Что изменилось в законе?
Статья 13.11 КоАП РФ дополняется новыми составами административных правонарушений. Все они связаны с нарушением требований закона о персональных данных (№152-ФЗ). Ошибки, которые раньше могли остаться незамеченными, теперь будут фиксироваться ИИ и превращаться в реальные штрафы.
Размеры штрафов с 30 мая 2025 года
| Нарушение | Штраф для юридических лиц |
| Отсутствие регистрации в Роскомнадзоре (часть 1.1) | До 300 000 ₽ |
| Обработка ПД без согласия (часть 2) | До 700 000 ₽ |
| Повторное нарушение части 2 | До 1,5 млн ₽ |
| Нарушение требований хранения данных в РФ (часть 8) | До 6 млн ₽ |
| Повторное нарушение части 8 | До 18 млн ₽ |
Примечание: Для ИП и должностных лиц штрафы также увеличены, но максимальные суммы указаны именно для юридических лиц. По ссылке собрали таблицу со всеми штрафами за нарушения законодательства в области персональных данных.
Какие действия теперь под штрафом?
1. Отсутствие регистрации в Роскомнадзоре
Если вы собираете данные пользователей (email, телефон, cookie), вы обязаны зарегистрироваться в качестве оператора ПД. Штраф: до 300 000 ₽ (часть 10).
2. Обработка данных без согласия
Рассылаете письма, звоните клиентам, используете формы на сайте? Нужно явное письменное согласие. Штраф: до 700 000 ₽ (часть 2). Повторное нарушение: до 1,5 млн ₽ (часть 2.1).
3. Хранение данных за границей
Если используете Google Analytics, Google Drive и другие сервисы, передающие данные за рубеж — это нарушение. Штраф: до 6 млн ₽ (часть 8). Повторное нарушение: до 18 млн ₽ (часть 9).
4. Неточности в целях использования данных
Собрали email для отправки чека, а используете его для рекламы? Так нельзя.Каждая цель сбора данных должна быть указана в политике конфиденциальности и формах согласия.
5. Объединённые согласия
Один чекбокс «Я согласен на всё» — грубое нарушение. Согласие на обработку персональных данных и на получение рекламы должны быть раздельными.
6. Скопированная политика конфиденциальности
Текст должен соответствовать вашему бизнесу. Если он взят с другого сайта — это нарушение. Штраф: до 60 000 ₽ (часть 3).
7. Отсутствие баннера с запросом согласия на использование cookie
Cookie-файлы, позволяющие идентифицировать пользователя, считаются персональными данными. На сайте должен быть баннер с запросом согласия и возможностью отказа.
8. Ошибка в реквизитах компании
ИНН, ОГРН, юридический адрес и контактная информация должны быть на видном месте (обычно в подвале сайта).
9. Нарушение сроков ответа на запросы пользователей
Если клиент просит удалить свои данные, уточнить информацию или заблокировать аккаунт — вы обязаны выполнить запрос в установленный срок. Штраф: до 90 000 ₽ (часть 5), повторно — до 500 000 ₽ (часть 5.1).
Как ощущается подготовка к очередным «правочкам» в законахКак подготовиться к 30 мая 2025?
1. Подготовьте документы
- Политика конфиденциальности (адаптированная под ваш бизнес).
- Локальные акты по обработке данных.
- Формы согласий: на обработку ПД, на рекламу, на использование cookie.
2. Зарегистрируйтесь в Роскомнадзоре
Подайте уведомление через специализированные сервисы. Регистрация проводится после подготовки документов.
3. Проверьте сайт
- Убедитесь, что политика конфиденциальности актуальна.
- Все формы содержат чекбоксы с явным согласием.
- Удалите скрипты иностранных сервисов, передающих данные за границу.
- Добавьте cookie-баннер.
- Укажите реквизиты компании.
4. Обучите сотрудников
- Не храните данные в мессенджерах.
- Не передавайте файлы с ПД через Telegram/WhatsApp.
- Соблюдайте сроки хранения данных.
5. Делайте регулярный аудит
Минимум раз в три месяца проверяйте политики, формы, код сайта и внутренние процессы.
Что делать, если пришло предписание от Роскомнадзора?
- Не паниковать. Предписание — не штраф.
- Исправить ошибки. Обновите документы, сайт, политики.
- Отправить ответ. Предоставьте подтверждающие материалы в Роскомнадзор.
У вас есть 10 дней на исправление. Но штраф могут наложить и за прошлые нарушения.
Почему нельзя откладывать?
- Автоматические проверки. Роскомнадзор ежедневно сканирует тысячи сайтов.
- Высокие штрафы. От 30 000 ₽ для ИП до 18 млн ₽ для юрлиц.
- Репутационные риски. Блокировка сайта или утечка данных повредит доверию клиентов.
Пример письма от Роскомнадзора о нарушениях обработки ПД на сайтеПример предписания от Роскомнадзора
Данное письмо получил один из наших клиентов в начале 25 года. Коротко перескажем его содержание.
Письмо направлено организации, владеющей сайтом, и содержит требования Роскомнадзора по соблюдению законодательства в области обработки персональных данных.
В ходе проверки выявлены следующие нарушения:
- Отсутствие согласия пользователя на обработку персональных данных при заполнении формы "У меня возникла проблема". На сайте не предусмотрена отметка (чек-бокс) для получения явного согласия.
- Использование сервиса Яндекс.Метрика без информирования пользователей. Необходимо разместить всплывающее окно с уведомлением о сборе данных и использовании cookie.
- Использование Google Analytics, который может передавать данные на серверы за пределами России. Это может рассматриваться как трансграничная передача персональных данных, что требует особого регулирования. Нужно исключить использование сервиса.
- Некорректная формулировка политики конфиденциальности: указано, что обработка персональных данных осуществляется «без ограничения срока», что противоречит требованиям закона.
- Отсутствие уведомления в Роскомнадзор о начале обработки персональных данных — это обязательная процедура для всех операторов.
Роскомнадзор требует устранить выявленные нарушения в течение 10 рабочих дней и направить подтверждение выполнения мер в управление.
Также указано, что несоблюдение требований может повлечь административную ответственность по статьям КоАП РФ.
🔥 Если вы хотите подготовить свой сайт к требованиям РКН до получения такого письма, напишите нам! Поможем сделать аудит нарушений и внесем изменения в рамках техподдержки.
Совет напоследок
Если не успеваете сделать всё самостоятельно:
- Используйте генераторы политик (например, от Ассоциации электронных коммуникаций).
- Проведите технический аудит сайта.
- Проконсультируйтесь с юристом по защите персональных данных.
Те, кто адаптируется к новым правилам до 30 мая, сохранят бюджет и репутацию. Те, кто затянет — рискуют потерять гораздо больше.
📌 Важно: В статье использованы точные формулировки и размеры штрафов из КоАП РФ (статья 13.11) с учётом изменений, вступающих в силу с 30 мая 2025 года.