Когда клиент оставляет телефон в форме заявки, пациент записывается к врачу, сотрудник передает паспортные данные работодателю или пользователь принимает cookie на сайте — бизнес начинает работать с персональными данными.

Для компании это уже не формальность и не «бумажка для сайта». В 2025 году ответственность за нарушения резко усилилась: за отдельные утечки предусмотрены многомиллионные штрафы, за повторные нарушения — оборотный штраф до 500 млн рублей, а незаконный оборот персональных данных в компьютерной форме может повлечь уголовную ответственность.

Разбираем простыми словами: что относится к персональным данным, какие обязанности есть у бизнеса и что нужно проверить уже сейчас.

Что такое персональные данные?

По Федеральному закону № 152-ФЗ персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку.

К ним относятся:

• ФИО, дата рождения, паспортные данные, СНИЛС, ИНН;

• номер телефона, адрес электронной почты, адрес проживания;

• сведения о работе, должности, доходах, образовании;

• фотографии и видеозаписи, по которым можно определить человека;

• IP-адрес, cookie, идентификаторы устройств — если по ним можно связать данные с конкретным пользователем;

• сведения о здоровье, политических и религиозных взглядах, национальности;

• биометрические данные: изображение лица, голос, отпечатки пальцев.

Главная ошибка бизнеса — считать персональными данными только паспорт. На практике даже простая форма «имя + телефон» на сайте уже создает обязанности по закону.

Кто считается оператором персональных данных?

Оператор персональных данных — это лицо, которое организует или осуществляет обработку данных, определяет цели обработки, состав данных и действия с ними.

Для бизнеса это означает простую вещь: если компания или ИП собирает заявки, ведет клиентскую базу, нанимает сотрудников, использует CRM, рассылки, формы обратной связи или cookie, она почти наверняка является оператором персональных данных.

Обработка — это не только передача данных третьим лицам. Это сбор, запись, хранение, уточнение, использование, передача, обезличивание, блокирование и удаление данных.

Основные законы

Регулирование персональных данных строится на нескольких уровнях:

Конституция РФ — защищает право на частную жизнь, личную и семейную тайну, тайну переписки.

Федеральный закон № 152-ФЗ «О персональных данных» — основной закон, который устанавливает правила сбора, хранения, обработки, передачи и уничтожения персональных данных.

Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — регулирует вопросы информации и защиты информационных систем.

Трудовой кодекс РФ — содержит правила обработки персональных данных работников.

КоАП РФ, статья 13.11 — устанавливает административные штрафы за нарушения в сфере персональных данных.

УК РФ, статьи 137 и 272.1 — предусматривают уголовную ответственность за нарушение неприкосновенности частной жизни и незаконный оборот персональных данных.

Что изменилось в 2025 году?

1. Согласие должно быть отдельным

С 1 сентября 2025 года согласие на обработку персональных данных должно оформляться отдельно от других документов и информации, которые подписывает или подтверждает человек. Его нельзя прятать внутри договора, пользовательского соглашения или общего текста на сайте.

Это означает, что бизнесу нужно проверить:

• формы заявок на сайте;

• тексты под кнопками отправки;

• пользовательские соглашения;

• договоры с клиентами;

• согласия работников;

• формы подписки на рассылку.

Формулировка согласия должна быть понятной, конкретной и доказуемой: кто собирает данные, какие именно данные, для какой цели, на какой срок и какие действия с ними выполняются.

2. Уведомление Роскомнадзора стало практически обязательным

По общему правилу оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала такой обработки, кроме прямо предусмотренных законом исключений.

На практике это касается большинства компаний и ИП, которые работают с клиентами, сотрудниками, сайтами, CRM и онлайн-заявками.

За неподачу или несвоевременную подачу уведомления для юридических лиц предусмотрен штраф от 100 000 до 300 000 рублей.

3. При утечке нужно быстро уведомлять Роскомнадзор

Если произошла неправомерная или случайная передача персональных данных, оператор обязан уведомить Роскомнадзор:

• в течение 24 часов — о самом инциденте, предполагаемых причинах, вреде и принятых мерах;

• в течение 72 часов — о результатах внутреннего расследования и виновных лицах, если они установлены.

Поэтому у компании должен быть не только комплект документов, но и понятный порядок действий при инциденте: кто фиксирует утечку, кто отвечает Роскомнадзору, кто проводит внутреннюю проверку, кто взаимодействует с IT-подрядчиком.

Ответственность за нарушения

Ответственность теперь нельзя воспринимать как символическую.

За незаконную обработку персональных данных без надлежащего согласия штраф для юридического лица может достигать 700 000 рублей, а при повторном нарушении — 1,5 млн рублей.

За неподачу уведомления в Роскомнадзор — до 300 000 рублей для юридического лица.

За несвоевременное уведомление об утечке — до 3 млн рублей.

За утечку персональных данных штраф зависит от масштаба нарушения:

• от 1 000 до 10 000 субъектов — от 3 до 5 млн рублей для юридического лица;

• от 10 000 до 100 000 субъектов — от 5 до 10 млн рублей;

• более 100 000 субъектов — от 10 до 15 млн рублей;

• за отдельные составы, связанные со специальными категориями данных и биометрией, штрафы могут быть выше;

• за повторную утечку применяется оборотный штраф: от 1% до 3% выручки, но не менее 20 млн и не более 500 млн рублей.

Отдельный риск — уголовная ответственность. Статья 272.1 УК РФ предусматривает ответственность за незаконные использование, передачу, сбор или хранение компьютерной информации, содержащей персональные данные, полученной незаконным путем. Базовое наказание — вплоть до лишения свободы на срок до 4 лет, а при квалифицирующих признаках сроки выше.

Риск возникает не только у хакеров. Под удар могут попасть сотрудники, которые выгружают клиентскую базу, передают ее конкурентам, используют для сторонней рекламы или покупают базы из сомнительных источников.

Что нужно проверить бизнесу прямо сейчас?

Минимальный набор действий:

• подать уведомление в Роскомнадзор об обработке персональных данных;

• разместить на сайте политику обработки персональных данных в открытом доступе;

• проверить формы заявок, подписки и обратной связи;

• оформить согласия отдельными документами;

• проверить, где фактически хранятся данные граждан РФ;

• назначить ответственного за организацию обработки персональных данных;

• утвердить внутренние документы и порядок доступа сотрудников к данным;

• заключить корректные договоры с подрядчиками, которым передаются данные;

• не собирать лишние данные «на всякий случай»;

• подготовить порядок действий на случай утечки.

Если компания собирает данные через сайт, политика обработки персональных данных должна быть опубликована на сайте и доступна пользователю. Это прямо следует из статьи 18.1 Федерального закона № 152-ФЗ.

Почему шаблонов недостаточно?

Типовая ошибка — скачать политику обработки персональных данных из интернета, поменять название компании и считать вопрос закрытым.

Проблема в том, что документы должны соответствовать реальным процессам бизнеса. Если в политике написано одно, а фактически данные уходят в CRM, мессенджеры, рекламные кабинеты, подрядчикам, колл-центру или сервису рассылок, формальный шаблон не защищает.

Роскомнадзор и суды смотрят не только на наличие документов, но и на то, как реально организована обработка данных.

Как мы можем помочь?

Юридическая фирма «ГРАНД» помогает бизнесу привести работу с персональными данными в соответствие с законом.

Мы предлагаем комплексную услугу:

1. Комплаенс-аудит

Проверяем сайт, формы заявок, договоры, CRM, рассылки, работу с сотрудниками и подрядчиками. Определяем, какие данные собираются, где хранятся и кому передаются.

2. Выявление рисков

Фиксируем нарушения: отсутствие уведомления в Роскомнадзор, некорректные согласия, слабые формулировки в политике, лишний сбор данных, отсутствие порядка действий при утечке.

3. Подготовка документов

Разрабатываем комплект документов под конкретный бизнес: политику обработки персональных данных, согласия, внутренние положения, приказы, формы для сайта, документы для работников и подрядчиков.

4. Уведомление Роскомнадзора

Готовим и направляем уведомление об обработке персональных данных, чтобы компания была корректно включена в реестр операторов.

5. Настройка практического порядка

Помогаем выстроить понятный порядок: кто отвечает за персональные данные, кто имеет доступ, как реагировать на запросы субъектов и что делать при утечке.

Вывод

Персональные данные — это уже не формальность для сайта, а полноценная зона юридического риска. Заявка клиента, база сотрудников, CRM, рассылка, cookie и даже простая форма обратной связи могут создавать для бизнеса обязанности по Федеральному закону № 152-ФЗ.

В 2025–2026 годах цена ошибки стала значительно выше: штрафы выросли, контроль усилился, а незаконный оборот баз получил отдельную уголовно-правовую оценку.

Поэтому бизнесу стоит не ждать проверки или утечки, а заранее привести документы и процессы в порядок. Это дешевле, быстрее и безопаснее, чем разбираться с Роскомнадзором, клиентскими жалобами и многомиллионными штрафами после инцидента.

Файлы для скачивания