Статьи

Штрафы за персональные данные — что важно успеть до 30 мая

С 30 мая правила игры с персональными данными меняются: Роскомнадзор усилит проверки, а штрафы станут строже и заметно жёстче. Что именно поменяется, кого это коснётся и как защитить бизнес — разбираем по пунктам и без лишней сложности.

Что меняется с 30 мая 2025 года

Главное нововведение — расширенный список нарушений в статье 13.11 КоАП. Теперь ответственность грозит не только за утечку данных или отсутствие согласия на сайте. Штрафовать будут и за менее очевидные случаи, например:
  • если вы не зарегистрировались в Роскомнадзоре как оператор персональных данных;
  • не сообщили об утечке данных;
  • используете зарубежные сервисы без соблюдения новых требований.
А с 1 июля вступает в силу новое правило: все данные россиян сначала должны обрабатываться на сервере в России. Только после этого их можно передавать за границу. Например, если ваша форма на сайте связана с иностранной CRM — это уже нарушение.
Если вы не уверены, как соблюсти требования, мы можем помочь: подготовим все документы и подадим заявление за вас.

Почему Роскомнадзор усиливает контроль

Главная причина — не сами утечки, а беспорядочная работа с данными. Компании собирают информацию с форм, виджетов, звонков, но не объясняют пользователю, кто её получит и зачем. Часто данные уходят подрядчикам без договора, а в политике конфиденциальности об этом — ни слова.
Даже крупные компании нередко не могут точно сказать, что именно утекло, кто допустил ошибку и когда. Поэтому надзор усиливается: с 2025 года Роскомнадзор будет строже подходить к проверкам и ответственности.

Какие штрафы будут

Категория 1: Общие нарушения

Типичные примеры:
  • неактуальная политика обработки;
  • неуказанные цели сбора;
  • забыли упомянуть подрядчика в уведомлении.
Штраф: от 150 000 до 300 000 рублей.
Это самая мягкая категория, но штрафы все же присутствуют..

Категория 2: Серьёзные нарушения

За что наказывают:
  • не зарегистрировались как оператор;
  • собираете данные без согласия;
  • не сообщили в Роскомнадзор об утечке;
  • используете данные не по назначению.
Штраф: фиксированный, до 3 миллионов рублей.

Категория 3: Тяжёлые случаи

Примеры:
  • массовая утечка данных;
  • небрежная работа с биометрией;
  • попытка скрыть инцидент.
Наказание: оборотный штраф — от 1 до 3% от выручки, но не менее 20 и не более 500 млн рублей.
Мы можем проверить ваши документы и настроить процессы до начала проверок. Обратитесь — подготовим всё, что нужно.

Отдельно — про обязательную регистрацию в Роскомнадзоре

Если вы собираете хоть какие-то данные — email, телефон, имя — вы должны зарегистрироваться как оператор ПДн. Причём до того, как начали сбор. Нарушением считается не только отсутствие записи в реестре, но и:
  • ошибки в целях обработки;
  • устаревшие данные;
  • пропущенные способы обработки (например, рассылка без упоминания в уведомлении).
Штраф: от 100 000 до 300 000 рублей.
Регистрироваться должны не только компании, но и ИП и самозанятые. Даже если вы просто принимаете заявки на сайте — это уже обработка.

Штрафы за утечку данных: как считают

С 2025 года Роскомнадзор учитывает не только количество пострадавших, но и количество идентификаторов. Например, имя + email + телефон = 3 ID. Если таких клиентов было 10 000, то это уже 30 000 ID. Чем больше утекло — тем выше штраф.
Особо высокие штрафы — за утечку:
  • биометрических данных;
  • сведений о здоровье, религии, личной жизни.

Повторная утечка = оборотный штраф

Если нарушение повторяется, компанию ждёт штраф до 3% от выручки. Повторной считается любая утечка, если:
  • данные переданы подрядчику без договора;
  • опубликована клиентская база;
  • скомпрометированы доступы (пароли, токены);
  • утечку попытались скрыть.
Чтобы не попасть в такую ситуацию, заранее продумайте порядок действий при инциденте. Мы поможем настроить регламент реагирования — от фиксации до уведомления пользователей и Роскомнадзора.

Что делать при утечке

С 30 мая у компаний будет 24 часа, чтобы сообщить об утечке. Даже если всё исправлено, пропуск срока — отдельное нарушение.
Что важно сделать:
  1. Зафиксировать факт утечки — логами, скриншотами, IP;
  2. Уведомить Роскомнадзор через личный кабинет;
  3. Устранить источник;
  4. Оповестить пострадавших (если нужно);
  5. Обновить внутренние инструкции.
Штраф: до 3 млн рублей.

Нарушения при сборе без согласия

Если пользователь не дал согласие на конкретную цель обработки, это — нарушение. Вот типичные ошибки:
  • нет чекбокса на форме с телефоном;
  • на сайте стоят счётчики без уведомления;
  • согласие «спрятано» в пользовательском соглашении;
  • один чекбокс на всё подряд.
Согласие должно быть чётким, отдельным, понятным. Пользователь должен знать, на что соглашается и кто будет обрабатывать данные.

Новые правила трансграничной передачи

С 1 июля 2025 года данные сначала должны попасть на российский сервер. Только потом — за границу. Даже автоматическая передача через скрипты, пиксели и формы — это трансграничная передача.
Пример: если ваша форма работает через Google Forms, а ответы сразу попадают в Google Sheets — это уже нарушение.
Что делать:
  • Настройте российский сервер как точку сбора;
  • Обновите политику;
  • Получите отдельное согласие на трансграничную передачу;
  • Уведомьте Роскомнадзор.

Как подготовиться: пошаговый план

  1. Зарегистрируйтесь как оператор ПДн — до 30 мая. Даже если вы ИП с одной формой на сайте.
  2. Проверьте формы и политику: везде должно быть согласие, актуальные цели и уведомления.
  3. Наведите порядок в доступах: кто и что видит, кто за что отвечает, какие есть инструкции.
  4. Заключите договоры с подрядчиками, если они получают данные.
  5. Обеспечьте защиту: пароли, шифрование, логирование, инструкции по работе с утечками.
Проверка может начаться в любой момент — по жалобе или в рамках надзора. Если чего-то не хватает в документах, лучше подготовиться заранее. Мы можем взять эту работу на себя — от аудита до подачи всех нужных уведомлений.
Если нужно привести вашу работу с персональными данными в порядок — обращайтесь. Подскажем, проверим, оформим всё правильно.
Бизнес