РОСКОМНАДЗОР и ПЕРСОНАЛЬНЫЕ ДАННЫЕ: Документы, Регистрация, Штрафы
📌 Важное обновление: с 30 мая 2025 года — новые правила для всех сайтов, которые собирают данные
Уже с сегодняшнего дня в силу вступили обновлённые требования закона о персональных данных. Если на вашем сайте есть форма заявки, чат, аналитика, подключён мессенджер, или вы просто запрашиваете телефон клиента — вы обязаны быть зарегистрированы в Роскомнадзоре как оператор персональных данных и соблюдать целый набор технических и юридических требований.
Почему это вообще происходит?
Можно по-разному относиться к ужесточению правил, но государство даёт вполне логичную установку:
если вы получаете данные человека — вы несёте за них ответственность.
И бизнесу предлагают выбор: либо работать по правилам, либо быть готовым к проверкам, предупреждениям и штрафам.
Что будет, если ничего не делать?
Да, в некоторых случаях всё может начаться с «мягкого» предупреждения — особенно если вы не государственная структура. Но…
в законе про предупреждения не сказано ни слова.
Там только штрафы. И суды всё чаще применяют именно штрафные меры, особенно при повторных обращениях.
Главное: штрафы приходят неожиданно. А исправляться задним числом уже поздно.
Суммы штрафов и санкции
| Нарушение | Физические лица | Должностные лица | ИП / Юрлица | Пример |
|---|---|---|---|---|
| Неуведомление Роскомнадзора о начале обработки ПДн | 5 000–10 000 ₽ | 30 000–50 000 ₽ | 100 000–300 000 ₽ | Вы собираете заявки на сайте, но не уведомили РКН |
| Неуведомление об утечке ПДн | 50 000–100 000 ₽ | 400 000–800 000 ₽ | 1 000 000–3 000 000 ₽ | Произошла утечка данных из вашей CRM, но вы не сообщили об этом |
| Неправомерная передача ПДн (1 000–10 000 субъектов) | 100 000–200 000 ₽ | 200 000–400 000 ₽ | 3 000 000–5 000 000 ₽ | Передали базу клиентов подрядчику для рассылки без их согласия |
| Неправомерная передача ПДн (10 000–100 000 субъектов) | 200 000–300 000 ₽ | 300 000–500 000 ₽ | 5 000 000–10 000 000 ₽ | Профилировали пользователей в рекламных целях без уведомления |
| Неправомерная передача ПДн (более 100 000 субъектов) | 300 000–400 000 ₽ | 400 000–600 000 ₽ | 10 000 000–15 000 000 ₽ | Продали или передали клиентскую базу маркетинговому агентству |
| Повторная неправомерная передача ПДн | 400 000–600 000 ₽ | 800 000–1 200 000 ₽ | от 20 000 000 ₽ или 1–3% от выручки | Второй раз повторили нарушение — например, утечка через внешний сервис |
| Незаконная передача биометрических ПДн | 400 000–500 000 ₽ | 1 300 000–1 500 000 ₽ | 15 000 000–20 000 000 ₽ | Собираете биометрию (фото, запись звонков), но не уведомили РКН |
| Повторная передача биометрических ПДн | 500 000–800 000 ₽ | 1 500 000–2 000 000 ₽ | от 25 000 000 ₽ или 1–3% от выручки | Повторно загрузили биометрию клиентов на сервер без согласия |
| Обработка ПДн без согласия субъекта | 10 000–15 000 ₽ | 100 000–300 000 ₽ | 300 000–700 000 ₽ | Нет чекбокса согласия в форме на сайте |
| Отсутствие политики обработки ПДн на сайте | 1 500–3 000 ₽ | 6 000–12 000 ₽ | 30 000–60 000 ₽ | На сайте нет политики ПДн — нигде не указано, как и какие данные обрабатываете |
| Непредоставление информации субъекту ПДн по его запросу | 2 000–4 000 ₽ | 8 000–12 000 ₽ | 40 000–80 000 ₽ | Клиент запросил свои данные, а вы не ответили или дали неполную информацию |
| Непрекращение обработки ПДн по требованию субъекта | 2 000–4 000 ₽ | 8 000–20 000 ₽ | 50 000–90 000 ₽ | Пользователь попросил удалить его данные, но вы продолжаете обработку |
| Нарушение условий хранения ПДн без автоматизации | 1 500–4 000 ₽ | 8 000–20 000 ₽ | 50 000–100 000 ₽ | Храните анкеты клиентов в открытом Excel-файле на Яндекс.Диске без шифрования |
| Нарушение требований к локализации ПДн | 30 000–50 000 ₽ | 100 000–200 000 ₽ | 1 000 000–6 000 000 ₽ | Используете зарубежную CRM систему, храните данные в Google Docs или Telegram-чате |
| Повторное нарушение требований к локализации ПДн | 50 000–100 000 ₽ | 500 000–800 000 ₽ | 6 000 000–18 000 000 ₽ | Несмотря на замечание, вы продолжаете использовать иностранные хостинги |
Актуальная информация о штрафах и санкциях за нарушения в области получения, храния и обработки ПДн: КоАП РФ Статья 13.11.
Это касается всех. Почему?
- Даже если у вас только телефон в форме — это уже потенциальная идентификация.
- Даже если чат на сайте от Битрикс24 — он может собирать имя и сообщения.
- Даже если вы ИП или фрилансер — закон одинаков для всех.
- Даже если у вас нет сайта — как предприниматель вы должны быть в реестре РКН.
- Даже если вы считаете, что «у нас нет ничего личного» — поверьте, проверяющий найдёт.
Современная государственная система BigData не оставила шансов затеряться среди миллионов других компаний, ИП и самозанятых.
Достаточно автоматически сравнить ваш ИНН с записью в реестре РосКомНадзора. Если записи нет — жди беду. Если она не корректна или сделана по шаблону — жди проверку.
Возможно, именно у вас всё не так плохо
Мы работали над многими вашими сайтами, и вполне вероятно, что часть элементов — политика, HTTPS, чекбоксы — у вас уже реализована.
Но это не отменяет необходимости проверки. Потому что:
- Уведомление в Роскомнадзор подавать нужно.
- Все документы должны быть актуальными, полными (посмотрите "политику" Яндекса, например) и согласованы между собой на случай проверки.
- Трансграничная передача (если у вас Google Analytics, Telegram, WhatsApp) требует отдельного уведомления.
- Согласие должно быть оформлено правильно: не заранее отмечено, с гиперссылкой на политику, до отправки формы.
- Даже голосовое сообщение в чате от клиента или запись совместной видеоконференции - это уже сбор и хранение ПДн, да ещё и биометрия.
- На каждый IT-сервис, в котором вы работаете с персональными данными (хостинг вашего сайта, база 1С или онлайн-бухгалтерии, CRM-система, Яндекс.Диск с фотографиями клиентов или Яндекс.Метрика на сайте), нужна отдельная запись в реестре и политике конфиденциальности.
Чеклист для самопроверки: всё ли у вас в порядке?
- У вас есть политика конфиденциальности на сайте, и она соответствует фактической обработке данных со всеми подробностями?
- Под каждой формой стоит чекбокс с согласием на обработку ПДн и ссылкой на политику, не отмеченный по умолчанию?
- Вы уведомили Роскомнадзор об обработке ПДн через сайт, и вы есть в реестре pd.rkn.gov.ru?
- Используются ли только российские сервисы для передачи данных (или вы уведомили о трансграничной передаче)?
- У вас есть приказ о назначении ответственного за обработку ПДн и журнал обращений субъектов?
- Настроены ли cookie-баннер и аналитика, с учётом новых правил?
- Все данные клиентов, сотрудников и заявок хранятся на сервере в РФ, защищены и не «гуляют» по облакам?
Если вы не можете утвердительно ответить хотя бы на один из этих вопросов — стоит разобраться.
Посмотрите наше видео, в котором мы подробно разъясняем все пункты и приводим примеры:
Вот как мы можем помочь:
Мы предлагаем комплексную услугу по легализации обработки персональных данных:
- 🔎 Аудит сайта и сервисов
- 📄 Подготовка всех документов
- ⚙️ Настройка чекбоксов, баннеров и уведомлений
- 📝 Подача уведомления в Роскомнадзор
- 🎓 Обучение и инструкция для сотрудников
Срок: от 3–5 рабочих дней
Стоимость: от 15 000 ₽
Воспользуйтесь калькулятором стоимости, чтобы рассчитать цену за работы по данной услуге.
Если вы хотите просто спросить, нужно ли это вам — напишите или позвоните нам.
Посмотрим вместе и дадим честную оценку: критично, не критично или уже всё ок 👍
WhatsApp: +74959904678
Телефон: 8 (800) 302-33-63