Сервисы
Отрасли
Решения
Клиентам
Партнёрам Тарифы
Поддержка 24/7
Сервисы
Отрасли
Решения
Клиентам
Партнёрам Тарифы
Попробовать бесплатно
+7 (800) 551-04-69
Россия
Техподдержка 24/7 Телеграм WhatsApp
Личный кабинет МТС Линк
Войти
Сервисы
Отрасли
Решения
Клиентам
Партнёрам
Тарифы
Укажите верный формат телефона

Предоставляю свои персональные данные для получения консультации для заключения договора на основании п.5 ч.1 ст.6 152-ФЗ Подробнее — в «Политике»

Бизнес без штрафов: в чём суть нового закона о сборе персональных данных

ВКС
Кибербезопасность
Объясняем
20 июн 2025
10 мин
ВКС
Кибербезопасность
Объясняем
  • Фото автора
    Редакция МТС Линк Медиа
Сервисы
МТС Линк
Всё для общения и работы в онлайне
  • Видеозвонки и чаты
  • Вебинары и онлайн-курсы
  • Онлайн-доска

С 30 мая 2025 года в России в разы увеличились штрафы за нарушения при обработке персональных данных. Теперь незаконный сбор грозит штрафом до 500 тыс. рублей, а утечка личных данных может стоить до 20 млн рублей. Важно, что закон о персональных данных касается не только компаний. Ответственность могут нести самозанятые и физлица, у которых, например, есть сайт с формой обратной связи.

Вместе с руководителем юридического отдела МТС Линк Александром Кирсановым и автором телеграм-канала «Право имею», юристом Андреем Мочалкиным разбираемся, кого затронут новые правила и как бизнесу, который собирает данные клиентов и сотрудников, обезопасить себя от санкций.

Предыстория: зачем нужен новый закон
Какие данные считаются персональными
Что изменилось: в чём суть нового закона
Как обезопасить себя и бизнес

Предыстория: зачем нужен новый закон

Новый закон требует от всех — от крупных компаний до самозанятых — внимательной работы с данными: сбора, хранения и любых других действий. Ужесточённые требования — это необходимость, которая защищает данные россиян от утечек, в том числе в руки мошенников. 

По данным Роскомнадзора, в 2024 году произошло 135 крупных утечек: в интернет попали имена, телефоны, паспорта и другая личная информация. Всего 710 миллионов записей. 

Теперь за сбором и хранением данных в России будут следить ещё строже: нарушителей ждут серьёзные штрафы, а в некоторых случаях даже уголовная ответственность. 

Закон, предусматривающий более строгие меры наказания за нарушения в сфере защиты персональных данных, Президент России Владимир Путин подписал в ноябре 2024 года. 30 мая 2025 года закон начал действовать. 

Какие данные считаются персональными

По закону персональные данные (ПДн) — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Юристы выделяют четыре типа персональных данных:

  • общие — это имя и фамилия, адрес электронной почты, дата и место рождения, номер телефона
  • специальные — это, например, национальность и информация о судимостях
  • биометрические — это любые физиологические данные человека, такие как отпечатки пальцев, рост, цвет глаз, голос, фотография 
  • иные — вся остальная информация, которая не входит в другие виды ПДн, например история покупок.

«В файлах-cookie тоже содержатся персональные данные тех, кто посещает сайт. Это может быть IP-адрес, логин, данные поведения на странице (клики по ссылкам, время на сайте, показатели отказа). Поэтому владельцы сайтов тоже могут быть операторами персональных данных», — поясняет юрист Андрей Мочалкин. 

Как неприступная крепость: 9 простых правил, которые помогут защитить браузер и уберечь свои данные
Кибербезопасность
Объясняем
Цифровой этикет

Что изменилось: в чём суть нового закона

До 30 мая 2025 года обработка персональных данных без уведомления РКН тоже наказывалась, но нарушителю грозил небольшой штраф — 5 000 рублей. Теперь в силу вступили поправки к закону № 420-ФЗ, которые вводят новые штрафы (в десятки раз больше прежних) и строгие требования к операторам персональных данных. 

Операторы персональных данных (ОПДн) — это не только большие компании, государственные и муниципальные органы, но и обычные люди (то есть физлица, в том числе самозанятые и ИП), которые обрабатывают данные сотрудников и клиентов. Например:

  • индивидуальный предприниматель, который в CRM-системе собирает адреса и список предыдущих заказов клиентов
  • компания, которая ведёт таблицу с номерами телефонов подрядчиков
  • блогер, который делает рассылку со сводкой самых интересных за месяц постов
  • самозанятый фотограф, который добавляет на сайт форму обратной связи («Оставьте ссылку на свой профиль, и мы обязательно вам напишем»).

«Все эти организации и физлица считаются ОПДн. Им необходимо быть включёнными в реестр операторов персональных данных. Чтобы попасть в реестр, нужно ещё до начала обработки ПДн направить уведомление в Роскомнадзор», — объясняет юрист Андрей Мочалкин. 

За что можно получить штраф

В первую очередь — за сбор данных без регистрации в РКН. Любое использование, в том числе хранение и сбор персональных данных, без согласия гражданина незаконно. Это правило установлено законом № 152-ФЗ (статья 9)

Кроме этого, бизнесу важно учитывать, что незаконно:

  • передавать данные за границу без одобрения РКН
  • скрывать от РКН информацию об изменениях сведений о себе, сборе данных или утечке данных в течение 24 часов после происшествия.

Ситуация: 20 мая ИП Горелкина вышла замуж, сменила фамилию и стала ИП Ковалёва. По закону (п. 7 ст. 22 152-ФЗ) уведомить РКН об изменении сведений о себе предпринимательница должна не позднее 15 июня. Иначе, если просрочить обращение в Роскомнадзор, ИП получит штраф — от 30 до 50 тыс. рублей. 

Подать уведомление об изменении сведений можно на портале операторов ПДн Роскомнадзора.

Кто будет нести ответственность

Штрафовать за нарушение закона могут физических и должностных лиц, организации и их сотрудников. Санкции распространяются и на компании, которым оператор передал данные, если те нарушили порядок их обработки.

Таким образом, закон затрагивает: 

  • всех, кто обрабатывает данные (крупный бизнес, ИП, самозанятых, государственные органы)
  • владельцев сайтов с формой обратной связи или cookie-файлами.

Важно: сбор данных — это первый этап их обработки. Даже если владелец сайта собрал данные и на следующий день их удалил, это всё равно будет считаться обработкой персональных данных.

Какие будут штрафы

Штрафы за нарушения в 2025 году увеличились в разы. Ниже — таблицы с размерами взысканий и другими мерами, которые грозят за нарушения закона.

Ситуация: интернет-магазин хранит данные о постоянных клиентах в CRM-системе. У всех сотрудников есть доступ к адресам доставки, номерам телефонов, паспортным данным. Компания не успела зарегистрироваться в РКН как оператор персональных данных, но продолжает держать сведения в облаке. Такие действия — нарушение закона. Компании будет грозить штраф за непредоставление в РКН уведомления о начале обработки ПДн в размере 100–300 тыс. рублей. 

Ситуация: консалтинговая компания вела учёт клиентов в онлайн-таблице. В результате кибератаки все документы компании и номера телефонов 5 000 человек попали в руки злоумышленников. Сотрудники компании быстро отреагировали на происшествие, сообщили об утечке данных в РКН в течение 24 часов после инцидента, уведомили о возможных причинах и вреде людям, сведения о ком утекли в сеть. Так консалтинговая компания избежала штрафа за нарушение обязанности уведомить об утечке персональных данных (от 1 до 3 млн рублей). Однако штрафа за саму утечку персональных данных — неправомерную передачу ПДн третьим лицам — не избежать, можно лишь снизить его, показав добросовестное выполнение условий по профилактике и снижению риска утечки.

Также штрафы возможны за утечку биометрических и специальных данных.

С 2025 года за некоторые нарушения грозит даже уголовная ответственность. Регулируется степень наказания статьёй 272 УК РФ

Противоправное деяние
Ответственность
Использование и передача личной информации, полученной незаконным путём
Штраф до 300 тыс. рублей, либо до 4 лет лишения свободы, либо принудительные работы на аналогичный срок
Использование и передача специальной или биометрической информации, полученной незаконным путём
Штраф до 700 тыс. рублей (или равный доходу за период до 2 лет), запрет занимать некоторые должности или заниматься определённой деятельностью, либо лишение свободы до 5 лет, или принудительные работы на аналогичный срок
Незаконное использование и передача личной информации из корыстных побуждений группой лиц по предварительному сговору с причинением крупного ущерба или с использованием служебного положения
Штраф до 1 млн рублей, либо принудительные работы до 5 лет, либо лишение свободы до 6 лет со штрафом до 1 млн рублей
Те же преступления, сопряжённые с трансграничной передачей данных
Лишение свободы до 8 лет со штрафом до 2 млн рублей или в размере дохода за 3 года и с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 4 лет
Преступления, предусмотренные предыдущими частями, совершённые организованной группой лиц или повлёкшие тяжкие последствия
Лишение свободы до 10 лет и штраф до 3 млн руб. или в размере дохода за период до 4 лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 5 лет
Создание и поддержание работы сайтов, которые предназначены для хранения и передачи незаконно полученных данных
Штраф до 700 тыс. рублей, либо лишение свободы до 5 лет с таким же штрафом, либо принудительные работы с аналогичным штрафом

Как обезопасить себя и бизнес

В первую очередь уделить внимание сайту, так как РКН автоматически находит нарушения в интернете. Чтобы не получить штраф, юрист Андрей Мочалкин рекомендует следующий алгоритм действий.

Шаг 1. Подайте уведомление в Роскомнадзор

Сделать это нужно до того, как начнётся обработка данных. Заполнить форму можно на сайте РКН, через «Госуслуги» или лично

Важно: если ОПДн уже подал такое уведомление до 2022 года, сделать это нужно заново — новая форма утверждена Приказом Роскомнадзора от 28.10.2022 № 180.

Новый оператор данных появится в реестре в течение 30 дней. После этого у компании или физлица есть законное право работать с ПДн. 

Есть несколько исключений, когда подавать уведомление в РКН не нужно. Всего три ситуации. Если данные: 

  • находятся в государственной информационной системе, созданной для защиты безопасности и порядка
  • хранятся в офлайне, на бумаге или в блокноте
  • обрабатываются в целях безопасности в сфере транспорта (приказ Минтранса РФ от 02.05.2024 № 162).

Шаг 2. Добавьте на сайт политику обработки персональных данных

Это онлайн-документ, который разъясняет, как владельцы сайта используют сведения о посетителях и обеспечивают безопасность их данных. 

В документе должны быть: 

  • перечень собираемых данных
  • цели обработки и сроки хранения данных
  • информация о передаче данных третьим лицам. 

Составить политику обработки ПДн можно в онлайн-конструкторе

Шаг 3. Получите согласие пользователей на обработку персональных данных

Согласие должно быть добровольным, содержать фамилию, имя и отчество или название оператора персональных данных, цель обработки, перечень данных и срок действия. Документ нужно разместить на сайте — так, чтобы каждый желающий мог с ним ознакомиться. 

Дать согласие или принять условия иного документа, являющегося основанием для обработки персональных данных, субъект должен до начала обработки его ПДн. Не забудьте также донести до субъекта условия обработки его персональных данных, ознакомив с «Политикой обработки персональных данных» («Политикой конфиденциальности» и т.п.).

Шаг 4. Защитите данные

Необходимо использовать защищённые серверы, постоянно обновлять системы защиты, в том числе пользоваться антивирусом и менять пароли. 

Шаг 5. Следите за утечками данных

На то, чтобы сообщить об утечке в Роскомнадзор, у ОПДн есть 24 часа. Это обязательный этап работы с инцидентом. 

Больше времени даётся на то, чтобы провести внутреннее расследование о причинах случившейся утечки. Информацию о том, кто виноват в том, что данные утекли в сеть, оператор обязан передать в РКН в течение 72 часов после завершения расследования.

Шаг 6. Разместите баннер с предупреждением о сборе cookie

На сайт нужно добавить плашку с предложением принять, отклонить или настроить cookie-файлы. Кроме этого, на сайте должна быть информация с полным наименование организации, ИНН, ОКВЭД (общероссийский классификатор видов экономической деятельности), юридическим адресом, контактами для связи и механизмом отзыва согласия на обработку персональных данных. 

«Лучше всего назначить сотрудника, который будет следить за данными на сайте. Не помешает провести обучение и дополнительный аудит на соответствие сайта требованиям Федерального закона от 27.07.2006 № 152-ФЗ „О персональных данных“», — рекомендует юрист Андрей Мочалкин. 

Шаг 7. Перейдите на российское ПО

С 1 июля 2025 года любые действия с персональными данными должны будут производиться исключительно на территории России. То есть, например, пользоваться Google Analytics без разрешения РКН будет незаконно.

Дело в том, что РКН приравнивает сбор статистики в Google Analytics к трансграничной передаче данных. Это значит, что анализировать посетителей сайта с помощью этого сервиса можно будет только после разрешения Роскомнадзора. Выход из ситуации: собирать данные с помощью «Яндекс Метрики». Но и в этом случае владелец сайта должен регистрироваться в качестве ОПДн.

Согласно 152-ФЗ, серверы с персональными данными россиян должны находиться в России. Чтобы не нарушить закон, при установке ПО важно проверять, работает ли предоставляемый провайдером сервис на базе российского программного обеспечения. К такому ПО, включённому в Единый реестр российских программ для ЭВМ и баз данных, относится платформа для коммуникаций, обучения и совместной работы МТС Линк

«Технологические возможности МТС Линк позволяют снизить риски утечки данных. Сервисы соответствуют 149-ФЗ, 152-ФЗ и требованиям Роскомнадзора в вопросах защиты персональных данных», — рекомендует руководитель юридического отдела МТС Линк Александр Кирсанов.

Александр Кирсанов напоминает, что госучреждениям в соответствии с требованиями по импортозамещению ПО нельзя также пользоваться иностранными мессенджерами

«Пользуясь WhatsApp*, Discord, Snapchat, Threema, Viber, WeChat, Telegram или Microsoft Teams, бизнес рискует потерять данные. Использовать иностранные мессенджеры нельзя государственным и муниципальным предприятиям, органам власти, банкам, некредитным финансовым организациям, профессиональным участникам рынка ценных бумаг. Они не имеют права пересылать платёжные документы, передавать персональные данные бизнеса, оказывать госуслуги через них», — поясняет Александр Кирсанов.

Случаи привлечения к ответственности по запрету использования иностранных мессенджеров уже появляются. В частности, один из российских банков был признан виновным по статье 13.11.2 КоАП и оштрафован на 200 тыс. рублей. 

«Банк проигнорировал запрет, действующий с 2023 года, и продолжал использовать иностранный мессенджер для рабочих переговоров и обмена данными клиентов. За что был оштрафован на 200 тыс. рублей», — добавляет Александр Кирсанов.

*принадлежит корпорации Meta, признанной в РФ экстремистской. 

Возможно, вам будут интересны другие статьи про защиту данных в бизнесе:

Безопасность, миграция, импортозамещение: как компании в России переходят на отечественное ПО

Как технология единого входа SSO защищает доступ к корпоративным ресурсам и упрощает командную работу

Что такое API: как работает и почему важен для бизнеса

20 июн 2025
10 мин
ВКС
Кибербезопасность
Объясняем

Читайте также

Технологии
Тест по кибербезопасности: проверьте, сможете ли вы обойти интернет-ловушки
11 февраля 2025
Технологии
9 правил интернет-безопасности для тех, кто работает из дома
02 октября 2024
Технологии
Приватность под угрозой: что такое спам и как с ним бороться
20 февраля 2025
Новости
МТС Линк запускает серверную версию UC-приложения
25 марта 2025
Технологии
Как сыр в мышеловке: почему подключение к бесплатному Wi-Fi может закончиться потерей данных
25 октября 2024

Подпишитесь на рассылку МТС Линк Медиа

Каждую пятницу присылаем самые интересные статьи об эффективной работе и коммуникациях в онлайне на почту