Приведем вашу работу
с персональными данными
в соответствие закону №152-ФЗ

Федеральный закон № 152-ФЗ регулирует, как организации и частные лица должны собирать и использовать персональные данные. Его цель — защитить людей от спама, мошенничества и несанкционированной передачи личной информации.

Закон обязывает нас относиться к персональным данным ответственно: не собирать лишнего, не хранить на непроверенных ресурсах и не передавать третьим лицам без согласия.

К персональным данным относится любая информация, которая позволяет идентифицировать человека, например:

• Фамилия, имя, отчество
• Дата рождения
• Номер телефона, email
• Адрес доставки
• Паспортные данные
• Ссылки на соцсети
• Фотографии
• IP-адрес и cookies
• И многое другое

Оператор — это тот, кто получает и обрабатывает персональные данные. Не важно, как и где: через сайт, бота, мессенджер, телефон, Google Таблицу или CRM. Если вы записали номер клиента — вы уже оператор и обрабатываете персональные данные.

Оператором персональных данных является организация любой формы собственности (в том числе НКО), ИП или самозанятый, если в своей деятельности они получают и обрабатывают данные физических лиц.

Когда вы становитесь оператором ПДн:

• Когда пользователь заполняет форму на сайте
• Когда пишет вам в мессенджер, звонит, использует чат-бот или подписывается на рассылку
• Когда вы заключаете договор с клиентом — вы собираете имя, контакты, паспортные данные и др.
• Когда вы нанимаете сотрудника или даже рассматриваете кандидатов — это тоже обработка ПДн

Если данные используются не для бизнеса, а для личных нужд — вы не оператор. Например, если вы сохраняете контакты друзей или родственников для себя — это не подпадает под действие закона

На практике данные чаще всего утекают через сотрудников или незащищенные сервисы. Их могут украсть, продать или просто передать третьим лицам без согласия — и это уже нарушение закона.

Даже если вы сами ничего плохого не делаете, ответственность все равно на вас — как на операторе персональных данных. Вы обязаны контролировать, как и кем эти данные используются.

Вот типичные примеры нарушений:

• Сотрудник передал контакты вашего клиента другой организации, которая платит за «горячие» базы — без согласия клиента. Это нарушение закона, даже если мотив был “благой”.
• Вы передали контакт клиента партнерской компании или контрагенту, полагая, что это «в рамках сотрудничества». Без согласия клиента — это незаконно.
• Кто-то из команды воспользовался базой клиентов в личных целях или ради вознаграждения — а вы об этом даже не знали. Но по закону ответственность несете именно вы.
• Если клиент не давал согласия на передачу данных, он имеет право подать на вас в суд. А если в результате такой передачи он понес ущерб — вы можете понести серьезную ответственность, вплоть до уголовной.

Чтобы соответствовать требованиям Федерального закона № 152-ФЗ, необходимо выстроить системный и документально оформленный подход к обработке персональных данных. Вот ключевые шаги:

1. Используйте только Российские хостинги

С 1 июля 2025 года все данные россиян должны собираться и храниться только на серверах в РФ. Запрещен первичный сбор данных через зарубежные сервисы (например, Google Forms или WhatsApp).

За нарушение требования о локализации — штраф до 6 млн рублей согласно ч.8 статьи 13.11 КоАП

2. Работайте только с проверенными платформами

Используйте сервисы, которые обеспечивают надежную защиту ваших баз данных. Необходимо проверить, были ли у платформы утечки, соответствует ли она требованиям по безопасности обработки ПДн.

3. Не обрабатывайте излишние персональные данные

Собирайте только те данные, которые действительно нужны для выполнения конкретной цели. Например, если вы просто продаете товар с доставкой, не нужно собирать излишнее количество контактных данных.

За сбор избыточных данных — штраф от 100 000 до 300 000 рублей согласно ч.1 статьи 13.11 КоАП

4. Подготовьте юридический комплект документов

Если вы используете сайт, чат-бот, приложение или любой другой цифровой инструмент для сбора ПД, обязательно разместите:

Политику обработки персональных данных
Согласие на обработку ПДн
Уведомление о сборе и хранении cookie-файлов

Если вы используете контакты для маркетинговых активностей, разместите согласие на получение рекламных материалов.

5. Настройте сбор согласия

При заполнении формы на сайте или в приложении пользователь должен иметь возможность выразить согласие на обработку своих персональных данных, самостоятельно поставив галочку в соответствующем чекбоксе. Чекбокс не должен быть отмечен заранее — согласие должно быть осознанным и подтверждаться соответствующим действием пользователя.

6. Включите согласие на обработку в договоры

В любом договоре — с клиентом, сотрудником или контрагентом — должно быть отдельное положение или приложение с согласием на обработку персональных данных.

7. Разработайте внутренние регламенты

Определите, кто из сотрудников работает с ПДн и какую ответственность несет
Утвердите приказы, инструкции и процедуры, которые регулируют внутреннюю обработку данных

Все сотрудники, которые работают с ПДн, должны быть официально ознакомлены с регламентами под подпись — это обязательная часть внутренней безопасности.

8. Уведомите Роскомнадзор о начале обработки ПДн

Прежде чем начать обработку персональных данных, вы обязаны получить статус оператора персональных данных — для этого необходимо уведомить Роскомнадзор, подав большой документ описывающий весь процесс работы вашей организации с персональными данными.

Если вы уже собираете данные клиентов, сотрудников или партнеров, но до сих пор не подали уведомление — важно успеть. Крайний срок — 30 мая 2025 года.

Если уведомили позже, рискуете получить штраф – от 100 000 до 300 000 рублей
Не уведомили вовсе – получите такой же штраф

Возможно ли избежать административного штрафа, если вы подаете уведомление после 30 мая? Да, возможно. Запишитесь на бесплатную консультацию, и мы расскажем, как это сделать правильно.

9. Обновляйте данные в Роскомнадзоре

Если вы изменили объем обрабатываемых данных, начали или прекратили передачу ПДн за границу, перестали обрабатывать данные вообще — во всех случаях необходимо уведомлять об этом РКН.

Используя сервисы вроде Google Docs, Trello, WhatsApp, вы передаете данные за границу — об этом тоже необходимо уведомлять Роскомнадзор.

Cookie-файлы (куки) — это небольшие фрагменты данных, которые сайт сохраняет в браузере пользователя. Они позволяют:

• Запомнить, кто вы (чтобы не авторизовываться на сайтах каждый раз)
• Хранить товары в корзине
• Показывать рекламу, которая «похожа» на ваши интересы
• Собирать статистику посещений

Проблема не в самих cookie-файлах, а в том, какие данные они собирают, как они используются и где хранятся.

Вот что может пойти не так:

• Сайт передает куки на зарубежные аналитические сервисы (например, Google Analytics), и там фиксируется IP-адрес, геолокация — что уже может считаться персональными данными.
• Не все пользователи дают согласие на использование cookies, а сайт их все равно устанавливает — это нарушение закона.
• Если сайт не защищен должным образом, через cookie могут быть похищены данные авторизации, и злоумышленник получит доступ к личному кабинету пользователя.

С 2024 года подход Роскомнадзора к контролю за обработкой персональных данных стал заметно жестче. Сегодня проверки проходят в двух форматах — и охватывают не только крупные компании, но и малый бизнес, ИП и даже самозанятых.

1. Автоматический мониторинг

Роскомнадзор запустил собственную систему автоматической проверки сайтов. Она сканирует интернет-ресурсы и анализирует, не используются ли на сайте иностранные аналитические сервисы, такие как Google Analytics, Facebook Pixel и другие.

Если такие сервисы собирают данные пользователей (IP, поведение, устройства и т. д.), это считается сбором персональных данных за пределами России, а значит — нарушением требования о локализации баз данных (ч.5 статьи 18 закона № 152-ФЗ «О персональных данных»), которое предусматривает наложение штрафа от 1 до 6 миллионов рублей (ч.8 статьи 13.11 КоАП РФ), а при повторном нарушении — от 6 до 18 миллионов рублей (ч.9 статьи 13.11 КоАП РФ).

Если нарушение обнаружено, Роскомнадзор направляет официальный запрос и предостережение с требованием устранить проблему. В дальнейшем возможно проведение полноценной проверки.

2. Плановые и внеплановые проверки

Кроме автоматического мониторинга, РКН проводит и живые проверки — как по плану, так и по обращениям.

Проверка может начаться:

• По жалобе клиента, пользователя или конкурента
• В рамках плановой выборки (особенно если уведомление в РКН не подавалось)
• При выявлении признаков несоблюдения локализации или согласий

Во время проверки могут быть запрошены внутренние документы, договоры, инструкции, настройки сайта и техническая информация о базах данных.

До недавнего времени за нарушение закона 152-ФЗ можно было отделаться предупреждением или небольшим штрафом. Но с 30 мая 2025 года все изменилось — штрафы стали в сотни раз выше, а контроль — гораздо строже.

Не подали уведомление в Роскомнадзор

Если вы начали собирать персональные данные, но не уведомили об этом Роскомнадзор — это прямое нарушение ч.10 статьи 13.11 КоАП.

Штраф:

• от 5 000 до 10 000 рублей для физлиц
• от 30 000 до 50 000 рублей для должностных лиц
• от 100 000 до 300 000 рублей для ИП и организаций

Нарушили требования к защите данных

Если у вас не оформлены документы, не настроены процессы или вы используете ненадежные сервисы, это тоже считается нарушением.

Штраф:

• до 800 000 рублей — для физлиц
• до 2 млн рублей — для должностных лиц
• от 150 000 до 20 млн рублей или до 3% годовой выручки — для организаций

Нарушили требования по локализации

С 1 июля 2025 года все персональные данные россиян должны собираться и храниться только на серверах, расположенных в РФ. Даже временный сбор через зарубежный сервис — уже нарушение ч.8 статьи 13.11 КоАП.

Штраф:

• до 6 млн рублей или до 3% от годового оборота

Сбор избыточных данных

Вы не имеете права собирать больше, чем необходимо для конкретной цели. Например, если вы просите паспортные данные просто для регистрации — это нарушение ч.1 статьи 13.11 КоАП.

Штраф:

• от 100 000 до 300 000 рублей

Произошла утечка данных

Если данные попали в третьи руки или были переданы без согласия, и особенно если человек понес ущерб — это нарушение ч.11 статьи 13.11 КоАП.

Штраф:

• от 50 000 до 100 000 рублей для физлиц
• от 400 000 до 800 000 рублей для должностных лиц
• от 1 млн до 3 млн рублей для ИП и организаций

Уголовная ответственность:

Если утечка персональных данных повлекла тяжкие последствия (например, причинение значительного имущественного ущерба) либо была совершена умышленно, виновные лица могут быть привлечены к уголовной ответственности на основании статьи 272.1 УК РФ.

Наказание:

• штраф от 300 000 до 700 000 рублей
• принудительные работы на срок до 5 лет
• лишение свободы на срок до 5 лет

Закон о персональных данных — не формальность. И это не просто о том, чтобы повесить политику конфиденциальности на сайт. Данный закон вводит серьезные правила для всех, кто хоть как-то собирает данные клиентов, сотрудников или партнеров.

Если вы хотите правильно выстроить работу с ПДн и защитить себя от возможных штрафов и правовых рисков, запишитесь на бесплатную консультацию, и мы расскажем, как с минимальными затратами реализовать это конкретно в вашем бизнесе