С 30 мая 2025 года в России вступили в силу новые штрафы за нарушение закона о персональных данных. Многие предприниматели и самозанятые не успели подать уведомление в Роскомнадзор вовремя. Разбираемся, что делать сейчас и почему медлить нельзя.
Почему важно подать уведомление о персональных данных
Согласно ФЗ-152 «О персональных данных» оператором персональных данных считается любой, кто собирает информацию о клиентах: ФИО, телефоны, e-mail, адреса доставки, фото, голос и т. д.
👉 Если у вас есть сайт, Instagram-магазин, Telegram-бот, онлайн-школа, CRM, вы оказываете услугу, что-то продаете (даже если вы селлер на маркетплейсе) или просто вы принимаете заявки — вы обязаны уведомить Роскомнадзор.
Что будет, если не подать уведомление
С 30 мая 2025 года действуют новые штрафы за нарушение закона о персональных данных:
Не уведомил РКН о начале обработки:
🔴физлицо — от 5 до 10 тыс.
🔴должностное лицо — от 30 до 50 тыс.
🔴ИП/организация — от 100 до 300 тыс.
Не уведомил об утечке данных:
🔴физлицо — от 50 до 100 тыс.
🔴должностное лицо — от 400 до 800 тыс.
🔴ИП/организация — от 1 до 3 млн
Утечка данных (1–10 тыс. человек):
🔴до 200 тыс. для физлиц,
🔴до 400 тыс. для должностных,
🔴до 5 млн для компаний
Повторная утечка:
🔴до 600 тыс. для физлиц
🔴до 1,2 млн для должностных
🔴до 3% выручки (от 20 до 500 млн) для бизнеса
Что считается утечкой?
✖️ Взлом сайта или CRM
✖️ Ошибка сотрудника (отправил не тому)
✖️ Публикация данных на сайте
✖️ Доступ к Google-таблицам без ограничений
Важно понимать: то, что вы не отправили уведомление, не значит, что вас не видно. РКН может получить жалобу или выявить нарушение в ходе мониторинга — и инициировать проверку.
Что делать, если пропустили срок
✅ 1. Срочно подать уведомление на сайте Роскомнадзора. Срок прошёл, но закон не отменён. Позднее уведомление лучше, чем его отсутствие.
✅ 2. Проверьте юридические документы:
Политика обработки персональных данных (разместите на сайте или в оферте)
Согласие клиентов (в форме заявки, чате, мессенджере)
Договоры с сервисами (CRM, облака, подрядчики)
Приказ о назначении ответственного (если есть сотрудники)
Меры по защите данных (антивирус, пароли, настройка прав доступа)
✅ 3. Убедитесь в локализации персональных данных Если вы используете зарубежные сервисы (например, Google Docs, Notion, Trello), данные граждан РФ должны храниться на территории России.
Вывод
Если вы не успели подать уведомление до 30 мая — не тяните дальше. Не подали — не значит, что не обязаны. Не зарегистрированы в реестре — не значит, что вас не найдут.
Закон работает, штрафы уже действуют. Лучше потратить немного времени сейчас, чем деньги и нервы позже.
Следующий этап — внесение изменений в уведомления об обработке персональных данных.
Если у вас изменились цели обработки, категории данных, ответственные лица или иные сведения из уведомления — вы обязаны сообщить об этом Роскомнадзору.
Срок — не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения.
Основание: ч. 7 ст. 22 ФЗ № 152-ФЗ.
❓ А теперь к вопросу, который задают все:
Брать ли согласие на обработку персональных данных?
Ответ — не всегда обязательно.
Если вы заключаете договор с физлицом или ИП, и используете ПД только для его исполнения (оформление, связь, расчёт, доставка и т.п.) — согласие не требуется.
Это указано в п. 5 ч. 1 ст. 6 ФЗ № 152-ФЗ:
Так что — решение за вами:
🟣идти строго по закону и использовать договор как основание (без согласия);
🟣или подстраховаться и оформить согласие — особенно если вы храните договоры и ПД дольше срока исполнения или используете их повторно.
