До 15 млн штрафа за персональные данные: что изменилось в 2025

Если вы собираете контакты пользователей, отправляете email-рассылки, показываете рекламу по базе, используете формы на сайте или CRM — вы обрабатываете персональные данные.

С 30 мая 2025 года в России начали действовать изменения в законе № 152-ФЗ, затрагивающие порядок работы с персональной информацией. Санкции за несоблюдение требований стали серьёзнее, а максимальный штраф за утечку данных теперь достигает 15 миллионов рублей.

Если вы работаете в сфере маркетинга, стоит учитывать, что требования закона распространяются не только на юристов, но и на всех, кто использует формы сбора данных, настраивает рекламу, занимается аналитикой или управляет подписками. В статье разберём, что именно изменилось, какие риски появились и как работать с данными клиентов так, чтобы всё было по правилам.

Кого касаются новые правила

Закон №152-ФЗ считает оператором того, кто использует чужие персональные данные и сам определяет, зачем они ему нужны и как с ними обращаться — будь то компания, ИП или обычный человек.

Если в рамках своей работы вы получаете и используете чьи-либо персональные данные — например, имейл, имя или номер телефона — вы попадаете под требования закона как лицо, ответственное за их обработку.

Фактически это касается всех, кто взаимодействует с чужими персональными данными — компания, самозанятый или физлицо, собирающее контакты клиентов через лендинги и CRM. Если вы собираете контакты через форму на сайте или используете системы аналитики, вы автоматически становитесь оператором персональных данных и обязаны соблюдать все требования закона.

Что поменялось в 2025 году

Закон №420-ФЗ изменил статью 13.11 КоАП и дополнил закон 152-ФЗ. Появились новые основания для штрафов — теперь наказывают не только за утечку данных, но и за то, что не сообщили в Роскомнадзор о начале обработки или о самой утечке. Это касается любых видов персональных данных: обычных, чувствительных и биометрических. Размеры штрафов стали намного выше.

При нарушении правил обращения с персональной информацией юридические лица могут быть оштрафованы на сумму от 150 до 300 тысяч рублей. Индивидуальные предприниматели и специалисты, отвечающие за обработку данных, несут ответственность в пределах 50-100 тысяч. Если такое нарушение происходит повторно, организациям грозят санкции в размере от 300 до 500 тысяч рублей.

Отметим также, что отменена 50%-я скидка при уплате штрафа в срок, а индивидуальных предпринимателей приравняли в ответственности к юридическим лицам. Если вы не государственный орган, штрафовать будут компанию; если же оператором является госорган, штраф заплатит должностное лицо. Таких денежных рисков для маркетолога ещё не было: ведь раньше максимальный штраф за утечку ограничивался десятками тысяч рублей, а теперь он измеряется миллионами.

Что маркетологам необходимо проверить

Чтобы соответствовать новым требованиям, проверьте все ключевые элементы работы с клиентскими данными:

• Формы и согласия. Убедитесь, что при сборе данных (через подписку на рассылку, регистрацию, опросы и др.) у вас есть явное согласие пользователя на обработку личной информации. Кнопка «Отправить» согласием не считается. Все чекбоксы должны быть не отмечены по умолчанию — пользователь сам ставит галочку «Согласен на обработку данных». В тексте согласия чётко пропишите цель сбора данных, полный перечень собираемых сведений, срок их хранения и порядок отзыва согласия. Например, если вы собираете email-адрес подписчика, это надо указать явно: «Я даю согласие на обработку моего адреса электронной почты для рассылки новостей…».

• Политика конфиденциальности. Убедитесь, что на вашем сайте опубликована действующая и актуальная политика в отношении обработки персональных данных. В ней должны быть описаны все виды собираемых данных (имена, электронные адреса, телефон, куки и т.д.), цели их использования, а также указано, как пользователь может отказаться от обработки. Закон требует размещать политику открыто на сайте и актуализировать её при любых изменениях обработки.

Обычно политику обработки данных размещают в футере

• Cookie и трекеры. Файлы cookie, идентификаторы и другие технологии отслеживания могут являться персональными данными (например, если они связаны с пользователем). Поэтому на сайте обязательно реализуйте явный баннер или pop-up с запросом согласия на обработку cookie. В такой форме пользователь нажимает «ОК» или «Согласен» — и только после этого вы можете сохранять данные об устройстве. Обновите политику конфиденциальности, добавив пункт о сборе cookie (нужно указать, какие именно данные и в каких целях собираются и как отказаться от их обработки).

• Email-рассылки и подписки. Адрес электронной почты — персональные данные, поэтому отправлять маркетинговые письма можно только с добровольного согласия пользователя. Убедитесь, что форма подписки предлагает подтвердить согласие (часто применяется двухэтапный opt-in: сначала пользователь оставляет email, затем получает письмо-подтверждение). В каждом письме должна быть понятная ссылка для отказа от email-рассылки.

• Сторонние сервисы и интеграции. Проверьте все внешние сервисы, которые используют данные ваших клиентов: CRM, почтовые сервисы, рекламные кабинеты, аналитические системы и т. д. Они действуют как обработчики данных, и с ними нужно заключить договоры о совместной обработке ПД. Особое внимание — расположению серверов: по российскому закону данные граждан РФ должны храниться на территории России. Используйте платформы, которые это обеспечивают.

• Передача данных другим организациям. Если вы передаёте заявки подрядчикам или партнёрам, требуется отдельное и осознанное согласие пользователя. Он должен заранее понимать, кто именно может получить его данные и для каких целей. Сегодня это почти нигде не реализовано корректно: человек заполняет форму на одном сайте, а потом получает звонки от нескольких компаний. Даже если согласие формально указано где-то в политике, этого недостаточно — информация должна быть представлена до отправки формы и в понятной форме. Закон пока слабо регулирует этот момент, несмотря на ужесточение требований.

Также проводите внутренний аудит хотя раз в год: проверьте, что сотрудники понимают свои обязанности, настроены контрольные процедуры, ведутся логи доступа. Убедитесь, что указана цель сбора данных, есть возможность отозвать согласие, а сроки и основания хранения обоснованы.

Используйте CRM с хранением данных в РФ, включайте проверку ПДн в каждый проект, фиксируйте согласия и прописывайте в договоре, кто отвечает за обработку данных.

Кто обязан уведомить Роскомнадзор

Согласно статье 22 Закона №152-ФЗ, «оператор до начала обработки ПД должен уведомить уполномоченный орган (РКН) о своём намерении». На практике это означает: всем, кто обрабатывает чужие персональные данные, надо один раз подать уведомление в Роскомнадзор. Исключения (например, для сборщика клиентских баз мобильных номеров) уже упразднены — значит формально обязанность есть у любого бизнеса, собирающего контакты клиентов.

По закону уведомление о начале обработки персональных данных нужно подать заранее — до того, как вы начнёте работать с информацией. На практике это означает, что все операторы должны были направить такое уведомление не позже 30 мая 2025 года, чтобы избежать новых штрафов.

После этой даты за отсутствие уведомления предусмотрено административное наказание: от 5 000 до 10 000 рублей для физических лиц и от 100 000 до 300 000 рублей для компаний и индивидуальных предпринимателей.

Уведомление направляется один раз — через личный кабинет на сайте Роскомнадзора (через «Госуслуги»), через ЭЦП или бумажным письмом в местное отделение. Если после этого меняются, например, контактные данные, цели обработки или другие сведения, обновлённую информацию необходимо передать в РКН в течение 10 рабочих дней. Несоблюдение этих правил может привести к штрафам и началу административного разбирательства.

Где нельзя собирать данные клиентов

С 1 июня 2025 года для ряда компаний введён запрет на использование Telegram, WhatsApp* и других зарубежных мессенджеров для взаимодействия с клиентами. Запрет коснулся банков, некредитных финансовых организаций, страховых компаний, операторов связи, маркетплейсов, площадок с объявлениями, социальных сетей и организаций, где доля участия государства в России превышает 50%. Ограничения на использование иностранных мессенджеров не касаются обычных онлайн-магазинов, которые продают товары от себя.

Теперь нельзя:

• отправлять сообщения о доставке или статусе заказа;

• рассылать персональные предложения и уведомления о конкурсах;

• даже просто отвечать на запрос клиента, если это происходит через иностранный мессенджер. Автоматические ответы тоже могут быть запрещены.

Даже если пользователь сам дал согласие — это всё равно будет нарушением. Юридическое лицо может получить штраф до 700 тысяч рублей.

В законе есть оговорка: компании всё ещё могут использовать иностранные мессенджеры для размещения открытого контента. Разрешено, к примеру, вести публичные каналы, выкладывать сторис или публиковать рекламные материалы, если они доступны всем и не рассчитаны на конкретных пользователей.

Как уничтожать персональные данные

Согласно закону, если персональные данные больше не нужны, их нужно удалить или обезличить. Это обязательно, например, когда цели обработки выполнены — в таком случае у оператора есть 30 дней на прекращение работы с информацией и её уничтожение или обезличивание.

Такие же сроки действуют и в ситуации, когда человек отзывает своё согласие: после получения отказа обработка прекращается, и если в данных больше нет необходимости, их нужно удалить в течение месяца.

Если удалить персональные данные в течение 30 дней не получается, например, из-за необходимости их временного хранения, доступ к ним нужно ограничить. Такие данные подлежат обязательному уничтожению в срок не позднее шести месяцев. Когда обработка прекращена и информация удалена, оператор обязан в течение 10 рабочих дней уведомить об этом Роскомнадзор — это часть общей процедуры по актуализации сведений об обработке персональных данных.

Что использовать для хранения данных

Платформа Altcraft обеспечивает безопасное хранение баз данных и помогает компаниям работать с информацией в полном соответствии с законодательством. В Altcraft CDP объединяются сведения о клиентах из разных каналов (e-mail, SMS, push и т.д.) в единой карточке.

Все данные могут храниться на серверах компании в России — это важно для соответствия требованиям Закона №152-ФЗ.

Altcraft поддерживает гибкие роли доступа: можно задавать, какие сотрудники и к каким данным клиентов имеют доступ. Кроме того, платформа обеспечивает двухфакторную аутентификацию и аудит действий пользователей (каждое изменение фиксируется в логах), что снижает риск утечки изнутри.

Благодаря этому маркетолог получает 360-градусный профиль клиента с гарантией безопасности, а главное — может строить персонализированную рассылку и аналитику, не боясь нарваться на штрафы.

Заключение

С 30 мая 2025 года начали действовать обновлённые требования к работе с персональными данными, и санкции за несоблюдение стали существенно жёстче. Маркетологам важно как можно быстрее проверить все процессы, где используются данные клиентов, и привести их в соответствие с законом. Это включает формы на сайте, тексты согласий, политику конфиденциальности, cookie-баннеры и подключённые внешние сервисы.

Не менее важно — провести инструктаж для сотрудников, чтобы каждый понимал, как безопасно работать с персональной информацией. Использование проверенных маркетинговых платформ, которые обеспечивают надёжное хранение баз данных, поможет избежать нарушений и спокойно продолжать использовать email-рассылки, CRM и другие инструменты в рамках закона.

*WhatsApp (продукт компании Meta, которая признана экстремистской организацией в России)

Подписывайтесь на наш Telegram-канал. Там вы найдёте самые интересные тренды и новости в сфере digital-маркетинга и технологий. Будьте в теме вместе с нами!