Skip to content Skip to footer
DIGITAL-АГЕНТСТВО

+7 (902) 286-56-47

Заказать сайт
Close

Новые штрафы до 18 миллионов рублей: адаптируйте сайт к изменениям ФЗ о персональных данных в 2025 году

30 мая 2025 года в России вступают в силу изменения в законодательстве о персональных данных (152-ФЗ). Штрафы за нарушения достигают 18 миллионов рублей, а повторные нарушители рискуют потерять до 3% своего годового оборота. Наша команда экспертов F5 подготовила подробный анализ новых требований и разработала пошаговый план действий для защиты вашего бизнеса.

Почему изменения в 152-ФЗ касаются каждого бизнеса в России

По нашим наблюдениям, более 80% российских компаний, от крупных корпораций до индивидуальных предпринимателей, на текущий момент не соответствуют новым требованиям закона. При этом практически любой современный бизнес собирает и обрабатывает персональные данные через:
  • Формы обратной связи и заказа на сайте
  • CRM-системы и базы клиентов
  • Программы лояльности и системы бронирования
  • Службы доставки и сервисы техподдержки
Не сомневайтесь: если вы собираете хотя бы имя и телефон клиента — вы уже обрабатываете персональные данные и подпадаете под действие закона.

Ключевые изменения, которые нельзя игнорировать:

В F5 мы разработали простой и понятный способ создания и улучшения сайтов, который подходит для нестабильного рынка. Наш метод помогает получать хорошие результаты для бизнеса с минимальным риском для ваших финансов.

1. Обязательная локализация данных на территории РФ
С 1 июля 2025 года вступает в силу требование о полной локализации всех операций с персональными данными россиян на серверах, физически размещенных в России:
  • Полный запрет на первичный сбор данных в зарубежные хранилища
  • Ограничение использования международных сервисов (включая Google Forms, Analytics, Mailchimp, Hubspot и зарубежные CRM)
Важно: Для трансграничной передачи данных теперь требуется предварительное уведомление Роскомнадзора и наличие законного основания. Использование зарубежных сервисов по-прежнему возможно, но только при условии хранения данных российских пользователей на серверах в РФ.
Если вы используете зарубежные CRM-системы, сервисы email-маркетинга и аналитики, которые по умолчанию хранят данные за пределами РФ — нужно что-то срочно менять.
2. Ужесточение требований к формам согласия
Анализ практики проверок Роскомнадзора показывает, что большое количество нарушений связаны именно с неправильным оформлением согласий. С 2025 года вас могут оштрафовать за:
  • Неявное согласие — отсутствие активного действия пользователя при предоставлении согласия (например, предустановленные галочки)
  • Размытые формулировки целей — общие фразы вроде «для улучшения сервиса» или «для внутренних нужд компании»
  • Избыточный сбор данных — запрос информации, не необходимой для заявленной цели
  • Отсутствие обязательных реквизитов в согласии (перечень данных, сроки хранения, порядок отзыва)
  • Нераскрытие информации о передаче данных третьим лицам
  • Отсутствие отдельного согласия на cookies, используемые для идентификации пользователей
3. Серьезные штрафы за утечки данных
Новые санкции за нарушения в области персональных данных бьют по самому чувствительному — финансам компании:
  • Миллионы рублей за первичное нарушение
  • До 3% от годового оборота за повторное нарушение (но не менее 3 миллионов рублей)
Проверьте надежность используемого ПО, для сайта проверьте CMS и установите все последние обновления для обеспечения безопасности. Защитите ваш сайт от взлома и утечки персональных данных.
4. Обязательное поручение на обработку данных
Если ваш бизнес передает персональные данные клиентов подрядчикам (маркетинговым агентствам, разработчикам, операторам колл-центров), в договоре должно быть детальное поручение на обработку, включающее:
  • Перечень передаваемых персональных данных
  • Детальное описание допустимых операций
  • Цели обработки данных
  • Гарантии конфиденциальности
  • Обязательство обеспечить локализацию данных в России
  • Требования к защите информации
Важно: Отсутствие корректного поручения на обработку данных в договоре с подрядчиком влечет штраф до 500 тысяч рублей.
Мы понимаем, что у каждого бизнеса свои потребности и финансовые возможности. Поэтому у нас есть разные варианты решений на выбор:

Пошаговый план действий для адаптации бизнеса к новым требованиям

Шаг 1: Аудит информационных систем и процессов обработки данных
  • Составьте полный перечень всех систем, где обрабатываются персональные данные клиентов, сотрудников и партнеров
  • Определите физическое местоположение серверов для каждой информационной системы
  • Проанализируйте все формы сбора данных на вашем сайте и в офлайн-точках
  • Выявите все случаи передачи данных третьим лицам и трансграничной передачи
Шаг 2: Обновление документации и процессов
  • Переработайте формы согласия с учетом новых требований
  • Актуализируйте политику конфиденциальности на сайте и внутренние нормативные документы
  • Разработайте регламент действий при выявлении утечки данных
  • Создайте и внедрите процедуру для реализации права субъекта на отзыв согласия
  • Пересмотрите договоры со всеми контрагентами, имеющими доступ к персональным данным
Шаг 3: Техническая адаптация и обеспечение безопасности
  • Проведите миграцию данных на серверы в России, если это необходимо
  • Внедрите современные средства защиты информации (шифрование, многофакторную аутентификацию)
  • Настройте корректное управление cookies на сайте с возможностью отказа от неосновных файлов
  • Обеспечьте регулярное резервное копирование критически важных данных
  • Организуйте регулярное обновление ПО на всех устройствах с доступом к персональным данным и обновление системы управления сайтом (CMS)
Шаг 4: Обучение персонала и контроль соблюдения требований
  • Проведите обучение сотрудников новым правилам работы с персональными данными
  • Назначьте ответственных лиц за каждое направление защиты данных
  • Внедрите регулярные внутренние аудиты соответствия требованиям 152-ФЗ
  • Разработайте систему KPI для оценки эффективности мероприятий по защите данных

Не ждите штрафов — действуйте на опережение!

Подпишись на полезный контент F5 и прямо сейчас получи чек-лист проверки своего сайта на соответствие 152 ФЗ «О персональных данных»
Получить чек-лист

Ответы на самые актуальные вопросы о новых требованиях

Да, и очень даже. Закон о персональных данных (ФЗ-152) распространяется на всех, кто хоть как-то собирает или обрабатывает личные данные клиентов — вне зависимости от размера бизнеса, организационно-правовой формы или сферы деятельности.

Если вы записываете клиентов через сайт, Google-форму или просто ведёте список в таблице Excel — вы уже являетесь оператором персональных данных и обязаны соблюдать обновлённые требования закона.

Вот реальные примеры, кого это касается:


  • Салон красоты, использующий CRM для клиентской базы и рассылок
  • Мастер маникюра с онлайн-записью на Tilda или Yclients
  • Кондитер на заказ, собирающий имена и телефоны через форму на сайте
  • Частная клиника или стоматология, записывающая пациентов на приём онлайн

Даже если вы просто собираете имя, телефон и email — этого уже достаточно, чтобы подпасть под закон.

И с 30 мая 2025 года, если в обработке данных будут нарушения (например, нет корректного согласия или данные хранятся на зарубежных сервисах без локализации), это может обернуться штрафом — даже для самого маленького ИП или самозанятого.

Вывод: если вы работаете с людьми и данными — закон касается и вас. Лучше подготовиться сейчас, чем платить потом.

Полный отказ не требуется, но необходимо убедиться, что ваши данные хранятся на серверах в России. Многие международные компании уже предлагают опцию локализации данных в РФ (например, некоторые облачные CRM-системы). Если такой опции нет — рассмотрите миграцию на российские аналоги или создание локального хранилища с последующей синхронизацией.
Утечкой считается любой несанкционированный доступ к персональным данным, включая взлом сайта или базы данных.

Согласие должно быть:


  • Конкретным (содержать четкий перечень данных и операций)
  • Информированным (пользователь должен понимать, на что соглашается)
  • Сознательным (требуется активное действие пользователя)
  • Свободным (без принуждения)
  • Отзывным (с указанием процедуры отзыва)

Для онлайн-форм рекомендуется использовать чекбоксы с формулировкой по примеру “Я даю согласие на обработку моих персональных данных в соответствии с [ссылка на политику]” и отдельный чекбокс для согласия на рекламные рассылки.

Экспертная помощь F5: комплексное решение для защиты вашего бизнеса

Наши специалисты помогут вам:

  • Провести аудит вашего сайта на соответствие новым требованиям
  • Разработать документацию — формы согласия, политику конфиденциальности
  • Осуществить техническую миграцию данных на российские серверы с минимальными потерями для бизнеса
  • Провести аудит безопасности сайта и оперативно устранить проблемы

Закажите аудит вашего сайта на соответствие закону:

Мы не только выявим все потенциальные риски, но и предложим оптимальные решения для их устранения, учитывающие специфику вашего бизнеса.

Оставить заявку

Другие статьи