С 30 мая Роскомнадзор начнёт штрафовать за сбор телефонов и e-mail без регистрации. Рассказываем, как защититься за 30 минут.
О каком штрафе идёт речь и кто в зоне риска
С 30 мая 2025 года вступают в силу поправки к статье 13.11 КоАП РФ (закон № 420-ФЗ от 30.11.2024). Штрафы за нарушение закона о персональных данных значительно увеличатся. Наказывать будут не только за утечки, но и за повседневные ошибки, которые раньше оставались без последствий.
За что теперь будут штрафовать:
- Не подали уведомление в Роскомнадзор. Зарегистрироваться нужно до начала сбора данных — даже если вы просто собираете e-mail через форму на сайте или в боте.
- Не обновили сведения. Например, сменили фамилию, контактные данные или начали собирать новые типы данных, но не внесли изменения в уведомление.
- Не сообщили об утечке. На уведомление даётся 24 часа, ещё 72 часа — на подробный отчёт. Даже доступ сотрудника без официального допуска считается инцидентом.
- Передали данные подрядчику без согласия. Например, отдали таблицу с заявками разработчику, агентству или запустили рекламу на похожую аудиторию — без согласия или договора-поручения это нарушение.
- Нет политики конфиденциальности и согласий. Политика должна быть на сайте, а согласие — оформлено корректно. Просто чекбокс «я согласен» — недостаточно.
- Нет cookie-баннера. Если сайт использует инструменты аналитики или рекламы, которые собирают данные о пользователях (например, Яндекс Метрику или Google Analytics), необходимо заранее запросить согласие. Баннер должен позволять выбрать, какие cookie разрешить: технические, аналитические или рекламные. Кнопка «ОК» без альтернативы — нарушение.
О какой сумме идёт речь
Размер штрафа зависит от характера нарушения. За формальные ошибки — например, отсутствие уведомления или некорректное согласие — можно получить от 5 000 ₽ для физлица до 300 000 ₽ для компании.
Если произошла утечка данных, вы не сообщили о ней вовремя или допустили системное нарушение — штраф может вырасти до 3 млн ₽.
При повторных, грубых или массовых нарушениях применяется оборотный штраф — до 3% от годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Это уже серьёзный риск даже для среднего бизнеса.
Кто в зоне риска
По закону № 152-ФЗ оператором персональных данных считается тот, кто организует или поручает их обработку — даже если сам к этим данным не прикасается. Ответственность может нести и тот, кто фактически участвует в сборе, но делает это от своего имени или без поручения от клиента.
По сути, под действие закона попадает любой специалист, работающий с клиентами онлайн: маркетолог, таргетолог, дизайнер, разработчик, продюсер. Даже если данных немного и всё «делается для клиента».
В зоне риска:
— Специалисты по рекламе, запускающие лид-формы со своих рекламных кабинетов — формально именно они собирают данные.
— Продюсеры и разработчики, передающие клиенту таблицы с заявками, если не оформлено поручение и нет согласия на передачу.
— Эксперты и онлайн-школы, которые собирают заявки на консультации или курсы, ведут списки участников, получают отзывы и хранят всё это в CRM, Notion или таблицах.
— Самозанятые и ИП, которые работают напрямую с клиентами и собирают данные через сайт, переписку или формы бронирования.
А кто не подпадает под требования закона
Исключения предусмотрены только для тех, кто обрабатывает данные для личных или семейных нужд, а также только вручную — без компьютера, интернета, таблиц и CRM.
Но если вы хотя бы раз сохраняете информацию в Excel, Google Таблицы, CRM, чат-боте или рассылке — вы подпадаете под действие закона, даже если не считаете это «обработкой».
Что сделать в первую очередь, чтобы не попасть под штраф
Это базовые вещи, которые проверяют в первую очередь.
Отключите Google Аналитику на сайте, так как его использование по закону считается трансграничной передачей данных на территорию иностранного государства. Нужно сначала уведомить Роскомнадзор, что вы хотите использовать этот сервис, а только потом подключать, если не придёт отказ от ведомства. Не наоборот.
1. Зарегистрируйтесь как оператор персональных данных
По закону уведомление в Роскомнадзор нужно подать до начала сбора данных. Если вы этого не сделали — подайте заявление сейчас, чтобы не получить штраф при первой проверке или жалобе. Ответственность наступает не с момента сбора, а с момента, когда нарушение выявят.
Для регистрации нужна квалифицированная электронная подпись (УКЭП) на носителе.
Форма уведомления размещена на сайте Роскомнадзора. Чтобы подать заявку:
- Перейдите на
.
- На главной странице откройте раздел «Персональные данные».
- Нажмите «Для операторов персональных данных».
- Прокрутите вниз и выберите «Уведомление о намерении осуществлять обработку персональных данных».
Проще всего отправить заявку через Госуслуги, если у вас есть подтверждённая учётная запись и УКЭП. Если подписи нет — скачайте форму, заполните и отправьте по почте в территориальное управление Роскомнадзора.
Как заполнять саму форму:
- Регион. Если вы зарегистрированы в одном регионе, а деятельность ведёте в другом, укажите регион фактического местонахождения.
- Регионы обработки — это та территория, на которой вы как оператор непосредственно работаете с персональными данными. Это может быть и несколько территорий, и вся Российская Федерация. Регион обработки ≠ регион проживания пользователей.
- Цели обработки — тут вы прописываете все цели, для которых собираете данные. Писать их через запятую нельзя. Сами цели можно выбрать из списка или написать самостоятельно через строчку в меню «Иная».
- Меры по защите персональных данных. Выбирайте только те, которые реально применяете. Роскомнадзор может это проверить. Если используете шифрование, укажите не только название, но и производителя, серийный номер и класс из КЗИ.
- Ответственный за организацию обработки персональных данных. Назначить можно только одного человека. Внутри компании обязанности можно распределить, но перед Роскомнадзором отвечает тот, кто указан в приказе. Если вы — ИП, можете оставить поле пустым или вписать себя. Если обрабатывает данные подрядчик, указываете наименование юрлица. Контактные данные делают публичными, поэтому вносите только рабочий телефон и e-mail. Убедитесь, что по этим контактам можно быстро связаться.
- Дата начала и окончания обработки персональных данных. В начало ставьте дату регистрации компании или ИП — иначе могут запросить пояснение. В качестве окончания можно указать событие: ликвидацию юрлица или прекращение деятельности. Конкретную дату писать необязательно.
- Места нахождения баз данных. Укажите страну (РФ) и точный адрес, где хранятся персональные данные: город, улица, дом, офис или помещение. Это касается как серверов, так и бумажных архивов. Если вы используете сторонний сервис — например, хостинг или Яндекс.Диск — впишите, кто отвечает за хранение: наименование организации, ИНН, ОГРН и адрес дата-центра. Даже если у вас нет своего ЦОДа, ответственность всё равно на вас.
После отправки уведомления система присвоит ему номер и ключ доступа. Сохраните их — они понадобятся, если позже будете вносить изменения. Без этих данных нельзя подать корректировку.
2. Приведите в порядок формы и cookie на сайте
Если на сайте есть форма, но нет корректного согласия и политики конфиденциальности — это первое, на что обратит внимание Роскомнадзор. То же касается cookie-файлов: сбор без уведомления пользователя — нарушение.
Вот что обязательно должно быть:
— Политика конфиденциальности. Размещена на отдельной странице. Ссылка на неё — рядом с формой или в подвале сайта. Документ должен объяснять, какие данные вы собираете, зачем, на каком основании, где и сколько храните.
— Согласие на обработку данных. Под формой должен быть чекбокс (не отмеченный по умолчанию) и текст:
«Я даю согласие на обработку персональных данных в соответствии с [политикой конфиденциальности]». Без галочки кнопка отправки формы должна быть неактивна.
По закону пользователь должен отжать галочку, поэтому лучше сделать запрет на отправку формы без галочки. Потому что просто надпись под кнопкой может трактоваться не как дача согласия, а как констатация факта.
— Cookie-баннер. Появляется при первом заходе на сайт. Даёт пользователю выбор: оставить только технические cookie или разрешить сбор аналитики и рекламы. Баннер с кнопкой «ОК» без возможности отказаться — не подходит.
— Указание на скрытый сбор данных. Если сайт автоматически собирает IP-адрес, геолокацию или использует сторонние скрипты (ретаргетинг, аналитика, пиксели), это должно быть прописано в политике конфиденциальности. Согласие пользователя на такую обработку запрашивается через cookie-баннер — с возможностью выбора или отказа от аналитических и рекламных файлов.
3. Ограничьте доступ к данным и оформите работу с подрядчиками
Если доступ к CRM открыт всем, а таблицы с заявками лежат по открытой ссылке или пересылаются в чатах — это уже нарушение. При утечке или жалобе именно вы будете нести ответственность, даже если с данными работал подрядчик.
Вот что важно сделать:
— Ограничьте доступы. Закройте лишние права в CRM, Notion, таблицах, чат-ботах. Используйте рабочие аккаунты, корпоративную почту и защищённые каналы передачи.
— Заключите договор с поручением на обработку данных. Если подрядчик получает доступ к заявкам или базе — это уже обработка. Чтобы она была законной, нужен договор (или приложение), где указано: какие данные обрабатываются, зачем, какие меры защиты применяются и что подрядчик не может использовать данные в личных целях.
— Зафиксируйте, кто собирает данные. Если подрядчик запускает лид-форму со своего кабинета и получает заявки сам, он становится оператором данных — но только если это прописано в договоре. Тогда он сам обязан подать уведомление в Роскомнадзор.
А если вы самозанятый, блогер, ИП или работаете один?
Форма собственности, количество клиентов или отсутствие юрлица — не освобождают от ответственности. Закон № 152-ФЗ распространяется на всех, кто собирает и хранит персональные данные — даже если вы делаете это в одиночку и "для себя".
Вы подпадаете под требования, если: — собираете заявки на консультации, курсы или гайды; — ведёте рассылку, фиксируете контакты клиентов; — используете формы, чат-боты, таблицы, CRM, Notion или мессенджеры для обработки данных.
Неважно, кто вы — ИП, самозанятый или просто эксперт с лендингом. Если вы сохраняете e-mail, телефон или имя клиента — вы обязаны зарегистрироваться в Роскомнадзоре и соблюдать базовые правила: уведомление, политика, согласие, доступ.
Что дальше
Если вы дочитали до этого места — вы уже сделали больше, чем большинство. Потому что почти никто всерьёз не задумывался о том, как именно должен быть устроен сбор и хранение персональных данных.
Закон действует не первый год, и формально — да, вы должны были всё это знать и применять. Но до сих пор требования были слабо проверяемыми, и многие работали как получится.
С 30 мая ситуация меняется: появляются автоматические проверки, штрафы вырастают в разы. Теперь незнание — уже не оправдание.
В этой статье — базовый минимум, который стоит сделать в первую очередь
Штраф за просроченное или отсутствующее уведомление: от 100 000 до 300 000 рублей.
Проверьте, подали ли вы уведомление в Роскомнадзор
