Что нужно знать о штрафах за обработку данных, если занимаетесь email- и CRM-маркетингом

30 мая 2025 года вступили в силу изменения в Кодекс об административных правонарушениях (КоАП РФ), связанные с нарушением закона о персональных данных. А с 1 июля 2025 года в новой редакции представлена ч.5 ст.18 закона «О персональных данных: в ней определяется конкретная статья КоАП, по которой будут наказывать за незаконную обработку персональных данных в иностранных сервисах.

В связи с этим изменятся не только размеры штрафов, но и поводы для них. В разы вырастут риски для компаний, которые собирают и используют данные о клиентах и контрагентах: имена, адреса, номера телефонов, электронные почты и другую информацию. Под угрозой в первую очередь окажутся не только те, кто занимается электронной коммерцией, но и все, у кого есть направления email- и CRM-маркетинга.

В этой статье разобрались, что изменится в законах, что будет грозить за нарушения, можно ли продолжать пользоваться иностранными сервисами и избежать миллионных штрафов.

Изменения в законодательстве: главное для диджитала

Наказания за нарушение Закона «О персональных данных» 152-ФЗ регулируются ст. 13.11 КоАП РФ. Каждая из его частей подразумевает два вида наказаний: штраф за нарушение и штраф за его повторение.

На сколько вырастут штрафы

С 30 мая 2025 года вступает в силу новая редакция этой статьи, в которой меняются составы правонарушений и ужесточаются штрафы за неправильную обработку персональных данных (далее — ПД) по общему составу (ч.1 ст. 13.11 КоАП РФ — обработка ПД в случаях, не предусмотренных законодательством или обработка ПД, несовместимая с целями сбора ПД). Вот, как они изменятся: 

Соразмерно вырастут и штрафы за повторные нарушения: 

За что ещё будут наказывать

Кроме увеличения размера штрафов по общему составу — которые, будем честны, выглядят теперь достаточно пугающе — в статье появятся новые, специальные составы нарушений. Часть из них связана с биометрическими данными, но если вы их не собираете (это делают лишь банки и ещё некоторые категории организаций), стоит обратить внимание на другие важные изменения.

Штраф за неуведомление об обработке данных. Все, кто собирает, хранит и обрабатывает ПД, обязаны уведомлять об этом уполномоченный орган (Роскомнадзор). Это старое требование — оно прописано в 152-ФЗ. Однако раньше за него могли наказать только по общему составу, а теперь это нарушение вынесено отдельно, с отдельными штрафами:

Штрафы за неправомерную передачу данных и за неуведомление о ней. Это ещё два новых специальных состава правонарушений. В законе нет слова «утечка», но есть такое определение: «неправомерная передача (предоставление, распространение, доступ) информации, включающей персональные данные». Это нарушение может происходить в связи как с действиями, так и бездействием оператора ПД. 

Размеры штрафов тут зависят не только от того, кто совершил правонарушение, но и от того, данные скольких субъектов были неправомерно переданы.

За повторное нарушение (здесь размер утекшей базы уже не важен) штрафы для организаций становятся оборотными и составят от 1 до 3% выручки компании за предыдущий год. А если вовремя не уведомить о неправомерной передаче контролирующий орган, придётся выложить еще от 1 до 3 млн ₽.

Изменения в Законе «О персональных данных»

Однако помимо дополнений, «старые» части статьи тоже начинают играть новыми красками — с 1 июля 2025 года законом «О персональных данных» прямо запрещается первичный сбор ПД в иностранных сервисах, а также хранение и обработка персональных данных россиян за рубежом.

Это значит, что операторов и обработчиков ПД будут штрафовать по ч.8 ст. 13.11 КоАП РФ — за «невыполнение оператором при сборе персональных данных [...] предусмотренной законодательством РФ [...] обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ», Штрафы такие:

Использование иностранных сервисов — под запретом?

В законе «О персональных данных» есть отдельная статья, посвящённая трансграничной передаче данных. В «Конверте» мы уже подробно разбирали эту тему, так что здесь просто уточним, что когда для обработки и хранения ПД используются иностранные сервисы — это тоже трансграничная передача: по сути, вы отправляете информацию о российских пользователях за границу. На трансграничную передачу нужно получать специальное разрешение у Роскомнадзора — без него передача незаконна.

Новая редакция закона 152-ФЗ «О персональных данных», которая вступает в силу с 1 июля 2025 года, напрямую не запрещает трансграничную передачу. Однако закон может трактоваться субъективно: так, представители Госдумы уже высказывались о том, что речь идёт о полном запрете на хранение и обработку ПД за рубежом.

Кроме того, в новой редакции речь идёт в том числе о запрете первичной обработки ПД. Это важно, потому что сам акт трансграничной передачи осуществляется с целью обработки или хранения. А сразу собирать информацию в иностранный сервис, не аккумулируя её сначала в России — это не трансграничная передача, это первичный сбор.

То есть, если человек на вашем сайте оставляет в специальной форме свой email, а он уходит в зарубежную базу данных (иностранную CRM-систему, зарубежный сервис рассылок, форму Google Forms или даже просто в Google-таблицу) — это нарушение закона.

На то, что за использование иностранных сервисов взялись по-крупному, намекает и возросшая активность самого РКН. С января 2025 года они стали требовать от владельцев сайтов уведомлений об использовании Google Analytics. На очереди могут оказаться не только метрики, но и опросные формы Google Forms, мессенджеры вроде WhatsApp* и Telegram, и остальные сервисы, в которые каким-то образом передаются ПД клиентов, контрагентов или сотрудников компаний. В частности, это касается сервисов для рассылок, CRM-систем и других.

Кого касаются новые штрафы и правонарушения

Хранение и обработка ПД — это зона ответственности компании, которая их собирает. То же касается ИП и самозанятых: статус «оператора обработки» определяется характером деятельности, а не формой собственности. Кроме того, в свежей редакции ч.5 ст.18 152-ФЗ вообще избавились от слова «Оператор» — то есть ответственность ляжет на всех, кто прикасается к ПД, в том числе обработчиков.

К персональным данным относятся ФИО, адреса, электронные почты, номера телефонов, всевозможные идентификаторы и другая личная информация. Поэтому если у самозанятого, ИП или организации есть сайт с формами обратной связи, возможностью оставить контакты, сбором cookies, если там есть форма регистрации или подписки на рассылку, сбор статистики — это обработка ПД. А владелец сайта — оператор обработки, который должен уведомить об этом статусе Роскомнадзор.

В уведомлении о статусе оператора нужно будет в том числе указать, каким сайтам / сервисам и для чего вы передаете персональные данные. И если в нем окажутся иностранные компании, подавать придётся и уведомление о трансграничной передаче данных. 

Почему это особенно актуально для тех, кто занимается email- и CRM-маркетингом

Во-первых, эти направления диджитал-маркетинга наиболее тесно связаны с персональными данными клиентов: без этой информации они бы просто не работали. 

Во-вторых, существенная часть процессов в CRM и email-маркетинге автоматизирована: обзвоны, SMS, транзакционные письма, боты в мессенджерах… И если всё это изначально настроено через иностранный софт, переход на российские платформы кажется сложным и даже пугает. Поэтому многие предпочитают не трогать, пока работает — и продолжают пользоваться зарубежными аналогами несмотря на сложности с оплатой и другими аспектами. 

Но риски растут: с 1 июля это прямое нарушение закона.

Конечно, можно положиться на авось и надеяться, что РКН не сможет отследить, какой email-транспорт вы используете, через что отправляете SMS и пуш-уведомления и где храните данные о клиентах. Возможно, это даже сработает. Но также, как совсем недавно РКН при помощи новых алгоритмов научился находить иностранные метрики в данных о сайте, он сможет научиться находить и остальное — это вопрос времени.

Что делать, чтобы не заработать гигантские штрафы

Паниковать и пороть горячку, в любом случае, не стоит. Подойти к делу лучше с холодной головой, правильно спланировав последовательность действий. Глобально они делятся на две большие части: правовую и техническую. Итогом станет отправка уведомлений в Роскомнадзор — о статусе оператора обработки и о трансграничной передаче, если вы её осуществляете.

С правовой частью вам поможет справиться юрист. Будет необходимо определить персональные данные, которые вы собираете, правовые основания и цели обработки, способы сбора, а также меры, предпринимаемые для защиты данных. Вся эта информация вносится в специальную форму на сайте контролирующего органа. 

Неполное описание любого из пунктов, а также недостоверные данные в них, как и отсутствие внутренней документации могут стать причиной, по которой уведомление завернут. После этого у вас будет всего 10 дней на устранение нарушений. Причём эксперты предупреждают, что даже устранение в положенный срок не гарантирует того, что вас не оштрафуют, поэтому подойти к вопросу заполнения формы нужно как можно более тщательно. 

Техническая часть подразумевает аудит сайта и используемого софта, включая разнообразные программы и сервисы, выявление слабых мест и устранение потенциальных нарушений. Дальше мы подробнее разберём, как это сделать и на что обратить внимание.

Проверить наличие нужных документов

На сайте должны быть размещены в открытом доступе как минимум два документа. 

Политика конфиденциальности (политика обработки персональных данных). Этот документ описывает то, какие данные вы собираете, как их используете и защищаете.

Правила пользования сайтом. Это необязательный документ, но он поможет обезопасить вас в случае непредвиденных обстоятельств, связанных с интеллектуальными правами или поведением пользователей.

Взять у пользователя согласие на обработку данных

Согласие пользователя на обработку данных берётся в виде непредзаполненного чек-бокса или уведомления («Оставаясь на сайте, вы соглашаетесь…»).

Чек-боксы с согласием в обязательном порядке должны быть размещены везде, где пользователь оставляет вам свои данные: в формах подписки и обратной связи, при регистрации и оставлении контактов. Заполняя любые формы с любыми ПД, он должен подтвердить, что принимает вашу политику конфиденциальности. 

Проверьте, что вы собираете только нужную информацию: например, если вы не используете номера телефонов или адреса своих пользователей, лучше убрать их из формы. Чем меньше информации собирается — тем лучше.

Уведомление об использовании cookies. Если вы собираете или используете куки (а скорее всего, да) об этом нужно уведомлять пользователя. Обычно его оформляют в виде попапа с кнопкой «ок». Здесь можно воспользоваться стандартной формулировкой, а можно проявить фантазию.

Отключить иностранные системы аналитики

Далее необходимо открыть код сайта и / или его административную панель. Там в первую очередь нужно проверить присутствие нежелательных пикселей, кодов сторонних инструментов, в том числе систем аналитики. Вы могли подключить их давно или вообще не пользоваться, но они при этом всё ещё продолжают собирать информацию. 

Искать в коде их можно по ключевым словам: Google, Yandex и другие. Обычно пиксели отслеживания устанавливаются в начале страницы, в пределах тегов <head> и <body>. 

Кроме Google Analytics стоит проверить и иные системы, например, пиксель рекламного кабинета Facebook*.

Отечественные тоже стоит идентицифировать: Top.Mail.Ru Counter (через него подключается пиксель рекламного кабинета ВКонтакте), Яндекс Метрика и другие. Ненужные лучше отключить.

Ещё один момент: если в CMS вашего сайта есть возможность подключать дополнительные плагины, пройдитесь по ним. Через них могут быть подключены как внешние системы аналитики, так и другие программы. Посмотрите, что делает каждый плагин, отключите ненужные и убедитесь, что данные пользователей не передаются третьим лицам и сторонним сервисам.

5 бесплатных WordPress-плагинов для сбора email

Проверить подключенные сервисы — CRM, ERP, ESP

Первое и самое главное — все сервисы, в которые вы передаёте данные о клиентах, сотрудниках, контрагентах и других, должны быть российскими. Только это позволит вам полностью обезопасить себя от штрафа за неправомерный сбор, хранение и обработку данных. 

Всё это касается сервисов управления клиентскими данными (CRM), систем управления предприятием (ERP), сервисов рассылок (ESP) и других — например, тех, через которые вы делаете телефонные обзвоны или рассылки в мессенджерах. 

Вот, на что стоит обратить внимание, чтобы не оказалось, что вы занимаетесь трансграничной передачей данных: 

• юрлицо должно быть российским;
• сервера находятся в России;
• сертифицированное российское ПО (есть сертификат соответствия ФСТЭК);
• для обработки данных используются сертифицированные центры (ЦОД).

Все эти данные можно найти на официальном сайте сервиса (системы) или запросить в службе поддержки — вам обязаны предоставить эту информацию.

Проверить email-транспорт

Если вы отправляете транзакционные письма (подтверждение регистрации, чеки, системные сообщения и другие) — вы пользуетесь email-транспортом. Он может отличаться от сервиса, через который вы делаете другие рассылки — и про него легко забыть, потому что отправку транзакционных писем настраивают один раз и надолго. 

Эти сервисы также используют данные подписчиков, как минимум адреса электронной почты и ФИО, а также другие данные из CRM. Поэтому email-транспорт тоже должен быть российским. Использование зарубежного софта легко вычисляется:

Здесь, как и с остальными зарубежными сервисами, лучший выход — переехать на российский. Например, у Unisender есть Unisender Go, который полностью соответствует закону о персональных данных, использует российские сервера и не хранит информацию, в которой нет необходимости. На Unisender Go легко перейти с любого сервиса, потому что мы помогаем с переездом, а ещё делимся кейсами, инструкциями и полезными ссылками со всеми новыми пользователями.

Проверить, как на самом деле хранятся и обрабатываются данные

Проблемы могут возникнуть не только из-за передачи персональных данных третьим лицам, но и в случае, если их неправильно обрабатываете или храните вы сами. Убедитесь, что ваши собственные базы хранятся на российских серверах в сертифицированных дата-центрах, что доступ к ним имеет только ограниченный круг сотрудников, и что они надёжно защищены как от внешних атак, так и от утечек «изнутри».

Все правила обработки ПД должны быть не просто документом на сайте — нужно выпустить локальные акты, приказы и инструкции по обращению с ними. А потом регулярно проверять, чтобы они соблюдались.

Коротко о главном + чек-лист

Если вы каким-либо образом — через формы обратной связи, заказы, подписку на рассылку — собираете данные людей, поздравляем: вы — оператор персональных данных. Все операторы должны регистрироваться в Роскомнадзоре (уже давно), и с 30 мая штрафы за это существенно вырастут — до 300 000 ₽. 

Кроме того, новая редакция ФЗ-152 «О персональных данных» прямо запрещает первичный сбор баз ПД, а также их передачу на обработку и хранение за рубеж. Это значит, что использовать иностранные CRM-системы, системы электронного документооборота и другие сервисы управления предприятием, ESP-сервисы и email-транспорт незаконно. Штрафы большие: до 6 млн ₽ за первое нарушение и до 18 млн ₽, если оно совершено повторно (не было устранено).

Чтобы облегчить себе жизнь и минимизировать риски больших штрафов, нужно заранее подготовиться: составили чек-лист, который в этом поможет.