Содержание
Краткое саммари
- Штрафы за утечки выросли. С 30 мая 2025 действуют новые размеры штрафов по ст. 13.11 КоАП РФ, включая оборотные штрафы 1–3% выручки.
- Локализация стала жестче. С 1 июля 2025 при сборе персональных данных нельзя записывать и хранить данные граждан РФ в базах за пределами РФ по ч. 5 ст. 18 152‑ФЗ.
- Уведомления стали важным процессом. Оператор обязан уведомлять Роскомнадзор об инциденте: 24 часа на первичное сообщение и 72 часа на результаты расследования по ст. 21 152‑ФЗ.
- Cookie и идентификаторы требуют аккуратной настройки. Риски обычно возникают не из‑за файла cookie как такового, а из‑за передачи связанного идентификатора в сторонние сервисы аналитики и рекламы.
Кому стоит прочитать статью:
- Владельцам сайтов и интернет‑магазинов. Если на ресурсе есть формы, личный кабинет, оплата, подписка, доставка.
- Маркетологам и SEO‑специалистам. Если на сайте стоят счетчики, пиксели, коллтрекинг, антифрод.
- Разработчикам и администраторам. Если нужно понять, какие сервисы создают трансграничную передачу и как ее убрать.
С весны 2025 тема персональных данных перестала быть формальностью. Нарушение 152‑ФЗ и ст. 13.11 КоАП РФ теперь может закончиться штрафом в миллионы рублей и отдельной ответственностью за отсутствие уведомлений в Роскомнадзор. Ниже разберем изменения, которые важны в 2026, и соберем чек‑лист, что проверить на сайте.
Персональные данные 2026: что изменилось и какие штрафы действуют
В 2025 году произошло два ключевых события: 30 мая вступили в силу поправки к ст. 13.11 КоАП РФ с новыми штрафами за утечки, а с 1 июля изменилась норма о локализации при сборе персональных данных в 152‑ФЗ. Обновления затронули почти всех, кто собирает данные клиентов, сотрудников и пользователей.
Штрафы за утечки и нарушения по ст. 13.11 КоАП РФ
С 30 мая 2025 штрафы по ст. 13.11 КоАП РФ привязали к масштабу утечки и типу данных. Для юрлиц ориентиры такие:
Ситуация |
Максимальный штраф для юрлица |
Утечка 1 000–10 000 записей |
до 5 млн руб. |
Утечка 10 000–100 000 записей |
до 10 млн руб. |
Утечка более 100 000 субъектов или 1 млн идентификаторов |
до 15 млн руб. |
Утечка биометрических данных |
до 20 млн руб. |
За повторную утечку предусмотрен оборотный штраф: 1–3% годовой выручки, но не менее 20 млн и не более 500 млн руб. Такой риск важен и для среднего бизнеса, у которого выручка легко выводит штраф в десятки миллионов.
Отдельно штрафуют за уведомления и локализацию, даже если утечки не было:
Нарушение |
Штраф для юрлица |
Не уведомили или опоздали с уведомлением о намерении обрабатывать персональные данные по ст. 22 152‑ФЗ |
100 000–300 000 руб. |
Не уведомили или опоздали с уведомлением об инциденте по ст. 21 152‑ФЗ |
1–3 млн руб. |
Нарушили локализацию при сборе персональных данных граждан РФ |
1–6 млн руб., повторно 6–18 млн руб. |
Уведомления Роскомнадзора: два разных процесса, два разных риска
Уведомление о намерении обрабатывать персональные данные. По ст. 22 152‑ФЗ оператор до начала обработки уведомляет Роскомнадзор, после чего данные попадают в реестр операторов персональных данных. Для сайтов с формами, личным кабинетом и заявками чаще всего нужно такое уведомление.
Уведомление об инциденте. Если произошла неправомерная или случайная передача, предоставление, распространение или доступ к персональным данным и это нарушило права субъектов, действует двухэтапная обязанность по ст. 21 152‑ФЗ: 24 часа на сообщение об инциденте и 72 часа на результаты внутреннего расследования.
Локализация персональных данных с 1 июля 2025: что именно запрещено
Ключевое изменение в 152‑ФЗ касается именно этапа сбора. Часть 5 статьи 18 формулирует запрет: при сборе персональных данных, включая сбор через интернет, нельзя выполнять запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных за пределами РФ.
Это означает, что формы на сайте, CRM и хранилища должны быть настроены так, чтобы первичный поток данных попадал в инфраструктуру в РФ. После этого возможны отдельные сценарии трансграничной передачи, но они требуют отдельной проверки оснований и уведомлений.
Если вы используете обезличивание данных для аналитики и отчетности, учитывайте, что с 1 сентября 2025 действует приказ Роскомнадзора от 19.06.2025 № 140 с требованиями и методами обезличивания персональных данных.
Cookie, идентификаторы и аналитика: где появляются персональные данные
Cookie как файл хранится в браузере пользователя. Риски обычно возникают, когда через cookie или похожие технологии формируется уникальный идентификатор, который уходит в систему аналитики, рекламы, антифрода или коллтрекинга. Если по нему можно выделить конкретного пользователя или связать действия с профилем, регулятор может рассматривать это как обработку персональных данных.
Поэтому нужно понимать, какие скрипты загружаются, куда уходит идентификатор и где находится инфраструктура сервиса.
Полезные ссылки
152‑ФЗ, ст. 18. Запрет на сбор в зарубежные базы по ч. 5 ст. 18.
152‑ФЗ, ст. 21. Уведомление об инциденте 24 и 72 часа.
КоАП РФ, ст. 13.11. Штрафы за нарушения и утечки.
Приказ Роскомнадзора № 140. Требования к обезличиванию с 1 сентября 2025.
FAQ по разделу
Если утечки не было, зачем обращать внимание на правила 24 и 72 часов?
Потому что скорость реакции и готовые контакты ответственного лица часто решают, будет ли нарушение квалифицировано как несвоевременное уведомление.
Нужно ли удалять все иностранные сервисы с сайта?
Нет, но нужно понять, куда идет первичный сбор данных и есть ли трансграничная передача. И дальше выбрать вариант: заменить сервис, настроить обработку в РФ или легализовать передачу через уведомления и основания.
Как избежать штрафов Роскомнадзора: чек‑лист для сайта и бизнеса
Вот список действий, который помогает закрыть основные риски: локализация, уведомления, контроль скриптов и готовность к инцидентам.
Шаг 1: провести инвентаризацию персональных данных на сайте
Точки сбора. Формы, чат, обратный звонок, корзина, подписка, вакансии, личный кабинет.
Идентификаторы. IP‑адрес, client id, device id, рекламные идентификаторы, куки аналитики.
Куда уходит трафик. Домен и страна, куда обращаются скрипты, пиксели и виджеты.
Если нужно быстро найти внешние счетчики и пиксели, можно проверить загрузку сторонних доменов через инструменты анализа страниц. Это удобно делать при техническом аудите сайта, чтобы не пропустить редкие скрипты на отдельных шаблонах.
Шаг 2: закрыть локализацию на уровне первичного сбора
Проверьте, где стоит хостинг сайта, где находится база заявок, куда пишет CRM и где хранятся бэкапы. После 1 июля 2025 важно, чтобы при сборе данные не записывались в базу за пределами РФ.
Частые источники риска: формы, которые отправляют данные в зарубежные SaaS, встроенные виджеты обратной связи, зарубежные антиботы и антиспам, облачные таблицы и хранилища.
Шаг 3: привести в порядок уведомления в Роскомнадзор
Уведомление об обработке. Подайте уведомление по ст. 22 152‑ФЗ до начала обработки или актуализируйте сведения, если изменились цели, категории данных или появились трансграничные передачи.
Регламент на инциденты. Подготовьте шаблон первичного уведомления и порядок внутреннего расследования под сроки 24 и 72 часа по ст. 21 152‑ФЗ.
Шаг 4: настроить согласия и тексты на сайте
Политика обработки персональных данных. Обновите цели, категории данных и перечень используемых сервисов.
Согласия в формах. Добавьте отдельные чекбоксы, если нужно согласие на рассылки, рекламу или передачу третьим лицам.
Cookie и аналитика. Дайте пользователю выбор, с какими cookies соглашаться, а технические cookies оставьте отдельно. Это снижает риски, когда идентификаторы уходят во внешние системы.
FAQ по разделу
Нужно ли уведомление в Роскомнадзор, если на сайте только форма обратной связи?
Чаще всего да, потому что оператор начинает обработку персональных данных до начала работы с заявками. Исключения по ст. 22 152‑ФЗ ограничены, их нужно проверять по ситуации.
Можно оставить на сайте Google Analytics, если данные сначала попадают в РФ?
Риск в том, что аналитика может означать трансграничную передачу идентификаторов. Нужно оценить цепочку запросов, основания, уведомления и возможность замены на сервис с инфраструктурой в РФ.
Cookie‑баннер обязателен?
Закон 152‑ФЗ не называет cookie отдельной сущностью. Но если через cookie формируется идентификатор для аналитики или рекламы, настройка согласий и выбор категорий помогают снизить риск претензий.
Кратко по итогам
С 30 мая 2025 действуют повышенные штрафы по ст. 13.11 КоАП РФ, включая оборотные штрафы 1–3% выручки за повторную утечку.
С 1 июля 2025 при сборе персональных данных запрещено использовать базы данных за пределами РФ для записи и хранения персональных данных граждан РФ по ч. 5 ст. 18 152‑ФЗ.
Уведомление Роскомнадзора об инциденте идет в два шага: 24 часа и 72 часа по ст. 21 152‑ФЗ.
Риски по cookie чаще связаны с передачей идентификаторов в сторонние сервисы аналитики и рекламы, а не с самим файлом cookie.
