7 ошибок, из-за которых ваш сайт могут оштрафовать, новые требования с 30 мая 2025 года: чек-лист по 152-ФЗ от IT-юриста
Чем лучше вы собираете данные клиентов — тем выше риск штрафа. Звучит абсурдно? Но именно так работает 152-ФЗ: если вы не учитываете нюансы и не соблюдаете требования (например, не указываете цель сбора данных), ваш лендинг превращается в угрозу. В статье — 7 ловушек закона и инструкция, как избежать проблем.
Ошибка 1: Сбор данных без явного согласия
Вы разместили на сайте форму заказа или подписки? Поздравляем: вы уже оператор персональных данных. Но если пользователь не поставил галочку «Согласен на обработку данных», а вы не подали уведомление в Роскомнадзор, то даже сбор email-адреса нарушает 152-ФЗ (Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ).
Размер штрафа за нарушение:
За отсутствие согласия на обработку персональных данных:
· 300 000 – 700 000 рублей для организаций;
· 10 000 – 15 000 для граждан (КоАП ч. 2 ст. 13.11).
Как исправить:
- Добавьте обязательный чек-бокс с текстом: «Я согласен(согласна) на обработку персональных данных. Ознакомлен(а) с Политикой конфиденциальности».
- Укажите рядом с каждой формой сбора данных ссылку на Политику конфиденциальности и отдельную ссылку на текст самого согласия.
Ошибка 2: Хранение данных за пределами РФ, использование Google Analytics
Подключили Google Analytics? Теперь вы передаёте данные зарубежному сервису — это требует отдельного согласия пользователя и разрешения от Роскомнадзора.
Если ваш сайт работает на хостинге в Европе или США, а база клиентов хранится в облаке — готовьтесь к штрафу. 152-ФЗ требует, чтобы персональные данные россиян хранились только на территории РФ. Хранение данных на сервере, который находится за пределами Российской Федерации приравнивается к пересылке данных за границу, а значит является трансграничной передачей. Для трансграничной передачи предусмотрен особый порядок получения разрешения от Роскомнадзора. И если вы не прошли эту процедуру, то хранение данных на сервере – нарушение 152-ФЗ.
Какое наказание установлено за это нарушение:
· Для организации и ИП - штраф 1 000 000 - 6 000 000 руб. (КоАП ч. 8 ст. 13.11);
· За повторное нарушение - 6 000 000 - 18 000 000 руб. (КоАП ч. 9 ст. 13.11).
Решение:
- Переведите базы данных на российские серверы.
- Если данные хранятся за пределами РФ, направьте уведомление о трансграничной передаче в Роскомнадзор.
- Используйте российские аналоги вместо Google Analytics.
- Если нужен Google Analytics — внесите его в Политику конфиденциальности, получите разрешение о Роскомнадзора и согласие пользователей.
Ошибка 3: Политика конфиденциальности «для галочки»
Взять простой шаблон политики конфиденциальности и разместить его на сайте — не работает. Роскомнадзор требует четко прописать:
- Какие данные собираете;
- Цели их использования;
- Сроки хранения;
- Как клиент может отозвать согласие;
- Как компания действует при утечке;
- Какой порядок уничтожения данных;
- Порядок передачи данных третьим лицам и другие вопросы.
Что грозит за это нарушение:
· Штраф от 30 до 60 тыс. руб. (ч.3 ст.13.11 КоАП РФ);
· Блокировка сайта (Федеральный закон от 27.07.2006 N 149-ФЗ ст.15.5.).
Что делать:
- Адаптируйте политику под ваш бизнес и пропишите условия обработки данных именно в вашем случае.
Ошибка 4: «Лишние» поля в формах
Запрашиваете телефон или домашний адрес для отправки чек-листа по электронной почте? Это нарушение ст. 5 152-ФЗ: данные должны собираться только в объёме, необходимом для цели обработки. А для чек-листа достаточно электронного адреса. Все данные, которые вы собираете, должны соответствовать тем целям, которые вы указали в своей Политике конфиденциальности. Если вы в Политике написали только общую цель, например, информировать клиента по электронной почте о поступлении товара в продажу, то требовать в форме сбора данных оставить домашний адрес и номер телефона незаконно: это будет избыточной информацией.
Цена нарушения: До 30 мая 2025 года:
· Для организации - штраф 60 000 - 100 000 руб.;
После 30 мая 2025 года:
· Штраф для юридических лиц 150 000 - 300 000 руб. (ч. 1 ст. 13.11 КоАП РФ);
Инструкция:
- Удалите из форм все поля, не связанные с целью сбора.
- Уточните, какие действия вы фактически совершаете с персональными данными и укажите их в Политике.
- Для каждого вида данных укажите точную цель.
- Проверьте, чтобы все данные из формы заявок соответствовали целям, которые вы прописали в Политике конфиденциальности.
Ошибка 5: Cookies без предупреждения
Cookies — тоже персональные данные. Если сайт их собирает без согласия, это нарушение закона.
Какие последствия нарушения:
До 30 мая 2025года (ч.1 ст.13.11 КоАП РФ):
- для юридических лиц - 60 000 - 100 000 рублей.
С 30 мая 2025 г. штрафы будут увеличены:
- для юридических лиц - 150 000 - 300 000 рублей.
Ваши действия:
- Добавьте уведомление о cookies для пользователей сайта. Например, при первом заходе пользователь видит pop-up: «На нашем сайте используются cookie–файлы, в том числе сервисов веб–аналитики. Используя сайт, вы соглашаетесь на обработку персональных данных при помощи cookie–файлов. Подробнее об обработке персональных данных вы можете узнать в Политике конфиденциальности».
Ошибка 6: Опоздали отправить уведомление в Роскомнадзор
Забыли отправить уведомление перед началом работы с персональными данными? Чек-бокс с согласием сделали, Политику конфиденциальности опубликовали, данные начали собирать, а уведомление отправили позже? С 30 мая 2025 года за опоздание с уведомлением придется платить штраф.
О какой сумме штрафа идет речь:
- Для организации, ИП - штраф 100 000 - 300 000 руб. (ч.10 ст.13.11 КоАП РФ)
Решение:
- Отправьте уведомление до начала работы с персональными данными.
- Проверьте до 30 мая 2025года, отправили ли уведомление, если работа с данными уже ведется.
- Перед отправкой уведомления подготовьте Политику конфиденциальности, согласия и проверьте выполнение всех остальных требований 152-ФЗ.
Ошибка 7: Игнорирование мер безопасности и правил расследования утечек
Отсутствие средств защиты данных чревато утечкой. Поскольку компания обязана защищать данные, используя все меры защиты, включая технические, то нужно заранее проверить степень безопасности. Но даже если вы всё сделали правильно, хакерская атака или случайная ошибка сотрудника могут привести к утечке данных. Поэтому на случай утечки в компании должны быть разработаны правила расследования и оперативного уведомления контролирующего органа.
Если вы не сообщите в Роскомнадзор об утечке данных, то с 30 мая 2025 года штраф может быть очень высоким:
- Для организации, ИП - штраф 1 000 000 - 3 000 000 руб. (ч.1 ст.13.11 КоАП РФ).
Если вы не смогли обеспечить корректную защиту данных и произошла утечка - размер щтрафа зависит от количества субъектов персональных данных, чьи данные были незаконно переданы (с 30 мая 2025 года части 12,13,14 ст.13.11 КоАП РФ):
Критерии
Штраф для юридических лиц
1 000 – 10 000 субъектов персональных данных, и/или
10 000 – 100 000 идентификаторов
3 000 000 – 5 000 000 руб.
10 000 – 100 000 субъектов персональных данных и/или
100 000 – 1 000 000 идентификаторов
5 000 000 – 10 000 000 руб.
более 100 000 субъектов персональных данных и/или
более 1 000 000 идентификаторов
10 000 000 – 15 000 000 руб.
За повторную утечку данных – оборотные штрафы:
- на юридических лиц - 1 - 3 % выручки за предыдущий год/часть года, но не менее двадцати миллионов рублей и не более пятисот миллионов рублей.
Инструкция:
- Внедрите меры защиты данных.
- Проведите аудит безопасности.
- Составьте регламент по мероприятиям в связи с утечкой персональных данных.
Каждая ошибка — это риск штрафа и репутационных потерь. 152-ФЗ — не просто формальность, а реальный инструмент контроля. Под требования об обработке персональных данных попадают не только крупные компании, но и малый бизнес. Самозанятые – не исключение, они также обязаны соблюдать условия обработки персональных данных.
Чем активнее вы собираете данные пользователей, тем более тщательно нужно соблюдать правила. Исправьте эти 7 ошибок — и ваш сайт перестанет быть «миной замедленного действия».
Задайте ваш вопрос ИТ юристу в комментариях под этим постом ____. Ответим оперативно и развернуто.