Обрабатываете данные клиентов или сотрудников? Приведите документы в порядок — штрафы выросли до 500 млн ₽

В 2025 году вступил в силу пакет поправок к 152-ФЗ, впервые за много лет кардинально усиливший требования к операторам персональных данных. Под действие закона теперь подпадают все, кто работает с личной информацией: компании с большими клиентскими базами, ИП без сотрудников и самозанятые, собирающие данные через формы обратной связи на сайте. Масштаб бизнеса значения не имеет — значение имеет сам факт обработки данных.

За нарушение правил — штрафы до 15 млн ₽ за разовую утечку и до 500 млн ₽ за повторную. Роскомнадзор уже направил в суды первые 15 дел, а за 2025 год и первый квартал 2026 года ведомство получило более 100 тысяч жалоб от граждан на нарушения при обработке персональных данных. «АКонтора» приводит документацию в соответствие с законом, сопровождает проверки и защищает интересы операторов в спорах с Роскомнадзором.

Кто обязан соблюдать 152-ФЗ: требования для всех без исключения

Оператор персональных данных — любое лицо (юрлицо, ИП, самозанятый), которое определяет цели и способы обработки данных и осуществляет такую обработку. Статус оператора возникает у любой организации, формирующей клиентские базы, использующей формы обратной связи на сайте, собирающей данные через заявки, у онлайн-сервисов (включая маркетплейсы и интернет-магазины), у всех работодателей, обрабатывающих данные сотрудников.

Ключевые обязанности оператора с учетом новых требований 2025–2026 годов:

  • уведомить Роскомнадзор о начале обработки персональных данных (до начала сбора);
  • обеспечить локализацию: все данные граждан РФ хранить на серверах в России;
  • получить отдельное согласие на обработку (с 1 сентября 2025 года — как самостоятельный документ);
  • соблюдать принцип минимизации: собирать только те данные, которые действительно нужны для конкретной цели;
  • разместить на сайте политику конфиденциальности;
  • назначить ответственного за обработку и утвердить локальные акты.

ИП без сотрудников, принимающий заказы через форму на сайте, — оператор, если собирает ФИО, телефон, адрес доставки. Самозанятый, предлагающий онлайн-консультации и запрашивающий у клиентов контактные данные, — тоже оператор. Исключений нет.

Изменения 2025–2026, которые нельзя игнорировать

Обязательная регистрация в реестре операторов Роскомнадзора

С 30 мая 2025 года подача уведомления о начале обработки персональных данных перестала быть формальностью. Неподача или несвоевременная подача влечет штраф до 300 000 ₽. Подать уведомление обязательно до начала обработки. Самые частые ошибки при заполнении: неверные наименования (не совпадают с ЕГРЮЛ), неполные адреса, использование фраз «и др.», «и т.п.», отсутствие исполнителя.

Локализация данных: хранение только в России

С 1 июля 2025 года все персональные данные граждан РФ должны храниться и обрабатываться на серверах, расположенных на территории России. Использование иностранных облачных платформ (Google Drive, Dropbox, зарубежных CRM) теперь связано с прямыми рисками нарушений. Исключений для малого бизнеса нет.

Отдельное согласие на обработку персональных данных

С 1 сентября 2025 года согласие должно оформляться как самостоятельный документ, а не как пункт в договоре или пользовательском соглашении.

Обязательные реквизиты нового согласия:

  • наименование и адрес оператора, ИНН, ОГРН;
  • ФИО, паспортные данные, контакты субъекта;
  • цели обработки (конкретные, без общих формулировок);
  • перечень собираемых данных (ФИО, паспорт, СНИЛС, адрес, телефон, e-mail);
  • перечень действий с данными (сбор, запись, хранение, уточнение, извлечение, использование, обезличивание, блокирование, удаление, уничтожение);
  • срок действия согласия и порядок отзыва;
  • указание на передачу данных третьим лицам (при наличии);
  • собственноручная подпись (или ЭЦП для электронных документов).

Изменения применяются ко всем согласиям, оформленным после 1 сентября 2025 года. Ранее полученные согласия не требуют замены, если остаются действительными.

Обезличивание персональных данных по новым правилам

С 1 сентября 2025 года вступил в силу приказ Роскомнадзора № 140, утвердивший новые требования к обезличиванию персональных данных. Одновременно постановление Правительства РФ № 1154 установило единые правила и методы обезличивания, обязательные для всех операторов. Если вы используете обезличенные данные для статистики, маркетинга или передачи третьим лицам, порядок теперь жестко регламентирован.

Требования к сайтам: публичная оферта и куки

Сайты, собирающие персональные данные, обязаны разместить в открытом доступе политику конфиденциальности и форму согласия на обработку. Если на сайте используются системы аналитики (включая Google Analytics, Яндекс.Метрику), требуется предварительное уведомление Роскомнадзора. Отсутствие куки-баннера или иного основания обработки куки может быть квалифицировано как нарушение (к счастью, суды иногда отказывают в привлечении к ответственности по малозначительности, у бизнеса еще есть время исправиться).

Передача персональных данных и утечки: запреты и штрафы

Передача через мессенджеры запрещена

С июля 2025 года передача личной информации разрешена исключительно через платформы, обеспечивающие законный уровень защиты. Мессенджеры (WhatsApp, Telegram, Viber) этим требованиям не отвечают. Каждое сообщение с персональными данными, отправленное через незащищенный канал, — нарушение с потенциальным штрафом.

За отсутствие согласия на обработку до 700 000 ₽. За неправильное хранение данных до 6 млн ₽. За неопубликование политики конфиденциальности до 60 000 ₽.

Что делать при проверке Роскомнадзора и как защитить права

Контрольные полномочия расширены: проверки осуществляются Роскомнадзором и силовыми ведомствами, включая ФСБ. Проверяют документы, реальные процессы обработки, системы защиты, соблюдение локализации.

Алгоритм защиты от «АКонторы»:

  • Анализ ситуации: оцениваем законность оснований для проверки, готовимся к контролю.
  • Представление интересов: юрист присутствует при осмотре, фиксирует нарушения процедуры, дает пояснения.
  • Обжалование предписаний и постановлений: при незаконных требованиях — в вышестоящий орган или суд.
  • Избежание включения в реестр: минимизация рисков и досудебное урегулирование.

Порядок отзыва согласия на обработку персональных данных

Субъект персональных данных вправе в любой момент отозвать согласие на обработку, направив оператору письменное уведомление. После получения такого уведомления оператор обязан прекратить обработку и уничтожить персональные данные (в течение 30 дней — если нет иных законных оснований для продолжения обработки). За отказ удалить данные — административная ответственность по ст. 13.11 КоАП РФ.

Почему «АКонтора» для защиты персональных данных

  • Специализация на 152-ФЗ и смежных нормативных актах. Юристы отслеживают все изменения: реестры, формы согласий, позиции РКН и судебную практику.
  • Бесплатный первичный аудит. Присылайте ссылку на сайт и описание обработки данных — в течение 2 рабочих дней получите перечень критических нарушений.
  • Фиксированная стоимость за этап. Комплексный аудит требований — от 30 000 ₽. Подготовка пакета документов под ключ (уведомление, политика, согласия, назначение ответственного) — от 40 000 ₽. Сопровождение проверки РКН — от 60 000 ₽.
  • Предотвращение штрафов. Устранение нарушений до того, как к вам придут с проверкой, — всегда дешевле, чем оплата штрафа до 500 млн ₽.

Как начать работу

  1. Свяжитесь с нами любым способом — опишите, как вы обрабатываете персональные данные (клиенты, сотрудники, сайт).
  2. Получите бесплатную первичную оценку — оператор ли вы, какие документы отсутствуют.
  3. Заключите договор — фиксированная стоимость, поэтапная оплата, работаем дистанционно по всей России.

Соблюдение 152-ФЗ больше не второстепенная задача. Пакет поправок 2025–2026 годов обязывает всех операторов работать по единым жестким правилам. Нарушения видят и фиксируют — Роскомнадзор уже направил в суды первые 15 дел и получил более 100 тысяч жалоб от граждан. Не дожидайтесь штрафов и проверок. «АКонтора» приведет вашу документацию соответствие закону — без лишних затрат и рисков для бизнеса. Обращайтесь — защитим ваши данные и репутацию.

\ WhatsApp принадлежит компании Meta, деятельность которой признана экстремистской и запрещена на территории РФ.