Как (не) попасть на штраф в размере 500 млн: что изменилось в защите персональных данных в 2025 году

На связи агентство КОМРЕДА. В этой статье говорим о серьёзном: в России заработали изменения в законе о защите персональных данных. Рассказываем, в чём их суть, кого они касаются и как избежать космических штрафов за нарушения.

Статью подготовили вместе с Владимиром Коломейцевым, партнёром консалтинговой фирмы «Параплан», магистром права, LLM University of Manchester

Что такое персональные данные и кто за них отвечает

Начнем с основ. Персональные данные, или ПДн, — это личная информация, которая позволяет идентифицировать человека: 

• фамилия и имя;
• дата рождения;
• адрес электронной почты;
• номер паспорта;
• фотографии;
• биометрия и так далее. 

IP‐адрес компьютера и уникальный ID браузера — это тоже персональные данные. 

В законе есть термин «оператор персональных данных». Это компании, ИП и самозанятые, должностные лица — все, кто собирает информацию о людях для служебных или бизнес‑целей. Например:

• Интернет‐магазин собирает адреса и телефоны покупателей, чтобы доставить им товары.
• На информационном сайте есть форма обратной связи для читателей и рекламодателей. Чтобы связаться с редакцией, нужно оставить свои контакты.
• Мастер маникюра записывает клиентов онлайн — нужно ввести в форму имя и номер телефона.
• На предприятии действует пропускной режим. Информация о тех, кто получает пропуск, вносится в электронную базу.
• Детский клуб проводит открытый конкурс сочинений. Чтобы принять участие, нужно сообщить имя, фамилию и контакты.
• ИП принимает на работу сотрудника и заключает с ним официальный договор.
• Общественная организация собирает Ф. И. О. и контакты всех, кто в неё вступает.
• Фитнес‐клуб собирает биометрические данные и пропускает клиентов в зал по отпечаткам пальцев.

Если же вы записываете себе в контакты телефон однокурсника, родственника или соседа, то есть собираете информацию для собственных целей, — «это другое». Личные взаимоотношения закон о персональных данных не регулирует.

Операторы не могут распоряжаться личными данными так, как хочется, а должны действовать по закону «О персональных данных». Иначе — наказание согласно Кодексу об административных правонарушениях.

В 2025 году в законодательство о персональных данных внесли поправки. Об этом — дальше ↓

Появилось требование хранить данные на российских серверах

С 1 июля 2025 года вступила в силу ещё одна поправка в законе о персональных данных. Теперь данные должны собираться, храниться и обрабатываться только на российских серверах.

Для бизнеса это значит, что если сайт работает с ПДн, то хостинг и CRM могут быть только российскими. Собирать данные клиентов или сотрудников через гугл‐формы и даже подключать к сайту систему Google Analytics больше нельзя.

Первичный сбор персональных данных можно проводить только внутри страны. И только потом при необходимости можно передавать базы данных за границу, но с разрешения Роскомнадзора. Подробнее ↓

Запретили прямую передачу данных за границу

Компаниям в России нельзя напрямую отправлять данные пользователей на серверы за границей. Речь о данных, которые позволяют идентифицировать человека: Ф. И. О., адресе, номере телефона, e‑mail, IP‑адресе, cookie‑файлах, истории посещений сайта.

Это касается не только крупных иностранных сервисов, но и привычных инструментов: аналитики, CRM‐систем, e‑mail‑рассылок и рекламных трекеров. Если они собирают данные напрямую, без предварительной обработки в России, это считается нарушением. Другими словами, передавать данные можно, но только если они сначала были собраны и обработаны в России, на них есть согласие пользователя и разрешение Роскомнадзора. 

Чтобы работать в рамках закона, бизнесу нужно:

• хранить и обрабатывать данные внутри России;
• получать согласие пользователей и Роскомнадзора на передачу данных за рубеж.

Чтобы избежать проблем, рекомендуем заменить зарубежные сервисы на российские аналоги или убедиться, что зарубежный сервис обрабатывает данные только после первичной обработки в России.

За нарушение требования — штрафы до 1,5 млн руб., блокировка ресурса или запрет на обработку данных.

Выросли штрафы за нарушение закона

В 2025 году штрафы за нарушения закона «О персональных данных» выросли в несколько раз.

Разместите
тендер бесплатно

Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.

Заполнить заявку 13201 тендер
проведено за восемь лет работы нашего сайта.

За неуведомление Роскомнадзора. Каждый, кто собирает и обрабатывает личные данные, должен сообщить об этом в Роскомнадзор. Это нужно сделать ещё до начала сбора информации.

Уведомление можно отправить через сайт Роскомнадзора, через «Госуслуги» или по почте. Имейте в виду, что в уведомлении указывается дата, с которой предприниматель начинает обрабатывать персональные данные. Если уведомить РКН после начала работы, можно получить штраф. 

Раньше штраф за несообщение РКН был символическим — от 100 до 5 000 ₽. Сейчас нарушителям придётся заплатить больше:

• физлицам — от 5 000 ₽ до 10 000 ₽;
• должностным лицам — от 30 000 ₽ до 50 000 ₽;
• ИП и компаниям — от 100 000 до 300 000 ₽.

За утечку данных. Если персональные данные попали в третьи руки, это ещё одно нарушение закона «О персональных данных». Вот что считается утечкой персональных данных:

• Менеджер интернет‐магазина скачал базу покупателей и продал её конкурентам. 
• Банк собрал контакты людей, которые претендуют на ипотеку, а кто‐то из сотрудников передал их риелторам или строительной компании.
• Хакеры взломали CRM‐систему и скачали базу клиентов.

Штрафы от РКН за это нарушение зависят от того, сколько контактов в слитой базе:

Если допустить повторную утечку ПДн, сумма повышается. Например, для компаний она составит минимум 20 млн руб.

За утечку биометрических данных. Самое серьёзное ужесточение ответственности за нарушение закона касается утечки биометрических данных. Штрафы составят:

• для физлиц — от 400 000 до 500 000 руб.;
• для должностных лиц — от 800 000 до 1,2 млн руб.;
• для ИП и компаний — от 1 до 3% выручки, но не менее 20 млн руб. и не более 500 млн руб.

За неуведомление об утечке. Если произошла утечка данных, оператор персональных данных обязан в течение суток сообщить о ней в Роскомнадзор через форму. Затем в течение трёх суток провести внутреннее расследование и отчитаться в РКН, почему были нарушены правила хранения персональных данных и кто имел к ним доступ. Если этого не сделать, предусмотрен штраф: 

• для физлиц — от 50 000 до 100 000 руб.;
• для должностных лиц — от 400 000 до 800 000 руб.;
• для ИП и компаний — от 1 млн до 3 млн руб. 

Введена уголовная ответственность 

За серьёзные нарушения закона о защите персональных данных ввели ещё и уголовную ответственность. Она может наступить, если нарушения были совершены:

• в отношении информации о несовершеннолетних;
• с причинением крупного ущерба;
• группой лиц по предварительному сговору;
• с использованием служебного положения;
• с трансграничной передачей данных (передача персональных данных из России в другую страну).

В зависимости от состава преступления, суд может оштрафовать, приговорить к исправительным работам и даже к тюремному сроку. Максимальное наказание — 10 лет лишения свободы.

Коротко: что изменилось в законе о персональных данных

• С 2025 года ужесточили правила сбора и обработки персональных данных.
• Прямая передача данных за границу запрещена: их нужно обработать и хранить в России, а передавать можно только с разрешения РКН.
• Штрафы выросли в разы: за утечку ПДн — до 15 млн руб., за утечку биометрии — до 500 млн руб.
• За серьёзные нарушения теперь предусмотрена уголовная ответственность — до 10 лет лишения свободы.

Если вы запускаете бренд‐медиа или ведёте блог в соцсетях, важно учитывать не только tone of voice, содержание и визуал, но и юридические тонкости. В КОМРЕДЕ мы следим за изменениями в законах и помогаем клиентам работать с контентом безопасно.