Как не попасть под миллионные штрафы за персональные данные в 2025 году

Ежегодно законодательство в области персональных данных становится всё строже. С 30 мая 2025 года в России вступили в силу поправки, усиливающие ответственность операторов. Теперь штрафы за незаконную обработку персональных данных 2025 года достигают 12 000 000 рублей!
Любая компания, у которой есть сайт, форма обратной связи или подключены мессенджеры для приёма заявок, может считаться оператором и попасть под проверку. Как обеспечить соответствие требованиям и защитить бизнес — разбираемся ниже.

Основной нормативный акт — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

Персональные данные — это любая информация, позволяющая прямо или косвенно идентифицировать физическое лицо:

• ФИО
• дата и место рождения
• контактные данные (телефон, email)
• адрес проживания
• профессия и образование
• и т.п.

Важно: номер телефона сам по себе — ещё не персональные данные. Но если к нему добавить имя — это уже ПДн.

Согласно ст. 3 ФЗ № 152, оператором считается любое лицо (физическое или юридическое), которое организует и (или) осуществляет обработку ПДн.

Если на вашем сайте есть форма обратной связи, приём заявок, регистрация, квиз или заказ — вы являетесь оператором персональных данных.

Да. С 30 мая 2025 года уведомление в Роскомнадзор об обработке персональных данных должно быть подано до запуска форм или сбора данных на сайте.

Способы подачи уведомления:

• через портал Госуслуг;
• через сайт Роскомнадзора;
• в бумажном виде в территориальное отделение Роскомнадзора.

Форма включает сведения об операторе, целях обработки, категориях субъектов и правовом основании. Также необходимо указать на основании чего у компании возникло право обрабатывать данные.

• Согласие должно быть подтверждено активным действием (чекбокс, клик по кнопке, подтверждение галочкой).
• Нужно брать отдельные согласия для разных целей.

Пример:

• Галочка не должна быть проставлена заранее.

Наиболее распространено проставление галочки в чек-боксе при идентификации лица, как в примере ниже (галочка не должна быть проставлена заранее!)

В документе указывается:

• список обрабатываемых данных
• цель обработки
• перечень действий с персональными данными
• срок действия согласия
• способ отзыва согласия
• другие сведения по возможности (например, ФИО субъекта)

На сайте должен быть размещён полный текст согласия на обработку персональных данных и ссылка на него при сборе данных.

Это основной публичный документ, который проверяет Роскомнадзор. Его ещё называют политикой обработки персональных данных.

Обязательные разделы:

• цели обработки ПДн
• перечень данных
• сроки хранения
• порядок удаления
• информация о передаче третьим лицам
• контактные данные оператора

Документ размещается в подвале сайта и должен быть доступен с любой страницы.

Если на сайте установлены:

• Яндекс.Метрика, Google Analytics
• онлайн-чаты
• конструктор сайтов (Tilda, Wix и др.) с аналитикой,

— обязательно показывать баннер о cookies.

В баннере должно быть:

• краткое уведомление о сборе данных
• ссылка на политику обработки персональных данных
• кнопка согласия: «Согласен», «Ок», «Хорошо»

Например, как на сайте Apt legal:

Компания Apt Legal, специализирующаяся на защите интеллектуальной собственности и персональных данных, рекомендует:

• Провести аудит обработки персональных данных на сайте в 2025 году по новым требования
• Обновить или разработать политику конфиденциальности и формы согласия
• Настроить корректные уведомления и баннеры
• Подать уведомление в Роскомнадзор об обработке персональных данных до начала сбора ПДн

Это защитит ваш бизнес от проверок и штрафов, а сайт — от блокировок.
Если вы не хотите тратить время на разбор всех требований закона, подачу уведомлений и подготовку сложных документов — просто передайте это нам. Apt legal возьмёт всю работу под ключ на себя!