Обрабатываете данные клиентов или сотрудников? Приведите документы в порядок — штрафы выросли до 500 млн ₽
В 2025 году вступил в силу пакет поправок к 152-ФЗ, впервые за много лет кардинально усиливший требования к операторам персональных данных. Под действие закона теперь подпадают все, кто работает с личной информацией: компании с большими клиентскими базами, ИП без сотрудников и самозанятые, собирающие данные через формы обратной связи на сайте. Масштаб бизнеса значения не имеет — значение имеет сам факт обработки данных.
За нарушение правил — штрафы до 15 млн ₽ за разовую утечку и до 500 млн ₽ за повторную. Роскомнадзор уже направил в суды первые 15 дел, а за 2025 год и первый квартал 2026 года ведомство получило более 100 тысяч жалоб от граждан на нарушения при обработке персональных данных. «АКонтора» приводит документацию в соответствие с законом, сопровождает проверки и защищает интересы операторов в спорах с Роскомнадзором.
Кто обязан соблюдать 152-ФЗ: требования для всех без исключения
Оператор персональных данных — любое лицо (юрлицо, ИП, самозанятый), которое определяет цели и способы обработки данных и осуществляет такую обработку. Статус оператора возникает у любой организации, формирующей клиентские базы, использующей формы обратной связи на сайте, собирающей данные через заявки, у онлайн-сервисов (включая маркетплейсы и интернет-магазины), у всех работодателей, обрабатывающих данные сотрудников.
Ключевые обязанности оператора с учетом новых требований 2025–2026 годов:
- уведомить Роскомнадзор о начале обработки персональных данных (до начала сбора);
- обеспечить локализацию: все данные граждан РФ хранить на серверах в России;
- получить отдельное согласие на обработку (с 1 сентября 2025 года — как самостоятельный документ);
- соблюдать принцип минимизации: собирать только те данные, которые действительно нужны для конкретной цели;
- разместить на сайте политику конфиденциальности;
- назначить ответственного за обработку и утвердить локальные акты.
ИП без сотрудников, принимающий заказы через форму на сайте, — оператор, если собирает ФИО, телефон, адрес доставки. Самозанятый, предлагающий онлайн-консультации и запрашивающий у клиентов контактные данные, — тоже оператор. Исключений нет.
Изменения 2025–2026, которые нельзя игнорировать
Обязательная регистрация в реестре операторов Роскомнадзора
С 30 мая 2025 года подача уведомления о начале обработки персональных данных перестала быть формальностью. Неподача или несвоевременная подача влечет штраф до 300 000 ₽. Подать уведомление обязательно до начала обработки. Самые частые ошибки при заполнении: неверные наименования (не совпадают с ЕГРЮЛ), неполные адреса, использование фраз «и др.», «и т.п.», отсутствие исполнителя.
Локализация данных: хранение только в России
С 1 июля 2025 года все персональные данные граждан РФ должны храниться и обрабатываться на серверах, расположенных на территории России. Использование иностранных облачных платформ (Google Drive, Dropbox, зарубежных CRM) теперь связано с прямыми рисками нарушений. Исключений для малого бизнеса нет.
Отдельное согласие на обработку персональных данных
С 1 сентября 2025 года согласие должно оформляться как самостоятельный документ, а не как пункт в договоре или пользовательском соглашении.
Обязательные реквизиты нового согласия:
- наименование и адрес оператора, ИНН, ОГРН;
- ФИО, паспортные данные, контакты субъекта;
- цели обработки (конкретные, без общих формулировок);
- перечень собираемых данных (ФИО, паспорт, СНИЛС, адрес, телефон, e-mail);
- перечень действий с данными (сбор, запись, хранение, уточнение, извлечение, использование, обезличивание, блокирование, удаление, уничтожение);
- срок действия согласия и порядок отзыва;
- указание на передачу данных третьим лицам (при наличии);
- собственноручная подпись (или ЭЦП для электронных документов).
Изменения применяются ко всем согласиям, оформленным после 1 сентября 2025 года. Ранее полученные согласия не требуют замены, если остаются действительными.
Обезличивание персональных данных по новым правилам
С 1 сентября 2025 года вступил в силу приказ Роскомнадзора № 140, утвердивший новые требования к обезличиванию персональных данных. Одновременно постановление Правительства РФ № 1154 установило единые правила и методы обезличивания, обязательные для всех операторов. Если вы используете обезличенные данные для статистики, маркетинга или передачи третьим лицам, порядок теперь жестко регламентирован.
Требования к сайтам: публичная оферта и куки
Сайты, собирающие персональные данные, обязаны разместить в открытом доступе политику конфиденциальности и форму согласия на обработку. Если на сайте используются системы аналитики (включая Google Analytics, Яндекс.Метрику), требуется предварительное уведомление Роскомнадзора. Отсутствие куки-баннера или иного основания обработки куки может быть квалифицировано как нарушение (к счастью, суды иногда отказывают в привлечении к ответственности по малозначительности, у бизнеса еще есть время исправиться).
Передача персональных данных и утечки: запреты и штрафы
Передача через мессенджеры запрещена
С июля 2025 года передача личной информации разрешена исключительно через платформы, обеспечивающие законный уровень защиты. Мессенджеры (WhatsApp, Telegram, Viber) этим требованиям не отвечают. Каждое сообщение с персональными данными, отправленное через незащищенный канал, — нарушение с потенциальным штрафом.
За отсутствие согласия на обработку до 700 000 ₽. За неправильное хранение данных до 6 млн ₽. За неопубликование политики конфиденциальности до 60 000 ₽.
Что делать при проверке Роскомнадзора и как защитить права
Контрольные полномочия расширены: проверки осуществляются Роскомнадзором и силовыми ведомствами, включая ФСБ. Проверяют документы, реальные процессы обработки, системы защиты, соблюдение локализации.
Алгоритм защиты от «АКонторы»:
- Анализ ситуации: оцениваем законность оснований для проверки, готовимся к контролю.
- Представление интересов: юрист присутствует при осмотре, фиксирует нарушения процедуры, дает пояснения.
- Обжалование предписаний и постановлений: при незаконных требованиях — в вышестоящий орган или суд.
- Избежание включения в реестр: минимизация рисков и досудебное урегулирование.
Порядок отзыва согласия на обработку персональных данных
Субъект персональных данных вправе в любой момент отозвать согласие на обработку, направив оператору письменное уведомление. После получения такого уведомления оператор обязан прекратить обработку и уничтожить персональные данные (в течение 30 дней — если нет иных законных оснований для продолжения обработки). За отказ удалить данные — административная ответственность по ст. 13.11 КоАП РФ.
Почему «АКонтора» для защиты персональных данных
- Специализация на 152-ФЗ и смежных нормативных актах. Юристы отслеживают все изменения: реестры, формы согласий, позиции РКН и судебную практику.
- Бесплатный первичный аудит. Присылайте ссылку на сайт и описание обработки данных — в течение 2 рабочих дней получите перечень критических нарушений.
- Фиксированная стоимость за этап. Комплексный аудит требований — от 30 000 ₽. Подготовка пакета документов под ключ (уведомление, политика, согласия, назначение ответственного) — от 40 000 ₽. Сопровождение проверки РКН — от 60 000 ₽.
- Предотвращение штрафов. Устранение нарушений до того, как к вам придут с проверкой, — всегда дешевле, чем оплата штрафа до 500 млн ₽.
Как начать работу
- Свяжитесь с нами любым способом — опишите, как вы обрабатываете персональные данные (клиенты, сотрудники, сайт).
- Получите бесплатную первичную оценку — оператор ли вы, какие документы отсутствуют.
- Заключите договор — фиксированная стоимость, поэтапная оплата, работаем дистанционно по всей России.
Соблюдение 152-ФЗ больше не второстепенная задача. Пакет поправок 2025–2026 годов обязывает всех операторов работать по единым жестким правилам. Нарушения видят и фиксируют — Роскомнадзор уже направил в суды первые 15 дел и получил более 100 тысяч жалоб от граждан. Не дожидайтесь штрафов и проверок. «АКонтора» приведет вашу документацию соответствие закону — без лишних затрат и рисков для бизнеса. Обращайтесь — защитим ваши данные и репутацию.
\ WhatsApp принадлежит компании Meta, деятельность которой признана экстремистской и запрещена на территории РФ.
