С 30 мая 2025 года владельцам сайтов, Telegram-ботов и CRM-систем, собирающих сведения пользователей, грозят штрафы от 100 тыс. до 700 тыс. рублей за несоблюдение требований закона о персональных данных. Под действие поправок попадают не только компании, но и ИП, самозанятые и физлица.
Эксперты подчёркивают, что достаточно одной формы с полем для имени или телефона, чтобы считаться оператором персональных данных. По положениям закона, обязанность соблюдать правила обработки ПД возникает автоматически — вне зависимости от масштабов бизнеса или специфики ресурса.
Разработчик Telegram-ботов Андрей Бутенко в своём телеграм-канале указал на распространённое заблуждение — многие предприниматели уверены, что стандартный шаблон политики конфиденциальности, взятый из открытых источников, защищает их от претензий. На деле это не так. В случае проверки может выясниться, что политика не отражает реальные процессы, либо вовсе отсутствует.
Наиболее жёсткие меры предусмотрены за три нарушения:
- отсутствие уведомления в Роскомнадзор о начале обработки персональных данных — от 100 тыс. до 300 тыс. рублей;
- размещение форм на сайте без получения согласия пользователей — от 300 тыс. до 700 тыс. рублей;
- отсутствие документа, регламентирующего политику обработки данных — от 30 тыс. до 60 тыс. рублей.
Кроме того, хранение информации на иностранных серверах без официального разрешения, работа с cookie без согласия и отсутствие внутреннего регламента при утечке также считаются серьёзными нарушениями. Штраф за несанкционированный слив данных может достигать 15 млн рублей.
По данным разработчиков и консультантов, типовые ошибки встречаются повсеместно. Среди самых частых — использование готовых шаблонов без привязки к реальной деятельности, сбор избыточных сведений, хранение данных на зарубежных хостингах, отсутствие уведомлений при использовании cookie-файлов и игнорирование требований Роскомнадзора.
Юристы указывают, что даже отсутствие сайта не освобождает от ответственности. Например, если компания ведёт кадровый учёт или собирает сведения контрагентов, она уже подпадает под определение оператора ПД.
Чтобы избежать штрафов, необходимо:
- направить уведомление в Роскомнадзор до 30 мая;
- обновить политику конфиденциальности с учётом текущих процессов;
- обеспечить наличие согласия пользователя при сборе любых данных;
- перевести сервера на территорию РФ или получить одобрение на трансграничную передачу;
- исключить лишние поля из всех форм;
- разработать внутренний регламент действий при утечке информации;
- внедрить технические и организационные меры защиты.
До вступления новых требований в силу остаётся меньше двух недель. Представители рынка предупреждают — в зоне риска почти все, кто хоть как-то взаимодействует с личной информацией клиентов. Нарушение требований может обернуться не только денежными потерями, но и блокировкой ресурса.
Оригинал публикации на сайте CISOCLUB: "Штраф до 700 000 рублей за форму на сайте — владельцы ресурсов рискуют из-за незнания закона о персональных данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.