Персональные данные 2025: штраф до 15 млн ₽ и запрет зарубежных баз. Нужны ли изменения на сайте и в CRM?
Если вы собираете персональные данные клиентов на сайте и храните их в облаке Google Sheets то сентябрь 2025 года все изменил и теперь это может стоить компании до 15 миллионов рублей. То, что вчера было рутиной, сегодня сравнимо с пожаром в офисе. Бежать ли за огнетушителем — посмотрим в этой статье.
В моем телеграм-канале я объясняю самые горячие профессиональные новости без драм и усложнений.
Что произошло в 2025?
Поправки усилили ответственность по ст. 13.11 КоАП и дополнили ФЗ-152 : появились новые составы нарушений (в т.ч. вокруг биометрии), выросли штрафы и обязанности по уведомлениям. С 30 мая 2025 это уже действует.
Персональные данные на сайте: что изменилось?
- Ответственность выросла ⬆ За неуведомление о начале обработки — до 100–300 тыс. ₽ для юрлиц и ИП; за неуведомление об утечке — 1–3 млн ₽; за иные нарушения — повышенные штрафы по ст. 13.11 КоАП.
- Локализация — без вариантов ☝ С 1 июля 2025 нельзя собирать, обрабатывать ПДн граждан РФ с использованием баз за рубежом — базы должны быть в РФ. Популярные иностранные облака и формы без локализации — риск.
- Сроки и процедуры 🕑 Уведомление в Роскомнадзор об обработке обязательно; на сообщение об утечке — 24 часа.
Персональные данные сентябрь 2025: отдельное согласие теперь правило.
С 1 сентября 2025 согласие на обработку персональных данных на сайте оформляется отдельным документом. Если оформить «встроенным абзацем» — риск получить штраф по ст. 13.11 КоАП. Проверьте cookie-баннеры и формы.
Какой штраф за нарушения?.
Пределы и пороги зависят от состава; ориентируйтесь на примечания и части ст. 13.11 КоАП. Подробные рамки здесь.
до 10 000 – 15 000 руб. для физлиц;
до 50 000 – 100 000 руб. для должностных лиц и ИП;
до 150 000 – 300 000 руб. для организаций.
При повторном нарушении эти суммы вырастают вдвое 🌱
Для коммерческих организаций и ИП штрафы за:
- неуведомление о начале обработки –100-300 тыс. руб.
- неуведомление об утечке – от 1 до 3 млн.
- утечку персональных данных – от 3 до 15 млн. руб, в зависимости от объема утечки
- утечку данных спецкатегорий – от 10 до 15 млн. руб.
- утечку биометрии – от 15 до 20 млн.
Цитируя комментарий к законопроекту: «Персональные данные — это ценность, а их защита требует таких же усилий и затрат, как защита имущественных прав»
Как видите, действительно дорого...
Обработка персональных данных на сайте в живых примерах.
- Excel у бухгалтера. Файл с номерами клиентов на ноутбуке — это обработка ПДн. Потеряли устройство — получите кейс на штраф.
- Маркетинговая CRM. Лиды «на пять минут» выгрузили в зарубежный сервис, формально передали ПДн за рубеж — нарушение.
- Форма на сайте. Любая заявка/обратная связь — это сбор персональных данных. Нужны локализация, уведомление в РКН и корректное согласие.
Коротко и просто: публичный сбор данных = локализация в РФ + уведомления. Иностранные базы мимо.
Что под ударом?
- Google Forms/Sheets/Analytics, reCAPTCHA, зарубежные CRM и облака (HubSpot, Notion, AWS).
- Любые виджеты и скрипты, отправляющие ПДн на иностранные сервера.
- «Временная интеграция на тест» — тоже интеграция. Прямой запрет на иностранные базы закреплён в ч. 5 ст. 18 ФЗ-152.
Пошагово: что делать бизнесу
- Политика персональных данных на сайте: обновить под ФЗ-152 (редакция 2025): где и как храните, сроки, меры защиты. business.ru
- Согласие на обработку персональных данных на сайте отдельным документом; cookie-баннер — не «общая галочка». Гарант
- Локализация. Перенести базы в РФ; исключить отправку ПДн в иностранные облака/скрипты. Lidings
- Роскомнадзор: уведомление об обработке персональных данных 2025. Проверьте, что уведомление подано и актуально. 59.rkn.gov.ru
- DPIA (оценка воздействия). Задокументируйте риски/меры; обязательно для спецкатегорий/биометрии. КонсультантПлюс
- Договоры с подрядчиками. Пропишите локализацию, SLA по инцидентам и порядок уведомлений об утечке. (Практика и шаблоны — см. ссылки ниже.)
Новое кредо для команды: «Одна таблица — один риск. Не храните данные «как получится».»
Политика обработки персональных данных на сайте: что проверить?
- Политика доступна с каждой страницы (footer), содержит оператора, цели, состав ПДн, сроки.
- Указана локализация в РФ и перечень сервисов.
- Описан порядок отзыва согласий, обращения субъекта ПДн, правки данных.
- Указан контакт ответственного за ПДн.
Эти пункты — первое, что смотрит РКН при проверках. Бухгалтерия
Карта замены сервисов (обработка персональных данных на сайте 2025)
Иностранный сервис → Чем заменить в РФ
Google Forms → Яндекс.Формы, Tilda Forms
Google Sheets → Яндекс.Таблицы, МойОфис
Google Analytics → Яндекс.Метрика, Roistat
Dropbox / OneDrive → VK Cloud, Mail.ru Cloud
Trello / Slack → Bitrix24, VK WorkSpace
Да, интерфейс непривычный. Но штраф в 15 млн ₽ куда менее удобен.
Чек-лист: защита персональных данных на сайте (10 пунктов)
🎯 Заголовок и политика — обновлены под ФЗ о персональных данных 2025.
🎯 Локализация: базы и бэкапы в РФ; нет исходящих потоков ПДн за рубеж.
🎯 Согласие: отдельный документ с 01.09.2025; cookie-баннер — по правилам.
🎯 Формы на сайте: только российские виджеты; нет скрытых скриптов, отправляющих ПДн «наружу».
🎯 Уведомление РКН: подано/актуализировано; ответственный назначен. 59.rkn.gov.ru DPIA выполнена; меры защиты применены.
🎯 Договоры с подрядчиками: локализация, SLA, инциденты/утечки.
🎯 Журнал инцидентов и 24 часа на сообщение об утечке — процесс описан.
🎯 Аудит виджетов/SDK: reCAPTCHA, чат-боты, пиксели — проверьте, куда утекают данные.
🎯 Обучение команды: «ничего не выгружаем в иностранные облака» — правило по умолчанию.
Частые вопросы (коротко)
— Можно ли «на время» выгрузить лиды в Google Sheets?
Формально это передача в иностранную базу — нельзя. Ищите российский аналог.
— Достаточно ли одной галочки «согласен со всем»?
С 1 сентября 2025 согласие — отдельный документ. Иначе риски штрафов. Гарант
— Нужно ли уведомлять РКН о простых формах обратной связи?
Да. Любой сбор ПДн = оператор. Уведомление — обязательно. 59.rkn.gov.ru
🏁Финал
Можно спорить, насколько сильно закон «подкрутил гайки». Но факт: фамилия и номер телефона теперь ценятся не меньше денег на счету.
Проверьте, где хранятся данные клиентов, пока это не сделал Роскомнадзор. А если уже сделали — выдохните.
Нужны шаблоны политики и согласий? — размещаю их в Telegram @ivik_channel. Подписывайтесь, там же публикуем кейсы и разборы.
Обнял, Илья.
Полезные ссылки
Обзор новых штрафов с 30.05.2025: КонсультантПлюс
Закон № 420-ФЗ и новые составы по ПДн: КонсультантПлюс
Отдельное согласие с 01.09.2025: Гарант
Запрет иностранных баз (ч. 5 ст. 18 ФЗ-152). Обзор судебной практики: PrivacyLine
Чек-лист сайта под РКН: Бух.1С