Оборотные штрафы за утечку персональных данных: что обязан сделать сайт, который собирает заявки

Я Максим, веб-разработчик. С 30 мая 2025 года в России действуют оборотные штрафы за утечки персональных данных — это закон №420-ФЗ. Суммы выросли в разы, появилась уголовная ответственность за незаконный оборот данных, а с конца 2025 года дела передали мировым судьям. Касается это не только банков и маркетплейсов. Даже простая форма обратной связи делает вас оператором персональных данных и ставит под действие закона. Разбираю, что изменилось и что конкретно сделать с сайтом, чтобы не платить миллионы.

Что изменилось: новые штрафы

420-ФЗ впервые ввёл оборотные штрафы за утечки. Раньше нарушения в этой сфере стоили десятки тысяч рублей, теперь счёт идёт на миллионы.

Фиксированные штрафы за сам факт утечки зависят от объёма:

• данные от 1 000 человек или от 10 000 идентификаторов — от 3 до 5 млн ₽;
• данные от 10 000 человек или от 100 000 идентификаторов — от 5 до 10 млн ₽;
• данные более 100 000 человек или более 1 млн идентификаторов — от 10 до 15 млн ₽;
• данные специальной категории — от 10 до 15 млн ₽;
• биометрические данные — от 15 до 20 млн ₽.

Самое жёсткое — за повторную утечку любой категории: от 1 до 3% совокупной годовой выручки компании. Минимум 20 млн ₽ (для биометрии и спецкатегорий — минимум 25 млн ₽), максимум 500 млн ₽. Для интернет-магазина с выручкой в полмиллиарда рублей повторная утечка превращается в реальные десятки миллионов штрафа.

Дела ушли к мировым судьям

С 28 декабря 2025 года закон №508-ФЗ вернул дела по статье 13.11 КоАП (нарушения при обработке персональных данных) в юрисдикцию мировых судей. С 30 мая 2025 такие дела рассматривали арбитражные суды, и у бизнеса была возможность апеллировать в Судебную коллегию по экономическим спорам Верховного суда. Теперь эта возможность утрачена — оспаривать решения стало сложнее. Это часть общей линии на ужесточение ответственности.

Появилась уголовная ответственность

Вместе с оборотными штрафами в законодательстве закрепили уголовную ответственность за незаконный оборот персональных данных — незаконные сбор, передачу и использование. Она применяется к более тяжёлым случаям, чем административные штрафы, но сам факт её появления меняет уровень рисков. Персональные данные клиентов перестали быть зоной, где можно «авось пронесёт».

Почему это касается вашего сайта

Многие владельцы небольших сайтов считают, что закон про чужие проблемы. Это не так. Оператором персональных данных вас делает уже сам факт сбора этих данных. А собирает их почти любой коммерческий сайт:

• форма заявки и обратный звонок (имя, телефон);
• форма подписки (email);
• регистрация и личный кабинет;
• оформление заказа в интернет-магазине (имя, телефон, адрес доставки);
• онлайн-чат и квизы;
• в ряде случаев — cookies и IP-адрес.

Если на сайте есть хотя бы одно из перечисленного, вы обрабатываете персональные данные и обязаны соблюдать закон.

Где чаще всего утекают данные с сайтов

На аудитах я регулярно вижу одни и те же дыры:

• зарубежная облачная CRM без локализации данных в России;
• приём заявок прямо в Google Forms и хранение базы в Google Sheets;
• формы без HTTPS, по которым данные идут открытым текстом;
• логи сервера, где телефоны и email лежат в открытом виде;
• экспорт базы клиентов в незащищённые файлы на рабочих компьютерах;
• единый пароль к админке «на всех» и доступ у людей, которым он давно не нужен.

Каждая из этих мелочей — потенциальная утечка, а теперь и потенциальные миллионы штрафа.

Что обязан сделать сайт: мой чек-лист соответствия

1. Зарегистрироваться оператором персональных данных

Подайте уведомление об обработке персональных данных в реестр Роскомнадзора. Это обязательно для большинства, даже если у вас всего одна форма обратной связи. Отсутствие в реестре — само по себе нарушение.

2. Хранить данные россиян на серверах в России

Первичная база персональных данных граждан РФ должна находиться на российских серверах. Зарубежные облачные CRM, формы и сервисы рассылок без локализации — прямое нарушение. Если вы пользуетесь иностранным сервисом для приёма или хранения заявок, переносите всё на российский хостинг и российские сервисы.

3. Политика конфиденциальности и согласие

На сайте должна быть видимая политика конфиденциальности, а у каждой формы — корректное согласие на обработку. Старая схема с предустановленной галочкой больше не работает, но это отдельная большая тема — про согласие я разбираю в отдельной статье.

4. Минимизация данных

Собирайте только то, что реально нужно для задачи. Если для заявки хватает имени и телефона, не просите паспорт, дату рождения и адрес. Чем меньше данных вы храните, тем меньше теряете при утечке и тем ниже потенциальный штраф.

5. Защита: HTTPS, доступы, шифрование

Включите HTTPS на всём сайте. Раздайте доступ к базе и админке по ролям, закройте вход двухфакторной авторизацией, у каждого сотрудника — свой логин. Чувствительные поля шифруйте. Уберите доступ у тех, кому он больше не нужен.

6. Договор с подрядчиком и хостингом

Если ваши данные обрабатывает кто-то ещё — подрядчик, хостинг, CRM-сервис — с ним нужно оформить поручение на обработку персональных данных. При этом ответственность перед РКН и клиентами всё равно остаётся на вас как на операторе. Подрядчик «настроил на своей стороне» — отвечаете вы.

7. Резервные копии и наведение порядка

Храните бэкапы в защищённом месте, чистите логи от персональных данных, удаляйте данные, которые больше не нужны. База пятилетней давности, которая просто лежит «на всякий случай», — это риск без пользы.

8. План на случай утечки

При инциденте закон требует уведомить Роскомнадзор в течение 24 часов о самом факте утечки и в течение 72 часов — о результатах внутреннего расследования. Заранее определите, кто в компании за это отвечает и по какому регламенту действует. В момент инцидента разбираться, что делать, будет поздно.

Что делать прямо сейчас

Проведите ревизию: где на сайте собираются данные, где они хранятся, кто имеет к ним доступ. Перенесите хранение в Россию, зарегистрируйтесь оператором, наведите порядок с доступами, обновите политику и согласие. Большую часть рисков закрывают три вещи — локализация данных, защита форм и порядок с доступами.

Мой совет

Оборотный штраф до 500 млн рублей или 3% выручки — это не страшилка из новостей, а реальная санкция, которая действует с 2025 года. Для среднего бизнеса хватит одной утечки, чтобы получить сумму, сопоставимую с годовой прибылью. При этом приведение сайта в соответствие — задача на несколько дней, а не на бюджет уровня самого штрафа.

Если нужно проверить сайт на соответствие закону о персональных данных — где собираются и хранятся данные, что переносить в Россию, как защитить формы — пишите, проведу аудит и помогу всё закрыть.