Связаться со мной:

Помощь по вашему проекту или 2 бесплатных курса по SEO

смайлик

Связаться со мной:

  1. Главная /
  2. Блог /
  3. Как бизнесу не нарваться на штрафы? Руководство для предпринимателей по обработке персональных данных в 2026 году

Как бизнесу не нарваться на штрафы? Руководство для предпринимателей по обработке персональных данных в 2026 году

автор

статья от

Алексей Лазутин

Специалист по поисковому маркетингу

В современном цифровом мире сбор и обработка персональных данных — неотъемлемая часть любой бизнес-модели. От интернет-магазинов до клиник, от маркетплейсов до страховых агентств: каждый, кто взаимодействует с клиентами или сотрудниками, становится оператором персональных данных. Но за этой кажущейся простотой скрывается сложная правовая система, нарушение которой может привести к многомиллионным штрафам, блокировке сайта и репутационному кризису. С 2025 года требования к обработке персональных данных в России ужесточились в разы. Бизнес, который игнорирует эти нормы, рискует не только деньгами, но и самой возможностью продолжать работу. В этой статье мы подробно разберём, что изменилось в законодательстве, как правильно организовать обработку данных, какие ошибки чаще всего допускают предприниматели и как подготовить свой бизнес к проверкам Роскомнадзора — без привлечения юридических консультантов на каждый шаг, но и без рисков.

Что такое персональные данные и почему они подпадают под строгий контроль?

Персональные данные — это любая информация, которая позволяет идентифицировать конкретного человека. Это не только очевидные данные, такие как фамилия, имя, отчество, номер телефона или адрес электронной почты. К персональным данным также относятся:

  • Дата рождения и паспортные данные
  • СНИЛС, ИНН, номер водительского удостоверения
  • Фотографии и видео, на которых видно лицо человека
  • Геолокация (если она привязана к личности)
  • История покупок и поведение на сайте
  • Данные из CRM-систем, чатов, форм обратной связи
  • Даже IP-адрес или cookie-файлы, если они используются для профилирования пользователя

Важно понимать: персональные данные — это не просто техническая информация. Это часть личной жизни человека, его приватности, свободы и безопасности. Именно поэтому государство строго регулирует их обработку. Любое несанкционированное использование, утечка или неправильная передача этих данных может привести к мошенничеству, вымогательству, спаму или даже физической опасности.

Вы становитесь оператором персональных данных, если:

  • Нанимаете сотрудников и ведёте их личные дела
  • Ведёте базу клиентов, даже если она в Excel-файле
  • Используете формы на сайте для сбора имён, телефонов или email
  • Отправляете рассылки по электронной почте
  • Общаетесь с клиентами через WhatsApp, Telegram или другие мессенджеры
  • Собираете отзывы, заявки, заказы — даже если они не требуют регистрации

Даже если у вас нет сайта, но вы ведёте клиентскую базу через телефон или бумажные карточки — закон всё равно распространяется на вас. Нет исключений для малого бизнеса, стартапов или индивидуальных предпринимателей. Неважно, насколько маленький у вас офис или сколько клиентов вы обслуживаете в месяц — если есть хоть один телефонный номер, вы обязаны соблюдать закон.

Что именно изменилось в законе «О персональных данных»: шесть ключевых требований

С 30 мая 2025 года вступили в силу новые поправки к Федеральному закону № 152-ФЗ «О персональных данных». Эти изменения не являются мелкими корректировками — они перестраивают всю систему работы с данными в России. Ниже мы подробно разберём шесть ключевых изменений, на которые нужно обратить внимание каждому предпринимателю.

1. Уведомление в Роскомнадзор: теперь это обязательный шаг до начала работы

Раньше операторы могли подавать уведомление о начале обработки персональных данных в течение трёх месяцев после начала работы. Сейчас это стало невозможным. Согласно новой редакции закона, уведомление необходимо подать до того, как вы начнёте собирать какие-либо данные. Это означает: если вы планируете запустить форму обратной связи на сайте, прежде чем её разместить — вы уже должны подать уведомление.

Существует три способа подачи:

  1. Электронная форма с печатью: заполнить форму на сайте Роскомнадзора, распечатать её и отправить по почте.
  2. Электронная подпись: сформировать документ и отправить его через защищённую систему с использованием квалифицированной электронной подписи (КЭП).
  3. Портал Госуслуг: наиболее удобный способ — подать уведомление через личный кабинет на Госуслугах, где система автоматически формирует документ и направляет его в Роскомнадзор.

Исключения есть, но их мало: уведомление не требуется, если данные хранятся исключительно на бумаге и не используются в автоматизированных системах, либо если они находятся в государственных информационных системах (например, ЕГРЮЛ или ФСС). Для всех остальных — обязательная подача уведомления.

Штрафы за отсутствие уведомления:

Категория нарушителя Размер штрафа за первое нарушение
Физические лица 5 000 – 10 000 ₽
Должностные лица (менеджеры, руководители) 30 000 – 50 000 ₽
Индивидуальные предприниматели и организации 100 000 – 300 000 ₽

Если нарушение повторяется, штрафы увеличиваются вдвое. Уведомление — это не формальность, а первый и самый важный шаг к легальной работе с персональными данными.

2. Локализация данных: хранить только на серверах в России

Одно из самых серьёзных изменений — требование о локализации. С 1 марта 2023 года, а с 2025 года — в полной мере, все персональные данные граждан России должны обрабатываться и храниться исключительно на серверах, расположенных на территории Российской Федерации.

Что это значит на практике?

  • Если вы используете зарубежный хостинг (например, AWS, Google Cloud или Azure за пределами РФ) — это нарушение.
  • Если ваш сайт подключен к сервису аналитики (например, Google Analytics) — это нарушение.
  • Если в форме заказа кнопка «Отправить» направляет данные на серверы за рубежом — это нарушение.

Особенно критично это для мессенджеров. Если на сайте есть кнопка «Написать в WhatsApp» или «Поддержка в Telegram», и при клике пользователь попадает на серверы Meta или Telegram, расположенные за пределами России — это считается трансграничной передачей персональных данных. А такая передача запрещена, если она не была заранее уведомлена и одобрена Роскомнадзором.

С 2025 года даже попытка передать данные за границу без предварительного уведомления в Роскомнадзор может быть расценена как нарушение. А если вы используете иностранные CRM-системы, маркетинговые платформы или инструменты аналитики — вам нужно провести аудит всех сервисов, с которыми взаимодействует ваш сайт.

Штрафы за нарушение требований локализации:

Тип нарушения Размер штрафа
Первое нарушение (организации) До 6 000 000 ₽
Повторное нарушение (организации) До 18 000 000 ₽

Эти суммы могут уничтожить даже крупный бизнес. Поэтому выбор хостинга — не технический вопрос, а юридический обязательный шаг. Решение: используйте российские хостинг-провайдеры, проверенные на соответствие закону. Убедитесь, что ваша CMS, формы и аналитика работают исключительно с российскими серверами.

3. Согласие на обработку: больше никаких «согласия в договоре»

С 1 сентября 2025 года согласие на обработку персональных данных больше не может быть «спрятано» в пользовательском соглашении, договоре или оферте. Это требование стало прямым ответом на распространённую практику: «Пользователь, регистрируясь на сайте, автоматически соглашается со всеми условиями».

Теперь согласие должно быть:

  • Отдельным документом: отдельная страница с текстом согласия, доступная до отправки формы.
  • Визуально выделенным: чекбокс, который нельзя пропустить, с полным текстом согласия (не ссылкой на него).
  • Без предустановленной галочки: автоматическое согласие — запрещено.
  • Целевым: одно согласие — одна цель. Если вы хотите использовать данные для рекламы, а пользователь дал согласие только на доставку заказа — вы не имеете права использовать их для маркетинга.

Например, если вы собираете email для подписки на рассылку — у вас должна быть отдельная форма с чекбоксом: «Согласен на получение рекламных материалов». Если позже вы захотите использовать эти же email-адреса для рассылки акций от партнёров — вам нужно получить новое согласие.

Также важно: пользователь должен иметь возможность легко отозвать согласие. На каждой странице, где собираются данные, должна быть ссылка на политику конфиденциальности и кнопка «Отозвать согласие».

Штрафы за неправильное оформление согласия:

Категория нарушителя Размер штрафа
Индивидуальные предприниматели и организации До 700 000 ₽

Это одна из самых частых причин штрафов — и самая лёгкая для исправления. Просто добавьте отдельный чекбокс с текстом согласия — и вы сразу снижаете риски.

4. Передача обезличенных данных в ГИС

Новое требование: компании, обрабатывающие персональные данные, обязаны уметь их обезличивать. Обезличивание — это процесс удаления всех данных, которые позволяют идентифицировать личность: имя, телефон, email, паспорт, ИНН. После обезличивания данные больше не относятся к персональным, и их можно использовать для аналитики без ограничений.

С 2025 года Роскомнадзор требует, чтобы такие обезличенные массивы передавались в Государственную информационную систему (ГИС) по запросу Минцифры. Это не означает, что вы должны передавать все данные — только те, которые были обезличены в соответствии с методиками, утверждёнными приказом Роскомнадзора №140 от 19.06.2025.

Как это работает на практике?

  • Вы собираете данные клиентов для анализа поведения на сайте.
  • Перед тем как отправить их в аналитическую систему — вы удаляете все идентифицирующие поля.
  • Остаются только: время посещения, страницы, действия (клик, добавление в корзину).
  • Такие данные можно передавать в ГИС — они уже не являются персональными.

Важно: обезличивание — это не просто удаление имени. Это сложный процесс, требующий технической настройки. Нужно использовать алгоритмы, которые заменяют уникальные идентификаторы на случайные коды, маскируют IP-адреса и удаляют метаданные. Это требует участия технических специалистов.

Если вы не обезличиваете данные, но передаёте их в ГИС — это нарушение. Если вы не можете обезличить данные — вам нужно убедиться, что они вообще не попадают в ГИС. В любом случае — вам нужно иметь документ, подтверждающий методы обезличивания.

5. Активные проверки: Роскомнадзор теперь сам ищет нарушения

Раньше проверки происходили только по жалобам или в рамках плановых мероприятий. Сейчас Роскомнадзор использует автоматизированные системы мониторинга, которые сканируют сайты на наличие нарушений закона о персональных данных. Эти системы работают 24/7, и они не нуждаются в жалобах.

Какие сайты проверяют чаще всего?

  • Интернет-магазины
  • Банковские и финансовые сервисы
  • Медицинские клиники и аптеки
  • Сайты с формами регистрации, заказа или обратной связи
  • Платформы для онлайн-обучения и подписок

Система проверяет:

  • Есть ли политика конфиденциальности?
  • Содержит ли она информацию о целях обработки, сроках хранения и правах пользователя?
  • Есть ли чекбокс с согласием? Без предустановленной галочки?
  • Данные хранятся на серверах в РФ?
  • Есть ли уведомление в Роскомнадзоре?

Если система обнаруживает нарушение — она автоматически формирует акт и направляет его в Роскомнадзор. Через несколько дней вы получите уведомление о проверке — и вам придётся предоставить документы, доказывающие соответствие закону.

Нельзя сказать: «Мы не знали». Автоматизация сделала невежество неприемлемым оправданием. Если ваш сайт не соответствует требованиям — он будет найден.

6. Утечка данных: штрафы до 15 миллионов рублей

Самый страшный сценарий — утечка персональных данных. Это может произойти по разным причинам:

  • Взлом сайта из-за уязвимостей в CMS
  • Слабые пароли сотрудников
  • Потеря или кража ноутбука с базой клиентов
  • Неправильная настройка доступа к облачным хранилищам
  • Фишинг-атаки на сотрудников

Важно: ответственность за утечку лежит на операторе — даже если вы не виноваты. Например, сотрудник случайно открыл фишинговое письмо и скопировал базу — это ваша ответственность. Взлом сайта через уязвимость в платформе — ваша ответственность. Потеря флешки с данными — ваша ответственность.

Если утечка затронула более 100 000 человек — штраф составит от 10 до 15 миллионов рублей. Это может привести к банкротству компании.

Но это не самое страшное. Главное — сроки реагирования. В течение 24 часов после обнаружения утечки вы обязаны:

  1. Подать уведомление в Роскомнадзор.
  2. Уведомить всех пострадавших пользователей (если утечка может повредить их правам).
  3. Провести расследование и подготовить отчёт об устранении последствий.

Если вы не подали уведомление в течение 24 часов — к штрафу за утечку добавляется ещё один штраф за несвоевременное уведомление. Это может быть двойной удар.

Рекомендация: разработайте план реагирования на инциденты. Он должен включать: как обнаружить утечку, кто отвечает за уведомление, какие данные передавать в Роскомнадзор и как предотвратить повторение.

Чек-лист: что нужно сделать предпринимателю, чтобы соблюсти закон

Соблюдение закона о персональных данных — это не разовая задача. Это непрерывный процесс, требующий внимания и системного подхода. Ниже — подробный чек-лист, который поможет вам пройти все этапы подготовки к проверке Роскомнадзора.

  1. Определите, обрабатываете ли вы персональные данные. Если есть хоть один телефон, email или фото — ответ: да. Продолжайте.
  2. Составьте перечень всех источников сбора данных. Сайт, формы, CRM, мессенджеры, приложения, бумажные заявки — всё это нужно учесть.
  3. Подайте уведомление в Роскомнадзор до начала обработки. Используйте портал Госуслуг — это самый простой способ. Сохраните подтверждение.
  4. Перенесите сайт на российский хостинг. Проверьте, где расположены серверы вашего хостинг-провайдера. Убедитесь, что все сервисы (аналитика, почта, CRM) работают только на российских серверах.
  5. Создайте отдельную страницу «Политика конфиденциальности». В ней должны быть: цели обработки, сроки хранения, права пользователей, контакты для обращений. Разместите ссылку на неё в футере сайта и на каждой странице, где собираются данные.
  6. На всех формах добавьте отдельный чекбокс с согласием. Текст согласия — не ссылка, а полный текст. Галочка не должна быть предустановлена.
  7. Разработайте отдельные формы согласия для разных целей. Одно — для подписки, другое — для участия в акции, третье — для рекламных рассылок.
  8. Настройте обезличивание данных для аналитики. Убедитесь, что данные, передаваемые в Google Analytics или Яндекс.Метрику, не содержат идентифицирующих полей.
  9. Проверьте все интеграции с зарубежными сервисами. WhatsApp, Telegram, Mailchimp, Google Forms — отключите их или замените на российские аналоги.
  10. Внедрите политики безопасности для сотрудников. Установите сложные пароли, включите двухфакторную аутентификацию, запретите хранение баз на флешках.
  11. Разработайте план реагирования на утечку данных. Кто отвечает за уведомление? Какие данные нужно передать в Роскомнадзор? Кто будет писать отчёт?
  12. Проведите внутренний аудит раз в квартал. Проверьте все формы, хостинг, аналитику, базы. Обновляйте политики при изменениях в бизнесе.

Этот чек-лист — не рекомендация, а обязательный набор действий. Пропустив хотя бы один пункт, вы рискуете получить штраф в размере сотен тысяч рублей.

Технические решения: как сделать сайт законным

Сайт — это основной канал сбора персональных данных. Если он не соответствует требованиям закона — весь ваш бизнес под угрозой. Ниже мы разберём, как правильно настроить сайт с технической точки зрения.

1. Выбор хостинга

Первое правило: сервер должен находиться в России. Проверяйте не только страну хостинг-провайдера, но и физическое расположение серверов. Многие компании заявляют «российский хостинг», но используют дата-центры в Казахстане или Германии — это нарушение.

Проверяйте:

  • IP-адрес сервера — он должен быть в диапазоне, выделенном для России.
  • Кто владелец дата-центра? Он должен быть зарегистрирован в РФ.
  • Есть ли у провайдера документы, подтверждающие соответствие закону №152-ФЗ?

Рекомендуемые российские хостинги: Reg.ru, Timeweb, Beget, Selectel, SberCloud.

2. Настройка форм и согласий

Формы — самая уязвимая часть сайта. Они должны быть настроены так:

  • Все поля с персональными данными — только после согласия.
  • Чекбокс должен быть неотмеченным по умолчанию.
  • Текст согласия должен быть полным, а не ссылкой.
  • Над чекбоксом должна быть ссылка на политику конфиденциальности.
  • После отправки формы — появляется подтверждение, что данные обрабатываются в соответствии с политикой.

Пример корректного чекбокса:

Пример корректного согласия:

Важно: ссылка на политику должна вести на страницу, а не на PDF-файл. Текст должен быть полностью читаем без скачивания.

3. Политика конфиденциальности

Это не просто «взял шаблон из интернета и вставил». Политика — это юридический документ, который должен содержать:

  • Название оператора (ФИО ИП или полное наименование компании)
  • Цели обработки данных (доставка, рассылка, улучшение сервиса)
  • Перечень обрабатываемых данных (ФИО, телефон, email и т.д.)
  • Сроки хранения данных (например, «3 года после последнего обращения»)
  • Права субъектов данных: доступ, исправление, удаление, отзыв согласия
  • Способы связи с ответственным за обработку данных (email, телефон)
  • Сведения о передаче данных третьим лицам (если есть)
  • Меры по защите данных

Политика должна быть размещена в футере сайта и на всех страницах, где есть формы. Доступ к ней должен быть одним кликом.

4. Cookie-баннеры

Если вы используете аналитику, рекламные сети или куки — вам нужен баннер с согласием. Он должен:

  • Быть видимым при первом заходе на сайт
  • Содержать текст: «Мы используем файлы cookie для улучшения работы сайта. Продолжая использовать сайт, вы соглашаетесь с нашей Политикой конфиденциальности»
  • Иметь кнопки «Принять» и «Отклонить»
  • Не блокировать контент до согласия
  • Позволять отменить согласие в любое время (через настройки)

Баннеры, которые просто говорят «Продолжая использовать сайт, вы соглашаетесь» — уже не соответствуют закону. Нужно активное согласие.

5. Юридическая информация в футере

Если ваш сайт используется для рекламы или продажи товаров/услуг — в футере должны быть:

  • Полное наименование компании или ИП
  • ИНН, ОГРНИП
  • Email для обращений по вопросам персональных данных
  • Физический адрес

Это требование не только для персональных данных, но и для закона о рекламе. Нарушение — штраф до 500 тысяч рублей.

Что делать, если вы уже нарушили закон?

Если вы только сейчас узнали о требованиях и понимаете, что ваш сайт не соответствует закону — не паникуйте. Главное — действовать быстро и системно.

Пошаговый план исправления:

  1. Остановите сбор новых данных. Временно отключите все формы, чаты и аналитику, которые собирают персональные данные.
  2. Проведите аудит всех источников данных. Составьте список: где, как и зачем вы собираете данные?
  3. Перенесите сайт на российский хостинг. Это приоритет №1 — даже если остальные пункты займут время, хостинг нужно сменить немедленно.
  4. Создайте политику конфиденциальности и добавьте её на сайт. Используйте юридический шаблон, но адаптируйте под ваш бизнес.
  5. Настройте чекбоксы с согласием на всех формах. Не используйте «согласие в договоре» — только отдельные блоки.
  6. Подайте уведомление в Роскомнадзор. Сделайте это как можно скорее — даже если вы уже собирали данные, уведомление всё равно подаётся.
  7. Удалите все старые базы данных, которые не используются. Если данные хранятся без цели — удалите их. Это снижает риски утечки.
  8. Обучите сотрудников. Объясните им, что делать с данными: не пересылать по почте, не хранить на флешках, использовать только защищённые каналы.
  9. Назначьте ответственного за персональные данные. Это может быть руководитель, бухгалтер или внешний консультант. Он будет контролировать соблюдение требований.

Если вы уже получили предупреждение от Роскомнадзора — не игнорируйте его. Ответьте в срок, предоставьте все документы и подтвердите, что исправили нарушения. Часто этого достаточно, чтобы избежать штрафа.

Выводы и рекомендации: безопасность как конкурентное преимущество

Закон о персональных данных — не враг бизнеса. Это инструмент, который защищает как потребителей, так и ответственных предпринимателей. Компании, которые соблюдают требования закона, получают:

  • Защиту от штрафов — миллионы рублей в год.
  • Доверие клиентов — люди охотнее оставляют данные тем, кто заботится о их приватности.
  • Преимущество перед конкурентами — если ваш сайт «законный», а у конкурента — нет, клиенты выбирают вас.
  • Стабильность бизнеса — вы не зависите от внезапных проверок и блокировок.

Сегодня не соблюдать закон — значит рисковать жизнеспособностью бизнеса. Каждый предприниматель должен понимать: закон о персональных данных — это не «дополнительная нагрузка», а основа устойчивого развития. Технические решения, юридическая подготовка и культура работы с данными — это не расходы, а инвестиции в будущее.

Рекомендации:

  • Не откладывайте. Чем раньше вы начнёте приводить бизнес в соответствие — тем меньше рисков.
  • Не полагайтесь на «всё пройдёт». Роскомнадзор не ошибается — он проверяет автоматически.
  • Обратитесь к юристу. Правильная политика конфиденциальности — это не шаблон, а индивидуальный документ. Потратьте 10 тысяч рублей на юриста — и сэкономьте миллионы.
  • Делайте аудит раз в квартал. Технологии меняются, законы ужесточаются — ваши процессы должны быть в курсе.
  • Используйте российские решения. Это не политика — это требование закона.

Закон не наказывает за ошибку. Он наказывает за бездействие. Если вы знаете, что нужно сделать — сделайте это сегодня. Ваш бизнес, ваши клиенты и ваша репутация того стоят.

Похожие материалы

  1. Как подать уведомление в Роскомнадзор об обработке персональных данных на сайте
  2. Персональные данные на сайте: что нужно сделать, чтобы не получить штраф
  3. Как не получить штраф по 152-ФЗ: Полный чек-лист для владельцев сайтов и операторов персональных данных
  4. Как соблюдать ФЗ-152: практическое руководство для бизнеса по защите персональных данных

Содержание

Увеличенная версия изображения