Новый порядок обработки персональных данных: как избежать штрафов

С 30 мая 2025 года вступили в силу важные изменения в Закон № 152-ФЗ «О персональных данных». Их игнорирование — прямой путь к крупным административным штрафам, блокировке сайта.

Новая редакция закона — это кардинальный пересмотр подходов к сбору, хранению и использованию персональных данных, с акцентом на превентивный надзор, цифровую прозрачность и технологическую прослеживаемость.

В этом материале — системный разбор ключевых изменений, их правовых оснований и практических последствий для предпринимателей, руководителей digital-команд, владельцев сайтов.

Почему это изменение нельзя игнорировать

Ранее уведомление Роскомнадзора о начале обработки персональных данных можно было подать после фактического начала работы с ними. С 30 мая 2025 года такой подход признан недопустимым. Закон требует предварительного уведомления РКН — до начала сбора, хранения и любой другой обработки персональных данных.

Это затрагивает:

• владельцев интернет-магазинов;
• офлайн-компании, собирающие клиентские данные через CRM;
• самозанятых, фрилансеров и ИП, работающих с заявками, резюме, регистрациями и подписками;
• все организации, у которых на сайте есть формы сбора e-mail, телефонов, ФИО.

Новый порядок уведомления Роскомнадзора: пошагово

1. До обработки — уведомление РКН

Не после запуска сайта или начала продаж, а до. Даже если собирается только один параметр (например, email или телефон), уведомление обязательно.

2. При любых изменениях — повторное уведомление

Закон требует повторной подачи уведомления в течение 30 календарных дней, если изменилось что-либо из следующего:

• виды собираемых данных (например, добавили e-mail к телефону);
• цели обработки (например, добавили рассылку);
• технические параметры сайта (например, изменен хостинг или добавлена аналитика);
• передача данных третьим лицам (например, подключен колл-центр или CRM);
• переход на облачные сервисы (Notion, Google, Яндекс, Tilda и пр.).

3. Уведомление — через портал госуслуг или личный кабинет Роскомнадзора

Форма стала более подробной, требует описания технических и организационных мер безопасности, описания целей обработки, категорий субъектов и перечня персональных данных.

Юридический акцент: уведомление не освобождает от соблюдения всех других обязанностей, включая наличие правовых оснований, оформление согласий, обеспечение безопасности и возможность отзыва согласия субъектом данных.

Cookie-файлы признаны персональными данными

Один из ключевых поворотных пунктов изменений — официальное признание cookie-файлов и технических идентификаторов (IP-адреса, device ID, pixel ID) — персональными данными. Это обязывает компании и ИП:

• получить явное согласие на использование cookie с разделением по категориям (технические, аналитические, маркетинговые);
• предоставить пользователю возможность отказаться от несущественных cookie (например, трекинга);
• обновить политику конфиденциальности, включая описание используемых cookie, их цели, сроки хранения и методы отзыва согласия.

Требования к cookie-баннерам:

• баннер должен появляться до начала установки файлов;
• пользователь должен самостоятельно принять несущественные категории;
• форма согласия не может быть «по умолчанию проставлена».

Правовые основания и последствия трансграничной передачи

Важное уточнение касается локализации хранения: персональные данные граждан РФ обязаны храниться на серверах, расположенных на территории РФ. Использование зарубежных сервисов автоматически квалифицируется как трансграничная передача, которая:

• должна быть отдельно указана в уведомлении в РКН;
• допускается только при наличии письменного согласия субъекта данных;
• может быть ограничена или запрещена в случае угрозы правам граждан.

Юридическое последствие: нарушение правил трансграничной передачи может повлечь не только штраф, но и блокировку сайта по решению суда (ст. 15.5 закона № 149-ФЗ).

Ответственность за утечку данных и новые сроки

С 30 мая 2025 года закон усилил регламент реагирования на инциденты, связанные с нарушением конфиденциальности персональных данных. Установлены жесткие сроки:

• 24 часа — на уведомление Роскомнадзора о факте утечки;
• 72 часа — на подачу отчета с подробным описанием инцидента, его причин, масштаба, последствий и принятых мер.

Невыполнение сроков влечет:

• штраф до 3 млн рублей за первичное нарушение;
• при повторной утечке — до 3% от оборота компании, но не менее 20 млн рублей.

Также возможно применение статьи 13.11 КоАП РФ, блокировка ресурса и приостановка деятельности (в отдельных случаях — при наличии угрозы безопасности).

Обязательные документы: перечень для оператора ПДн

Любая компания или ИП, обрабатывающие персональные данные, должны иметь в наличии:

1. Политику обработки ПДн, размещенную на сайте;
2. Локальные акты, регулирующие внутренний порядок сбора, хранения и передачи данных;
3. Журнал учета и движения персональных данных;
4. Модель угроз и описание мер защиты, особенно при обработке данных в IT-среде;
5. Формы согласий — добровольных, информированных, раздельных по целям;
6. Приказы о назначении ответственных за защиту ПДн.

Закон защищает интересы не только государства, граждан, но и бизнеса:

• снижает репутационные риски;
• повышает доверие потребителей;
• дает компаниям, соблюдающим требования, преимущество перед «теневыми» игроками.

Бизнес, внедривший соответствие 152-ФЗ, выигрывает не только в юридическом аспекте, но и в лояльности клиентов — особенно в сегментах, где работа с данными является ядром бизнес-модели.

Если вы не уверены, соответствует ли ваша деятельность требованиям, — начните с аудита. В 2025 году незнание — уже не оправдание, а триггер для проверки и санкций. Закон работает. Вопрос в том, на чьей вы стороне — риска или устойчивости.