP-адреса и cookie сторонним сервисам без уведомления. Согласие либо не запрашивается, либо скрыто в условиях использования.
Аналогичные сложности возникают при передаче данных подрядчикам. Контакты автоматически попадают в CRM, системы коллтрекинга и аналитики, но в политике конфиденциальности об этом нет ни слова. В результате человек не представляет, кто и с какой целью получит доступ к его информации.
С утечками ситуация ещё серьёзнее. Даже крупные игроки порой не в состоянии определить: какой объём данных был скомпрометирован, кто отвечал за их защиту и как долго длилось нарушение. Проблема кроется не в технических сбоях, а в хаотичном сборе информации — без чётких правил, оценки рисков и осознания последствий. Именно поэтому с 2025 года Роскомнадзор усиливает контроль.
Статья 13.11 КоАП РФ расширится почти вдвое — в ней появится 9 дополнительных составов нарушений. Раньше наказание грозило только за утечку информации в интернет или отсутствие согласия на обработку данных на лендинге. Теперь же под ответственность попадут и менее явные случаи. К примеру, бизнес могут оштрафовать за:
- отсутствие регистрации в Роскомнадзоре в качестве оператора персональных данных;
- несвоевременное уведомление регулятора о компрометации данных.
С 1 июля 2025 года ужесточаются требования к передаче данных за границу. Сначала информация должна обрабатываться на российских серверах — и лишь затем отправляться за пределы страны. Например, использование сторонних форм типа Wordpress, Notion, Google Form с интеграцией в иностранную CRM без соблюдения этого правила будет считаться нарушением.
Причины ужесточения: участившиеся утечки и неясность процессов
Основная часть нарушений происходит не из-за действий хакеров, а по вине самих компаний. Пользователи оставляют свои данные в формах и всплывающих окнах, но не знают, зачем они нужны и как будут применяться. При этом скрипты могут передавать email, IP-адреса и cookie сторонним сервисам без уведомления. Согласие либо не запрашивается, либо скрыто в условиях использования.
Аналогичные сложности возникают при передаче данных подрядчикам. Контакты автоматически попадают в CRM, системы коллтрекинга и аналитики, но в политике конфиденциальности об этом нет ни слова. В результате человек не представляет, кто и с какой целью получит доступ к его информации.
С утечками ситуация ещё серьёзнее. Даже крупные игроки порой не в состоянии определить: какой объём данных был скомпрометирован, кто отвечал за их защиту и как долго длилось нарушение. Проблема кроется не в технических сбоях, а в хаотичном сборе информации — без чётких правил, оценки рисков и осознания последствий. Именно поэтому с 2025 года Роскомнадзор усиливает контроль.
Новая система штрафов: градация нарушений и меры ответственности
Нарушения в сфере обработки персональных данных теперь разделят на три категории по степени тяжести: обычные, значительные и особо грубые.
1. Общие нарушения (ч. 1 ст. 13.11 КоАП РФ)
К ним относятся технические недочёты:
- некорректное указание целей обработки данных;
- устаревшая версия политики конфиденциальности;
- отсутствие упоминания подрядчиков в уведомлении Роскомнадзора.
Такие случаи квалифицируются как несоблюдение правил хранения и обработки информации. Размер штрафов здесь относительно небольшой — от 150 до 300 тыс. рублей для юрлиц.
2. Существенные нарушения
За них предусмотрены фиксированные, но ощутимые санкции. Основания для штрафа:
- отсутствие регистрации в качестве оператора персданных;
- сбор информации без согласия пользователей;
- непредоставление уведомления об утечке или нецелевое использование данных.
3. Критические нарушения
К ним приравнивают:
- масштабные утечки;
- халатное обращение с биометрией;
- сокрытие инцидентов.
В таких случаях штрафы достигают миллионов рублей, а при повторном нарушении могут составить 1–3% от годовой выручки (минимум 20 млн, максимум 500 млн рублей).
Как минимизировать риски?
Необходимо:
- провести аудит всех процессов, связанных с персданными;
- назначить ответственного за их защиту и закрепить его полномочия внутренними документами;
- прописать требования к подрядчикам;
- регулярно обучать сотрудников правилам работы с конфиденциальной информацией.
Эти меры помогут избежать не только штрафов, но и репутационных потерь.
Обязанность уведомлять Роскомнадзор о работе с персональными данными
Все организации, ИП и самозанятые специалисты, которые собирают любые сведения о клиентах, должны заранее сообщить об этом в Роскомнадзор. Это требование распространяется даже на минимальный сбор информации — например, если вы запрашиваете только электронную почту.
Что считается нарушением?
Штрафные санкции могут быть применены не только при полном отсутствии уведомления, но и в случаях:
- неполного перечня целей использования данных;
- предоставления устаревшей информации;
- ошибок в описании методов обработки.
Например, если компания ведёт email-рассылки, но не указала эту деятельность в уведомлении — это уже основание для привлечения к ответственности по ст. 13.11 КоАП РФ.
Как выявляют нарушения?
Проверка может инициироваться:
- по жалобам граждан;
- в ходе плановых мероприятий;
- после инцидентов с утечкой информации.
При этом наличие регистрации в реестре операторов проверяется автоматически. Отсутствие записи считается самостоятельным нарушением, даже если сама обработка данных осуществляется корректно.
Как избежать штрафов?
Рекомендуется:
- Проверить наличие своей организации в реестре операторов;
- Удостовериться, что указанные цели и методы обработки соответствуют фактической деятельности;
- При необходимости — подать новое или обновить существующее уведомление через сайт Роскомнадзора или лично.
Своевременное выполнение этих требований поможет избежать не только финансовых санкций, но и возможных проверок контролирующих органов.
Пошаговый алгоритм для бизнеса по работе с персональными данными
1. Регистрация в качестве оператора
Если ваш бизнес собирает контакты клиентов любым способом (через сайт, CRM-систему, онлайн-формы, чат-боты или виджеты), вы обязаны зарегистрироваться в реестре Роскомнадзора. Срок обязательной регистрации — до 30 мая 2025 года.
❗ Это требование касается всех:
- Юридических лиц
- Индивидуальных предпринимателей
- Самозанятых специалистов
Даже простая форма обратной связи на сайте делает вас оператором персональных данных с момента первого сбора информации.
Как подать уведомление:
- Перейдите на официальный сайт Роскомнадзора
- Заполните электронную форму регистрации
2. Аудит системы сбора данных
Проверьте, соответствует ли ваш бизнес требованиям:
✔ Наличие действующей политики обработки персональных данных
✔ Обязательное согласие пользователя (через чекбокс или подтверждающий текст) для всех форм сбора информации
✔ Корректная работа cookie-баннера, запрашивающего согласие при первом посещении
✔ Прозрачное описание автоматически собираемых данных в политике конфиденциальности
Технические решения для соответствия требованиям
Наша платформа предлагает встроенные инструменты для легальной работы с персональными данными:
- Автоматическое добавление ссылок на политику обработки во всех формах обратной связи
- Обязательное подтверждение согласия перед отправкой данных (кнопка остаётся неактивной до подтверждения)
- Раздельное оформление согласий на обработку данных и маркетинговые рассылки
Важно:
Все документы должны точно отражать реальные процессы обработки информации. Для email-рассылок требуется два отдельных документа:
- Политика обработки персональных данных
- Согласие на получение маркетинговых сообщений
Эти меры помогут вашему бизнесу избежать штрафов и соответствовать обновлённым требованиям законодательства.
На что обратить внимание и что важно!
Цели обработки персональных данных, на каждый вариант обработки персональных данных должен быть свой - со своими параметрами. Т.е. если у вас 10 сайтов, и на разные услуги, это необходимо прописать и добавить. Если вы работаете с B2C, B2B и например делаете SaaS решения все будет также разными если это все в рамках 1 юридического лица. Также отдельно по поводу работы и хранением данных с самозанятыми или сотрудниками.
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
Пример для заполнения:
- назначено лицо, ответственное за организацию обработки персональных данных;
- разработана политика в отношении обработки персональных данных и локальные акты по вопросам обработки персональных данных;
- осуществляется внутренний контроль обработки персональных данных;
- проведена оценка вреда, который может быть причинен субъектам персональных данных;
- работники, осуществляющие обработку персональных данных, ознакомлены с положениями законодательства РФ о персональных данных и внутренними нормативными документами;
- проводится обучение работников правилам работы с персональными данными;
- определены угрозы безопасности персональных данных при их обработке в информационных системах;
- обеспечено применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
- применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия (указывается, в случае если такие средства применяются для нейтрализации определенных угроз информационной безопасности или для уничтожения персональных данных);
- проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- обеспечен учет машинных носителей персональных данных;
- проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данным и принятию мер в случае обнаружения;
- обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- определены правила доступа к персональным данным, обрабатываемых в информационных системах персональных данных;
- осуществляется регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Использование шифровальных (криптографических) средств
Если вы пользуетесь ЭДО обязательно укажите ваши данные по нему, например Крипто Про и класс СКЗИ
Срок или условие прекращения обработки персональных данных
Укажите условия окончания - Прекращение деательности организации
Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ
Указывайте адреса Цодов, и обратите внимание, что если например вы пользуетесь сайтами на таплинк, тильда, или конструкторами, у них также есть свои Цоды и их необходимо указать