С сегодняшнего дня бизнесу в России придется куда внимательнее следить за персональными данными. Старые штрафы выросли в разы, появились новые, в том числе оборотные. Это самое масштабное ужесточение закона в этой сфере за последние годы.

Под удар попадают не только ИТ-гиганты. Речь о каждом предпринимателе, кто работает с физлицами, — от офлайн-продавцов до рекламных агентств. Даже если разок отправили клиенту SMS или запросили геолокацию — вы уже в зоне риска.

Кому какие штрафы грозят и как их избежать, SETTERS Media разобралось вместе с юристами:

• Татьяной Чемидовой, адвокатом Московской коллегии адвокатов «Прилепская и партнеры»;
  ‍
• Александрой Череминой, бизнес-юристом адвокатского бюро «Гриц и партнеры».
  ‍

Кому стоит беспокоиться

Любому бизнесу, который:

• собирает данные через сайт, приложение, формы или даже устно;
  ‍
• хранит резюме, анкеты, списки клиентов, а также фото, видео или аудио, касающиеся их личности;
  ‍
• отправляет пуши, имейлы, SMS и другие рассылки;
  ‍
• собирает cookie-файлы;
  ‍
• использует таргетированную рекламу и ретаргетинг;
  ‍
• работает с подрядчиками с доступом к персональным данным;
  ‍
• хранит данные в иностранных облаках или передает их через зарубежные сервисы.
  ‍

Неважно, оформлены вы как компания, ИП или самозанятый, — штрафы применяются даже к физлицам.

Что именно изменилось в законе

Обновилось несколько статей КоАП РФ. Изменения вступили в силу с 30 мая 2025 года — ниже самое важное.

1. По уже существующим статьям выросли штрафы — некоторые в десять раз

За незаконный сбор персональных данных (ч. 1 ст. 13.11 КоАП РФ) теперь грозит:

• физлицам (к ним относятся и самозанятые физлица) — от 10 тыс. до 15 тыс. руб.;
  ‍
• должностным лицам (под ними понимаются сотрудники госорганов, муниципалитетов или НКО) — от 50 тыс. до 100 тыс. руб.;
  ‍
• организациям (к ним относятся и ИП, в том числе самозанятые ИП) — от 150 тыс. до 300 тыс. руб.
  ‍

Нарушите снова — и суммы удвоятся:

• физлица заплатят 15–30 тыс. руб.;
  ‍
• должностные лица — 100–200 тыс. руб.;
  ‍
• организации — 300–500 тыс. руб.
  ‍

Для сравнения: раньше с физлиц не брали больше 5 тыс. руб., а штрафы для юрлиц стартовали с 15 тыс. руб.

2. Появились новые статьи — сразу с высокими штрафами

В КоАП добавили несколько статей:

• ст. 13.11, ч. 10: не уведомите вовремя Роскомнадзор об обработке данных — штраф для компаний от 100 тыс. до 300 тыс. руб.;
  ‍
• ст. 13.11, ч. 11: не уведомите вовремя Роскомнадзор об утечке — от 1 млн до 3 млн руб.;
  ‍
• ст. 13.11, ч. 12–14: допустите утечку — от 3 млн до 15 млн руб., за повторные нарушения — до 3% годовой выручки;
  ‍
• ст. 13.11, ч. 16: допустите утечку специальных категорий данных (то есть самых чувствительных вроде состояния здоровья, национальной принадлежности или политических взглядов) — от 10 млн до 15 млн руб.;
  ‍
• ст. 13.11, ч. 17-18: допустите утечку биометрических данных — от 15 млн до 20 млн руб., за повторные нарушения — до 3% годовой выручки.
  ‍

Наказание по этим статьям грозит не только бизнесу — прописаны суммы и для «физиков», и для должностных лиц.

Важно: штрафы не заменяют друг друга — они суммируются. Например, если вы не связались с Роскомнадзором, забыли взять согласие на рассылку и допустили утечку, это три отдельных нарушения с тремя штрафами.

3. Биометрию теперь жестче контролируют

За работу с биометрией — лицами, голосами, отпечатками пальцев и другими уникальными данными — ввели отдельные штрафы в статьях 13.11.3 и 14.8, ч. 8, КоАП РФ.

Наказание грозит за:

• нарушение правил обработки;
  ‍
• недостаточную защиту;
  ‍
• работу без специальной аккредитации;
  ‍
• и, самое важное, за отказ в обслуживании, если клиент не хочет сдавать биометрию.
  ‍

Нарушите что-то из перечисленного выше — приготовьтесь платить от 200 тыс. до 2 млн руб. (для юрлиц). Штрафы за утечку биометрии еще страшнее: как писали выше, организациям придется отдать от 15 млн до 20 млн руб., за повторные нарушения могут наложить оборотные штрафы.

4. Никаких больше скидок

Раньше давалось 20 дней, чтобы оплатить штраф со скидкой 50%. С 30 мая — уже нет, если речь про персональные данные. Это прописано в ч. 1.3 ст. 32.2 КоАП РФ.

Почему все это важно

Риски больше, чем когда-либо. Нарушите сразу по нескольким пунктам — получите десятки миллионов штрафов, блокировку сайта и риск уголовного дела. И неважно, кто вы — ИП-одиночка или корпорация.

Проверки внезапны. Если Роскомнадзор планирует визит, то предупредит за пять рабочих дней. Но могут назначить и внеплановую проверку: достаточно жалобы на спам. Впрочем, нередко проверка проходит удаленно: запрос на документы приходит по почте или через «Госуслуги».

Иностранные сервисы — под особенным прицелом. Многие по-прежнему пользуются Google Forms, Notion, Zoom, Dropbox и другими зарубежными платформами. Регулятор может счесть это трансграничной передачей персональных данных — именно это теперь один из главных поводов для внеплановой проверки. Особенно если работаете с детьми, биометрией и российскими гражданами.

Требование хранить и обрабатывать персональные данные россиян в России действует уже давно — с 2015 года. Тогда в закон о персональных данных добавили норму о локализации: сначала данные должны обрабатываться «дома», и только потом — при необходимости — в других странах.

Однако с 1 июля отношение к локализации станет намного строже: используете иностранные облака — потребуют уведомить Роскомнадзор, показать схему ИТ-инфраструктуры с подтверждающими документами. Не сделаете — получите штраф до 6 млн руб. (при повторе — до 18 млн руб.), видно из ч. 7-8 ст. 13.11 КоАП РФ.

Скоро придется делиться данными с государством. С 1 сентября 2025 года Минцифры сможет запрашивать у бизнеса обезличенные персональные данные для единой госбазы. Пока штрафов за отказ нет, но их обещают уже во втором полугодии. Лучше привести данные в порядок заранее.

Что проверить бизнесу, чтобы не попасть под штрафы

1. Подготовили все документы?

• Политика конфиденциальности (должна быть на сайте или в приложении, легко находиться и быть понятной).
  ‍
• Предупреждение про cookies (должно появляться при первом заходе на сайт).
  ‍
• Согласие на обработку персональных данных.
  ‍
• Согласие на рекламу (не путать с согласием на обработку!).
  ‍
• Согласие от сотрудников и соискателей (на обработку их данных).
  ‍
• Приказ о назначении ответственного за работу с персональными данными.
  ‍
• Инструкция для ответственного (в документе должно быть четко написано, что именно он должен делать).
  ‍
• Внутренние правила по работе с данными (как именно вы собираете, храните, защищаете и удаляете данные).
  ‍

Все документы должны быть актуальными, прозрачными, читабельными и доступными по первому запросу Роскомнадзора.

2. Сохраняете доказательства согласия?

Клиент должен явно согласиться (или отказаться) по каждому пункту: отдельные чекбоксы, галочки, кнопки или бумажные подписи — для обработки персональных данных, получения рекламы и cookies. Главное — не заполнять такие чекбоксы автоматически, фиксировать дату и способ согласия, сохранять логи.

3. Настроили отписки?

Кнопка «отписаться» должна быть на видном месте. Если человек отказался, больше не шлите ему ничего, удалите все его данные.

4. Данные защитили?

Настройте двухфакторную аутентификацию, разграничьте доступ сотрудников, шифруйте данные. Особенно если работаете с биометрией.

5. Лишнее удаляете?

Не храните копии паспортов уволенных сотрудников или фотографии неподошедших кандидатов «на всякий случай».

6. Проверили подрядчиков?

CRM, email-платформа, рекламное агентство — кто из них имеет доступ к персональным данным ваших клиентов? Убедитесь, что контрагенты надежные, что с ними есть договоры.

Если используете зарубежные платформы, важно проверить, где физически хранятся данные.

7. Сказали Роскомнадзору, что собираете данные?

Сделать это можно через «Госуслуги», «Почту России» или сайт Роскомнадзора. Только после внесения в реестр (до 30 дней) сможете официально работать с персональной информацией.

Что, если уже начали работать, но не успели сообщить?

Лучше сделать это прямо сейчас — штраф возможен, но за «молчанку» в итоге накажут сильнее.