…или вообще хоть как-то собираете почты и телефоны
30 мая 2025 года вступают в силу изменения в Кодекс об административных правонарушениях (КоАП РФ), связанные с нарушением закона о персональных данных. В связи с этим изменятся не только размеры штрафов, но и поводы для них. В разы вырастут риски для компаний, которые собирают и используют данные о клиентах и контрагентах: имена, адреса, номера телефонов, электронные почты и другую информацию. Под угрозой в первую очередь окажутся не только те, кто занимается электронной коммерцией, но и все, у кого есть направления email- и CRM-маркетинга.
В этой статье разобрались, что изменится в законах, что будет грозить за нарушения, можно ли продолжать пользоваться иностранными сервисами и избежать миллионных штрафов.
Наказания за нарушение Закона «О персональных данных» 152-ФЗ регулируются ст. 13.11 КоАП РФ. Сейчас в этой статье девять частей, каждая из которых подразумевает два вида наказаний: штраф за нарушение и штраф за его повторение.
С 30 мая 2025 года вступает в силу новая редакция этой статьи, в которой меняются составы правонарушений и ужесточаются штрафы за неправильную обработку персональных данных (далее — ПД) по общему составу (ч.1 ст. 13.11 КоАП РФ — обработка ПД в случаях, не предусмотренных законодательством или обработка ПД, несовместимая с целями сбора ПД). Вот, как они изменятся:
| Штраф сейчас | Штраф после 30 мая | |
| Физические лица | 2 — 6 тыс. руб. | 10 — 15 тыс. руб. |
| Должностные лица | 10 — 20 тыс. руб. | 50 — 100 тыс. руб. |
| Юридические лица | 60 — 100 тыс. руб. | 100 — 300 тыс. руб. |
Соразмерно вырастут и штрафы за повторные нарушения:
| Штраф сейчас | Штраф после 30 мая | |
| Физические лица | 4 — 12 тыс. руб. | 15 — 30 тыс. руб. |
| Должностные лица | 20— 50 тыс. руб. | 100 — 200 тыс. руб. |
| Юридические лица | 100 — 300 тыс. руб. | 300 — 500 тыс. руб. |
Кроме увеличения размера штрафов по общему составу — которые, будем честны, выглядят теперь достаточно пугающе — в статье появятся новые, специальные составы нарушений. Часть из них связана с биометрическими данными, но если вы их не собираете (это делают лишь банки и ещё некоторые категории организаций), стоит обратить внимание на другие важные изменения.
Штраф за неуведомление об обработке данных. Все, кто собирает, хранит и обрабатывает ПД, обязаны уведомлять об этом уполномоченный орган (Роскомнадзор). Это старое требование — оно прописано в 152-ФЗ. Однако раньше за него могли наказать только по общему составу, а теперь это нарушение вынесено отдельно, с отдельными штрафами:
| Физические лица | 5 — 10 тыс. руб. |
| Должностные лица | 30— 50 тыс. руб. |
| Юридические лица | 100 — 300 тыс. руб. |
Штрафы за неправомерную передачу данных и за неуведомление о ней. Это ещё два новых специальных состава правонарушений. В законе нет слова «утечка», но есть такое определение: «неправомерная передача (предоставление, распространение, доступ) информации, включающей персональные данные». Это нарушение может происходить в связи как с действиями, так и бездействием оператора ПД.
Размеры штрафов тут зависят не только от того, кто совершил правонарушение, но и от того, данные скольких субъектов были неправомерно переданы.
| от 1 до 10 тыс. субъектов | от 10 до 100 тыс. субъектов | более 100 тыс. субъектов | |
| Физические лица | 100 — 200 тыс. руб. | 200 — 300 тыс. руб. | 300 — 400 тыс. руб. |
| Должностные лица | 200 — 400 тыс. руб. | 300 — 500 тыс. руб. | 400 — 600 тыс. руб. |
| Юридические лица | 3 — 5 млн руб. | 5 — 10 млн руб. | 10 — 15 млн руб. |
За повторное нарушение (здесь размер утекшей базы уже не важен) штрафы для организаций становятся оборотными и составят от 1 до 3% выручки компании за предыдущий год. А если вовремя не уведомить о неправомерной передачи контролирующий орган, придётся выложить еще от 1 до 3 млн рублей.
В контексте этих нововведений многие говорят о «штрафах за утечку», и это воспринимается как проблема корпораций и банков, у которых сливают базы пользователей. Но на самом деле всё может оказаться куда хуже, ведь, как мы уточнили выше, слово «утечка» в новой редакции КоАП не фигурирует. Так за что же будут наказывать?
В законе «О персональных данных» есть отдельная статья, посвящённая трансграничной передаче данных. В «Конверте» мы уже подробно разбирали эту тему, так что здесь просто уточним, что когда для обработки и хранения ПД используются иностранные сервисы — это тоже трансграничная передача: по сути, вы отправляете информацию о российских пользователях за границу.
С марта 2023 года те, кто осуществляет такую передачу, обязаны получать на это разрешение от контролирующего органа — Роскомнадзора. Сейчас процедура носит уведомительный характер: нужно отправить в РКН уведомление о том, кому и зачем вы планируете передавать данные, и пояснить, почему не можете этого не делать. Если в ответ не пришло запрета — всё в порядке, передача данных правомерная. Если пришёл — вы обязаны прекратить передачу или она будет считаться неправомерной. Передача данных иностранным сервисам без уведомления РКН тоже неправомерна.
И тут мы возвращаемся к предыдущему разделу, где оборотные штрафы грозят за неправомерную передачу персональных данных. Хотя в новой редакции КоАП вообще не фигурирует трансграничная передача, опрошенные нами юристы допускают, что обновления статьи будут использоваться для наказаний не столько за утечки, сколько за передачу данных иностранным сервисам.
На то, что за использование иностранных сервисов взялись по-крупному, намекает и возросшая активность самого РКН. С января 2025 года они стали требовать от владельцев сайтов уведомлений об использовании Google Analytics. На очереди могут оказаться не только метрики, но и опросные формы Google Forms, мессенджеры вроде WhatsApp и Telegram, и остальные сервисы, в которые каким-то образом передаются ПД клиентов, контрагентов или сотрудников компаний. В частности, это касается сервисов для рассылок, CRM-систем и других.
Хранение и обработка ПД — это зона ответственности компании, которая их собирает. То же касается ИП и самозанятых: статус «оператора обработки» определяется характером деятельности, а не формой собственности.
К персональным данным относятся ФИО, адреса, электронные почты, номера телефонов, всевозможные идентификаторы и другая личная информация. Поэтому если у самозанятого, ИП или организации есть сайт с формами обратной связи, возможностью оставить контакты, сбором cookies, если там есть форма регистрации или подписки на рассылку, сбор статистики — это обработка ПД. А владелец сайта — оператор обработки, который должен уведомить об этом статусе Роскомнадзор.
В уведомлении о статусе оператора нужно будет в том числе указать, каким сайтам / сервисам и для чего вы передаете персональные данные. И если в нем окажутся иностранные компании, подавать придётся и уведомление о трансграничной передаче данных.
Во-первых, эти направления диджитал-маркетинга наиболее тесно связаны с персональными данными клиентов: без этой информации они бы просто не работали.
Во-вторых, существенная часть процессов в CRM и email-маркетинге автоматизирована: обзвоны, SMS, транзакционные письма, боты в мессенджерах… И если всё это изначально настроено через иностранный софт, переход на российские платформы кажется сложным и даже пугает. Поэтому многие предпочитают не трогать, пока работает — и продолжают пользоваться зарубежными аналогами несмотря на сложности с оплатой и другими аспектами.
Но риски растут: пока нет стопроцентной уверенности, что изменения в КоАП будут касаться использования иностранных сервисов, но исключать такой возможности нельзя — а значит, штрафы за это могут быть и оборотными.
Конечно, можно положиться на авось и надеяться, что РКН не сможет отследить, какой email-транспорт вы используете, через что отправляете SMS и пуш-уведомления и где храните данные о клиентах. Возможно, это даже сработает. Но также, как совсем недавно РКН при помощи новых алгоритмов научился находить иностранные метрики в данных о сайте, он сможет научиться находить и остальное — это вопрос времени.
Паниковать и пороть горячку, в любом случае, не стоит. Вероятность, что в полночь 30 мая у вас на пороге окажется штраф и повестка в суд, стремится к нулю.
Подойти к делу лучше с холодной головой, правильно спланировав последовательность действий. Глобально они делятся на две большие части: правовую и техническую. Итогом станет отправка уведомлений в Роскомнадзор — о статусе оператора обработки и о трансграничной передаче, если вы её осуществляете.
С правовой частью вам поможет справиться юрист. Будет необходимо определить персональные данные, которые вы собираете, правовые основания и цели обработки, способы сбора, а также меры, предпринимаемые для защиты данных. Вся эта информация вносятся в специальную форму на сайте контролирующего органа.
Неполное описание любого из пунктов, а также недостоверные данные в них, как и отсутствие внутренней документации могут стать причиной, по которой уведомление завернут. После этого у вас будет всего 10 дней на устранение нарушений. Причём эксперты предупреждают, что даже устранение в положенный срок не гарантирует того, что вас не оштрафуют, поэтому подойти к вопросу заполнения формы нужно как можно более тщательно.
Техническая часть подразумевает аудит сайта и используемого софта, включая разнообразные программы и сервисы, выявление слабых мест и устранение потенциальных нарушений. Дальше мы подробнее разберём, как это сделать и на что обратить внимание.
На сайте должны быть размещены в открытом доступе как минимум два документа.
Политика конфиденциальности (политика обработки персональных данных). Этот документ описывает то, какие данные вы собираете, как их используете и защищаете.
Правила пользования сайтом. Это необязательный документ, но он поможет обезопасить вас в случае непредвиденных обстоятельств, связанных с интеллектуальными правами или поведением пользователей.
Согласие пользователя на обработку данных берётся в виде непредзаполненного чек-бокса или уведомления («Оставаясь на сайте, вы соглашаетесь…»).
Чек-боксы с согласием в обязательном порядке должны быть размещены везде, где пользователь оставляет вам свои данные: в формах подписки и обратной связи, при регистрации и оставлении контактов. Заполняя любые формы с любыми ПД, он должен подтвердить, что принимает вашу политику конфиденциальности.
Проверьте, что вы собираете только нужную информацию: например, если вы не используете номера телефонов или адреса своих пользователей, лучше убрать их из формы. Чем меньше информации собирается — тем лучше.
Уведомление об использовании cookies. Если вы собираете или используете куки (а скорее всего, да) об этом нужно уведомлять пользователя. Обычно его оформляют в виде попапа с кнопкой «ок». Здесь можно воспользоваться стандартной формулировкой, а можно проявить фантазию.
Далее необходимо открыть код сайта и / или его административную панель. Там в первую очередь нужно проверить присутствие нежелательных пикселей, кодов сторонних инструментов, в том числе систем аналитики. Вы могли подключить их давно или вообще не пользоваться, но они при этом всё ещё продолжают собирать информацию.
Искать в коде их можно по ключевым словам: Google, Yandex и другие. Обычно пиксели отслеживания устанавливаются в начале страницы, в пределах тегов <head> и <body>.
Кроме Google Analytics стоит проверить и иные системы, например, пиксель рекламного кабинета Facebook*.
Отечественные тоже стоит идентицифировать: Top.Mail.Ru Counter (через него подключается пиксель рекламного кабинета ВКонтакте), Яндекс Метрика и другие. Их нужно будет указать в форме уведомления о статусе оператора ПД. Ненужные лучше отключить.
Ещё один момент: если в CMS вашего сайта есть возможность подключать дополнительные плагины, пройдитесь по ним. Через них могут быть подключены как внешние системы аналитики, так и другие программы. Посмотрите, что делает каждый плагин, отключите ненужные и убедитесь, что данные пользователей не передаются третьим лицам и сторонним сервисам.
Первое и самое главное — все сервисы, в которые вы передаёте данные о клиентах, сотрудниках, контрагентах и других, должны быть российскими. Только это позволит вам полностью обезопасить себя от возможного штрафа за неправомерную передачу данных.
Всё это касается сервисов управления клиентскими данными (CRM), систем управления предприятием (ERP), сервисов рассылок (ESP) и других — например, тех, через которые вы делаете телефонные обзвоны или рассылки в мессенджерах.
Вот, на что стоит обратить внимание, чтобы не оказалось, что вы занимаетесь трансграничной передачей данных:
Все эти данные можно найти на официальном сайте сервиса (системы) или запросить в службе поддержки — вам обязаны предоставить эту информацию.
Если вы отправляете транзакционные письма (подтверждение регистрации, чеки, системные сообщения и другие) — вы пользуетесь email-транспортом. Он может отличаться от сервиса, через который вы делаете другие рассылки — и про него легко забыть, потому что отправку транзакционных писем настраивают один раз и надолго.
Эти сервисы также используют данные подписчиков, как минимум адреса электронной почты и ФИО, а также другие данные из CRM. Поэтому email-транспорт тоже должен быть российским. Использование зарубежного софта легко вычисляется:
Здесь, как и с остальными зарубежными сервисами, лучший выход — переехать на российский. Например, у Unisender есть Unisender Go, который полностью соответствует закону о персональных данных, использует российские сервера и не хранит информацию, в которой нет необходимости. На Unisender Go легко перейти с любого сервиса, потому что мы помогаем с переездом, а ещё делимся кейсами, инструкциями и полезными ссылками со всеми новыми пользователями.
Проблемы могут возникнуть не только из-за передачи персональных данных третьим лицам, но и в случае, если их неправильно обрабатываете или храните вы сами. Убедитесь, что ваши собственные базы хранятся на российских серверах в сертифицированных дата-центрах, что доступ к ним имеет только ограниченный круг сотрудников, и что они надёжно защищены как от внешних атак, так и от утечек «изнутри».
Все правила обработки ПД должны быть не просто документом на сайте — нужно выпустить локальные акты, приказы и инструкции по обращению с ними. А потом регулярно проверять, чтобы они соблюдались.
Если вы каким-либо образом — через формы обратной связи, заказы, подписку на рассылку — собираете данные людей, поздравляем: вы — оператор персональных данных. Все операторы должны регистрироваться в Роскомнадзоре (уже давно), и с 30 мая штрафы за это существенно вырастут — до 300 тысяч рублей.
Передача данных в иностранные компании (использование зарубежных сервисов) без уведомления об этом Роскомнадзора может рассматриваться как неправомерная передача данных (утечка). За неё теперь тоже грозят большие штрафы: до 15 млн за саму утечку, до 3 млн — за несообщение о ней в контролирующий орган и до 3% годовой выручки за повторное нарушение.
Чтобы не получить за это штраф, нужно подать в Роскомнадзор уведомления по специальной форме: одно — о статусе оператора персональных данных, ещё одно — об осуществлении трансграничной передачи данных (если вы пользуетесь иностранными сервисами).
Чтобы облегчить себе жизнь и минимизировать риски больших штрафов, нужно заранее подготовиться: составили чек-лист, который в этом поможет.
Читайте только в Конверте
Искренние письма о работе и жизни, эксклюзивные кейсы и интервью с экспертами диджитала.
Проверяйте почту — письмо придет в течение 5 минут (обычно мгновенно)
