Статьи Бизнес Факт

Что делать предпринимателю по регистрации в РКН и что будет после 30 мая

Штрафы за персональные данные, как их не допустить и что делать

Мы сами разбирались в этими вопросами и консультировались с юристами, на что обратить внимание и что важно?

Что изменится с 30 мая 2025 года, давайте разбираться вместе

Вступают в силу обновлённые нормы работы с персональными данными. Если раньше многие нарушения оставались без последствий, то теперь штрафные санкции увеличатся, а проверки Роскомнадзора станут регулярнее и жёстче.

Статья 13.11 КоАП РФ расширится почти вдвое — в ней появится 9 дополнительных составов нарушений. Раньше наказание грозило только за утечку информации в интернет или отсутствие согласия на обработку данных на лендинге. Теперь же под ответственность попадут и менее явные случаи. К примеру, бизнес могут оштрафовать за:

  • отсутствие регистрации в Роскомнадзоре в качестве оператора персональных данных;
  • несвоевременное уведомление регулятора о компрометации данных.

С 1 июля 2025 года ужесточаются требования к передаче данных за границу. Сначала информация должна обрабатываться на российских серверах — и лишь затем отправляться за пределы страны. Например, использование сторонних форм типа Wordpress, Notion, Google Form с интеграцией в иностранную CRM без соблюдения этого правила будет считаться нарушением.

Причины ужесточения: участившиеся утечки и неясность процессов

Основная часть нарушений происходит не из-за действий хакеров, а по вине самих компаний. Пользователи оставляют свои данные в формах и всплывающих окнах, но не знают, зачем они нужны и как будут применяться. При этом скрипты могут передавать email, IP-адреса и cookie сторонним сервисам без уведомления. Согласие либо не запрашивается, либо скрыто в условиях использования.

Аналогичные сложности возникают при передаче данных подрядчикам. Контакты автоматически попадают в CRM, системы коллтрекинга и аналитики, но в политике конфиденциальности об этом нет ни слова. В результате человек не представляет, кто и с какой целью получит доступ к его информации.

С утечками ситуация ещё серьёзнее. Даже крупные игроки порой не в состоянии определить: какой объём данных был скомпрометирован, кто отвечал за их защиту и как долго длилось нарушение. Проблема кроется не в технических сбоях, а в хаотичном сборе информации — без чётких правил, оценки рисков и осознания последствий. Именно поэтому с 2025 года Роскомнадзор усиливает контроль.

Новая система штрафов: градация нарушений и меры ответственности

Нарушения в сфере обработки персональных данных теперь разделят на три категории по степени тяжести: обычные, значительные и особо грубые.
1. Общие нарушения (ч. 1 ст. 13.11 КоАП РФ)
К ним относятся технические недочёты:
  • некорректное указание целей обработки данных;
  • устаревшая версия политики конфиденциальности;
  • отсутствие упоминания подрядчиков в уведомлении Роскомнадзора.
Такие случаи квалифицируются как несоблюдение правил хранения и обработки информации. Размер штрафов здесь относительно небольшой — от 150 до 300 тыс. рублей для юрлиц.
2. Существенные нарушения
За них предусмотрены фиксированные, но ощутимые санкции. Основания для штрафа:
  • отсутствие регистрации в качестве оператора персданных;
  • сбор информации без согласия пользователей;
  • непредоставление уведомления об утечке или нецелевое использование данных.
3. Критические нарушения
К ним приравнивают:
  • масштабные утечки;
  • халатное обращение с биометрией;
  • сокрытие инцидентов.
В таких случаях штрафы достигают миллионов рублей, а при повторном нарушении могут составить 1–3% от годовой выручки (минимум 20 млн, максимум 500 млн рублей).
Как минимизировать риски?
Необходимо:
  • провести аудит всех процессов, связанных с персданными;
  • назначить ответственного за их защиту и закрепить его полномочия внутренними документами;
  • прописать требования к подрядчикам;
  • регулярно обучать сотрудников правилам работы с конфиденциальной информацией.
Эти меры помогут избежать не только штрафов, но и репутационных потерь.

Обязанность уведомлять Роскомнадзор о работе с персональными данными

Все организации, ИП и самозанятые специалисты, которые собирают любые сведения о клиентах, должны заранее сообщить об этом в Роскомнадзор. Это требование распространяется даже на минимальный сбор информации — например, если вы запрашиваете только электронную почту.

Что считается нарушением?

Штрафные санкции могут быть применены не только при полном отсутствии уведомления, но и в случаях:
  • неполного перечня целей использования данных;
  • предоставления устаревшей информации;
  • ошибок в описании методов обработки.
Например, если компания ведёт email-рассылки, но не указала эту деятельность в уведомлении — это уже основание для привлечения к ответственности по ст. 13.11 КоАП РФ.

Как выявляют нарушения?

Проверка может инициироваться:
  • по жалобам граждан;
  • в ходе плановых мероприятий;
  • после инцидентов с утечкой информации.
При этом наличие регистрации в реестре операторов проверяется автоматически. Отсутствие записи считается самостоятельным нарушением, даже если сама обработка данных осуществляется корректно.

Как избежать штрафов?

Рекомендуется:
  1. Проверить наличие своей организации в реестре операторов;
  2. Удостовериться, что указанные цели и методы обработки соответствуют фактической деятельности;
  3. При необходимости — подать новое или обновить существующее уведомление через сайт Роскомнадзора или лично.
Своевременное выполнение этих требований поможет избежать не только финансовых санкций, но и возможных проверок контролирующих органов.

Пошаговый алгоритм для бизнеса по работе с персональными данными

1. Регистрация в качестве оператора
Если ваш бизнес собирает контакты клиентов любым способом (через сайт, CRM-систему, онлайн-формы, чат-боты или виджеты), вы обязаны зарегистрироваться в реестре Роскомнадзора. Срок обязательной регистрации — до 30 мая 2025 года.
❗ Это требование касается всех:
  • Юридических лиц
  • Индивидуальных предпринимателей
  • Самозанятых специалистов
Даже простая форма обратной связи на сайте делает вас оператором персональных данных с момента первого сбора информации.
Как подать уведомление:
  • Перейдите на официальный сайт Роскомнадзора
  • Заполните электронную форму регистрации
2. Аудит системы сбора данных
Проверьте, соответствует ли ваш бизнес требованиям:
✔ Наличие действующей политики обработки персональных данных
✔ Обязательное согласие пользователя (через чекбокс или подтверждающий текст) для всех форм сбора информации
✔ Корректная работа cookie-баннера, запрашивающего согласие при первом посещении
✔ Прозрачное описание автоматически собираемых данных в политике конфиденциальности
Технические решения для соответствия требованиям
Наша платформа предлагает встроенные инструменты для легальной работы с персональными данными:
  • Автоматическое добавление ссылок на политику обработки во всех формах обратной связи
  • Обязательное подтверждение согласия перед отправкой данных (кнопка остаётся неактивной до подтверждения)
  • Раздельное оформление согласий на обработку данных и маркетинговые рассылки
Важно:
Все документы должны точно отражать реальные процессы обработки информации. Для email-рассылок требуется два отдельных документа:
  1. Политика обработки персональных данных
  2. Согласие на получение маркетинговых сообщений
Эти меры помогут вашему бизнесу избежать штрафов и соответствовать обновлённым требованиям законодательства.

На что обратить внимание и что важно!

Цели обработки персональных данных, на каждый вариант обработки персональных данных должен быть свой - со своими параметрами. Т.е. если у вас 10 сайтов, и на разные услуги, это необходимо прописать и добавить. Если вы работаете с B2C, B2B и например делаете SaaS решения все будет также разными если это все в рамках 1 юридического лица. Также отдельно по поводу работы и хранением данных с самозанятыми или сотрудниками.

Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»

Пример для заполнения:
  • назначено лицо, ответственное за организацию обработки персональных данных;
  • разработана политика в отношении обработки персональных данных и локальные акты по вопросам обработки персональных данных;
  • осуществляется внутренний контроль обработки персональных данных;
  • проведена оценка вреда, который может быть причинен субъектам персональных данных;
  • работники, осуществляющие обработку персональных данных, ознакомлены с положениями законодательства РФ о персональных данных и внутренними нормативными документами;
  • проводится обучение работников правилам работы с персональными данными;
  • определены угрозы безопасности персональных данных при их обработке в информационных системах;
  • обеспечено применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных»;
  • применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия (указывается, в случае если такие средства применяются для нейтрализации определенных угроз информационной безопасности или для уничтожения персональных данных);
  • проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • обеспечен учет машинных носителей персональных данных;
  • проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данным и принятию мер в случае обнаружения;
  • обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • определены правила доступа к персональным данным, обрабатываемых в информационных системах персональных данных;
  • осуществляется регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Использование шифровальных (криптографических) средств

Если вы пользуетесь ЭДО обязательно укажите ваши данные по нему, например Крипто Про и класс СКЗИ

Срок или условие прекращения обработки персональных данных

Укажите условия окончания - Прекращение деательности организации

Сведения о местонахождении базы данных информации, содержащей персональные данные граждан РФ

Указывайте адреса Цодов, и обратите внимание, что если например вы пользуетесь сайтами на таплинк, тильда, или конструкторами, у них также есть свои Цоды и их необходимо указать