Закон о персональных данных 152-ФЗ с 30.05.2025: Последствия для сайтов и бизнеса

Новые штрафы за персональные данные с 30 мая 2025: как бизнесу и блогерам избежать миллионов убытков

С 30 мая 2025 года в России вступают в силу серьёзные поправки в статью 13.11 Кодекса об административных правонарушениях (КоАП РФ), внесенные Федеральным законом от 12.03.2024 № 58-ФЗ. Эти изменения кардинально ужесточают ответственность за нарушения при обработке персональных данных (ПДн). Если раньше о подаче уведомления в Роскомнадзор многие операторы даже не задумывались, то теперь штрафы, достигающие десятков миллионов рублей, превращают соблюдение законодательства из формальности в насущную необходимость.

Особенно остро это коснется малого и среднего бизнеса, онлайн-магазинов, медицинских клиник, различных сервисов, образовательных проектов, а также блогеров с аудиторией от 10 000 подписчиков.

Как это работало раньше (и почему так больше нельзя)?

• Сбор данных: Многие собирали данные клиентов через формы на сайте, лендинги, в соцсетях – и в лучшем случае ограничивались формальной политикой конфиденциальности.

• Уведомление Роскомнадзора: Подача уведомления о начале обработки ПДн часто игнорировалась или считалась факультативной (хотя это не так).

• Штрафы: За нарушения они были сравнительно небольшими: для юридических лиц – от 10 000 до 100 000 рублей за большинство составов.

На практике многих это устраивало. Но с 30 мая 2025 года правила игры меняются кардинально.

Ключевые изменения в статье 13.11 КоАП РФ с 30 мая 2025 года

1. Резкое увеличение штрафов за обработку ПДн с нарушением закона:

   • Обработка ПДн без согласия субъекта (когда оно обязательно), либо обработка несовместимая с целями сбора ПДн:

     • Для организаций: от 150 000 до 300 000 руб.

     • При повторном нарушении: от 300 000 до 500 000 руб.

   • Что это значит? Например, вы собрали email для отправки заказа, а потом без отдельного согласия начали слать на него рекламные рассылки.

2. Новая ответственность за неподачу (или несвоевременную подачу) уведомления в Роскомнадзор об обработке ПДн:

   • Для организаций и ИП: от 100 000 до 300 000 руб.

   • Важно: Ранее штраф за неподачу уведомления был минимальным (3000-5000 руб. для юрлиц), теперь это существенная сумма. Исключений, когда уведомление не требуется, становится все меньше.

3. Ответственность за неправомерную передачу (в том числе трансграничную) ПДн:

   • Если передача данных повлекла неправомерный доступ к ним или их распространение: штраф для организаций до 3 000 000 руб. (Эта норма уже существует, но в контексте общего ужесточения ее значимость возрастает).

4. Колоссальные штрафы за утечки (инциденты) персональных данных:

   • При утечке данных от 1 000 до 10 000 субъектов: до 5 000 000 руб. для организаций.

   • При утечке данных от 10 000 до 100 000 субъектов: до 10 000 000 руб. для организаций.

   • При утечке данных более 100 000 субъектов: до 15 000 000 руб. для организаций.

   • Важно: Эти штрафы могут суммироваться с другими, например, за отсутствие необходимых мер защиты.

5. Отдельные штрафы за неуведомление Роскомнадзора об утечке:

   • За невыполнение оператором обязанности по уведомлению Роскомнадзора об инциденте, повлекшем неправомерную передачу (предоставление, распространение, доступ) ПДн:

     • Для организаций: от 200 000 до 400 000 руб. (Точные суммы по новой редакции стоит перепроверить, но сам факт штрафа за неуведомление об утечке – важен). Примечание: В вашем тексте этого пункта не было, но это важная часть изменений, связанная с утечками.

6. Биометрия и специальные категории ПДн – под особым контролем:

   • За утечку биометрических данных: штраф для организаций до 20 000 000 руб.

   • Обработка специальных категорий ПДн (здоровье, судимость, расовая принадлежность и т.д.) без соблюдения требований также влечет повышенную ответственность.

7. Блогеры и владельцы популярных аккаунтов – теперь тоже операторы ПДн:

   • Владельцы сайтов и страниц в сети "Интернет", чьи ресурсы посещают более 10 000 пользователей в сутки, и которые осуществляют сбор ПДн, обязаны подавать уведомление в Роскомнадзор и соблюдать все требования по обработке и защите ПДн.

   • Что это значит? Если у вас популярный блог, канал, паблик с формой подписки на рассылку, регистрацией на вебинар, сбором данных для розыгрышей – вы оператор ПДн.

Кто под ударом? Чем это грозит вашему бизнесу?

Практически любой бизнес, имеющий сайт, приложение или ведущий деятельность онлайн, является оператором персональных данных. Даже если вы собираете только имена, email и номера телефонов.

• Интернет-магазины: собирают данные для заказов, рассылок.

• Онлайн-сервисы и SaaS-платформы: обрабатывают данные пользователей для предоставления услуг.

• Медицинские клиники и салоны красоты: собирают не только контактные, но и специальные категории ПДн (данные о здоровье).

• Образовательные проекты (онлайн-школы, курсы): данные учеников, слушателей.

• Рекрутинговые агентства и HR-отделы: огромные массивы ПДн соискателей и сотрудников.

• Небольшие кофейни, фитнес-клубы: с программами лояльности, онлайн-бронированием, Wi-Fi с авторизацией.

• Даже лендинг для сбора заявок делает вас оператором.

С мая 2025 года риски возрастают многократно:

• Игнорирование уведомления Роскомнадзора: штраф от 100 000 до 300 000 руб. (для юрлиц и ИП).

• Сбор данных без законного основания или использование "не по назначению": штраф от 150 000 до 300 000 руб. (для юрлиц), при повторном – до 500 000 руб.

• Утечка данных: риск штрафа до 15 млн руб. (для юрлиц), а за биометрию – до 20 млн руб.

• Повторные нарушения: штрафы часто удваиваются или кратно увеличиваются.

• Репутационные потери: информация об утечках и крупных штрафах может стать публичной.

• Внеплановые проверки Роскомнадзора: по жалобе или при выявлении нарушений.

А если вы блогер с 10 000+ подписчиков (и сбором ПДн)?

Для блогеров, чьи площадки (сайты, аккаунты, где они являются администраторами и собирают ПДн) посещают более 10 000 уникальных пользователей в сутки, появляется четкая обязанность подавать уведомление в Роскомнадзор и соблюдать все требования закона "О персональных данных".

Любая форма обратной связи, подписка на новостную рассылку, регистрация на вебинар, сбор данных для отправки гайдов или участия в конкурсах – всё это обработка персональных данных. Даже если вы продаёте только онлайн-курсы или консультации через Telegram, ВКонтакте или Instagram и собираете для этого данные.

Почему нельзя ждать?

1. Закон уже принят и опубликован: обратной силы он не имеет, но времени на подготовку остается не так много.

2. Массовые проверки неизбежны: Роскомнадзор активно развивает системы мониторинга и будет готов применять новые санкции.

3. Легкая мишень: Бизнес с сайтом или аккаунтом, не имеющий опубликованной политики и не подавший уведомление, станет очевидной целью для проверки.

4. Штрафы слишком велики: Особенно для малого и среднего бизнеса, такие суммы могут оказаться фатальными.

5. Комплексная подготовка требует времени: Аудит, разработка документов, внедрение технических мер – это не делается за один день.

Что нужно сделать СЕЙЧАС, чтобы подготовиться?

1. Провести полный аудит процессов обработки ПДн:

   • Какие именно данные вы собираете (ФИО, телефоны, email, адреса, паспортные данные, данные о здоровье, биометрия и т.д.)?

   • Для каких конкретных целей вы их собираете? Цели должны быть законными, конкретными и заранее определенными.

   • На каком основании вы их обрабатываете (согласие, договор, законное требование)?

   • Где и как они хранятся (CRM, таблицы Excel, серверы, облака)? Обеспечена ли их безопасность?

   • Кто имеет к ним доступ внутри компании и извне (сотрудники, подрядчики)?

   • Как долго вы их храните и как уничтожаете по достижении целей?

   • Передаете ли вы данные третьим лицам (сервисы рассылок, аналитики, доставки)? Есть ли с ними поручения на обработку ПДн?

   • Осуществляется ли трансграничная передача данных?

2. Подготовить и внедрить пакет обязательных документов:

   • Политика обработки персональных данных (должна быть опубликована на сайте).

   • Положение об обработке и защите персональных данных (внутренний документ).

   • Согласия на обработку ПДн (для каждой цели – свое, или одно комплексное, но четко структурированное).

   • Согласия на распространение ПДн (если вы публикуете отзывы с фото, ФИО и т.д.).

   • Журнал (реестр) учета обращений субъектов ПДн.

   • Приказы о назначении ответственного за организацию обработки ПДн.

   • Модель угроз безопасности ПДн.

   • План мероприятий по обеспечению безопасности ПДн.

   • Договоры с сотрудниками (обязательство о неразглашении ПДн).

   • Поручения на обработку ПДн с подрядчиками, если они обрабатывают данные по вашему заданию.

3. Подать (или актуализировать) уведомление в Роскомнадзор:

   • Сделать это можно через электронную форму на сайте Роскомнадзора. Убедитесь, что указаны все цели и категории обрабатываемых ПДн.

4. Организовать работу с данными по новым стандартам:

   • Технические меры защиты: антивирусы, межсетевые экраны, шифрование (где применимо), системы контроля доступа, резервное копирование.

   • Организационные меры: обучение сотрудников, разграничение прав доступа, регулярный контроль.

   • Локализация баз данных: Убедитесь, что базы данных с ПДн граждан РФ находятся на территории России.

   • Разработать порядок реагирования на инциденты (утечки): кто, что и в какие сроки должен делать.

5. Назначить ответственного за организацию обработки ПДн: Это может быть сотрудник компании или привлеченный специалист.

Заключение

Новые правила игры с персональными данными – это не очередная "страшилка", а реальность, к которой необходимо серьезно готовиться уже сегодня. Проактивный подход, включающий аудит, разработку документации и внедрение мер защиты, не только поможет избежать огромных штрафов, но и повысит доверие клиентов и партнеров к вашему бизнесу. Не откладывайте эту работу на последний момент – цена бездействия может оказаться слишком высокой.