Как законно работать с персональными данными в 2025 году и не получить штраф по ФЗ-152

Если вы собираете данные клиентов через формы, чат-боты или рассылки, но не запрашиваете отдельного согласия на сбор и обработку, то нарушаете закон и можете получить штраф до 15 млн ₽. 

Вместе с Поинтер мы провели вебинар о том, как в 2025 году бизнесу работать с персональными данными без риска штрафов. Спикеры — Ольга Захарова, эксперт по цифровому праву DRC, и Вячеслав Погодаев, IT-юрист.

По мотивам встречи публикуем статью и рассказываем:

• какие штрафы грозят за нарушения закона о персональных данных;
• с чего начать проверку форм, рассылок и клиентской базы;
• какие согласия нужны и как их правильно собрать;
• что делать, если база контактов уже есть, а согласий нет.

В конце — чек-лист для маркетолога: что проверить в интерфейсах, чтобы избежать рисков.

Что изменилось в правилах работы с персональными данными в 2025 году

С мая 2025 года требования к работе с персональными данными ужесточились. Бизнесу придется документировать цели и способы сбора данных, соблюдать сроки хранения и доказывать законность обработки. Штрафы за нарушения выросли в 5 раз и сопоставимы с оборотом малого и среднего бизнеса.

Главные изменения:

• ввели новые административные штрафы и уголовные наказания за незаконную обработку персданных, их утечку и неуведомление Роскомнадзора о сборе, прекращении использования данных и их утечках; 
• увеличили размер штрафов: от 3 до 15 млн ₽ за утечку данных и до 3% годового оборота при повторных нарушениях;
• ужесточили ответственность за использование несертифицированных ИТ-систем и иностранных сервисов;
• обязали компании уведомлять Роскомнадзор об обработке данных и допущенных инцидентах по утечке данных в установленные сроки;
• ввели штраф до 500 000 ₽ за нарушение правил рассылки без отдельного согласия пользователя.  

При принятии закона также обсудили и компании, которые передают персональные данные за границу. Скорее всего, для них скоро введут новые ограничения и санкции за нарушение требований безопасности. Кстати, Carrot quest входит в реестр Российского ПО и не передает данные за границу. Серверы и инфраструктура находится в России.

Компании, которые собирают персональные данные через формы, чат-ботов, email и аналитику, называются операторами персональных данных и автоматически попадают под действие закона. По закону компания считается оператором, если собирает или использует: 

• общие данные — имя, телефон, адрес или email пользователя; 
• файлы cookies, IP-адрес и любые идентификаторы;
• данные об интересах пользователя; 
• биометрические данные — фотографии, группы крови, параметры роста и веса.  
• и многое другое, что непосредственно связано с субъектом персональных данных.

Закон 152-ФЗ о защите персональных данных касается не только банков и медицинских организаций. Он обязателен и для интернет-магазинов, библиотек, госучреждений, биллинговых систем и call-центров.

Формальный подход сбора согласия в виде стандартной галочки в форме без ссылки на документы или без объяснения цели больше не работает. Бизнесу нужно обосновать законность обработки данных и подтвердить наличие согласия пользователя.

Что грозит бизнесу за нарушения ФЗ-152 в 2025 году: размеры штрафов

За утечки персональных данных. Размер штрафа зависит от объема скомпрометированных данных:

• от 1 000 до 10 000 записей — штраф от 3 до 5 млн ₽;
• от 10 000 до 100 000 записей — от 5 до 10 млн ₽;
• от 100 000 записей и выше — от 10 до 15 млн ₽.

За незаконную обработку данных без согласия. Если у компании нет корректного юридического основания на обработку персональных данных — штраф от 150 до 300 тыс. ₽.

За рассылку без отдельного согласия. Если пользователь не подтвердил согласие на получение рекламы — штраф до 500 тыс. ₽.

За повторные нарушения. Если компания нарушает правила повторно могут назначить оборотный штраф — от 1% до 3% годовой выручки.

За обработку специальных категорий данных. При утечке биометрических или других специальных данных штраф составит до 500 млн ₽, но не меньше 20 млн.

За использование несертифицированных IT-систем. Если компания использует базу данных, систему или средство защиты, которое должно быть сертифицировано, но не прошло сертификацию — штраф до 100 тыс. ₽.

За неуведомление Роскомнадзора:

• Если оператор не уведомил о начале обработки данных — штраф от 100 тыс. до 300 тыс. ₽.
• Если не сообщил об утечке в течение 24 часов и не провел расследование в течение 72 часов — штраф от 1 до 3 млн ₽.

Чтобы уведомить Роскомнадзор, следуйте инструкциям на их официальном сайте: 

• форма уведомления до начала обработки персданных и при прекращении;
• форма уведомления на случай утечки данных. 

Какие согласия собирать и как это делать правильно

Коротко: одного универсального документа для сбора согласия недостаточно. Документ для получения согласия важно оформить правильно и с учетом цели обработки.

Виды согласий, которые нужны маркетологу

1. Согласие при регистрации

Нужно в любой форме на сайте, где пользователь создает личный кабинет, оставляет контактные данные или записывается на мероприятие. Это базовое согласие, чтобы собрать и сохранить данные в своих системах.

2. Согласие на обратную связь в случае направления обращения 

Обычно нужно в формах «задайте вопрос», «оставить обращение», «заказать звонок». Даже если пользователь просто просит ответить на его вопрос — собирать согласие обязательно.

3. Согласие на рассылку

Отдельное согласие на получение рекламы или маркетинговой информации. Общее согласие на обработку данных не дает права отправлять письма, пуши или сообщения. Без отдельного согласия — это нарушение.

4. Согласие на обработку жалоб и претензий

Нужно, если вы собираете обращения в поддержку, возвраты, отзывы или жалобы. Такая обработка тоже требует отдельной юридической фиксации цели.

5. Согласие на сбор cookies и аналитику

Файлы cookie тоже считаются персональными данными, потому что по ним можно идентифицировать пользователя. На сайте нужен баннер с кнопкой «Согласен» и ссылкой на соответствующий документ для ознакомления.

6. Согласие при трансграничной передаче данных

Если вы используете зарубежные сервисы вроде Google Analytics или MailChimp — это считается передачей данных за границу. Нужно уведомить Роскомнадзор и получить согласие пользователя.

Важно! Если вы используете иностранные сервисы для целей сбора данных с сайта, например, Google Analytics, то после уведомления Роскомнадзор вправе запретить вам такую трансграничную передачу персональных данных граждан РФ, а значит, придется удалить GA в течение 10 дней с момента запрета.

По содержанию согласия похожи. Вот основные требования к ним:

• Согласие для каждой цели оформляется отдельным документом. Нельзя включать его в пользовательское соглашение или политику конфиденциальности.
• В документе указывают: цель обработки, список собираемых данных, срок хранения, меры защиты, сведения об операторе.
• Галочку в чекбоксе для подтверждения согласия нельзя сделать предустановленной. Пользователь должен поставить галочку самостоятельно.
• Внутри формы сбора данных нужна активная ссылка на текст согласия. Без нее оформление считается нарушением.
• Формулировка «нажимая кнопку, вы соглашаетесь…» без чекбокса и ссылки — не считается корректным согласием.

Как убедиться, что вы собираете данные пользователей законно: инструкция для маркетолога

Чтобы убедиться, что вы законно работаете с персональными данными, можно проанализировать:

• каналы сбора данных,
• интерфейсы и формы сбора данных, 
• существующую базу и согласия на рассылки. 

Шаг 1. Каналы сбора данных

Составьте список всех точек, где компания получает данные пользователей. Чаще всего это:

• формы обратной связи на сайте и лендингах,
• онлайн-чаты и чат-боты,
• мобильные приложения,
• email-рассылки,
• поп-апы,
• мессенджеры.

Это первый и обязательный шаг, с которого начинается наведение порядка. Он нужен, чтобы зафиксировать, откуда в компанию поступают персональные данные, и на каких этапах может происходить нарушение.

Итоговый список поможет понять:

• какие именно данные вы собираете,
• через какие каналы они поступают,
• нужны ли на этих точках чекбоксы, уведомления и согласия.

Часто компании даже не осознают, что обрабатывают данные — потому что не фиксируют это на уровне интерфейсов и процессов.

Шаг 2. Интерфейсы и формы сбора

Когда вы понимаете, какие данные и где собираете, можно проверить, насколько это соответствует закону. Вот требования Роскомнадзора для форм:

• есть чекбокс и он не отмечен по умолчанию;
• под формой есть активная ссылка на документ согласия;
• этот документ отдельный — не часть пользовательского соглашения или политики конфиденциальности;
• в согласии важно указать цель обработки, срок, состав обрабатываемых данных, способы защиты и оператора.

Так выглядит чек-бокс с первичным согласием на получение рассылки

Например, так выглядят юридические документы на обработку данных в Carrot quest. 

Шаг 3. Существующая клиентская база и согласия на рассылки

Общее согласие на обработку данных не заменяет согласие на получение рекламной информации. Если база контактов уже есть, но отдельное согласие на рассылку не собирали, использование таких контактов — это риск нарушения.

Удалять всю базу необязательно. Можно зафиксировать согласие сейчас и продолжить общение легально: 

1. Отправьте письмо или сообщение через чат-бот всем, кто есть в базе.
2. В сообщении объясните, что вы:

• цените клиента и сохранность его данных,
• соблюдаете законодательство,
• хотите подтвердить согласие на получение информации.

3. Добавьте кнопку или быстрый ответ, который будет считаться подтверждением согласия. И приложите нужные документы. 
4. Зафиксируйте факт согласия — в CRM-системе или журнале.

Контактам, которые не подтвердили согласие, нельзя отправлять рассылки. Таких пользователей нужно исключить из маркетинговых коммуникаций.

Такой подход позволяет сохранить базу и снизить юридические риски. Главное — отделить согласие на рассылку от общего согласия на обработку данных и документально зафиксировать результат.

Чек-лист: как настроить сбор данных в рассылках, формах и чат-ботах

После того как вы оформили нужные согласия, важно убедиться, что техническая реализация соответствует требованиям закона. Вот на что стоит обратить внимание в интерфейсах и каналах общения.

Email-рассылки

Основные правила для работы с данными в рассылках: 

• у каждой рассылки есть кнопка отписки;
• это кнопка работает и исключает пользователя из получателей в один клик.

Сайт и формы

Что важно для статичных лид-форм и поп-апов на сайте: 

• все чекбоксы не отмечены по умолчанию;
• у каждого чекбокса есть активная ссылка на нужный документ согласия;
• нельзя заменять галочку фразой «нажимая кнопку, вы соглашаетесь…».

Cookie-баннеры

Cookie-файлы считаются персональными данными, потому что по ним можно идентифицировать пользователя. Например, по IP-адресу. Поэтому на сайте важно: 

• оставить баннер с запросом согласия на сбор cookie;
• описать в самом баннере, на что именно соглашается пользователь;
• добавить кнопки «Согласен», «Не согласен» или «Ознакомлен». 

Telegram-боты и мессенджеры

В мессенджерах работает то же правило, что и на сайте — отправлять сообщения без согласия нельзя. Вот что важно: 

• в первом сообщении бота нужно отправить текст согласия и ссылку на него;
• использование бота считается законным только после того, как пользователь подтверждает, что прочитал условия.

Как снизить риск утечки персональных данных

Основное правило — передавать данные только по защищенным каналам. Даже если их перехватят, шифрование не даст злоумышленникам ничего прочитать.

Что еще важно:

• ограничить доступ к данным и выдавать только тем, кто работает с информацией; 
• регулярно обновлять системы, чтобы не использовать инструменты с уязвимостями; 
• фиксировать, кто и куда передает данные;
• обучить команду тому, как не допустить утечки данных; 
• не передавать важное по открытым каналам.

Коротко про закон о персональных данных: что важно знать

Персональные данные — это любая информация, по которой можно узнать пользователя. В законе они делятся на три группы: обычные, чувствительные и биометрические. Любая компания, которая такие данные собирает или хранит, автоматически становится оператором. Это значит, что она обязана соблюдать требования закона № 152-ФЗ.

С мая 2025 года правила стали жестче: выросли штрафы, добавились новые поводы для проверок. Утечка, использование данных без согласия или отсутствие уведомления Роскомнадзора теперь грозят не только деньгами, но и блокировкой.

Чтобы не попасть под штрафы, компании налаживают внутренние процессы. Назначьте ответственного, утвердите меры защиты, опишите все в документах. Пройдитесь по интерфейсам: в формах нужны отдельные согласия, не спрятанные в пользовательском соглашении. В них указывают цель, срок, список данных, способы защиты и подпись человека.

Отдельно проверьте, есть ли у вас согласия на рассылки. Это не то же самое, что общее согласие на обработку. Если вы отправляете письма или сообщения без отдельного разрешения — это уже нарушение. По каждому контакту в базе нужен документ, который подтверждает согласие на рекламу. Если его нет — контакт использовать нельзя.