С 30 мая 2025 — новые штрафы за работу с персональными данными. Что важно знать?
Что случилось?
С 30 мая 2025 года в России вступают в силу серьёзные изменения в законодательстве о персональных данных. Нововведения усилили ответственность за нарушения — как за несанкционированную обработку, так и за несвоевременное уведомление Роскомнадзора, а также за утечки данных. Штрафы теперь достигают до 500 млн рублей или 3% годовой выручки компании — и это касается не только корпораций, но и малого бизнеса.
Изменения затрагивают почти всех предпринимателей и компании, которые работают с персональными данными — от ИП с интернет-магазином до крупных торговых сетей. Важно не игнорировать эти поправки: уже сейчас растёт число проверок, а суммы штрафов достигают 1,5 млн рублей.
Кто считается оператором персональных данных?
Оператором персональных данных считается любая организация или ИП, которые получают, хранят, обрабатывают, передают или удаляют персональные данные клиентов, сотрудников, поставщиков и т. д. Персональными данными считаются любые сведения, которые позволяют идентифицировать конкретного человека: ФИО, адрес, телефон, дата рождения, сведения о работе, паспортные данные и т.п.
Если вы:
- имеете сотрудников или привлекаете подрядчиков по договорам ГПХ;
- храните персональные данные клиентов в Excel, 1С или в CRM-системах;
- собираете контакты для рассылок и маркетинга;
- обрабатываете данные для доставки товаров;
- работаете с личными данными в любом виде,
то вы — оператор персональных данных и обязаны уведомить об этом Роскомнадзор. Даже если вы не передаёте данные третьим лицам, а просто храните ФИО и телефон покупателя — вы все равно подпадаете под закон.
Что изменилось и почему это важно?
Кратко о главных изменениях
С 30 мая 2025 года вступают в силу важные изменения в законах о персональных данных и административные штрафы значительно ужесточаются. Главные новшества касаются:
- Нового состава нарушений, связанных с утечками персональных данных (статья 13.11 Кодекса РФ об административных правонарушениях).
- Введения отдельного штрафа за неподачу или неправильную подачу уведомлений в Роскомнадзор о сборе и обработке персональных данных.
Ранее бизнес мог получить штраф от 3 до 5 тысяч рублей за неподачу любых сведений в Роскомнадзор. С 30 мая штрафы вырастут в 20-60 раз — от 100 до 300 тысяч рублей за первое нарушение и до 500 тысяч рублей за повторное. Для должностных лиц предусмотрены штрафы от 50 до 100 тысяч рублей, для физических лиц — до 15 тысяч рублей.
Штрафы за утечки данныхУсилены штрафы и за утечки персональных данных:
- от 1 до 3 миллионов рублей за непредоставление уведомления об утечке;
- от 3 до 15 миллионов рублей — за сам факт утечки (в зависимости от масштабов);
- от 15 до 20 миллионов рублей — за утечку биометрических данных.
Кроме того, для компаний, неоднократно допускающих утечки, вводятся оборотные штрафы — от 1 до 3% от годовой выручки за предыдущий год. При значительном ущербе пострадавшим возможна уголовная ответственность — до 4 лет лишения свободы.
Проверки стали чаще и строже
- контролируют не только крупный бизнес;
- проверяют сайт, согласие, доступ, договоры с подрядчиками;
- часто проверяют жалобы, особенно от бывших сотрудников.
Расширены требования к внутренним документам.
- политика обработки ПДн;
- согласия от клиентов и сотрудников;
- уведомление Роскомнадзора;
- назначение ответственного за защиту данных;
- правила хранения и уничтожения данных.
Обязательные действия оператора персональных данных
- Уведомить Роскомнадзор о начале обработки данных (до начала обработки).
- Разработать и регулярно обновлять политику обработки персональных данных.
- Собирать cookie только с согласия пользователей (веб-сайта).
- Хранить данные исключительно на российских серверах.
- Использовать средства защиты данных: антивирусы, шифрование, системы контроля доступа.
Что нужно сделать до 30 мая 2025 года
- Проверьте регистрацию в реестре Роскомнадзора. Убедитесь, что ваш бизнес есть в реестре операторов персональных данных. Если нет — подайте уведомление как можно скорее.
- Если уведомление не подавали — срочно подайте его! За неподачу с 30 мая предусмотрены крупные штрафы. Первый раз РКН может отправить предупреждение, но повторное нарушение обойдётся дорого.
Как подать уведомление
- заполнить форму на сайте Роскомнадзора, распечатать и отправить почтой;
- заполнить форму на сайте с электронной подписью;
- авторизоваться через «Госуслуги» и заполнить онлайн.
Обратите внимание: необходимо подавать уведомления и об изменениях в уже зарегистрированных данных — не реже одного раза в месяц после изменения.
Уведомление об утечках персональных данных
Если у вас произошла утечка, необходимо сообщить об этом в Роскомнадзор не позднее 24 часов с момента обнаружения. В уведомлении нужно указать:
- Причины утечки.
- Возможные последствия для пострадавших.
- Принятые меры по устранению инцидента.
- Контактные данные ответственного лица.
Далее в течение 72 часов провести внутреннее расследование и сообщить результаты в Роскомнадзор.
Если утечка произошла до 30 мая, и вы успеете сообщить вовремя — штрафы будут по старым нормам. После 30 мая попытка скрыть утечку или неуведомление грозит серьёзными санкциями.
Как минимизировать риски утечек
- ограничьте доступ к персональным данным только необходимыми для работы сотрудникам;
- используйте сложные пароли и двухфакторную аутентификацию;
- шифруйте конфиденциальные данные;
- установите современные антивирусные программы;
- обучайте сотрудников основам цифровой безопасности и методам предотвращения мошенничества.
Организация работы с персональными данными
- используйте только российские сервисы для хранения и обработки данных (например, «Яндекс Метрика» вместо Google Analytics, Sendsay вместо иностранных почтовых сервисов).
- настройте на сайте корректное получение согласия пользователей на обработку персональных данных — галочки должны ставиться только лично пользователем, а не проставляться автоматически.
- обеспечьте прозрачность: разместите на сайте политику обработки данных, в которой подробно описаны цели сбора и используемые категории данных.
Локальные документы по работе с персональными данными
Обязательно разработайте и утвердите внутренние документы, отражающие конкретные процессы в вашей компании:
- политику обработки персональных данных;
- положение об обеспечении безопасности данных;
- правила работы с персональными данными;
- приказы, инструкции и журналы учета.
Готовые шаблоны из интернета не подходят — документы должны отражать реальные процессы вашего бизнеса.
Особенности трансграничной передачи данных
Если вы используете иностранные сервисы, передающие данные за рубеж (например, Google Analytics), необходимо:
- проверить, входит ли страна получателя в список с адекватной защитой данных (на сайте Роскомнадзора);
- уведомить Роскомнадзор о трансграничной передаче данных;
- в течение 10 дней предоставить РКН подтверждение безопасности обработки данных у иностранного партнёра;
- получить согласие Роскомнадзора на передачу.
Если меняется страна назначения данных — нужно подавать новое уведомление.
Итог
Законы о персональных данных становятся строже, и бизнесу важно заранее привести процессы в порядок, чтобы избежать огромных штрафов и рисков для репутации. Проверяйте уведомления в Роскомнадзоре, вовремя сообщайте об изменениях и утечках, используйте надежные сервисы и обучайте сотрудников. Помните, что ответственность за персональные данные — это не только формальность, но и залог доверия клиентов и партнёров.
Однако оформить все документы вручную бывает достаточно сложно, особенно для малого бизнеса. Именно поэтому мы рекомендуем использовать специализированный онлайн-сервис 152DOC. С помощью этого сервиса можно:
- определить, являетесь ли вы оператором ПДн;
- автоматически составить все необходимые документы;
- сформировать уведомление для Роскомнадзора;
- отслеживать срок действия согласий и актуальность политики;
- организовать безопасную работу с персональными данными.
Штрафы за нарушения в сфере персональных данных стали ощутимыми – даже небольшая ошибка может обойтись дорого. Если вы ещё не проверяли, как у вас организована работа с персональными данными — самое время это сделать!
