Изменения в законе №152-ФЗ: почему теперь за рассылку можно получить гигантский штраф

Изменения в федеральный закон РФ №152-ФЗ «О персональных данных» вступят в силу с 30 мая 2025 года. Это самые крупные нововведения в области персональных данных (ПД) за последние годы: они значительно повышают требования к обработке ПД и ужесточают ответственность за их нарушения. 

Самое главное в изменениях

→ Если компания — оператор персональных данных — не отправила в Роскомнадзор уведомление о начале обработки персональных данных, нарушителей накажут штрафами:

• физлица — до 10 000 рублей;
• должностные лица — до 50 000 рублей;
• ИП и организации — до 300 000 рублей.

→ Подняли штрафы за несоблюдение цели сбора данных. Теперь они составят для граждан — до 50 000 рублей, для должностных лиц — до 100 000 рублей, для юридических лиц — до 300 000 рублей.

→ Значительно выросли штрафы за утечку персданных. Размер штрафа зависит от количества пострадавших пользователей:

• если утекла база в размере до 10 тысяч человек, штраф — до 5 млн рублей;
• более 10 тысяч человек — до 10 млн рублей;
• более 1 млн — до 15 млн рублей;
• при повторных инцидентах — 3% от годовой выручки.

При этом бизнес теперь обязан сообщить об утечке. За непредставление данных нарушителей тоже оштрафуют: физлиц — на сумму до 100 000 рублей, ИП и организации — до 3 млн рублей. 

Серьезные финансовые последствия коснутся каждого нарушителя. Законодательство считает операторами персональных данных практически любой бизнес: самозанятых, ИП и организации, которые обрабатывают персональные данные своих клиентов, контрагентов и/или сотрудников. Например, предлагают регистрацию на сайте, собирают контакты с помощью форм, лид-магнитов или других маркетинговых инструментов, пользуются аналитическими сервисами, CRM-системами, программами бухгалтерского и кадрового учета. 

Как Роскомнадзор будет выявлять нарушителей?

РКН может проводить профилактические мероприятия и проверки. Но даже без взаимодействия с компанией ведомство собирает и анализирует информацию о ней.

Данные он берет из государственных информационных систем и реестров, а также из открытых источников — например, официальных сайтов или СМИ. Для этого ведомство применяет современные технологии — ИИ и специализированные программно-аппаратные комплексы (ПАК). Правда, сам процесс автоматизированного мониторинга пока нормативно не урегулирован, и практика применения таких инструментов находится на стадии развития.

Что сейчас можно проверить бизнесу, который работает в интернете?

Снизить риски может только полноценный аудит компании с юристом. Составили минимальный чек-лист, который позволит оценить фронт работ.

Шаг 1. Проверьте внутреннюю документацию компании: регламенты обработки данных, инструкции для персонала, журналы учета операций с персональными данными и др. Минимальный перечень необходимых документов можно найти на сайте Роскомнадзора.

Шаг 2. Проведите аудит своих интернет-площадок и всех точек входа персональных данных: формы, попапы, автоворонки. 

Документ: Политика оператора в отношении обработки ПД. Что проверить:

— Составлена в соответствии с рекомендациями Роскомнадзора. Копировать с другого сайта нельзя: скорее всего, ведомство все равно найдет ошибки при проверке.

— Размещена ли она на сайте в соответствии с требованиями закона №152-ФЗ.

Документ: Согласие пользователя на обработку ПД. Что проверить: 

— Размещено под каждой формой сбора персональных данных. 

— Указан тип собираемых ПД, цель обработки, сроки хранения данных, лица, ответственные за такую обработку, реквизиты компании для обращения, реестровый номер оператора персональных данных.

Разместите
тендер бесплатно

Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.

Заполнить заявку 13203 тендера
проведено за восемь лет работы нашего сайта.

Документ: Добровольное согласие на получение рекламных, информационных и иных сообщений. Что проверить: 

— Размещено отдельно от основного согласия на обработку персональных данных. При этом если пользователь не дал согласие на получение рекламы, это не должно лишать его возможности пользоваться интернет-ресурсом. Если пользователь пожалуется в РКН, добровольность такого согласия поставят под сомнение.

Документ: Пользовательское соглашение. Что проверить:

— Есть информация о необходимости предоставления персональных данных, описан порядок разрешения споров, ответственность сторон и другие вопросы взаимодействия с пользователем. Скопировать его с постороннего сайта тоже нельзя — это лишние риски для компании.

Если собираете cookie-файлы, нужно учесть, что РКН тоже считает их персональными данными. Чтобы избежать рисков, лучше предупреждать пользователей, что вы их собираете. Например, с помощью баннера или всплывающего окна. 

Шаг 3. Проверьте свою рассылку. Присылать письма можно только тем пользователям, которые дали согласие на ее получение. При этом рассылка должна соответствовать цели сбора персональных данных, описанной в документации на сайте. Так, если пользователь дал согласие только на информирование, присылать ему рекламные сообщения по закону нельзя. 

Шаг 4. Проверьте использование иностранных сервисов на сайте. С 1 июля 2025 года вступят в силу новые поправки в закон о персональных данных. Они запрещают первоначальный сбор, передачу, запись и хранение данных на иностранном сервере. Это значит, что все сервисы, которые собирают и сразу передают ПД граждан РФ за рубеж, будут вне закона. Например, нельзя будет пользоваться Google Analytics, HotJar и другими аналогичными. Поэтому стоит их отключить, иначе можно получить штраф. Подробнее об этом требовании писали в другой нашей статье.

Шаг 5. Оцените каналы потенциальной утечки данных и проверьте их защиту. К таким каналам относятся сайты, CRM-системы, корпоративная почта, приложения для управления проектами, мессенджеры. В том числе важно ограничить доступ к персональным данным третьим лицам. 

Здесь все особенно сложно, и рисков довольно много. Так, сотрудники часто пересылают друг другу чьи-нибудь ПД: например, резюме кандидата руководителю отдела или скан паспорта в бухгалтерию. Лучше удалить подобные данные из переписки: это все потенциальные риски, поскольку доказать факт согласия субъекта на распоряжение ПД будет сложно. 

Некоторые социальные сети и мессенджеры собирают данные на серверы, находящиеся за пределами РФ. Поэтому можно получить штраф за несанкционированную трансграничную передачу персональных данных.  

Шаг 6. Придумайте план действий, если пользователь подаст жалобу в РКН. Действовать нужно быстро — это снизит риски. Для этого нужно:

• Изучить жалобу и проконсультироваться с юристами.
• Собрать все документы, которые подтвердят правомерность ваших действий. Если нашли у себя нарушения — сразу приступите к их устранению. Например, прекратите обработку данных без согласия, улучшите средства защиты данных, устраните пробелы в технической инфраструктуре и документообороте.
• Оформить официальный ответ на жалобу. Опишите проверку, причины сложившейся ситуации и предпринятые меры.
• Провести превентивные мероприятия, чтобы исключить правонарушения в будущем. 

Это общий порядок: план должен быть более детальным, с ответственными и сроками.  

Коротко:

• Незаконная обработка данных и утечки с 30 мая 2025 года могут привести к огромным штрафам.
• Вот основные: штрафы за отсутствие уведомления о начале обработки ПД в Роскомнадзор — до 300 000 рублей, за несоблюдение целей сбора — до 300 000 рублей, за утечку данных — до 15 млн, а при повторных случаях — 3% от выручки. Кроме того, теперь бизнес обязан сообщать об утечках, иначе его оштрафуют на сумму до 3 млн.
• Под контроль попадают все ИП, самозанятые и организации, которые работают с ПД клиентов, контрагентов и сотрудников.
• Проведите аудит своего бизнеса, чтобы избежать крупных штрафов. 

Подписывайтесь на наш Телеграм-канал: здесь публикуем больше новостей из мира интернет-маркетинга.