…или вообще хоть как-то собираете почты и телефоны
30 мая 2025 года вступили в силу изменения в Кодекс об административных правонарушениях (КоАП РФ), связанные с нарушением закона о персональных данных. А с 1 июля 2025 года в новой редакции представлена ч.5 ст.18 закона «О персональных данных: в ней определяется конкретная статья КоАП, по которой будут наказывать за незаконную обработку персональных данных в иностранных сервисах.
В связи с этим изменятся не только размеры штрафов, но и поводы для них. В разы вырастут риски для компаний, которые собирают и используют данные о клиентах и контрагентах: имена, адреса, номера телефонов, электронные почты и другую информацию. Под угрозой в первую очередь окажутся не только те, кто занимается электронной коммерцией, но и все, у кого есть направления email- и CRM-маркетинга.
В этой статье разобрались, что изменится в законах, что будет грозить за нарушения, можно ли продолжать пользоваться иностранными сервисами и избежать миллионных штрафов.
Наказания за нарушение Закона «О персональных данных» 152-ФЗ регулируются ст. 13.11 КоАП РФ. Каждая из его частей подразумевает два вида наказаний: штраф за нарушение и штраф за его повторение.
С 30 мая 2025 года вступает в силу новая редакция этой статьи, в которой меняются составы правонарушений и ужесточаются штрафы за неправильную обработку персональных данных (далее — ПД) по общему составу (ч.1 ст. 13.11 КоАП РФ — обработка ПД в случаях, не предусмотренных законодательством или обработка ПД, несовместимая с целями сбора ПД). Вот, как они изменятся:
| Штраф до 30 мая | Штраф после 30 мая | |
| Физические лица | 2000 — 6000 ₽ | 10 000 — 15 000 ₽ |
| Должностные лица | 10 000 — 20 000 ₽ | 50 000 — 100 000 ₽ |
| Юридические лица | 60 000 — 100 000 ₽ | 100 000 — 300 000 ₽ |
Соразмерно вырастут и штрафы за повторные нарушения:
| Штраф до 30 мая | Штраф после 30 мая | |
| Физические лица | 4000 — 12 000 ₽ | 15 000 — 30 000 ₽ |
| Должностные лица | 20 000 — 50 000 ₽ | 100 000 — 200 000 ₽ |
| Юридические лица | 100 000 — 300 000 ₽ | 300 000 — 500 000 ₽ |
Кроме увеличения размера штрафов по общему составу — которые, будем честны, выглядят теперь достаточно пугающе — в статье появятся новые, специальные составы нарушений. Часть из них связана с биометрическими данными, но если вы их не собираете (это делают лишь банки и ещё некоторые категории организаций), стоит обратить внимание на другие важные изменения.
Штраф за неуведомление об обработке данных. Все, кто собирает, хранит и обрабатывает ПД, обязаны уведомлять об этом уполномоченный орган (Роскомнадзор). Это старое требование — оно прописано в 152-ФЗ. Однако раньше за него могли наказать только по общему составу, а теперь это нарушение вынесено отдельно, с отдельными штрафами:
| Физические лица | 5000 — 10 000 ₽ |
| Должностные лица | 30 000 — 50 000 ₽ |
| Юридические лица | 100 000 — 300 000 ₽ |
Штрафы за неправомерную передачу данных и за неуведомление о ней. Это ещё два новых специальных состава правонарушений. В законе нет слова «утечка», но есть такое определение: «неправомерная передача (предоставление, распространение, доступ) информации, включающей персональные данные». Это нарушение может происходить в связи как с действиями, так и бездействием оператора ПД.
Размеры штрафов тут зависят не только от того, кто совершил правонарушение, но и от того, данные скольких субъектов были неправомерно переданы.
| от 1 до 10 тыс. субъектов | от 10 до 100 тыс. субъектов | более 100 тыс. субъектов | |
| Физические лица | 100 000 — 200 000 ₽ | 200 000 — 300 000 ₽ | 300 000 — 400 000 ₽ |
| Должностные лица | 200 000 — 400 000 ₽ | 300 000 — 500 000 ₽ | 400 000 — 600 000 ₽ |
| Юридические лица | 3 — 5 млн ₽ | 5 — 10 млн ₽ | 10 — 15 млн ₽ |
За повторное нарушение (здесь размер утекшей базы уже не важен) штрафы для организаций становятся оборотными и составят от 1 до 3% выручки компании за предыдущий год. А если вовремя не уведомить о неправомерной передаче контролирующий орган, придётся выложить еще от 1 до 3 млн ₽.
Однако помимо дополнений, «старые» части статьи тоже начинают играть новыми красками — с 1 июля 2025 года законом «О персональных данных» прямо запрещается первичный сбор ПД в иностранных сервисах, а также хранение и обработка персональных данных россиян за рубежом.
Это значит, что операторов и обработчиков ПД будут штрафовать по ч.8 ст. 13.11 КоАП РФ — за «невыполнение оператором при сборе персональных данных […] предусмотренной законодательством РФ […] обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ», Штрафы такие:
| Первичное нарушение | Повторное нарушение | |
| Физические лица | 30 000 — 50 000 ₽ | 50 000 — 100 000 ₽ |
| Должностные лица | 100 000 — 200 000 ₽ | 500 000 — 800 000 ₽ |
| Юридические лица | 1 — 6 млн ₽ | 6 — 18 млн ₽ |
В законе «О персональных данных» есть отдельная статья, посвящённая трансграничной передаче данных. В «Конверте» мы уже подробно разбирали эту тему, так что здесь просто уточним, что когда для обработки и хранения ПД используются иностранные сервисы — это тоже трансграничная передача: по сути, вы отправляете информацию о российских пользователях за границу. На трансграничную передачу нужно получать специальное разрешение у Роскомнадзора — без него передача незаконна.
Новая редакция закона 152-ФЗ «О персональных данных», которая вступает в силу с 1 июля 2025 года, напрямую не запрещает трансграничную передачу. Однако закон может трактоваться субъективно: так, представители Госдумы уже высказывались о том, что речь идёт о полном запрете на хранение и обработку ПД за рубежом.
Кроме того, в новой редакции речь идёт в том числе о запрете первичной обработки ПД. Это важно, потому что сам акт трансграничной передачи осуществляется с целью обработки или хранения. А сразу собирать информацию в иностранный сервис, не аккумулируя её сначала в России — это не трансграничная передача, это первичный сбор.
То есть, если человек на вашем сайте оставляет в специальной форме свой email, а он уходит в зарубежную базу данных (иностранную CRM-систему, зарубежный сервис рассылок, форму Google Forms или даже просто в Google-таблицу) — это нарушение закона.
На то, что за использование иностранных сервисов взялись по-крупному, намекает и возросшая активность самого РКН. С января 2025 года они стали требовать от владельцев сайтов уведомлений об использовании Google Analytics. На очереди могут оказаться не только метрики, но и опросные формы Google Forms, мессенджеры вроде WhatsApp и Telegram, и остальные сервисы, в которые каким-то образом передаются ПД клиентов, контрагентов или сотрудников компаний. В частности, это касается сервисов для рассылок, CRM-систем и других.
Хранение и обработка ПД — это зона ответственности компании, которая их собирает. То же касается ИП и самозанятых: статус «оператора обработки» определяется характером деятельности, а не формой собственности. Кроме того, в свежей редакции ч.5 ст.18 152-ФЗ вообще избавились от слова «Оператор» — то есть ответственность ляжет на всех, кто прикасается к ПД, в том числе обработчиков.
К персональным данным относятся ФИО, адреса, электронные почты, номера телефонов, всевозможные идентификаторы и другая личная информация. Поэтому если у самозанятого, ИП или организации есть сайт с формами обратной связи, возможностью оставить контакты, сбором cookies, если там есть форма регистрации или подписки на рассылку, сбор статистики — это обработка ПД. А владелец сайта — оператор обработки, который должен уведомить об этом статусе Роскомнадзор.
В уведомлении о статусе оператора нужно будет в том числе указать, каким сайтам / сервисам и для чего вы передаете персональные данные. И если в нем окажутся иностранные компании, подавать придётся и уведомление о трансграничной передаче данных.
Во-первых, эти направления диджитал-маркетинга наиболее тесно связаны с персональными данными клиентов: без этой информации они бы просто не работали.
Во-вторых, существенная часть процессов в CRM и email-маркетинге автоматизирована: обзвоны, SMS, транзакционные письма, боты в мессенджерах… И если всё это изначально настроено через иностранный софт, переход на российские платформы кажется сложным и даже пугает. Поэтому многие предпочитают не трогать, пока работает — и продолжают пользоваться зарубежными аналогами несмотря на сложности с оплатой и другими аспектами.
Но риски растут: с 1 июля это прямое нарушение закона.
Конечно, можно положиться на авось и надеяться, что РКН не сможет отследить, какой email-транспорт вы используете, через что отправляете SMS и пуш-уведомления и где храните данные о клиентах. Возможно, это даже сработает. Но также, как совсем недавно РКН при помощи новых алгоритмов научился находить иностранные метрики в данных о сайте, он сможет научиться находить и остальное — это вопрос времени.
Паниковать и пороть горячку, в любом случае, не стоит. Подойти к делу лучше с холодной головой, правильно спланировав последовательность действий. Глобально они делятся на две большие части: правовую и техническую. Итогом станет отправка уведомлений в Роскомнадзор — о статусе оператора обработки и о трансграничной передаче, если вы её осуществляете.
С правовой частью вам поможет справиться юрист. Будет необходимо определить персональные данные, которые вы собираете, правовые основания и цели обработки, способы сбора, а также меры, предпринимаемые для защиты данных. Вся эта информация вносится в специальную форму на сайте контролирующего органа.
Неполное описание любого из пунктов, а также недостоверные данные в них, как и отсутствие внутренней документации могут стать причиной, по которой уведомление завернут. После этого у вас будет всего 10 дней на устранение нарушений. Причём эксперты предупреждают, что даже устранение в положенный срок не гарантирует того, что вас не оштрафуют, поэтому подойти к вопросу заполнения формы нужно как можно более тщательно.
Техническая часть подразумевает аудит сайта и используемого софта, включая разнообразные программы и сервисы, выявление слабых мест и устранение потенциальных нарушений. Дальше мы подробнее разберём, как это сделать и на что обратить внимание.
На сайте должны быть размещены в открытом доступе как минимум два документа.
Политика конфиденциальности (политика обработки персональных данных). Этот документ описывает то, какие данные вы собираете, как их используете и защищаете.
Правила пользования сайтом. Это необязательный документ, но он поможет обезопасить вас в случае непредвиденных обстоятельств, связанных с интеллектуальными правами или поведением пользователей.
Согласие пользователя на обработку данных берётся в виде непредзаполненного чек-бокса или уведомления («Оставаясь на сайте, вы соглашаетесь…»).
Чек-боксы с согласием в обязательном порядке должны быть размещены везде, где пользователь оставляет вам свои данные: в формах подписки и обратной связи, при регистрации и оставлении контактов. Заполняя любые формы с любыми ПД, он должен подтвердить, что принимает вашу политику конфиденциальности.
Проверьте, что вы собираете только нужную информацию: например, если вы не используете номера телефонов или адреса своих пользователей, лучше убрать их из формы. Чем меньше информации собирается — тем лучше.
Уведомление об использовании cookies. Если вы собираете или используете куки (а скорее всего, да) об этом нужно уведомлять пользователя. Обычно его оформляют в виде попапа с кнопкой «ок». Здесь можно воспользоваться стандартной формулировкой, а можно проявить фантазию.
Далее необходимо открыть код сайта и / или его административную панель. Там в первую очередь нужно проверить присутствие нежелательных пикселей, кодов сторонних инструментов, в том числе систем аналитики. Вы могли подключить их давно или вообще не пользоваться, но они при этом всё ещё продолжают собирать информацию.
Искать в коде их можно по ключевым словам: Google, Yandex и другие. Обычно пиксели отслеживания устанавливаются в начале страницы, в пределах тегов <head> и <body>.
Кроме Google Analytics стоит проверить и иные системы, например, пиксель рекламного кабинета Facebook*.
Отечественные тоже стоит идентицифировать: Top.Mail.Ru Counter (через него подключается пиксель рекламного кабинета ВКонтакте), Яндекс Метрика и другие. Ненужные лучше отключить.
Ещё один момент: если в CMS вашего сайта есть возможность подключать дополнительные плагины, пройдитесь по ним. Через них могут быть подключены как внешние системы аналитики, так и другие программы. Посмотрите, что делает каждый плагин, отключите ненужные и убедитесь, что данные пользователей не передаются третьим лицам и сторонним сервисам.
Первое и самое главное — все сервисы, в которые вы передаёте данные о клиентах, сотрудниках, контрагентах и других, должны быть российскими. Только это позволит вам полностью обезопасить себя от штрафа за неправомерный сбор, хранение и обработку данных.
Всё это касается сервисов управления клиентскими данными (CRM), систем управления предприятием (ERP), сервисов рассылок (ESP) и других — например, тех, через которые вы делаете телефонные обзвоны или рассылки в мессенджерах.
Вот, на что стоит обратить внимание, чтобы не оказалось, что вы занимаетесь трансграничной передачей данных:
Все эти данные можно найти на официальном сайте сервиса (системы) или запросить в службе поддержки — вам обязаны предоставить эту информацию.
Если вы отправляете транзакционные письма (подтверждение регистрации, чеки, системные сообщения и другие) — вы пользуетесь email-транспортом. Он может отличаться от сервиса, через который вы делаете другие рассылки — и про него легко забыть, потому что отправку транзакционных писем настраивают один раз и надолго.
Эти сервисы также используют данные подписчиков, как минимум адреса электронной почты и ФИО, а также другие данные из CRM. Поэтому email-транспорт тоже должен быть российским. Использование зарубежного софта легко вычисляется:
Здесь, как и с остальными зарубежными сервисами, лучший выход — переехать на российский. Например, у Unisender есть Unisender Go, который полностью соответствует закону о персональных данных, использует российские сервера и не хранит информацию, в которой нет необходимости. На Unisender Go легко перейти с любого сервиса, потому что мы помогаем с переездом, а ещё делимся кейсами, инструкциями и полезными ссылками со всеми новыми пользователями.
Проблемы могут возникнуть не только из-за передачи персональных данных третьим лицам, но и в случае, если их неправильно обрабатываете или храните вы сами. Убедитесь, что ваши собственные базы хранятся на российских серверах в сертифицированных дата-центрах, что доступ к ним имеет только ограниченный круг сотрудников, и что они надёжно защищены как от внешних атак, так и от утечек «изнутри».
Все правила обработки ПД должны быть не просто документом на сайте — нужно выпустить локальные акты, приказы и инструкции по обращению с ними. А потом регулярно проверять, чтобы они соблюдались.
Если вы каким-либо образом — через формы обратной связи, заказы, подписку на рассылку — собираете данные людей, поздравляем: вы — оператор персональных данных. Все операторы должны регистрироваться в Роскомнадзоре (уже давно), и с 30 мая штрафы за это существенно вырастут — до 300 000 ₽.
Кроме того, новая редакция ФЗ-152 «О персональных данных» прямо запрещает первичный сбор баз ПД, а также их передачу на обработку и хранение за рубеж. Это значит, что использовать иностранные CRM-системы, системы электронного документооборота и другие сервисы управления предприятием, ESP-сервисы и email-транспорт незаконно. Штрафы большие: до 6 млн ₽ за первое нарушение и до 18 млн ₽, если оно совершено повторно (не было устранено).
Чтобы облегчить себе жизнь и минимизировать риски больших штрафов, нужно заранее подготовиться: составили чек-лист, который в этом поможет.
Читайте только в Конверте
Отправляйте красивые письма, делитесь классным контентом, привлекайте больше платящих клиентов. До 1 500 писем бесплатно.
Искренние письма о работе и жизни, эксклюзивные кейсы и интервью с экспертами диджитала.
Проверяйте почту — письмо придет в течение 5 минут (обычно мгновенно)
