Владельцам бизнеса час от часу не легче, только мы выпустили статью про запрет рекламы и все возможные последствия за нарушения этого закона, как появились нововведения о персональных данных. Читайте и готовьте сразу краску для волос — седые волосы появятся сразу после прочтения!
В федеральный закон № 152-ФЗ «О персональных данных» с 1 сентября 2025 года были внесены поправки, которые уже коснулись всех компаний, у которых есть свой сайт. Менять придётся многое — обо всём по порядку!
Согласие на обработку данных — только отдельным документом
Согласие больше нельзя «спрятать» в договор, оферту или чекбокс на сайте. Оно должно быть оформлено отдельным документом — бумажным или электронным. Содержание согласия должно быть полным:
- данные об операторе ПД,
- цель обработки ПД,
- способы обработки ПД,
- срок действия согласия,
- перечень собираемых данных,
- действия, которые будут проводить с данными.
Учитывайте, что при изменении целей обработки персональных данных необходимо получать новое согласие от пользователей, даже если они ранее уже давали согласие на другие цели. Согласия нужно получать для каждой цели заново: при регистрации на сайте, при согласии на email-рассылку и т.д.
Как выглядело согласие раньше:
«Нажимая кнопку «Отправить», вы соглашаетесь на обработку персональных данных».
Теперь:
Каждое согласие должно быть выделено (это даже может быть отдельная страница или форма с текстом согласия) и подтверждено отдельной галочкой.
Без штрафов никуда
Отсутствие отдельного согласия на обработку ПДн (ч. 2 ст. 13.11 КоАП РФ):
- Граждане: 10 000–15 000 ₽.
- Руководители и ИП: 100 000–300 000 ₽.
- Организации: 300 000–700 000 ₽.
Обезличенные данные: новая статья 13.1
Обезличенные данные можно обрабатывать без согласия клиента. По требованию Минцифры компании обязаны передавать такие данные в госинформационные системы (ГИС). Биометрия и сведения о здоровье в передачу не включаются. Методы обезличивания теперь строго регламентированы приказом Роскомнадзора № 140.
Неправильное обезличивание = обработка как обычных ПДн → все штрафы по ст. 13.11 КоАП.
Поэтому: проверьте, как вы собираете аналитику (Google Analytics, CRM, маркетинг). Необходимо заранее уведомить Роскомнадзор об использовании метрик: Google Analytics, Яндекс.Метрика. Для использования Google Analytics и других иностранных счетчиков требуется разрешение Роскомнадзора.
Локализация и хранение данных
В июле в закон внесли запрет на использование информационных систем и баз за пределами РФ. Персональные данные граждан РФ должны храниться только на территории России. Использовать зарубежные серверы и облака для хранения и обработки запрещено.
За хранение данных вне РФ — до 6 млн ₽ (по практике Роскомнадзора).
Что делать бизнесу?
- Проверить, где размещены серверы сайта, CRM, бухгалтерских систем.
- Перейти на российский хостинг или облака (Яндекс Облако, VK Cloud, СберCloud и др.).
- Уточнить у иностранных сервисов (например, AmoCRM, Bitrix24, UniSender) — локализованы ли их базы в РФ.
Новые штрафы и санкции
С 30 мая 2025 года увеличили штрафы и ввели новые — сейчас главное, не пугайтесь!
Основные размеры штрафов
- Нет уведомления в РКН: до 300 000 ₽.
- Не сообщили об утечке: до 3 000 000 ₽.
- Массовая утечка (100 000+ записей): до 15 000 000 ₽.
- Биометрия и спецкатегории: до 20 000 000 ₽.
- Повторная утечка: 1–3% от годовой выручки (до 500 млн ₽).
- Нет отдельного согласия (с 1 сентября): 300 000–700 000 ₽.
- Передача SIM-карты или пароля: до 200 000 ₽ для компании.
Важно
- Скидка 50% на штрафы отменена.
- Повторные нарушения = оборотные штрафы.
С полным списком штрафов можете ознакомиться здесь.
Что делать бизнесу: чек-лист для предпринимателей
- Убедитесь в наличии унифицированного согласия на обработку ПДн (сбор формы, подписи, указание операторов и третьих лиц).
- Подайте уведомление о начале обработки данных и о возможных утечках в Роскомнадзор.
- Обеспечьте хранение данных на территории РФ — пересмотрите инфраструктуру и провайдеров.
- Инвестируйте в алгоритмы обезличивания: гарантируйте, что данные анонимны и не могут быть реидентифицированы.
- Проведите аудит обработки данных, обучения сотрудников, адаптируйте инструкции и политику безопасности.
Вывод
2025 год сделал работу с персональными данными в России более жёсткой и формализованной. Для бизнеса это означает новые расходы на IT-инфраструктуру и юрподдержку, но несоблюдение новых правил теперь слишком дорого обходится.
Если вы предприниматель, стоит отнестись к новым поправкам со всей серьёзностью. А рассказать о вашем бизнесе поможем мы — креативное агентство Shanti. Делаем всё, чтобы о вашем продукте/услуге узнали все в Интернет-пространстве: пилим лендинги, разрабатываем контент-стратегии и находим точки касания с вашей ЦА. Оставляйте заявку — посотрудничаем.
Больше новостей из мира маркетинга, наших кейсов и нас самих — в телеграм-канале. Заглядывайте.
