Новые поправки в закон о персональных данных: штрафы для ритейла и e-commerce

Основные законы

1. Федеральный закон № 152-ФЗ «О персональных данных» — базовый закон, регулирующий работу с персональными данными.

2. Федеральный закон № 420-ФЗ от 30.11.2024 — внёс поправки в КоАП РФ, усилив ответственность с 30 мая 2025 года.

3. КоАП РФ, статья 13.11 — определяет перечень административных нарушений и размеры штрафов.

Как было раньше

— До мая 2025 года штрафы для организаций обычно составляли 60–100 тыс. ₽ за большинство нарушений.

— Не существовало отдельного состава за неуведомление об утечке персональных данных.

— Согласие клиента часто прятали в пользовательских соглашениях или договорах «по умолчанию».

Что изменилось

1. Повышенные штрафы (с 30 мая 2025 года)

Федеральный закон № 420-ФЗ усилил ответственность:

"...для юрлиц предусмотрен штраф от 150 тыс. до 300 тыс. руб. (вместо 60 тыс. — 100 тыс. руб.). За повторное нарушение штраф тоже вырос, ИП его уплачивают как юрлица."(ФЗ-420, ст. 13.11 КоАП РФ, КонсультантПлюс)

Новые составы нарушений:

— За неуведомление Роскомнадзора о намерении обрабатывать ПД — до 300 тыс. ₽.

— За неуведомление об утечке — до 3 млн ₽.

"...оператор не уведомил (несвоевременно уведомил) Роскомнадзор о намерении осуществлять обработку персональных данных ... максимальный штраф для юрлиц — 300 000 рублей.... оператор не уведомил (несвоевременно уведомил) Роскомнадзор об утечке персональных данных ... максимальный штраф для юрлиц — 3 000 000 рублей."(ч. 10–11 ст. 13.11 КоАП РФ в ред. ФЗ-420, КонсультантПлюс)

2. Новые требования к согласию (с 1 сентября 2025 года)

Согласие клиента теперь должно быть отдельным документом или формой:

"Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных."(ст. 9 ФЗ-152, в ред. ФЗ-156 от 24.06.2025, КонсультантПлюс)

За нарушение этого требования предусмотрены штрафы до 700 тыс. ₽.

Почему это важно для ритейла и e-commerce

· Интернет-магазины должны обновить формы регистрации и чекбоксы.

· Программы лояльности обязаны хранить согласия клиентов в отдельном виде.

· CRM и маркетинговые сервисы требуют проверки на соответствие закону.

· Любая задержка в уведомлении Роскомнадзора грозит многомиллионными штрафами.

Штрафы: было / стало

🔴Было (до мая 2025)

🟢Стало (с мая 2025)

Нарушение общих правил обработки ПД:

🔴60 000 — 100 000 ₽

🟢150 000 — 300 000 ₽

Неуведомление Роскомнадзора о намерении обрабатывать ПД

🔴фактически не применялось

🟢до 300 000 ₽

Неуведомление об утечке персональных данных

🔴не предусматривалось

🟢до 3 000 000 ₽

Утечка ПД (включая биометрию и спецкатегории)

🔴до 100 000 ₽

🟢до 1 500 000 ₽

Неправильное согласие на обработку ПД

🔴штрафы были минимальные

🟢до 700 000 ₽ (с 1 сентября 2025 года)

Источники: ФЗ-420 от 30.11.2024, КоАП РФ ст. 13.11; ФЗ-152 в ред. ФЗ-156 от 24.06.2025, КонсультантПлюс

Что делать бизнесу

1. Провести аудит работы с персональными данными.

2. Переписать формы согласий и пользовательские соглашения.

3. Назначить ответственного за ПД.

4. Настроить процессы уведомления об утечках.

Как LOCARDS помогает

Сервис LOCARDS закрывает ключевые риски, связанные с новыми поправками:

1. Аккредитация Минцифры — LOCARDS входит в реестр аккредитованных IT-компаний, что подтверждает надежность и соответствие требованиям государства.

2. Хранение данных на российских серверах — база клиентов хранится строго в соответствии с ФЗ-152, без использования зарубежных дата-центров.

3. Безопасный маркетинг и лояльность — кешбэк, бонусные программы и персонализация проводятся без нарушения закона.

Вывод

Поправки к закону о персональных данных — это не формальность, а новые правила игры. Теперь штрафы измеряются миллионами, а защита данных становится фактором доверия к бренду. Те компании, кто заранее адаптируется, сохранят не только деньги, но и лояльность клиентов.