Как бизнесам не попасть на штрафы при работе с персональными данными клиентов: обзор поправок от 1 июля 2025 года

Наш эксперт — юрист Анна Стратулат. Анна работает с digital-агентствами больше 10 лет, берется за консалтинг, юридическое сопровождение и разработку документов. А еще ведет Телеграм-канал, где делится рекомендациями и случаями из практики.

В этой статье мы разбираем поправки к Федеральному закону «О персональных данных» от 27.07.2006 №152-ФЗ. Они запретили первичную обработку персональных данных пользователей на зарубежных серверах. Теперь все действия с персональными данными россиян должны сначала попадать на российских серверы. 

Какие данные клиентов считаются персональными

К персональным данным относят любые данные или совокупность данных, которые могут идентифицировать человека:

• ФИО;
• СНИЛС;
• Паспортные данные (серия и номер, место рождения, место прописки, семейное положение, данные о детях);
• Фото и видео, по которым человека можно идентифицировать;
• Место проживания;
• Контактные сведения: номер телефона, адрес почты, уникальный ID в соцсетях и мессенджерах — никнейм;
• Величина ежемесячного дохода;
• Навыки, образование;
• Расовая принадлежность и данные о мировоззрении: политическая, этническая, социальная позиция;
• Данные о судимости;
• IP-адрес;
• Данные о местоположении;
• Биометрия.

Что это значит: если вы принимаете какие-то из этих данных с помощью иностранных сервисов с иностранными серверами, то уже нарушаете закон. Получается, что все эти данные впервые от клиента вы должны получить с помощью других сервисов — тех, что собирают и хранят данные на российских серверах.

«Практика общения с Роскомнадзором показывает, что к персональным данным может быть отнесена и информация, которая с первого взгляда кажется сугубо технической: метрические данные, поведение пользователя на сайте, IP-адрес и т.п. Поэтому в некоторых ситуациях сложно предугадать, как в Роскомнадзоре и суде оценят ту или иную ситуацию»

— юрист Анна Стратулат.

Что запрещено делать с персональными данными россиян

Раньше персональные данные можно было собирать и хранить на российских серверах, но обрабатывать с помощью зарубежных сервисов. Либо создавать промежуточные базы данных. Главное, чтобы копия сохранялась на российских серверах. Теперь и это запрещено —  вводится запрет на использование иностранных баз данных для записи, хранения, накопления ПДн россиян

Запрещено использовать для сбора, хранения и обработки данных зарубежную инфраструктуру. Например, нельзя опубликовать опрос в социальных сетях и повести клиента на Google Форму, чтобы там он оставил персональные данные, так как Google — не российская компания.

Запрещено передавать персональные данные за пределы РФ без формального разрешения. То есть, если вы хотите продолжать пользоваться зарубежными сервисами, нужно сначала направить уведомление в Роскомнадзор и получить согласие на такое действие. Всё осложняется, если вы используете сервисы, которые принадлежат странам из «черного списка». В «белом списке» Роскомнадзора 89 государств — с ними можно ознакомиться в официальном перечне.

Запрещено обрабатывать персональные данные без локализации в России. Это значит, что данные нужно в первую очередь собрать в России. Например, собрать данные пользователей не через Google Форму, а через Яндекс Форму. 

«Все сервисы Google точно стоит убрать: Google Analytics, Google Tag Manager, Google reCAPTCHA, Google Forms и аналогичные. Разрешение в РКН на эти сервисы вы не получите — их сервера в США»

— юрист Анна Стратулат.

Какие штрафы грозят за нарушение

В этот раз штрафы чувствительные, и спокойно себе позволить их заплатить смогут не многие:

• 1-6 млн ₽ — за нарушение требований локализации персональных данных на серверах в РФ;
• 6-18 млн ₽ — за повторное нарушение требований по локализации;
• 100-300 тыс ₽ — за отсутствие уведомления об обработке персональных данных;

С момента вступления в силу новых поправок прошло уже пара недель и каких-то громких дел, где всех наказывают мы не видим, поэтому сложно предсказать как будут себя вести РКН. Остается только наблюдать и готовиться. 

«Часть моих клиентов уже просто отложили эти суммы на штрафы, так как с их масштабами вероятность ошибиться высокая. Но мало кто может себе это позволить»

— юрист Анна Стратулат.

Как Роскомнадзор узнает о нарушении

У государства несколько рычагов, как узнавать о нарушениях:

В ходе автоматического мониторинга сайтов. Алгоритмы сервисов Роскомнадзора позволяют автоматически выявлять, соответствуют ли сайты компаний правилам — какими пользуются инструментами и как собирают данные.

После жалобы конкурента. Достаточно прямого обращения в Роскомнадзор, чтобы к вашим действиям присмотрелись. 

В рамках проверки сведений, подтверждающих, что оператор выполняет обязанности по защите персональных данных (ч. 1 ст. 18.1 Закона «О персональных данных» (152-ФЗ)). Причин проверить выполнение обязанностей по закону может быть много.

Из-за того, что кейсов пока нет, лучше подготовиться ко всем возможным исходам.

Как защитить себя от штрафов

Если коротко: убрать все зарубежные сервисы, заменить их российскими аналогами или получить нужное разрешение в Роскомнадзоре. Подробнее:

• Проверить сайт. Убедиться, что сервер сайта размещен в России. Если нет, то сменить сервер. Если сменить невозможно, то проверить, где расположен сервер: если в стране из разрешенного списка, то подать заявление о трансграничной передаче в Роскомнадзор. Сделать то же самое для баз данных и сервисов, которые установлены на сайте.
• Изменить воронки продаж. Перестроить их так, чтобы первичный сбор данных происходил через российские сервисы. Например, сначала общаться с клиентами в российских мессенджерах и фиксировать их персональные данные оттуда. 

Да, изменить придется немало. Но пока нет внятных разъяснений и четких примеров из судебной практики, мы не узнаем наверняка, какие действия приводят к нарушениям.

Что важно помнить 

То, что закон уже приняли, не означает, что всех в один день накажут. Пока судебная практика по этим поправкам формируется, есть время всё перестроить. Но важно помнить, что алгоритмы Роскомнадзора работают без промедлений, и конкуренты тоже не спят — откладывать изменения в рабочих процессах не стоит. Делайте это спокойно и с умом.

Есть площадки, которые сейчас считаются иностранными и не подходят для сбора и обработки персональных данных — например, Телеграм. Остается ждать, надеяться и верить, что мессенджер перенесут на российские сервера. 

Пока мы находимся в безвыходном положении и не можем заменить часть сервисов российскими аналогами — их нет. В этом положении мы можем только ждать разъяснений от Роскомнадзора и наблюдать за опубликованными судебными кейсами.