Штрафы до 1,5 млн за галочку: как не попасть под новые правила по персональным данным в 2025

Новые правила касаются практически любого бизнеса, который собирает персональные данные клиентов или сотрудников. Вот кто попадает под требования закона:

• На сайте есть форма регистрации, заказа, обратной связи или подписки.
• Ведете рассылки по email, WhatsApp или через push-уведомления.
• Принимаете заказы через интернет-магазин.
• Ведете блог с комментариями или проводите вебинары.
• Храните данные хотя бы об одном сотруднике.

Если вы нашли себя хотя бы в одном пункте — вы оператор персональных данных!

1. Зарегистрируйтесь в Роскомнадзоре

Внесите компанию в реестр операторов персональных данных и поддерживайте данные в актуальном состоянии.

2. Обновите политику конфиденциальности

• Опишите все формы, виды собираемых данных, цели и третьих лиц.
• Добавьте информацию о куки, сроках хранения, безопасности.
• Разместите политику на том же домене и добавьте ссылку в футер и формы.

3. Согласие на обработку — отдельный документ

• Четко опишите, какие данные и зачем обрабатываете.
• Перечислите третьих лиц и сроки хранения.
• Дайте возможность отозвать согласие в любой момент.
• Согласие должно быть активным — никаких галочек по умолчанию!

4. Проверьте подрядчиков

• Данные должны храниться на территории РФ.
• Подрядчик внесен в реестр операторов персональных данных.
• Есть актуальная политика и подписано поручение на обработку данных.

5. Минимизируйте сбор данных

Собирайте только то, что действительно нужно для работы или маркетинга — избыточные данные под запретом.

6. Проверьте куки-баннер и формы

• Куки-баннер должен быть и на десктопе, и на мобильных устройствах.
• Везде, где идет сбор данных, должны быть ссылки на политику и согласие.
• Для email-рассылок — настройте double opt-in.

7. Исключите трансграничную передачу

Используйте только российские сервисы для хранения и обработки персональных данных. Проверьте, не утекают ли данные через аналитику или CDN.

8. Подготовьте план на случай утечки

• Уведомить Роскомнадзор в течение 24 часов после инцидента.
• Провести расследование и уведомить РКН о результатах в течение 72 часов.
• Вести внутренний протокол реагирования на утечки.

Если на вашем сайте размещены кнопки или ссылки, которые пересылают пользователя напрямую в мессенджеры (например, «Написать в WhatsApp» или «Задать вопрос в Telegram»), — это тоже может считаться сбором и передачей персональных данных.

• Переход по такой кнопке чаще всего передаёт в мессенджер номер телефона, имя или другие данные пользователя (например, если они заранее подставляются в ссылку).
• При этом Телеграм и WhatsApp — зарубежные сервисы. Их использование для коммуникации и хранения истории чатов формально попадает под понятие «трансграничная передача персональных данных».
• Если пользователь что-то написал через мессенджер, считается, что он сам согласился на передачу данных — но вы обязаны предупредить о возможной трансграничной передаче и разместить ссылку на политику конфиденциальности рядом с кнопкой или в форме чата.
• Лучше всего добавить явное пояснение рядом с кнопкой, например: «Переходя по ссылке, вы соглашаетесь с политикой конфиденциальности и возможной передачей данных через зарубежные мессенджеры».

Также помните: если вы храните переписку или обрабатываете заявки из чатов — такие данные также считаются персональными и должны защищаться в соответствии с законом.

Можно ли ставить галочку «Согласие с политикой» по умолчанию?

Нет. Согласно требованиям закона и разъяснениям Роскомнадзора, чекбокс для согласия с политикой конфиденциальности и обработкой персональных данных должен быть выключен по умолчанию. Пользователь обязан сам вручную поставить галочку и выразить согласие — только так оно будет считаться осознанным и однозначным.

Предустановленная галочка («по умолчанию») не допускается и не соответствует требованиям законодательства о персональных данных.

• Галочки выключены по умолчанию;
• Форма не отправляется, пока все необходимые чекбоксы не отмечены пользователем вручную;
• Такой подход защищает вас от претензий регулятора и спорных ситуаций с клиентами.

Источник: разъяснения Роскомнадзора по 152-ФЗ «О персональных данных».

За нарушения в работе с персональными данными теперь предусмотрены крупные штрафы:

• Нет уведомления в Роскомнадзор или не обновили сведения в реестре — штраф от 100 до 300 тыс. руб.
• Обработка без согласия или неправильная форма согласия — от 300 до 700 тыс. руб., повторно — до 1,5 млн.
• Хранение или передача данных за рубеж без оснований — от 1 до 6 млн руб.
• Нет или некорректная политика на сайте — до 60 тыс. руб.
• Не ответили пользователю на вопрос о его данных — до 80 тыс. руб.
• Утечка данных — до 15 млн руб. или до 3% годовой выручки.

С 30 мая 2025 года ответственность за работу с персональными данными становится жёстче. Проверяйте сайт, подрядчиков, формы и документы — иначе рискуете получить штраф до 1,5 млн рублей даже за одну «не ту» галочку.

Если требуется быстро привести сайт в соответствие новым требованиям, обновить или доработать формы, внедрить корректные политики и согласия — обращайтесь. Поможем внедрить необходимые решения и защитим ваш бизнес от рисков.