С 30 мая правила игры с персональными данными меняются: Роскомнадзор усилит проверки, а штрафы станут строже и заметно жёстче. Что именно поменяется, кого это коснётся и как защитить бизнес — разбираем по пунктам и без лишней сложности.
Что меняется с 30 мая 2025 года
Главное нововведение — расширенный список нарушений в статье 13.11 КоАП. Теперь ответственность грозит не только за утечку данных или отсутствие согласия на сайте. Штрафовать будут и за менее очевидные случаи, например:
- если вы не зарегистрировались в Роскомнадзоре как оператор персональных данных;
- не сообщили об утечке данных;
- используете зарубежные сервисы без соблюдения новых требований.
А с 1 июля вступает в силу новое правило: все данные россиян сначала должны обрабатываться на сервере в России. Только после этого их можно передавать за границу. Например, если ваша форма на сайте связана с иностранной CRM — это уже нарушение.
Если вы не уверены, как соблюсти требования, мы можем помочь: подготовим все документы и подадим заявление за вас.
Почему Роскомнадзор усиливает контроль
Главная причина — не сами утечки, а беспорядочная работа с данными. Компании собирают информацию с форм, виджетов, звонков, но не объясняют пользователю, кто её получит и зачем. Часто данные уходят подрядчикам без договора, а в политике конфиденциальности об этом — ни слова.
Даже крупные компании нередко не могут точно сказать, что именно утекло, кто допустил ошибку и когда. Поэтому надзор усиливается: с 2025 года Роскомнадзор будет строже подходить к проверкам и ответственности.
Какие штрафы будут
Категория 1: Общие нарушения
Типичные примеры:
- неактуальная политика обработки;
- неуказанные цели сбора;
- забыли упомянуть подрядчика в уведомлении.
Штраф: от 150 000 до 300 000 рублей.
Это самая мягкая категория, но штрафы все же присутствуют..
Категория 2: Серьёзные нарушения
За что наказывают:
- не зарегистрировались как оператор;
- собираете данные без согласия;
- не сообщили в Роскомнадзор об утечке;
- используете данные не по назначению.
Штраф: фиксированный, до 3 миллионов рублей.
Категория 3: Тяжёлые случаи
Примеры:
- массовая утечка данных;
- небрежная работа с биометрией;
- попытка скрыть инцидент.
Наказание: оборотный штраф — от 1 до 3% от выручки, но не менее 20 и не более 500 млн рублей.
Мы можем проверить ваши документы и настроить процессы до начала проверок. Обратитесь — подготовим всё, что нужно.
Отдельно — про обязательную регистрацию в Роскомнадзоре
Если вы собираете хоть какие-то данные — email, телефон, имя — вы должны зарегистрироваться как оператор ПДн. Причём до того, как начали сбор. Нарушением считается не только отсутствие записи в реестре, но и:
- ошибки в целях обработки;
- устаревшие данные;
- пропущенные способы обработки (например, рассылка без упоминания в уведомлении).
Штраф: от 100 000 до 300 000 рублей.
Регистрироваться должны не только компании, но и ИП и самозанятые. Даже если вы просто принимаете заявки на сайте — это уже обработка.
Штрафы за утечку данных: как считают
С 2025 года Роскомнадзор учитывает не только количество пострадавших, но и количество идентификаторов. Например, имя + email + телефон = 3 ID. Если таких клиентов было 10 000, то это уже 30 000 ID. Чем больше утекло — тем выше штраф.
Особо высокие штрафы — за утечку:
- биометрических данных;
- сведений о здоровье, религии, личной жизни.
Повторная утечка = оборотный штраф
Если нарушение повторяется, компанию ждёт штраф до 3% от выручки. Повторной считается любая утечка, если:
- данные переданы подрядчику без договора;
- опубликована клиентская база;
- скомпрометированы доступы (пароли, токены);
- утечку попытались скрыть.
Чтобы не попасть в такую ситуацию, заранее продумайте порядок действий при инциденте. Мы поможем настроить регламент реагирования — от фиксации до уведомления пользователей и Роскомнадзора.
Что делать при утечке
С 30 мая у компаний будет 24 часа, чтобы сообщить об утечке. Даже если всё исправлено, пропуск срока — отдельное нарушение.
Что важно сделать:
- Зафиксировать факт утечки — логами, скриншотами, IP;
- Уведомить Роскомнадзор через личный кабинет;
- Устранить источник;
- Оповестить пострадавших (если нужно);
- Обновить внутренние инструкции.
Штраф: до 3 млн рублей.
Нарушения при сборе без согласия
Если пользователь не дал согласие на конкретную цель обработки, это — нарушение. Вот типичные ошибки:
- нет чекбокса на форме с телефоном;
- на сайте стоят счётчики без уведомления;
- согласие «спрятано» в пользовательском соглашении;
- один чекбокс на всё подряд.
Согласие должно быть чётким, отдельным, понятным. Пользователь должен знать, на что соглашается и кто будет обрабатывать данные.
Новые правила трансграничной передачи
С 1 июля 2025 года данные сначала должны попасть на российский сервер. Только потом — за границу. Даже автоматическая передача через скрипты, пиксели и формы — это трансграничная передача.
Пример: если ваша форма работает через Google Forms, а ответы сразу попадают в Google Sheets — это уже нарушение.
Что делать:
- Настройте российский сервер как точку сбора;
- Обновите политику;
- Получите отдельное согласие на трансграничную передачу;
- Уведомьте Роскомнадзор.
Как подготовиться: пошаговый план
- Зарегистрируйтесь как оператор ПДн — до 30 мая. Даже если вы ИП с одной формой на сайте.
- Проверьте формы и политику: везде должно быть согласие, актуальные цели и уведомления.
- Наведите порядок в доступах: кто и что видит, кто за что отвечает, какие есть инструкции.
- Заключите договоры с подрядчиками, если они получают данные.
- Обеспечьте защиту: пароли, шифрование, логирование, инструкции по работе с утечками.
Проверка может начаться в любой момент — по жалобе или в рамках надзора. Если чего-то не хватает в документах, лучше подготовиться заранее. Мы можем взять эту работу на себя — от аудита до подачи всех нужных уведомлений.
Если нужно привести вашу работу с персональными данными в порядок — обращайтесь. Подскажем, проверим, оформим всё правильно.
