С 30 мая 2025 года штрафы за нарушения в сфере персональных данных выросли до 300–700 тысяч рублей — за то, что раньше стоило 5 тысяч. Разберём требования и что можно сделать, чтобы работать спокойно.
Материал проверен экспертом по персональным данным — Алешковой Натальей.
Что изменилось
С 30 мая вступили в силу поправки в Кодекс об административных правонарушениях — Федеральный закон № 420-ФЗ от 30 ноября 2024 года. Вот как изменились штрафы:
Для самозанятых штрафы ниже — они квалифицируются как физлица, поэтому за неуведомление РКН им грозит 5–10 тысяч, а не 300. Но требования закона для них абсолютно те же.
Для небольшого магазина с выручкой 2–3 миллиона в год штраф в 300 тысяч — это месячная выручка или больше. Даже когда документы просто не оформлены, но никаких утечек не было, сумма составляет сотни тысяч рублей.
По данным Роскомнадзора, за 2024 год в России зафиксировано 135 утечек персональных данных.
Большинство из них произошло в торговле и сфере услуг — там, где работает малый и средний бизнес.
Кого это касается
Закон о персональных данных (152-ФЗ) распространяется на тех, кто собирает информацию о клиентах или сотрудниках. Юридически это называется быть «оператором персональных данных».
Если у вас есть форма на сайте, где клиенты оставляют телефон, или вы ведёте базу в Excel, или принимаете заказы через мессенджеры — вы работаете с персональными данными. ИП и ООО подпадают под полную ответственность по закону. Самозанятые тоже операторы, хотя штрафы для них как для физлиц пониже (5–100 тысяч в зависимости от нарушения).
Интернет-магазины с формой заказа, где клиент указывает телефон или email. Салоны красоты, если ведут записную книжку с контактами клиентов. Кафе и рестораны, если собирают данные для программы лояльности.
Многие думают: «У меня не банк, просто телефоны клиентов в Excel или в блокноте». Но по закону телефон + имя = персональные данные.
Что считается персональными данными
По закону персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку.
ФИО, телефон, email, адрес (в том числе адрес доставки), паспортные данные, ИНН, номер банковской карты — это всё однозначно персональные данные.
Но есть менее очевидные вещи. Ник в Telegram, WhatsApp или MAX — если известно, чей это ник, то это тоже персональные данные. История заказов клиента, переписка с ним (даже без имени, если можно идентифицировать человека), фотография, геолокация, IP-адрес (если используется для идентификации) — всё это может быть персональными данными.
Есть пограничные случаи. Cookies на сайте или IP-адрес — это технические идентификаторы, но суды и Роскомнадзор рассматривают их как персональные данные, если они связаны с конкретным пользователем.
Простое правило: если информацию можно связать с конкретным человеком — это персональные данные.
Типичные нарушения малого бизнеса
Нет уведомления в Роскомнадзор
Самое частое нарушение. Бизнес собирает данные клиентов через форму на сайте или в CRM, но не подал уведомление в Роскомнадзор о том, что является оператором персональных данных.
Штраф: до 300 тысяч рублей для ИП и ООО (ч. 10 ст. 13.11 КоАП), для самозанятых — 5–10 тысяч.
Сайт без политики конфиденциальности
На сайте есть форма обратной связи или заказа, но нет политики конфиденциальности. Штраф: от 30 до 60 тысяч рублей для ООО, от 10 до 20 тысяч для ИП (ч. 3 ст. 13.11 КоАП).
Рассылка без согласия
Собрали базу email на выставке, в магазине или через форму на сайте и начали использовать эти данные без оформленного согласия на их обработку. Штраф — до 300 тысяч рублей (ч. 1 ст. 13.11 КоАП РФ).
Базы клиентов в общих чатах
Таблица с телефонами и именами клиентов лежит в общем чате Telegram или WhatsApp, куда имеют доступ все сотрудники или даже подрядчики.
Роскомнадзор может расценить это либо как нарушение требований к защите персональных данных — штраф от 150 до 300 тысяч рублей (ч. 1 ст. 13.11 КоАП). Либо как передачу данных третьим лицам без согласия — там последствия серьёзнее, штрафы до 700 тысяч рублей (ч. 2 ст. 13.11 КоАП).
Одно из решений — перенести данные в учётную систему с разграничением доступов. Например, в МоемСкладе можно настроить, кто что видит: курьер видит только адреса доставки, менеджер — заказы, а финансовые отчёты доступны только владельцу. Система фиксирует все действия сотрудников — видно, кто и когда смотрел или менял данные. При этом данные хранятся на российских серверах.
Хранение данных в зарубежных сервисах
Используете Google-таблицы, Dropbox или другие зарубежные облачные сервисы для хранения клиентских баз. Данные автоматически сохраняются на серверах за рубежом, что нарушает требование о первичной записи персональных данных на территории России.
Штраф: от 1 до 3 млн рублей (ч. 8 ст. 13.11 КоАП).
Формы на сайте без согласия
На сайте есть форма для сбора заявок (обратная связь, запись на услугу, оформление заказа), но нет чекбокса с согласием на обработку персональных данных и ссылки на политику конфиденциальности.
Штраф: от 150 до 300 тысяч рублей (ч. 1 ст. 13.11 КоАП).
Откуда берутся проверки
Проверки Роскомнадзора запускаются по трём основным причинам.
Самый частый триггер — жалоба клиента. Клиент недоволен: ему звонят с рекламой после покупки, хотя он не давал согласия. Он подаёт жалобу в Роскомнадзор. Приходит проверка, и смотрят не только на этот случай — проверяют всё: есть ли компания в реестре операторов, есть ли политика конфиденциальности, получали ли согласие на рассылки, как хранятся данные.
Один предприниматель после жалобы клиентки получил штраф 280 тысяч рублей. Клиентка пожаловалась, что ей звонят без согласия. При проверке нашли ещё целый букет нарушений: нет уведомления в РКН, нет политики на сайте.
Вторая причина — утечки данных. Если произошла утечка (взлом сайта, потеря базы, случайная публикация данных), Роскомнадзор проверяет: были ли приняты меры защиты, уведомил ли оператор РКН в течение 24 часов, уведомил ли пострадавших клиентов.
Третья причина — плановые проверки. Роскомнадзор может провести плановую проверку любого оператора из реестра. Для малого бизнеса такие проверки редки, но они есть.
Что делать, чтобы не попасть на штраф
Для малого бизнеса достаточно выполнить несколько шагов. Разберём каждый.
Подать уведомление в Роскомнадзор
Уведомление — это сообщение Роскомнадзору о том, что вы обрабатываете персональные данные. После подачи вы попадаете в реестр операторов. Без уведомления штраф до 300 тысяч рублей.
Подать уведомление можно через сайт Роскомнадзора rkn.gov.ru в разделе уведомлений операторов, заполнить форму «Уведомление о намерении осуществлять обработку персональных данных» (какие данные обрабатываете, цели обработки, где хранятся данные) и отправить через систему.
Это нужно сделать до начала обработки данных. Если вы уже собираете данные, но не подали уведомление — можно подать как можно скорее. При изменении названия компании, организационно-правовой формы, адреса или состава данных подаются изменения в уведомление.
Уведомление НЕ требуется только в трёх редких случаях: обработка для государственной безопасности, обработка ТОЛЬКО на бумаге без компьютера, обработка в рамках транспортной безопасности. Для 99% бизнеса эти исключения не работают.
Разместить политику конфиденциальности
Политика конфиденциальности — это документ на сайте, который объясняет: какие данные вы собираете, для чего используете, как защищаете, куда передаёте (если передаёте), как субъект может запросить информацию об обработке.
Отсутствие политики — штраф 30–60 тысяч рублей для ООО, 10–20 тысяч для ИП (ч. 3 ст. 13.11 КоАП).
Не стоит просто скачивать шаблон из интернета. Роскомнадзор знает все типовые тексты — они не защитят при проверке. Политика описывает именно вашу деятельность. Если собираете телефоны для записи — пишите об этом. Если передаёте данные в CRM систему — укажите это. Если используете Яндекс.Метрику — тоже укажите.
Разместите политику конфиденциальности отдельной страницей на сайте (например, site.ru/privacy) и добавьте ссылку на неё в подвале каждой страницы сайта. В формах сбора данных добавьте чекбокс: «Я ознакомлен с политикой конфиденциальности» со ссылкой на политику.
С сайтом всё понятно — поставил чекбокс и ссылку на политику. А если заказы приходят через соцсети или мессенджеры? Клиент пишет «хочу заказать», ты собираешь телефон и имя — а согласия нет. Каждому отправлять PDF нереально.
В сервисе «МойСклад Онлайн-заказ» согласие на обработку данных уже встроено. Покупатель переходит по ссылке на каталог, оформляет заказ — и видит форму с реквизитами твоего юрлица. Главное — заранее заполнить название компании и ИНН в настройках.
Не нужно собирать согласия вручную.
Получить согласия там, где нужно
Это самый частый вопрос: когда согласие нужно, а когда нет?
Согласие НЕ нужно, если вы обрабатываете данные для исполнения договора. Клиент заказал товар, указал телефон для доставки — согласие не требуется. Обработка происходит для выполнения договора купли-продажи (П. 5 ч. 1 ст. 6 закона 152-ФЗ).
В одном магазине клиент подал заявление на возврат товара, указал свои данные и потребовал отдельное согласие на обработку. Продавец растерялся, начал искать, какую форму дать. Но в таком случае согласие не требуется, потому что обработка идёт в рамках закона о защите прав потребителей.
Согласие также не нужно для выполнения обязанностей по закону. Например, передача данных в налоговую, пенсионный фонд — это обязанность работодателя.
Согласие НУЖНО для маркетинга и рекламных рассылок. Хотите отправлять SMS, email, звонить с предложениями — получите согласие (достаточно активной галочки в чекбоксе на сайте). Для передачи данных третьим лицам, если это не часть договора с клиентом. Для биометрии: фотографии лица, отпечатки пальцев, голос — всегда требуется отдельное письменное согласие.
Как оформить согласие правильно? Формулируйте конкретную цель. Не просто «Согласие на обработку персональных данных» (слишком общо), а конкретно: «в целях осуществления рекламных рассылок» или «для направления информации о новых товарах и акциях». Укажите, какие данные обрабатываете: ФИО, телефон, email. Способ получения: чекбокс на сайте (обязательно активная галочка, не предустановленная!) или бумажное согласие с подписью клиента.
Согласие должно быть добровольным. Нельзя отказать в услуге только потому, что клиент не дал согласие на маркетинг.
Обеспечить защиту данных
Закон требует принимать меры для защиты персональных данных от утечек, взломов, несанкционированного доступа.
Минимальные технические меры: ограничьте доступ к данным. Пароли на компьютеры и файлы с данными, доступ только у тех, кому это нужно для работы. Не храните данные в открытых местах — не в общих чатах Telegram, не в облачных папках с доступом по ссылке. Используйте CRM-систему с доступами по ролям или защищённые паролем файлы. Делайте резервные копии регулярно. Установите антивирус и регулярно обновляйте программное обеспечение.
Организационные меры: назначьте ответственного за обработку персональных данных. Это может быть руководитель, бухгалтер или любой другой сотрудник — просто оформите приказом по компании. Разработайте внутренние документы: положение об обработке персональных данных, обязательства о неразглашении для сотрудников, которые работают с данными. Ознакомьте сотрудников: они должны знать, что такое персональные данные, как с ними работать, что нельзя делать (передавать третьим лицам, выносить на флешках).
Знать, что делать при утечке
Утечка — это когда данные стали доступны тем, кому не должны были быть доступны. Взлом сайта или базы данных, случайная публикация файла с контактами, сотрудник слил базу конкурентам, потеря ноутбука или флешки с данными — всё это утечки.
В течение 24 часов уведомите Роскомнадзор. Форма уведомления есть на сайте РКН. Укажите: какие данные утекли, сколько человек пострадало, какие меры приняты. Если не уведомите в срок — штраф от 1 до 3 миллионов рублей (ч. 11 ст. 13.11 КоАП).
Уведомите пострадавших — тех, чьи данные пострадали. Примите меры по устранению: закройте уязвимость, смените пароли, проведите расследование.
Штрафы за утечки зависят от масштаба. Если утечка затронула от 1000 до 10000 записей (идентификаторов) персональных данных — штраф для ИП и ООО от 3 до 5 миллионов рублей. От 10000 до 100000 записей — от 5 до 10 миллионов. Свыше 100000 записей — от 10 до 15 миллионов. Повторная крупная утечка грозит оборотным штрафом: от 1 до 3% годовой выручки, но не менее 20 миллионов и не более 500 миллионов рублей.
Особые случаи
Для самозанятых
Самозанятые — это физические лица-операторы по закону о персональных данных. Штрафы для них ниже, чем для ИП и ООО, потому что они квалифицируются как физлица. За неуведомление РКН самозанятому грозит 5–10 тысяч рублей вместо 300 тысяч. За обработку без согласия — до 50 тысяч рублей вместо 700 тысяч.
Но требования закона абсолютно те же! Нужно подать уведомление в Роскомнадзор, иметь политику конфиденциальности (если есть сайт или собираете данные через формы), получать согласия для маркетинга и рассылок, защищать данные.
Для продавцов на маркетплейсах
Не все маркетплейсы передают данные покупателя продавцу. Но когда вы получаете от маркетплейса данные покупателя (имя, телефон, адрес доставки), вы становитесь оператором этих данных на своей стороне. Маркетплейс отвечает за свою часть обработки (на своих серверах), вы отвечаете за свою — как храните, кто имеет доступ, используете ли эти данные для чего-то ещё.
Что делать: ограничьте доступ к данным покупателей (только те, кто упаковывает и отправляет заказы), не используйте контакты для рассылок без согласия клиентов, не передавайте базу третьим лицам. Данные по заказам храните минимум три года — это требование закона. Если клиент отказался от рекламной рассылки — его данные для маркетинга нужно удалить сразу. Если получаете данные от маркетплейса и обрабатываете их, лучше подать уведомление в Роскомнадзор.
Итого: что делать
Один раз навести порядок — и работать спокойно, не опасаясь штрафов в сотни тысяч рублей. С новыми размерами штрафов игнорировать требования закона стало по-настоящему дорого.
Мы ведем блог для малого бизнеса. Рассказываем новости для предпринимателей, ошибки и лайфхаки в учете, инструменты продвижения, обновления сервиса МойСклад.
