⚠️ С 30 мая 2025 — новые штрафы за нарушение правил обработки персональных данных
С 30 мая 2025 года вступают в силу изменения в законе №420-ФЗ. Если вы работаете с персональными данными клиентов, сотрудников или подрядчиков — вы обязаны:
- Зарегистрироваться в Роскомнадзоре как оператор персональных данных;
- Хранить эти данные на серверах, расположенных на территории России;
- Разработать и утвердить внутренние документы, регулирующие обработку персональных данных.
❓ Что считается персональными данными
По закону (ФЗ-152), персональные данные — это любая информация, позволяющая идентифицировать человека:
- Имя + номер телефона (даже без фамилии);
- Email, адрес доставки;
- Паспортные данные, ИНН, СНИЛС;
- IP-адрес, фото, анкеты, заявки, чаты.
👤 Кого это касается
Если вы — юрлицо, ИП или самозанятый, и:
- ведёте таблицу клиентов (даже в Excel),
- собираете заявки на сайте или в соцсетях,
- записываете имя и телефон заказчика,
- нанимаете сотрудников — даже одного,
- заключили договор аренды помещения (для предпринимательской деятельности)
- сдаете отчетность в госорганы электронно.
Вы — оператор персональных данных и обязаны соблюдать закон.
Примеры:
- Салон красоты с CRM и базой клиентов;
- Фотограф, принимающий заказы через Instagram;
- Интернет-магазин на Тильде или Битрикс с формой заказа;
- Репетитор, записывающий учеников в Google Таблице;
- Компания, нанимающая персонал;
- Кофейня арендует помещение.
📄 Внутренние документы, которые нужны
Если вы работаете с персональными данными, вы обязаны иметь следующие документы:
- Политика обработки персональных данных — размещается на сайте, описывает цели, объем, сроки и безопасность.
- Согласие на обработку персональных данных — запрашивается у клиента при заявке или контакте.
- Приказ о назначении ответственного за ПДн — может быть оформлен даже на себя.
- Положение о порядке обработки ПДн — внутренний регламент, особенно нужен при проверках.
- Журнал согласий — фиксация всех полученных согласий.
- Меры по защите ПДн — антивирусы, пароли, резервные копии и т.д.
🌍 Где должны храниться персональные данные и что такое локализация
Согласно статье 18.1 ФЗ-152, все персональные данные граждан РФ должны храниться и обрабатываться на серверах, расположенных в России. Это требование называется локализация персональных данных.
Если вы используете CRM, сайт с формой заявки, облачное хранилище или онлайн-чат — это правило вас касается.
🔍 Что нужно сделать:
- Проверьте, где физически находятся сервера используемых вами сервисов;
- Обычно эта информация указана в договоре оферты, на сайте провайдера или в справке сервиса;
- Если данные хранятся за пределами РФ — это нарушение закона.
✅ Примеры сервисов, соответствующих требованиям локализации:
- СБИС, Яндекс 360, Тильда, amoCRM, 1С:CRM, Битрикс24, JivoSite
⛔ Сервисы, которые не соответствуют требованиям локализации:
- Google Sheets, Trello, Notion, Facebook*, Instagram*, WhatsApp* и др.
*принадлежат компании Meta, признанной экстремистской и запрещённой на территории РФ.
📌 Онлайн-чаты
Если на сайте установлен онлайн-чат, который запрашивает имя, телефон, email или другие данные посетителя — вы обязаны убедиться, что:
- Сервисы хранят данные на территории РФ (например, JivoSite и СБИС чат — подходят);
- Перед началом общения пользователь даёт согласие на обработку ПДн;
- Сервис чата указан в вашей политике конфиденциальности.
Важно: использование чатов и сервисов, не соответствующих локализации, даже если они встроены в сайт, — может привести к штрафам до 6 млн ₽ и блокировке ресурса.
📂 Нужно ли подавать уведомление в Роскомнадзор, если обрабатываются только данные сотрудников?
Если вы — ИП или ООО, и:
- не собираете и не храните данные клиентов (нет заявок, базы, заказов);
- обрабатываете только данные сотрудников (паспорт, ИНН, СНИЛС);
- не передаёте эти данные третьим лицам (не используете CRM, внешние сервисы);
👉 Вы можете не подавать уведомление в Роскомнадзор.
Это допускается Постановлением Правительства РФ №687, п.2:
Уведомление не требуется, если обработка персональных данных осуществляется в целях трудового законодательства, без распространения и передачи третьим лицам.
🧾 Примеры организаций, которым не нужно уведомление:
- Столовая — посетители приходят, обедают и уходят. Контактные данные не собираются, CRM и базы клиентов не используются.
- Парикмахерская без записи — нет журналов, анкет, клиент не оставляет контактные данные.
- Строитель, работающий только с юрлицами — все заказы через подрядчиков, без прямого взаимодействия с физлицами.
Но если вы используете облачные сервисы (например, СБИС, 1С в облаке, Контур и др.) даже только для кадрового учёта сотрудников, и не работаете с клиентами:
- происходит автоматизированная обработка данных,
- данные хранятся у третьих лиц (облачных провайдеров),
- возможна трансграничная передача, если сервера за пределами РФ.
Если бухгалтерский учёт ведёт аутсорсинговая компания: вы передаёте персональные данные сотрудников (ФИО, ИНН, СНИЛС, зарплата и др.) третьей стороне — это отдельное юридическое лицо, не входящее в структуру вашей организации.
👉 Такая передача считается обработкой персональных данных третьим лицом, и уведомление в Роскомнадзор становится обязательным, даже если у вас нет клиентов.
Рекомендации:
- Пропишите в договоре с бухгалтерией ответственность за соблюдение требований ФЗ-152;
- Желательно заключить отдельное соглашение о передаче и защите персональных данных (если это не включено в основной договор);
- Проверьте, где хранятся данные — сервера должны быть на территории РФ.
🔹 Вывод: Даже если у вас нет клиентов, но есть облачные сервисы или сторонняя бухгалтерия — уведомление в РКН обязательно.
📱 Можно ли переписываться с клиентами в WhatsApp и Telegram?
Формально — да, при наличии согласия клиента и уведомления Роскомнадзора. Но есть юридические риски:
- WhatsApp принадлежит Meta — признана экстремистской и запрещена в РФ. Использование в бизнесе может вызвать претензии.
- Telegram не заблокирован, но сервера находятся за рубежом — это трансграничная передача данных.
Чтобы снизить риски:
- Получите согласие клиента на использование этих мессенджеров.
- Укажите это в политике обработки персональных данных.
- Не используйте мессенджеры для хранения клиентской базы или массовых рассылок.
Рекомендация: используйте российские сервисы (VK Мессенджер, СБИС, Яндекс) как основной канал, а Telegram и WhatsApp — только по инициативе клиента.
Что будет, если не соблюдать
Не зарегистрировались в Роскомнадзоре:
| Категория | Штраф |
|---|---|
| Физлицо | от 5 000 до 10 000 ₽ |
| ИП / должностное лицо | от 30 000 до 50 000 ₽ |
| Организация | от 100 000 до 300 000 ₽ |
Нарушена локализация (сервера за пределами РФ):
| Нарушение | Штраф |
|---|---|
| Первое нарушение | до 6 000 000 ₽ |
| Повторное нарушение | до 18 000 000 ₽ |
| Блокировка сайта | по решению Роскомнадзора |
❗ Исключения: когда можно не подавать уведомление в Роскомнадзор
Согласно Постановлению Правительства РФ №687, можно не подавать уведомление, если одновременно выполняются все условия:
- Обработка без автоматизации (на бумаге);
- Данные не передаются третьим лицам и не публикуются;
- Нет CRM, сайтов, облаков;
- Обработка не нарушает права субъекта данных;
- Цель — только выполнение договоров, учёт, бухгалтерия.
📊 Примеры — нужно ли подавать уведомление?
| Ситуация | Нужно уведомление? |
|---|---|
| Фотограф получает заявки через Instagram* и записывает их в заметки | ✅ Да |
| ИП хранит данные клиентов в Google Таблице | ✅ Да |
| Магазин принимает заказы через сайт с формой | ✅ Да |
| Самозанятый записывает клиентов в блокнот | ❌ Нет |
| Репетитор ведёт журнал учеников от руки | ❌ Нет |
| Вы звоните по заявке с сайта | ✅ Да |
| Бухгалтер вручную ведёт учёт, без CRM, не передает 3-им лицам | ❌ Нет |
* Instagram принадлежит компании Meta, признанной экстремистской и запрещённой на территории РФ.
✅ Что нужно сделать
- Принять меры по внесению вашей организации в реестр операторов персональных данных Роскомнадзора:
Реестр операторов | Инструкция по подаче уведомления - Проверить используемые сервисы на соответствие требованиям локализации:
✅ Подходят: СБИС, amoCRM, Битрикс24, Яндекс 360, Тильда и др.
⛔ Не подходят: Google Sheets, Trello, Notion, WhatsApp - Разместить политику обработки ПДн на сайте.
- Назначить ответственного за обработку ПДн.
- Получать согласие на обработку — особенно если общаетесь через мессенджеры.
📝 Итог
Даже если вы просто записали имя и номер телефона клиента — вы обрабатываете персональные данные.
С 30.05.2025 за это нужно быть официально зарегистрированным и хранить данные в России.
📌 Полезные ссылки
- Реестр операторов персональных данных
- Инструкция по уведомлению в Роскомнадзор
- Статья 22 ФЗ-152 «О персональных данных»
⚖️ Обратите внимание: информация в данной статье носит справочный характер и не является юридической консультацией. Законы и трактовки могут меняться. Для принятия окончательного решения рекомендуем обратиться в Роскомнадзор или получить консультацию у квалифицированного юриста.
