С 30 мая 2025 года в России значительно ужесточаются требования и штрафы за нарушения в области обработки и защиты персональных данных. Это касается всех владельцев сайтов и компаний, которые собирают, хранят или обрабатывают персональные данные граждан, в том числе через интернет-сайты.
Если вы владелец сайта, и на сайте собираются любые персональные данные (например, имя, телефон, email, онлайн-заказы, заявки через формы обратной связи, онлайн-записи и пр.), вам необходимо:
До начала обработки персональных данных подать уведомление в Роскомнадзор о начале обработки персональных данных по установленной форме (приказ Роскомнадзора №180 от 28.10.2022). Это можно сделать через сайт Роскомнадзора, портал Госуслуг или по почте.
После подачи уведомления ваша компания будет внесена в реестр операторов персональных данных, что легализует вашу деятельность по их обработке.
Если уведомление не подано:
С 30 мая 2025 года штраф за непредставление уведомления составит от 100 000 до 300 000 рублей для организаций и ИП.
Сейчас штрафы гораздо ниже (от 3 000 до 5 000 рублей), но после 30 мая санкции увеличатся в десятки раз.
Если произойдет утечка персональных данных:
В течение 24 часов вы обязаны уведомить Роскомнадзор о факте утечки.
В течение 72 часов провести внутреннее расследование и повторно уведомить Роскомнадзор о результатах расследования.
За несвоевременное уведомление о факте утечки штраф составит от 1 до 3 млн рублей для ИП и организаций.
За саму утечку персональных данных (например, если данные клиентов окажутся в открытом доступе или попадут третьим лицам) штрафы составят от 3 до 5 млн рублей (для утечки данных 1 000–10 000 человек), а при повторных нарушениях — до 3% годовой выручки, но не менее 20 млн рублей.
Если вы обрабатываете биометрические данные (например, фото, видео, голосовые сообщения):
Штрафы за их незаконную передачу — от 15 до 20 млн рублей для организаций, а при повторных нарушениях — до 500 млн рублей.
Да, если вы еще не подавали уведомление в Роскомнадзор о начале обработки персональных данных, это нужно сделать как можно скорее. Даже если у вас небольшой объем данных или вы работаете только с клиентами через сайт, обязанность по уведомлению сохраняется. Это касается всех, кто собирает любые персональные данные, даже если речь только о ФИО и телефоне/почте для обратной связи.
Если уведомление уже подано и вы внесены в реестр операторов персональных данных, проверьте:
Как организована защита персональных данных на сайте (SSL-сертификат, защита форм, ограничение доступа к данным и пр.).
Есть ли у вас внутренние инструкции и регламенты по обработке и хранению персональных данных.
Готовы ли вы оперативно реагировать на возможную утечку данных и уведомить Роскомнадзор в установленные сроки.
Подано ли уведомление в Роскомнадзор о начале обработки персональных данных?
Внесен ли ваш сайт/компания в реестр операторов персональных данных?
Организована ли техническая и организационная защита данных?
Готовы ли вы к экстренным действиям в случае утечки данных (уведомление, расследование)?
Если хотя бы на один из этих вопросов ответ отрицательный — срочно займитесь этим до 30 мая 2025 года, чтобы избежать крупных штрафов.
