С 1 сентября 2025 года все предприниматели, работающие с данными клиентов, столкнуться с новой реальностью: защита персональных данных перестала быть формальностью для проверяющих «на всякий случай» и стала зоной реальных рисков, где за одну недоработку можно схлопотать штраф в миллион рублей. И речь идёт не только о банках, государственных услугах и IT-гигантах. Под удар попадают маркетологи, интернет-магазины, салоны красоты, ИП с лендингом и формой заявки, все, кто хоть раз собирал телефоны и электронные адреса своих клиентов потенциально подпадают под новые санкции.
Теперь за утечку информации можно заплатить до 15 миллионов рублей или 1% от годового оборота. И неважно, что у вас «всего 3 сотрудника» и вы работаете через Тильду — если данные утекут по вашей вине или даже в результате действий подрядчика, отвечать будете вы. Именно как оператор персональных данных. Если вы передали базу клиентов агентству, а оно не защитило файл, Роскомнадзор придёт к вам, как бы это не было странно. И не с вопросами, а с актом проверки и расчётом штрафа.
Что ещё больше усложняет ситуацию — теперь проверки начались по-настоящему. Особенно в сфере малого и среднего бизнеса. Роскомнадзор и прокуратура заходят в маркетинговые студии, агентства недвижимости, онлайн-школы, медицинские сервисы. Повод может быть любым: жалоба клиента, обнаруженный файл в открытом доступе, анонимное письмо или просто выборка по определённой категории сайтов. Да, естественно, если вы ведете свой микроблог вряд ли Вы станете объектом пристального внимания, но владельцем сайтов или веб-приложений, где трафик подходит под 5-10 тысяч человек надо бы подготовиться.
В практике уже есть случаи, когда утечка произошла просто потому, что сотрудник загрузил Excel-файл с базой клиентов в Google Таблицы и оставил к нему доступ «по ссылке», а ушлый и хитрый клиент пошел и подал иск в иск. Студия получила проверку, затем постановление и штраф в размере 1,8 миллиона рублей, потому что база содержала имена, телефоны, адреса электронной почты и комментарии клиентов. Случай банальный — и таких будет всё больше и больше с нарастающими законодательными тенденциями в сфере персональных данных.
Теперь, даже если вы просто храните заявку с сайта у себя на почте или в старом ноутбуке, по закону вы должны иметь внутренний регламент обработки данных, оформить политику конфиденциальности, разместить её на сайте, заключить договоры со всеми подрядчиками, которые хоть как-то контактируют с этими данными. И не просто формально — в договоре должны быть прописаны все обязанности исполнителя по защите, хранению и уничтожению персональных данных. Без этого, если произойдёт утечка, суд встанет на сторону контролёра, а не бизнеса. Вышеописанное это конечно перебор и вряд ли такое когда-нибудь приведет к суду и негативным последствиям, но мораль думаю всем понятна.
Если вы собираете заявки через сайт, то теперь форма без активной галочки согласия на обработку данных — это потенциальное нарушение. Раньше к этому относились формально. Теперь галочки без ссылок на политику, политика без описания того, кто именно обрабатывает данные и с какой целью, форма без юридического лица — всё это основания для штрафа.
Кроме того, вы обязаны уведомить Роскомнадзор о любом инциденте, связанном с утечкой данных, в течение 24 часов. Даже если это потерянный ноутбук, взлом мессенджера или ошибка подрядчика. Если вы не сообщили вовремя — штраф сам по себе, даже без последствий. Если вы не приняли меры защиты — штраф ещё больше. Нет технической защиты — штраф. Нет внутренних документов — ещё штраф.
Для бизнеса это означает одно: если вы продолжаете работать «как раньше», риски реальны. Сегодня утечка файла — это не повод «удалить и забыть», а причина для визита прокурора. Подрядчики, фрилансеры и даже обычный дизайнер, имеющий доступ к CRM, становятся потенциальной точкой уязвимости, и вы несёте ответственность за их действия.
Всё, что раньше было «для галочки», теперь должно быть выстроено в систему: от оформления сайта до настройки прав доступа в облаке. Если вы хотите продолжать работать без паники при словах «Роскомнадзор» или «проверка», нужно наводить порядок: в документах, в отношениях с подрядчиками, в IT-инфраструктуре. Не потому, что «так надо», а потому что иначе — штраф, блокировка, проверка и убытки.
Если вы не знаете, с чего начать или Вам необходима юридическая консультация можете написать мне в Telegram (@egorlawyerwp).