С 30 мая 2025 года (с изменениями с 1 сентября 2025) в России вступили в силу усиленные требования к обработке персональных данных. Даже незначительная ошибка — например, предустановленная галочка в форме или отсутствие ссылки на политику конфиденциальности — может обернуться для бизнеса штрафом до 1,5 миллиона рублей. А в случае утечки данных — суммы могут достигать 3% годовой выручки, плюс возможна уголовная ответственность. Эти правила затронут всех: от интернет-магазинов и блогеров до HR-отделов и маркетологов.

Кто под ударом?

Если вы хоть раз собирали данные клиентов, сотрудников или подписчиков — вы уже оператор персональных данных. Проверьте, попадаете ли вы под новые требования:

• На сайте есть формы: заказа, регистрации, обратной связи, подписки.
• Рассылаете письма, push-уведомления или сообщения в WhatsApp.
• Принимаете онлайн-заказы или ведёте чат-бота.
• Публикуете блог с комментариями или проводите вебинары.
• Храните информацию хотя бы об одном сотруднике.

Даже если вы просто добавили кнопку «Написать в Telegram» — это тоже может считаться обработкой данных. Не игнорируйте эти признаки — закон уже не про «крупные компании», а про всех.

Пошаговый план для бизнеса: как не нарушить закон.

1. Зарегистрируйтесь в Роскомнадзоре
Не просто подайте уведомление — регулярно обновляйте информацию в реестре операторов. Это база, без которой любые другие действия теряют смысл.

2. Перепишите политику конфиденциальности
Старый шаблон из интернета больше не подойдёт. В новой политике должно быть:

• Чёткий перечень собираемых данных и целей их обработки.
• Информация о сроках хранения, использовании cookie, передаче третьим лицам.
• Ссылка в футере сайта и рядом с каждой формой сбора данных.

3. Согласие — только активное и осознанное
Забудьте про галочки «по умолчанию». Пользователь должен:

• Сам поставить галочку.
• Увидеть, какие именно данные вы собираете и зачем.
• Иметь возможность отозвать согласие в любой момент.
• Получить ссылку на политику прямо в форме.

4. Проверьте всех подрядчиков
Аналитика, CRM, email-рассылки, облачные хранилища — все они должны:

• Работать на территории РФ.
• Быть зарегистрированы как операторы ПД.
• Иметь актуальную политику и подписанное поручение на обработку данных.

5. Собирайте только необходимое
Не запрашивайте дату рождения, если она не нужна для оказания услуги. Не храните лишнее — закон теперь строго наказывает за избыточный сбор.

6. Настройте cookie-баннер и формы правильно

• Баннер должен работать на всех устройствах.
• В каждой форме — ссылки на согласие и политику.
• Для email-рассылок — включите double opt-in (подтверждение подписки).

7. Запретите трансграничную передачу
Используйте только российские сервисы. Проверьте, не отправляются ли данные через Google Analytics, Facebook Pixel или зарубежные CDN. Если да — это нарушение.

8. Подготовьте план на случай утечки

• Уведомить Роскомнадзор в течение 24 часов.
• Провести внутреннее расследование и доложить о результатах за 72 часа.
• Вести журнал инцидентов и протокол реагирования.

Особое внимание: мессенджеры и соцсети
Кнопки «Написать в WhatsApp» или «Задать вопрос в Telegram» — не просто удобство. При переходе по ним часто передаётся номер телефона, имя или другая личная информация. А поскольку мессенджеры — иностранные сервисы, это считается трансграничной передачей данных.

Что делать?

• Добавьте пояснение рядом с кнопкой: «Переходя по ссылке, вы соглашаетесь с нашей политикой конфиденциальности и возможной передачей данных за пределы РФ».
• Если храните переписку — эти данные тоже подпадают под закон. Обеспечьте их защиту.

Галочки: только ручной режим
Никаких предустановленных согласий! Это прямо запрещено законом и подтверждено разъяснениями Роскомнадзора.

Правильно:

• Чекбокс выключен по умолчанию.
• Форма не отправляется, пока пользователь не поставит галочку.
• Каждое согласие — отдельное и конкретное.

Такой подход не только снижает риски штрафов, но и повышает доверие клиентов.
Штрафы в 2025: что грозит за нарушения

• Отсутствие регистрации в Роскомнадзоре — 100–300 тыс. руб.
• Обработка без согласия или с нарушением формы — 300–700 тыс. руб., повторно — до 1,5 млн.
• Передача данных за границу без оснований — 1–6 млн руб.
• Нет или неполная политика конфиденциальности — до 60 тыс. руб.
• Игнорирование запроса пользователя о его данных — до 80 тыс. руб.
• Утечка персональных данных — до 15 млн руб. или 3% годовой выручки.

Вывод: время действовать
Новые правила — не формальность, а реальный вызов для бизнеса.

Не ждите первого штрафа — подготовьтесь заранее. Если не уверены, с чего начать — обращайтесь. Мы поможем адаптировать ваш сайт, формы и процессы под новые требования и защитим вас от рисков.

Примеры формы и pop-up Cookies: