Обработка персональных данных в 2025 году: почему уведомление Роскомнадзора стало обязательным для всех

С 30 мая 2025 года в России вступают в силу изменения в законодательство о персональных данных, которые затрагивают практически все компании, ИП и онлайн-бизнесы. Теперь за отсутствие уведомления Роскомнадзора об обработке персональных данных грозят многократно увеличенные штрафы — вплоть до 300 000 рублей. Обработка персональных данных в 2025 году законодательно затрагивает всё больше и больше сфер деятельности!

Если вы — селлер на маркетплейсах, предоставляете услуги через сайт или собираете заявки от клиентов, вы уже попадаете под эти требования.

Что изменилось?

В рамках реформы регулирования цифровой среды и защиты данных физических лиц были приняты поправки к Федеральному закону № 152-ФЗ «О персональных данных». Ключевое нововведение — резкое усиление ответственности за отсутствие уведомления об обработке персональных данных.

Если ранее штраф за неподачу уведомления был символическим (до 5 000 ₽), то с 30 мая 2025 года действуют новые размеры:

• для физических лиц — от 5 000 до 10 000 ₽;
• для должностных лиц (например, ИП) — от 30 000 до 50 000 ₽;
• для юридических лиц — от 100 000 до 300 000 ₽.

Штраф может накладываться повторно, а также сопровождаться предписаниями, проверками, блокировкой сайта и принудительным внесением в реестр операторов ПДн.

Почему это касается селлеров и онлайн-бизнеса?

Многие предприниматели до сих пор считают, что закон о персональных данных касается только больших компаний, HR-отделов и банков. Это опасное заблуждение.

По закону оператором ПДн является любой, кто собирает, хранит, систематизирует или использует персональные данные — даже в электронных таблицах или через личный кабинет маркетплейса.

Вот типичные примеры, при которых вы становитесь оператором ПДн:

• Вы видите ФИО, телефон или e-mail клиента на Ozon, Wildberries, Яндекс.Маркет (особенно при FBS, DBS, доставке);
• Вы отвечаете на отзывы клиентов и видите, кто их написал;
• Вы ведёте учёт заказов или возвратов в Excel, CRM или 1С;
• У Вас на сайте есть форма заявки, обратной связи или регистрация;
• Вы отправляете квитанции, подтверждения, письма клиентам;
• Вы работаете с подрядчиками, агентами или сотрудниками и храните их паспортные данные или ИНН.

Даже если персональные данные нигде не публикуются и используются строго «внутри», сам факт их хранения и работы с ними в электронном виде делает вас оператором ПДн — со всеми юридическими обязанностями.

Уведомление Роскомнадзора — это не бюрократия, а защита бизнеса

Многие предприниматели воспринимают уведомление как формальность. Однако с 2025 года оно стало инструментом юридической защиты. Если ваша компания фигурирует в реестре операторов, вы:

• законно обрабатываете данные и не нарушаете права клиентов;
• снижаете риски проверок и жалоб (особенно, если работаете онлайн);
• подтверждаете добросовестность, например, при участии в тендерах, регистрации на маркетплейсах или работе с B2B-заказчиками.

Более того, уведомление — это разовая процедура, которую можно подать через Госуслуги или с помощью УКЭП.

Как проверить, есть ли вы в реестре?

С 2025 года Роскомнадзор ведёт открытый реестр операторов персональных данных. Он доступен по адресу: https://pd.rkn.gov.ru/operators-registry/operators-list/

• Достаточно ввести ИНН вашей компании или ИП, чтобы убедиться: зарегистрированы вы или нет.
• Если вас там нет — это нарушение, даже если вы работаете давно. Если вы там есть, но данные устарели (например, поменялась цель обработки или вы начали использовать новые формы) — нужно внести корректировки.

Какие ошибки могут привести к штрафу?

Вот распространённые нарушения, за которые уже с мая 2025 года Роскомнадзор может привлечь к ответственности:

• Вы обрабатываете данные, но не уведомили об этом РКН;
• Вы указали в уведомлении не все категории персональных данных (например, забыли про e-mail или адрес доставки);
• Ваша Политика ПДн не размещена на сайте или не содержит нужных сведений;
• У вас нет процедур реагирования на утечку данных;
• Вы не защищаете таблицы с клиентами от утечек, и кто-то получил к ним доступ;
• Вы не указали, что храните данные на территории РФ (а ваши CRM или облачные таблицы — на иностранных серверах).

С учётом новых штрафов и обязательных требований к локализации, даже небольшие ошибки в 2025 году могут обернуться большими проблемами.

📌 Подведём итоги

Если вы работаете с клиентами, обрабатываете заказы, храните заявки, видите ФИО, телефоны или e-mail — вы уже подпадаете под действие закона о персональных данных. Обработка персональных данных с каждым днём затрагивает всё больше и больше бизнесов!

С 30 мая 2025 года вы обязаны:

• уведомить Роскомнадзор;
• вести учёт категорий данных и целей обработки;
• соблюдать требования по защите ПДн.

❗ Невыполнение этих требований может привести к штрафу до 300 000 ₽, проверкам и приостановке деятельности.

✅ Подробную инструкцию и чек-листы — вы найдёте по ссылке ниже!