• Просто о сложном

Штрафы до 15 млн рублей за персональные данные: что нового в 2025 году

Любой сбор контактов клиентов, проведение email-рассылок, настройка таргетированной рекламы, использование форм обратной связи или CRM-систем — всё это является обработкой персональных данных.

С 30 мая 2025 года в России вступили в силу поправки в закон № 152-ФЗ, которые меняют регламент работы с личной информацией граждан. Меры ответственности за нарушения ужесточились, а верхняя планка штрафа за утечку персональных данных теперь составляет 15 миллионов рублей.

Специалистам в области маркетинга важно помнить, что соблюдение законодательства обязательно не только для юристов компании, но и для любого сотрудника, который работает с формами сбора информации, настраивает рекламные кампании, проводит аналитику или управляет базами подписчиков. 

На кого распространяются обновленные нормы

Согласно закону №152-ФЗ, оператором признается тот, кто использует персональные данные других людей и самостоятельно определяет цели и способы их обработки — будь то юридическое лицо, индивидуальный предприниматель или частное лицо.

Если в процессе своей деятельности вы получаете и используете чью-либо личную информацию — например, имя, адрес электронной почты или номер мобильного телефона — вы подпадаете под действие законодательства как ответственное за их обработку лицо.

Фактически, новые правила затрагивают всех, кто работает с личными данными: от крупных корпораций до самозанятых специалистов и частных лиц, собирающих контакты через лендинги и CRM-системы. Если вы получаете контакты через веб-форму или используете сервисы веб-аналитики, вы автоматически признаетесь оператором и должны в полной мере выполнять все предписания закона.

Что изменилось в 2025 году

Закон №420-ФЗ внёс правки в статью 13.11 КоАП и дополнил положения 152-ФЗ. Появились новые составы правонарушений — теперь штрафы грозят не только за утечку информации, но и за несвоевременное уведомление Роскомнадзора о начале её обработки или о факте компрометации. Эти нормы распространяются на все категории сведений: общие, специальные (чувствительные) и биометрические. При этом размер финансовых санкций значительно увеличен.

За несоблюдение регламента работы с личными данными организациям теперь грозит штраф в диапазоне от 150 до 300 тысяч рублей. Индивидуальные предприниматели и ответственные сотрудники рискуют получить санкции на сумму от 50 до 100 тысяч. Повторное совершение аналогичного нарушения повлечет для компаний уже более строгое наказание — от 300 до 500 тысяч рублей.

Кроме того, была отменена 50%-ная льгота при своевременной оплате штрафа, а ИП теперь приравнены в вопросах ответственности к юридическим лицам. Важный нюанс: если оператором является коммерческая структура, штраф накладывается на компанию; если же данные обрабатывает государственный орган, то штрафу подлежит его должностное лицо. Маркетологи столкнулись с беспрецедентными финансовыми рисками: если раньше максимальная сумма штрафа за утечку исчислялась десятками тысяч, то сейчас речь уже идет о миллионах рублей.

Что необходимо проверить маркетологам

Для приведения своей деятельности в соответствие с обновленными нормами, рекомендуется проводить аудит по всем основным каналам взаимодействия с клиентской информацией:

Формы сбора и согласия. Убедитесь, что любой сбор сведений (при подписке на рассылку, регистрации аккаунта, проведении опросов и т.д.) сопровождается получением явного и информированного согласия пользователя. Кнопка отправки формы сама по себе согласием не является. Все чекбоксы должны быть активированы самим пользователем — они не могут быть предустановлены. В тексте согласия необходимо однозначно прописать: цели обработки, полный список собираемых данных, сроки их хранения и процедуру отзыва разрешения. К примеру, для сбора email: «Я даю согласие на обработку моего адреса электронной почты для рассылки информации…»

Политика конфиденциальности. Проверьте, что на вашем веб-ресурсе размещена действующая и соответствующая законодательству политика конфиденциальности. В этом документе должны быть детально перечислены все категории собираемой информации (ФИО, e-mail, телефоны, cookie-файлы и пр.), цели её использования, а также право пользователя на отзыв согласия. Требования закона обязывают не только открыто публиковать политику, но и своевременно вносить в неё коррективы при любом изменении процессов обработки.

Cookie-файлы и системы отслеживания. Файлы cookie, идентификаторы устройств и иные технологии трекинга могут быть признаны персональными данными, особенно если они привязаны к конкретному пользователю. В связи с этим сайт должен быть оснащен четко видимым баннером или всплывающим окном, запрашивающим разрешение на использование cookie. Сохранение этих данных на устройстве посетителя допустимо только после получения его согласия (например, после нажатия кнопки «Принять»). Также необходимо дополнить политику конфиденциальности разделом, описывающим использование cookie: какие типы данных собираются, для каких целей и как пользователь может отключить их сбор.

Работа с email-рассылками и подписками. Поскольку электронная почта относится к персональным данным, направлять рекламные сообщения допустимо исключительно при наличии прямого и добровольного согласия человека. Удостоверьтесь, что в форме подписки пользователь активно подтверждает свое намерение (распространенной практикой является двойное подтверждение, или opt-in: сначала ввод адреса, затем активация через специальное письмо). В любой отправляемой рассылке обязана присутствовать простая и заметная ссылка для отмены подписки.

Внешние сервисы и интеграции. Проанализируйте все сторонние платформы, имеющие доступ к информации ваших клиентов: CRM-системы, сервисы для email-рассылок, инструменты для аналитики и прочее. Они являются операторами данных, и с каждым таким сервисом необходимо оформление договора о совместной обработке ПДн. Ключевой момент — географическое положение серверов: согласно российскому законодательству, данные граждан РФ должны находиться на территории страны. Выбирайте платформы, гарантирующие соблюдение этого требования.

Предоставление данных третьим лицам. Если вы перенаправляете заявки партнёрам или подрядчикам, от пользователя требуется отдельное и информированное согласие. Он должен четко представлять, кому и с какой целью могут быть переданы его контактные данные. На сегодняшний день эта норма повсеместно нарушается: клиент оставляет заявку на одном сайте, а впоследствии получает звонки от множества разных организаций. Даже если согласие зафиксировано где-то в тексте политики конфиденциальности, этого мало — информация должна быть донесена до пользователя до момента отправки формы в простой и доступной форме. Несмотря на ужесточение законодательства, этот аспект пока недостаточно строго контролируется.

Организация внутреннего аудита. Регулярно, не реже одного раза в год, проводите внутреннюю проверку. Удостоверьтесь, что сотрудники осознают свои обязанности в области защиты информации, в компании внедрены необходимые контрольные механизмы и осуществляется ведение журналов доступа. Также проверьте, что для всех данных четко обозначена цель их сбора, пользователям предоставлена возможность отозвать свое согласие, а сроки и основания для хранения информации являются обоснованными.

Внедрение защищенных процессов. Для работы выбирайте CRM-системы, которые обеспечивают хранение информации на территории РФ. Включайте этап проверки соответствия требованиям по защите персональных данных в каждый новый проект, обязательно фиксируйте все полученные согласия и четко прописывайте в договорах, какая из сторон несет ответственность за обработку данных.

Обязанность уведомления Роскомнадзора

В соответствии со статьей 22 Закона №152-ФЗ, «оператор до начала обработки персональных данных обязан направить уведомление в уполномоченный орган (Роскомнадзор) о своём намерении». Фактически, это означает, что любая организация или индивидуальный предприниматель, работающие с личными сведениями граждан, должны один раз передать соответствующее уведомление в РКН. Ранее действовавшие исключения (к примеру, для компаний, формирующих базы мобильных номеров клиентов) были отменены — таким образом, формально эта обязанность распространяется на весь бизнес, собирающий контакты.

Законодательство требует подачи уведомления заблаговременно — до старта любой деятельности, связанной с обработкой информации. На практике это означает, что всем операторам следовало направить документ до 30 мая 2025 года, чтобы исключить риск применения новых санкций.

Нарушение этого требования влечёт административную ответственность: штраф от 5 000 до 10 000 рублей для граждан и от 100 000 до 300 000 рублей для юридических лиц и ИП.

Уведомление направляется однократно — через личный кабинет на портале Роскомнадзора (с использованием учётной записи «Госуслуги»), с применением электронной подписи или почтовым отправлением в территориальное управление. Если в дальнейшем изменяются контактные реквизиты, цели обработки или иные указанные сведения, обновлённую информацию необходимо предоставить в РКН в десятидневный срок. Несоблюдение данных правил может привести к штрафным санкциям и возбуждению административного производства.

Ограничения на сбор данных клиентов

С 1 июня 2025 года для целого ряда компаний действует прямой запрет на применение различных зарубежных мессенджеров, включая Telegram и WhatsApp*, для коммуникации с клиентами. Данное ограничение распространяется на банки, страховые и некредитные финансовые организации, операторов связи, маркетплейсы, площадки объявлений, социальные сети, а также компании с долей государственного участия в России свыше 50%. Важно отметить, что запрет не касается обычных интернет-магазинов, которые реализуют товары от своего имени. 

Теперь для подпадающих под ограничение организаций недопустимо:

— направлять клиентам уведомления о статусе заказа или доставке;

— рассылать индивидуальные предложения, а также оповещения об акциях и конкурсах;

— отвечать на обращения пользователей, если общение происходит через запрещенный мессенджер. Под ограничение подпадают и автоматизированные ответы.

Критически важно, что даже при наличии предварительного согласия от самого пользователя, такая коммуникация будет считаться нарушением. Для юридических лиц штраф может достигать 700 тысяч рублей. 

В законе присутствует важное уточнение: компании сохраняют право на использование иностранных мессенджеров для публикации открытого контента. Например, разрешено ведение публичных каналов, размещение «сторис» или рекламных материалов при условии, что они доступны широкому кругу лиц и не являются персонализированными. 

Порядок уничтожения персональных данных

В соответствии с законодательством, персональные данные, утратившие актуальность, подлежат обязательному удалению или обезличиванию. Эта обязанность возникает, к примеру, при достижении целей их обработки — в такой ситуации у оператора есть 30 дней, чтобы прекратить работу с информацией и обеспечить её ликвидацию или преобразование в обезличенную форму.

Аналогичный порядок применяется при отзыве физическим лицом своего согласия на обработку: с момента получения отказа любые действия с данными должны быть прекращены, и если в них более нет потребности, они подлежат удалению в течение месячного срока.

В случае, если техническое уничтожение информации в течение 30 дней невозможно (например, в силу требований по временному архивному хранению), доступ к таким данным необходимо заблокировать. При этом окончательное их удаление должно быть произведено в срок, не превышающий шести месяцев.

После прекращения обработки и физического уничтожения информации оператор обязан в десятидневный срок уведомить Роскомнадзор. Данное действие является частью регулярной процедуры по актуализации сведений о деятельности, связанной с обработкой персональных данных.

Рекомендуемые решения для хранения информации

Платформа CDP Altcraft предоставляет технологию для защищенного управления клиентскими базами и позволяет компаниям работать с информацией в строгом соответствии с правовыми нормами. CDP-система Altcraft агрегирует данные о клиентах из различных каналов коммуникации (e-mail, SMS, push-уведомления и др.) в единый профиль.

Сервис обеспечивает хранение всей информации на серверах, расположенных в России, что является ключевым требованием для соблюдения положений Закона №152-ФЗ.

В системе CDP Altcraft Platform реализована гибкая система разграничения прав: можно точно настраивать, какие сотрудники и к каким блокам клиентской информации получают доступ. Дополнительную безопасность обеспечивают двухфакторная аутентификация и детальное протоколирование всех действий пользователей, что минимизирует риски внутренних утечек.

Таким образом, маркетолог получает целостное представление о клиенте с гарантией конфиденциальности и, что особенно важно, может выстраивать персонализированные коммуникации и аналитику, не рискуя столкнуться с санкциями контролирующих органов.

Заключение

С 30 мая 2025 года вступили в силу обновленные нормы, регулирующие работу с персональными данными, а ответственность за их нарушение была ужесточена. Маркетологам критически важно в кратчайшие сроки провести аудит всех бизнес-процессов, связанных с использованием клиентской информации, и привести их в соответствие с законом. Ревизии подлежат формы на сайте, формулировки согласий, политика конфиденциальности, уведомления об использовании файлов cookie и интегрированные сторонние сервисы.

Не менее важен обучающий инструктаж для сотрудников, чтобы каждый из них осознавал принципы безопасного обращения с персональными данными. Применение надежных маркетинговых платформ, гарантирующих защищенное хранение баз данных, позволяет минимизировать риски нарушений и продолжать легально использовать такие инструменты, как email-рассылки и CRM-системы.

*WhatsApp (продукт корпорации Meta, признанной экстремистской и запрещённой на территории РФ).

  Подписывайтесь на наш телеграм-канал. Там вы найдёте актуальные новости в области digital-маркетинга, полезные статьи и интересные исследования. Будьте в теме вместе с нами 🙂  

Altcraft
еще 135 публикаций

Лучшее в блогах

30.01.2026

Мир, дружба, реклама — как меняется подход к созданию социальных проектов

Вчера

АРИР и букмекерские компании разрабатывают отраслевой меморандум саморегулирования по добросовестной рекламе букмекеров

Позавчера

Как сделать так, чтобы клиенты выбирали вас — даже без скидок

Позавчера

Как считают Рейтинги Креативности и Эффективности агентств: АКАР показала победы агентств на фестивалях, учитываемых при подсчете итогов 2025 года

Вам понравится

RedLab

05.02.2026

Контроль товарных остатков с помощью 1С

Digital IT и инновации

ИТ-компания RedLab приняла участие в реализации проекта по обеспечению стабильного и прозрачного обмена данными между 1С и интернет-магазином. В этой статье делимся кейсом.

Demis Group

21.01.2026

Маркетинг нового поколения: как завоевать внимание Z и Альфа в 2026 году

Digital Маркетинг

Денис Чуприн, руководитель группы продуктового маркетинга Demis Group, рассказал, как брендам оставаться на волне и строить прочные связи с молодой аудиторией.

ТЕКАРТ

20.01.2026

Влетаем в 2026 год вместе с новогодней лошадкой!

Digital Маркетинг

hh.ru

16.01.2026

Креативный подход к созданию сильного бренда работодателя: опыт Hochland

Маркетинг Брендинг

Бренд работодателя играет важнейшую роль при найме сотрудников, ведь от того, насколько грамотно ведется с ним работа и какие смыслы он в себе несет, в итоге зависит процветание всей компании. Кейс успешного сотрудничества Hochland с Бренд-центром hh демонстрирует пошаговый путь создания по-настоящему целостного бренда работодателя, состоящего из трех важных компонентов: визуального, смыслового и креативного.
Подробнее том, какой путь был пройден от этапа замысла до его реализации и каких результатов удалось достичь – в нашем материале.