Почему все говорят о персональных данных: новые правила игры для малого и среднего бизнеса
Ещё пару лет назад тема защиты персональных данных интересовала только юристов, специалистов по инфобезу и крупные корпорации. Но 2025-й поменял правила игры, сделав её топ-темой для каждого.
Сегодня любой бизнес – digital-агентства, стоматологические клиники, онлайн-магазины и даже самозанятые, оказывающие услуги физлицам по договору, – могут столкнуться с проблемами, если собирают персональные данные без разрешения клиентов и не объясняют, зачем они это делают и как будут использовать информацию.
Важно понимать, что персональные данные – это всё, что собирает бизнес: от ФИО и email-адресов в мессенджерах и документообороте до IP и геолокации, которые собираются автоматически Яндекс.Метрикой, если она подключена на сайте.
Всем привет! Меня зовут Аким, я сооснователь сервиса по соответствию 152-ФЗ – Агент 152.
В этой статье разберёмся, что изменилось в законе "О персональных данных" в 2025, почему это актуальнее всего для малого и среднего бизнеса, а также поделюсь с вами действительно полезным чек-листом по защите от зверских штрафов Роскомнадзор-а.
Что изменилось и почему это важно
Если вкратце, в 2025 году произошло сразу несколько серьёзных изменений:
- Законы стали строже. Теперь если вы не уведомили Роскомнадзор о сборе данных или не разместили на сайте базовые документы, например, Политику конфиденциальности, штраф может достигать 700 тысяч рублей. В случае утечки данных штрафы начинаются от 3 миллионов и доходят до 20 миллионов рублей. Повторное нарушение грозит штрафом до 500 миллионов и даже уголовной ответственностью. Малый бизнес после таких штрафов вряд ли оправится.
- Роскомнадзор запустил автоматические проверки. С мая 2025 платформа автомониторинга от РКН начала проверять сайты не только на наличие нужных документов и согласий, но и насколько правильно они составлены и соответствуют специфике бизнеса, то есть скачанный шаблон политики конфиденциальности с непроверенного сайта теперь вряд ли пройдет проверку.
- Участились атаки на малый и средний бизнес. Раньше в прицеле были только крупные компании, а теперь – малый и средний бизнес.Такие компании плохо защищены, сотрудники редко соблюдают цифровую гигиену, а последствия атак могут быть разрушительными, чем хакеры активно пользуются для шантажа основателей.
Один из недавних случаев произошел в июне 2025 года: онлайн-магазин одежды 12Storeez за 2 дня потерял 48 миллионов рублей из-за кибератаки и утечки персональных данных. Если взять данным 2024 года, компания пострадала на 20% от собственной чистой прибыли за весь год! И это только последствия кибератаки, проверка РКН по факту утечки может добавить ещё штраф от 1,5 миллиона.
Какие риски ждут операторов персональных данных
Начнем с кражи персональных данных: чаще всего злоумышленники атакуют CRM-системы, где хранятся клиентские базы, переписки и истории сделок. Потеря доступа к CRM может мгновенно остановить работу компании.
Последствия такой атаки:
- потеря базы клиентов, накопленной за годы работы;
- срыв важных сделок и переговоров с ключевыми клиентами, или ухудшение клиентского опыта, что напрямую скажется на выручке;
- урон репутации, если хакеры используют доступ для рассылки мошеннических или оскорбительных сообщений от имени компании или ее основателей;
- продажа данных в даркнете, где их могут заполучить конкуренты.
По данным InfoWatch, убытки компаний от утечек данных начинаются от 5 миллионов рублей. Стоимость простоя бизнеса в среднем достигает 2 миллионов рублей в день.
Помимо атак, бизнес рискует получить штрафы от РКН:
- если не уведомили Роскомнадзор о сборе данных, не добавили на сайт Политику конфиденциальности или не получили от клиента согласие на обработку его персональных данных – штраф до 700 тысяч;
- если произошла утечка данных и вы о ней не сообщили РКН – от 3 до 20 миллионов;
- повторная утечка принесет от до 500 миллионов и потенциально – уголовную ответственность для владельцев бизнеса и должностных лиц.
Как защитить бизнес – чек-лист от экспертов Агент 152
Защита персональных данных — это не «бумажка для галочки», а реальный шаг, который поможет бизнесу избежать штрафов, утечек и срывов работы. Чек-лист подскажет, с чего начать и как не допустить самых распространённых ошибок.
И да, традиционное «и так сойдёт» в 2025-м уже не сработает.
1. Разработайте политику обработки персональных данных
Это первый документ, который видит и клиент, и проверяющий Роскомнадзора. Он показывает, что вы честно объясняете людям, какие данные собираете, зачем это делаете и как обеспечиваете их защиту.
В политике нужно:
– прописать для каждой цели конкретный набор данных (например: ФИО, телефон, адрес доставки и т.д.);
– указать категории субъектов (посетители сайта, сотрудники, контрагенты);
– перечислить действия с данными, сроки их хранения и порядок обработки;
– описать меры безопасности, которые вы применяете.
Правильно написанная политика снижает риск конфликтов с регулятором и клиентами, показывая, что бизнес относится к их данным серьёзно.
2. Подайте уведомление в Роскомнадзор
Все формулировки целей и категорий данных должны пересекаться с Политикой обработки ПДн. Если этого не сделать, именно уведомление станет первой точкой несоответствия.
В отличие от сайта, который можно поправить за день, уведомление так просто не переделаешь – придется подавать обновленное, а это займет время.
Лучше доверить подготовку специалистам по персональным данным – сэкономите время и деньги. Но главное не делегируйте эту задачу своим бухгалтерам. За всё время не видели еще ни одного корректного уведомления, составленного бухгалтерией (простите меня, коллеги!).
3. Получите согласие на обработку данных
Согласие – это ваше главное основание для обработки персональных данных. Его нужно брать не только у клиентов, но и у сотрудников.
А для клиентов важно правильно встроить сбор согласий на сайт:
– во всех формах обратной связи, заявках, чатах, окнах подписки на email-рассылку;
– обязательно отдельный чек-бокс без галочки и текст с прямым утверждением: «Я согласен с условиями Политики обработки персональных данных и даю согласие на обработку моих персональных данных»;
– ссылка на текст согласия, размещённый на сайте.
Без этого любая форма превращается в потенциальный источник проблем.
4. Используйте для хранения данных российские сервисы
По закону данные россиян должны храниться только на территории РФ. Сервисы Google и прочие международные решения под это требование не подходят.
Недавно Telegram получил миллионный штраф именно за то, что хранил данные пользователей не в РФ. Поэтому лучше отказаться от использования Google Analytics, Forms, Docs и Sheets и перейдите на российские аналоги.
5. Пропишите работу с Cookie
Да, cookie-файлы тоже относятся к персональным данным. Они фиксируют поведение пользователя на сайте, помогают маркетологам строить сегменты и подбирать рекламу.
Чтобы не попасть под штрафы, укажите на сайте политику использования Cookie. В ней подробно распишите: какие cookie вы собираете, зачем, как можно отказаться от их обработки. И установите баннер, который запрашивает согласия пользователей на использования Cookie.
6. Оформите работу с подрядчиками
Если вы передаёте данные клиентов сторонним сервисам или подрядчикам, это должно быть закреплено официально:
– получите отдельное согласие клиента на передачу данных третьим лицам;
– подпишите с подрядчиком поручение на обработку данных или внесите пункт в договор.
Так вы выполните требования закона и снимете часть ответственности с себя, если утечка произойдёт по вине подрядчика.
Резюмирую
Сегодня любой бизнес обязан держать персональные данные под контролем. Ошибки здесь стоят дорого: можно потерять клиентов, репутацию и деньги. Поэтому приведите в порядок документы, сайт и процессы – это базовая гигиена для бизнеса в 2025 году.
* * *
В следующей статье обсудим ещё более болезненный вопрос: что делать, если утечка всё же произошла. Как понять, что ваши данные украли? В какой срок и как правильно уведомить Роскомнадзор, чтобы не получить дополнительный штраф? И какие шаги помогут минимизировать последствия.