Как бизнесу работать с персональными данными в 2025 году и не получить штраф

С 1 мая 2025 года в силу вступили поправки к закону «О персональных данных». Они коснулись всех, кто собирает, хранит или использует личную информацию пользователей.

Вот основные изменения:

• Штрафы выросли в 5 раз. За утечку данных — от 3 до 15 млн ₽, при повторных нарушениях — до 3% годового оборота.

• Добавлена уголовная ответственность за незаконную обработку персональных данных, их утечку и неуведомление Роскомнадзора.

• Введены требования к ИТ-системам. Использование несертифицированных сервисов — повод для штрафа.

• Роскомнадзор нужно уведомлять не только о начале обработки данных, но и об утечках — строго в установленные сроки.

• Для рассылок требуется отдельное согласие. Без него — штраф до 500 тыс. ₽.

Ограничения усиливаются и для компаний, которые передают данные за границу — например, используют зарубежные CRM, аналитику или email-сервисы. Ожидается, что в ближайшее время вступят дополнительные требования к таким операторам.

Даже если вы не банк и не клиника, закон всё равно действует. Любая компания, которая собирает данные, по которым можно идентифицировать человека, становится оператором. Это значит, что она обязана соблюдать 152-ФЗ.

Под персональными данными попадают:

• имя, телефон, адрес, email;
• IP-адрес, cookie и любые идентификаторы;
• предпочтения и поведение пользователей;
• биометрия — фотографии, рост, вес, группа крови и т. д.

Если вы используете формы обратной связи, онлайн-чаты, pop-up-окна или ведете аналитику через сторонние сервисы — вы уже работаете с персональными данными.

До 2025 года во многих компаниях юридическое согласие выглядело так: галочка в форме + ссылка на политику конфиденциальности. Такой подход теперь считается недостаточным.

Чтобы обработка данных была легальной, согласие должно быть:

• отдельным документом, не частью пользовательского соглашения;
• оформленным под конкретную цель (например, регистрация, рассылка, обратная связь);
• сопровождено отдельной активной ссылкой на текст согласия;
• подтверждено действием пользователя — чекбокс не может быть проставлен по умолчанию.

Формулировки вроде «нажимая кнопку, вы соглашаетесь…» без отдельного документа и чекбокса не считаются валидным согласием.

Соблюдение закона начинается с корректного оформления всех юридически значимых действий. Универсального согласия на всё не существует. Под каждую задачу оформляется своё.

1. Согласие на регистрацию
Любая форма, где пользователь оставляет свои контактные данные, — например, регистрация в кабинете, подписка на мероприятие.

2. Согласие на обратную связь
Нужно, если пользователь оставляет запрос: «задайте вопрос», «свяжитесь с нами», «нужна консультация».

3. Согласие на рассылку
Отдельное согласие, если вы планируете отправлять письма, пуши, СМС или сообщения в мессенджерах. Общее согласие на обработку не даёт права отправлять рекламу.

4. Согласие на обработку жалоб
Для отзывов, претензий и возвратов — тоже нужен отдельный документ.

5. Согласие на cookie и аналитику
Cookie относятся к персональным данным. На сайте должен быть баннер с объяснением, на что пользователь соглашается, и возможностью отказаться.

6. Согласие на трансграничную передачу
Если вы используете зарубежные сервисы (например, Google Analytics, MailChimp), требуется отдельное согласие и уведомление Роскомнадзора. При запрете — такие сервисы нужно отключить в течение 10 дней.

Если вы давно собираете данные, но не оформляли отдельные согласия на рассылку — использовать такие контакты рискованно.

Что можно сделать:

• Отправить пользователям сообщение по email или через чат-бот.
• Объяснить, что вы действуете по закону и просите подтвердить согласие на рассылку.
• Добавить кнопку или быстрый ответ — например, «Подтверждаю» или «Получать письма».
• Зафиксировать согласие в CRM или другом учёте.

Контакты без подтверждения должны быть исключены из маркетинговых коммуникаций. Такой подход позволит сохранить базу и снизить юридические риски.

Наказание за утечку персональных данных в 2025 году начинается от 3 млн ₽. Поэтому важно не только собрать согласия, но и обеспечить техническую безопасность.

Рекомендуется:

• использовать только сертифицированные ИТ-системы;
• шифровать каналы передачи данных;
• ограничивать доступ к базам по ролям;
• обучить команду основам работы с персональными данными;
• фиксировать, кто и когда обрабатывает или передаёт данные.

Любая компания, которая взаимодействует с клиентами — через формы, чаты, рассылки, аналитику — работает с персональными данными. С 2025 года это требует юридической точности и документального оформления.

Чтобы избежать штрафов и блокировок:

• оформляйте отдельные согласия под каждую цель обработки;
• не используйте галочки по умолчанию — пользователь должен подтвердить действия сам;
• не заменяйте согласие ссылкой на политику — нужен отдельный документ;
• храните факты получения согласий — в CRM или журнале;
• проверяйте, какие данные передаются за границу, и уведомляйте Роскомнадзор.

Работа с данными — это уже не только маркетинг, но и юридическая ответственность.

Если хотите выстроить законную и эффективную коммуникацию с клиентами, стоит начать с аудита форм, рассылок и чат-ботов, а также автоматизации процессов с учётом всех требований закона.