Новые требования Роскомнадзора по персональным данным

С 30 мая 2025 года увеличились штрафы за не соблюдения требований обработки персональных данных (ПДн). В соответствии с ужесточенными нормами закона № 152-ФЗ. Штрафы за нарушения резко возросли, а проверки Роскомнадзора стали массовыми благодаря автоматизированным алгоритмам.

Содержание

Кто обязан действовать?
Что изменилось в 2025 году: главные риски
Что должно быть реализовано к 30 мая 2025
Последствия после 30 мая 2025
Заключение

Кто обязан действовать?

Согласно Ст. 3.2 федерального закона № 152-ФЗ "О персональных данных", оператором персональных данных признаются: государственные и муниципальные органы, юридическое или физические лица, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных (Ст. 22 федерального закона № 152-ФЗ "О персональных данных").

Оператором ПДн, обязанным уведомить Роскомнадзор, является любая организация или ИП, собирающая данные клиентов, сотрудников или посетителей сайта. Это касается вас, если вы используете формы обратной связи, заказов, подписки, регистрации на сайте, cookies или системы аналитики (вроде Яндекс.Метрики или Google Analytics). Даже простая форма сбора имени и телефона для обратного звонка делает вас оператором.

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку ПДн:

Исключительно осуществляется вручную без использования автоматизированных средств;
Строго для исполнения конкретного договора с самим субъектом данных;
В соответствии с трудовым законодательством;
В рамках государственных систем, созданных в целях защиты безопасности государства и общественного порядка;
В случаях, предусмотренных законодательством РФ о транспортной безопасности;
В целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор;
Включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем;
Включающих в себя только фамилии, имена и отчества субъектов персональных данных;
Сделанных субъектом персональных данных общедоступными.

Если ваша деятельность не попадает под эти узкие критерии, уведомление подавать обязательно.

Что изменилось в 2025 году: главные риски

Штрафы выросли в разы. Отсутствие уведомления в реестре Роскомнадзора теперь грозит штрафом до 300 000 ₽ для юр.лиц. Обработка данных без надлежащего согласия субъекта может обойтись в 700 000 ₽. За утечку данных штрафы достигают 25 млн ₽, а при повторном нарушении – до 3% годовой выручки. Особое внимание уделяется использованию зарубежных сервисов обработки (Google Analytics, Microsoft Clarity и т.д.) – штрафы за них до 18 млн ₽.
Требования к сайтам ужесточились. Теперь при первом посещении сайта пользователь должен явно согласиться на использование cookies через всплывающее окно (баннер). Политика обработки ПДн обязана быть легко доступна (обычно размещается в "подвале/футере" сайта). Серверы, хранящие данные россиян, должны физически находиться на территории РФ. Каждая форма сбора данных (заказ, подписка, регистрация) должна содержать непредустановленный чек-бокс согласия на обработку ПДн, который пользователь ставит сам.
Проверки стали автоматизированными. Роскомнадзор активно использует ИИ-алгоритмы для массового сканирования сайтов на предмет нарушений. Обнаружить несоответствие теперь могут быстро и без предупреждения.

Что должно быть реализовано к 30 мая 2025

Разработаны необходимые документы. Ключевой документ - Политика обработки персональных данных. В ней четко пропишите цели обработки (например, "заключение договора купли-продажи", "оказание услуги", "кадровый учет"), какие именно категории данных вы обрабатываете (ФИО, телефон, email, адрес и т.д.), каким образом обеспечиваете их защиту, и как субъект данных (клиент, сотрудник) может реализовать свои права (на доступ, исправление, удаление данных). Также подготовьте корректные формы для получения явного согласия пользователей: на использование cookies, на обработку данных через формы обратной связи, на рассылку.
Сайт адаптированы. Внедрите обязательные чек-боксы согласия во все формы сбора данных - галочка не должна стоять по умолчанию. Разместите ссылку на вашу Политику обработки ПДн в нижней части каждой страницы сайта (футере). Убедитесь, что ваш хостинг находится в РФ. Критически важно заменить запрещенные иностранные сервисы на российские аналоги: вместо Google Analytics используйте Яндекс.Метрику, а для почты и форм – российские сервисы на доменах .ru или .рф.
Подано уведомление в Роскомнадзор. Сделать это можно онлайн через официальный портал Роскомнадзора, потребуется электронная подпись (ЭП) или аккаунт Госуслуг или в бумажном виде, отправив документы в ваш территориальный орган Роскомнадзора. В уведомлении укажите цели обработки, категории собираемых ПДн и адрес местонахождения базы данных (вашего сервера/хостинга в РФ). Обязательно проверьте реестр операторов Роскомнадзора, чтобы убедиться, что ваша компания там есть, а информация актуальна. Если данных нет или они устарели - подайте уведомление немедленно.
Назначен ответственный сотрудник. Определите сотрудника (ответственное лицо), отвечающего за соблюдение законодательства о ПДн в вашей компании, и проведите обучение для всех, кто имеет доступ к персональным данным.

Последствия после 30 мая 2025

Отсутствие вашей компании в реестре операторов повлечет штраф от 100 000 до 300 000 ₽. Неисправленные нарушения на сайте (отсутствие чек-боксов, политики, использование запрещенных сервисов, зарубежный хостинг) могут привести к блокировке ресурса и штрафам до 18 млн ₽.

Отдельно помните: в случае утечки персональных данных вы обязаны уведомить Роскомнадзор в течение 24 часов. Просрочка этого уведомления сама по себе наказывается штрафом до 3 млн ₽.

Размер штрафов невыполнение или несвоевременное выполнение о уведомлению намерении осуществлять обработку персональных данных (п.10 ст.13.11 КоАП РФ):

Для физических лиц: от 5 000 до 10 000 рублей.
Для должностных лиц: от 30 000 до 50 000 рублей.
Для юридических лиц и ИП: от 100 000 до 300 000 рублей.

Размер штрафов за невыполнение или несвоевременное выполнение уведомления об утечке (п.11 ст.13.11 КоАП РФ):

Для физических лиц: от 50 000 до 100 000 рублей.
Для должностных лиц: от 400 000 до 800 000 рублей.
Для ИП и организаций: от 1 000 000 до 3 000 000 рублей.

Заключение

Требования 2025 года - не формальность, а новый обязательный стандарт ведения бизнеса в цифровой среде. Проведите срочный аудит сайта на предмет запрещенных скриптов и сервисов, форм без согласия и политики конфиденциальности. Подайте уведомление в Роскомнадзор и приведите документы в порядок. Соответствие закону - это не только защита от многомиллионных штрафов и репутационных потерь, но и демонстрация уважения к правам ваших клиентов и партнеров.