Изменения в законе №152-ФЗ «О персональных данных»: почему теперь за рассылку можно получить гигантский штраф

Изменения в федеральный закон РФ №152-ФЗ «О персональных данных» вступят в силу с 30 мая 2025 года. Это самые крупные нововведения в области персональных данных (ПД) за последние годы: они значительно повышают требования к обработке ПД и ужесточают ответственность за их нарушения.

Самое главное в изменениях

→ Если компания — оператор персональных данных — не отправила в Роскомнадзор уведомление о начале обработки персональных данных, нарушителей накажут штрафами:

• физлица — в размере до 10 000 рублей;
• должностные лица — до 50 000 рублей;
• ИП и организации — до 300 000 рублей.

→ Подняли штрафы за несоблюдение цели сбора данных. Теперь гражданам за нарушения придется заплатить до 50 000 рублей, должностным лицам — до 100 000 рублей, юрлицам — до 300 000 рублей.

→ Значительно выросли штрафы за утечку персданных. Размер штрафа зависит от количества пострадавших пользователей:

• если утекла база в размере до 10 тысяч человек, штраф — до 5 млн рублей;
• более 10 тысяч человек — до 10 млн рублей;
• более 1 млн — до 15 млн рублей;
• при повторных инцидентах — 3% от годовой выручки.

При этом бизнес теперь обязан сообщить об утечке. За непредставление данных нарушителей тоже оштрафуют: физлиц — на сумму до 100 000 рублей, ИП и организации — до 3 млн рублей.

Как Роскомнадзор будет выявлять нарушителей?

РКН может проводить профилактические мероприятия и проверки. Но даже без взаимодействия с компанией ведомство собирает и анализирует информацию о ней.

Данные РКН берет из государственных информационных систем и реестров, а также из открытых источников — например, с официальных сайтов или СМИ. Для этого ведомство применяет современные технологии — ИИ и специализированные программно-аппаратные комплексы (ПАК). Правда, сам процесс автоматизированного мониторинга пока нормативно не урегулирован, и практика применения таких инструментов находится на стадии развития.

Что сейчас можно проверить бизнесу, который работает в интернете

Снизить риски может только полноценный аудит компании с юристом. Составили минимальный чек-лист, который позволит оценить фронт работ.

Шаг 1. Проверьте внутреннюю документацию компании: регламенты обработки данных, инструкции для персонала, журналы учета операций с персональными данными и др. Минимальный перечень необходимых документов можно найти на сайте Роскомнадзора.

Шаг 2. Проведите аудит своих интернет-площадок и всех точек входа персональных данных: формы, попапы, автоворонки.

Все, на что нужно обратить особое внимание, собрали в таблицу.

Если собираете cookie-файлы, нужно учесть, что РКН тоже считает их персональными данными. Чтобы избежать рисков, лучше предупреждать пользователей, что вы их собираете. Например, с помощью баннера или всплывающего окна.

Шаг 3. Проверьте свою рассылку. Присылать письма можно только тем пользователям, которые дали согласие на ее получение. При этом рассылка должна соответствовать цели сбора персональных данных, описанной в документации на сайте. Так, если пользователь дал согласие только на информирование, присылать ему рекламные сообщения по закону нельзя.

Шаг 4. Проверьте использование иностранных сервисов на сайте. С 1 июля 2025 года вступят в силу другие поправки в закон о персональных данных. Они запрещают первоначальный сбор, передачу, запись и хранение данных на иностранном сервере.

Это значит, что все сервисы, которые собирают и сразу передают ПД граждан РФ за рубеж, будут вне закона. Например, нельзя будет пользоваться Google Analytics, HotJar и другими аналогичными. Стоит их отключить, иначе можно получить штраф. Подробнее об этом требовании писали в другой нашей статье.

Шаг 5. Оцените каналы потенциальной утечки данных и проверьте их защиту. К таким каналам относятся сайты, CRM-системы, корпоративная почта, приложения для управления проектами, мессенджеры. В том числе важно ограничить доступ к персональным данным третьим лицам.

Здесь все особенно сложно, и рисков довольно много. Так, сотрудники часто пересылают друг другу чьи-нибудь ПД: например, резюме кандидатов или сканы документов. Лучше удалить подобные данные из переписки: это все потенциальные риски, поскольку доказать факт согласия субъекта на распоряжение ПД будет сложно.

Некоторые социальные сети и мессенджеры собирают данные на серверы, находящиеся за пределами РФ. Поэтому можно получить штраф за несанкционированную трансграничную передачу персональных данных.

Шаг 6. Придумайте план действий, если пользователь подаст жалобу в РКН. Действовать нужно быстро — это снизит риски. Для этого нужно:

• Изучить жалобу и проконсультироваться с юристами.
  
  
• Собрать все документы, которые подтвердят правомерность ваших действий. Если нашли у себя нарушения — сразу приступите к их устранению. Например, прекратите обработку данных без согласия, улучшите средства защиты данных, устраните пробелы в технической инфраструктуре и документообороте.
  
  
• Оформить официальный ответ на жалобу. Опишите проверку, причины сложившейся ситуации и предпринятые меры.
  
  
• Провести превентивные мероприятия, чтобы исключить правонарушения в будущем.

Это общий порядок: план должен быть более детальным, с ответственными и сроками. 

Коротко:

• Незаконная обработка данных и утечки с 30 мая 2025 года могут привести к огромным штрафам.
• Вот основные: штрафы за отсутствие уведомления о начале обработки ПД в Роскомнадзор — до 300 000 рублей, за несоблюдение целей сбора — до 300 000 рублей, за утечку данных — до 15 млн, а при повторных случаях — 3% от выручки. Кроме того, теперь бизнес обязан сообщать об утечках в РКН, иначе его оштрафуют на сумму до 3 млн.
• Под контроль попадают все ИП, самозанятые и организации, которые работают с ПД клиентов, контрагентов и сотрудников.
• Проведите аудит своего бизнеса, чтобы избежать крупных штрафов.