До мая 2025 года максимальный штраф за утечку персональных данных был 700 тыс. ₽. Сейчас — 15 млн ₽ за первую утечку и до 500 млн ₽ за повторную.
С 30 мая 2025 года в России действуют новые правила: штрафы за утечку персональных данных выросли в десятки раз, появились оборотные штрафы и уголовная ответственность.
В этой статье — без сложной технической терминологии расскажем, что должен знать собственник, что сделать самому, а где лучше позвать специалиста. В конце — чек-лист самопроверки, по которому за 10 минут можно понять, где у вас слабые места.
С 30 мая 2025 года в России действуют новые правила: штрафы за утечку персональных данных выросли в десятки раз, появились оборотные штрафы и уголовная ответственность.
В этой статье — без сложной технической терминологии расскажем, что должен знать собственник, что сделать самому, а где лучше позвать специалиста. В конце — чек-лист самопроверки, по которому за 10 минут можно понять, где у вас слабые места.
Безопасность сайта и данных клиентов: что нужно знать собственнику малого бизнеса в 2026 году
До мая 2025 года максимальный штраф за утечку персональных данных был 700 тыс. ₽. Сейчас — 15 млн ₽ за первую утечку и до 500 млн ₽ за повторную.
С 30 мая 2025 года в России действуют новые правила: штрафы за утечку персональных данных выросли в десятки раз, появились оборотные штрафы и уголовная ответственность.
В этой статье — без сложной технической терминологии расскажем, что должен знать собственник, что сделать самому, а где лучше позвать специалиста. В конце — чек-лист самопроверки, по которому за 10 минут можно понять, где у вас слабые места.
С 30 мая 2025 года в России действуют новые правила: штрафы за утечку персональных данных выросли в десятки раз, появились оборотные штрафы и уголовная ответственность.
В этой статье — без сложной технической терминологии расскажем, что должен знать собственник, что сделать самому, а где лучше позвать специалиста. В конце — чек-лист самопроверки, по которому за 10 минут можно понять, где у вас слабые места.
Безопасность сайта и данных клиентов: что нужно знать собственнику малого бизнеса в 2026 году
«У нас маленькая компания, мы никому не интересны»
Самое распространённое заблуждение. На практике небольшие компании страдают чаще: атаки автоматизированы, боты сканируют интернет и ищут любые уязвимости, без разбора размера бизнеса. И штрафы у Роскомнадзора одинаковые — что для корпорации, что для ИП с тремя сотрудниками.
Вы попадаете под действие закона о персональных данных, если:
Вы попадаете под действие закона о персональных данных, если:
- принимаете заявки через форму на сайте;
- ведёте клиентскую базу — в CRM, Excel или Google-таблицах;
- делаете email- или SMS-рассылки;
- используете Яндекс Метрику, Google Analytics или пиксели соцсетей;
- ведёте кадровый учёт — данные сотрудников тоже считаются.
6 привычек для собственников, которые помогут спасти бизнес
✅ Хранить пароли в менеджере паролей
Не в Excel, не в Telegram, не в заметках телефона и не на стикерах под клавиатурой. Используйте корпоративный менеджер паролей — Bitwarden, 1Password, Keeper. Один мастер-пароль вместо сотни одинаковых, плюс возможность безопасно делиться доступами с командой и забирать их у ушедших сотрудников.
✅ Менять пароли по событиям, а не по календарю
Принудительная смена пароля каждый месяц приводит к обратному эффекту: сотрудники ставят «Password1», «Password2» и записывают рядом с компьютером.
Менять пароли нужно:
• при увольнении сотрудника, у которого был доступ;
• после любой утечки у вас или у сервиса, которым вы пользуетесь;
• раз в полгода — для ключевых учёток: админка сайта, хостинг, CRM, платёжный шлюз, регистратор домена.
✅ Включить двухфакторную аутентификацию для собственника и сотрудников
Речь не про покупателей, которые заходят в личный кабинет на сайте — там это излишне. Речь про защиту рабочих инструментов: через них уводят деньги и базы.
При входе на сервис кроме пароля запрашивается одноразовый код из СМС или приложения (Google Authenticator, Яндекс Ключ). По данным Microsoft, это блокирует более 99% автоматических попыток взлома — даже если пароль уже знают. Включается за 2 минуты, бесплатно.
Минимум, где должно быть включено: корпоративная почта собственника и сотрудников, CRM, хостинг и админка сайта, регистратор домена, платёжные сервисы, рекламные кабинеты, телеграм-боты с приёмом оплаты.
✅ Проверить, что бэкапы реально восстанавливаются
Сам факт, что резервные копии создаются, ничего не значит. Большинство хостингов делают бэкапы автоматически — но реальность такая: восстановление часто не работает, либо бэкап оказывается неполным. Раз в квартал нужно проверять, что из бэкапа реально можно развернуть рабочий сайт. Лучше узнать это в спокойный момент, чем во время инцидента.
✅ Зашифровать рабочие ноутбуки сотрудников
В Windows встроен BitLocker, в macOS — FileVault. Включается за 5 минут в настройках. Без шифрования любой потерянный или украденный ноутбук с клиентской базой — это автоматическая утечка с уведомлением Роскомнадзора и штрафом.
✅ Заказать аудит безопасности раз в полгода
Большинство взломов происходит через уязвимости, которые известны месяцами — их можно было закрыть заранее. Сами вы это не проверите: нужны специалисты, которые знают, что и как искать.
Что проверяют при техническом аудите:
• формы на сайте — можно ли через них получить доступ к базе;
• авторизацию — можно ли зайти под чужим аккаунтом;
• настройки сайта и хостинга — нет ли служебных страниц и файлов, доступных всем извне;
• настройки доступов и резервного копирования — где есть слабые места.
Что вы получаете на выходе:
• отчёт со списком уязвимостей и приоритетами — что закрывать первым;
• конкретные рекомендации, что и как исправить;
• консультация после отчёта — разбираем все вопросы простым языком.
✅ Хранить пароли в менеджере паролей
Не в Excel, не в Telegram, не в заметках телефона и не на стикерах под клавиатурой. Используйте корпоративный менеджер паролей — Bitwarden, 1Password, Keeper. Один мастер-пароль вместо сотни одинаковых, плюс возможность безопасно делиться доступами с командой и забирать их у ушедших сотрудников.
✅ Менять пароли по событиям, а не по календарю
Принудительная смена пароля каждый месяц приводит к обратному эффекту: сотрудники ставят «Password1», «Password2» и записывают рядом с компьютером.
Менять пароли нужно:
• при увольнении сотрудника, у которого был доступ;
• после любой утечки у вас или у сервиса, которым вы пользуетесь;
• раз в полгода — для ключевых учёток: админка сайта, хостинг, CRM, платёжный шлюз, регистратор домена.
✅ Включить двухфакторную аутентификацию для собственника и сотрудников
Речь не про покупателей, которые заходят в личный кабинет на сайте — там это излишне. Речь про защиту рабочих инструментов: через них уводят деньги и базы.
При входе на сервис кроме пароля запрашивается одноразовый код из СМС или приложения (Google Authenticator, Яндекс Ключ). По данным Microsoft, это блокирует более 99% автоматических попыток взлома — даже если пароль уже знают. Включается за 2 минуты, бесплатно.
Минимум, где должно быть включено: корпоративная почта собственника и сотрудников, CRM, хостинг и админка сайта, регистратор домена, платёжные сервисы, рекламные кабинеты, телеграм-боты с приёмом оплаты.
✅ Проверить, что бэкапы реально восстанавливаются
Сам факт, что резервные копии создаются, ничего не значит. Большинство хостингов делают бэкапы автоматически — но реальность такая: восстановление часто не работает, либо бэкап оказывается неполным. Раз в квартал нужно проверять, что из бэкапа реально можно развернуть рабочий сайт. Лучше узнать это в спокойный момент, чем во время инцидента.
✅ Зашифровать рабочие ноутбуки сотрудников
В Windows встроен BitLocker, в macOS — FileVault. Включается за 5 минут в настройках. Без шифрования любой потерянный или украденный ноутбук с клиентской базой — это автоматическая утечка с уведомлением Роскомнадзора и штрафом.
✅ Заказать аудит безопасности раз в полгода
Большинство взломов происходит через уязвимости, которые известны месяцами — их можно было закрыть заранее. Сами вы это не проверите: нужны специалисты, которые знают, что и как искать.
Что проверяют при техническом аудите:
• формы на сайте — можно ли через них получить доступ к базе;
• авторизацию — можно ли зайти под чужим аккаунтом;
• настройки сайта и хостинга — нет ли служебных страниц и файлов, доступных всем извне;
• настройки доступов и резервного копирования — где есть слабые места.
Что вы получаете на выходе:
• отчёт со списком уязвимостей и приоритетами — что закрывать первым;
• конкретные рекомендации, что и как исправить;
• консультация после отчёта — разбираем все вопросы простым языком.
Это то, что закрывают IT-специалисты и аудит безопасности. Без надёжной техники любые документы и регламенты не защитят от взлома и утечки.
Часть 1. Техническая безопасность сайта и данных
Что нужно сделать:
✅ Уведомить Роскомнадзор о начале обработки данных
Самый простой шаг, про который большинство компаний просто не знает. Уведомление подаётся через Госуслуги или сайт Роскомнадзора за 30 минут, бесплатно — собственник делает сам. Без него — штраф до 300 тыс. ₽. Сделали — закрыли риск.
✅ Привести сайт в соответствие с ФЗ-152
Метрика, Google Analytics, пиксели соцсетей — всё это сбор персональных данных. На сайте должны быть: актуальная политика обработки данных, отдельные согласия под каждой формой заявки, баннер согласия на cookies. Без этого — штрафы и блокировка сайта Роскомнадзором. Подготовка документов — задача юриста, размещение и техническое подключение — задача разработчика сайта.
✅ Подписать договоры с подрядчиками правильно
Самое слепое пятно у малого и среднего бизнеса. Если данные ваших клиентов обрабатывают облачная CRM, сервис рассылок, бухгалтерия на аутсорсе, маркетинговое агентство, IT-подрядчик — формально вы как владелец бизнеса всё равно отвечаете за их утечки.
По статье 6 ФЗ-152 нужно поручение на обработку данных — отдельный документ или раздел в договоре с каждым таким подрядчиком. Без него вы платите штраф полностью, даже если виноват подрядчик. С ним — можете потом взыскать с него убытки. Текст поручения готовит юрист.
✅ Защититься от утечек через сотрудников
Большинство утечек — не хакеры, а свои: слили базу при увольнении, переслали файл в личную почту, оставили доступ после ухода. Что должно быть:
•соглашение о неразглашении (NDA) и положение о коммерческой тайне;
• регламент работы с персональными данными, под которым сотрудники расписались;
•отзыв всех доступов в день увольнения — по чек-листу, а не «когда вспомним».
Документы (NDA, положение, регламент) готовит юрист. Отзыв доступов — задача собственника или ответственного сотрудника.
✅ Привести в порядок документы по ФЗ-152
Нужны: политика обработки персональных данных, формы согласий под каждую цель сбора, положение о защите ПДн, приказ о назначении ответственного, поручения на обработку данных для подрядчиков, регламент действий при утечке. Эту часть нужно делать с профильным юристом по персональным данным.
✅ Уведомить Роскомнадзор о начале обработки данных
Самый простой шаг, про который большинство компаний просто не знает. Уведомление подаётся через Госуслуги или сайт Роскомнадзора за 30 минут, бесплатно — собственник делает сам. Без него — штраф до 300 тыс. ₽. Сделали — закрыли риск.
✅ Привести сайт в соответствие с ФЗ-152
Метрика, Google Analytics, пиксели соцсетей — всё это сбор персональных данных. На сайте должны быть: актуальная политика обработки данных, отдельные согласия под каждой формой заявки, баннер согласия на cookies. Без этого — штрафы и блокировка сайта Роскомнадзором. Подготовка документов — задача юриста, размещение и техническое подключение — задача разработчика сайта.
✅ Подписать договоры с подрядчиками правильно
Самое слепое пятно у малого и среднего бизнеса. Если данные ваших клиентов обрабатывают облачная CRM, сервис рассылок, бухгалтерия на аутсорсе, маркетинговое агентство, IT-подрядчик — формально вы как владелец бизнеса всё равно отвечаете за их утечки.
По статье 6 ФЗ-152 нужно поручение на обработку данных — отдельный документ или раздел в договоре с каждым таким подрядчиком. Без него вы платите штраф полностью, даже если виноват подрядчик. С ним — можете потом взыскать с него убытки. Текст поручения готовит юрист.
✅ Защититься от утечек через сотрудников
Большинство утечек — не хакеры, а свои: слили базу при увольнении, переслали файл в личную почту, оставили доступ после ухода. Что должно быть:
•соглашение о неразглашении (NDA) и положение о коммерческой тайне;
• регламент работы с персональными данными, под которым сотрудники расписались;
•отзыв всех доступов в день увольнения — по чек-листу, а не «когда вспомним».
Документы (NDA, положение, регламент) готовит юрист. Отзыв доступов — задача собственника или ответственного сотрудника.
✅ Привести в порядок документы по ФЗ-152
Нужны: политика обработки персональных данных, формы согласий под каждую цель сбора, положение о защите ПДн, приказ о назначении ответственного, поручения на обработку данных для подрядчиков, регламент действий при утечке. Эту часть нужно делать с профильным юристом по персональным данным.
Это зона юриста и собственника. Технический аудит здесь не поможет — нужны другие специалисты. Но без этой части даже идеально защищённый сайт не спасёт от штрафов Роскомнадзора, потому что РКН в первую очередь проверяет документы и порядок обработки данных.
Часть 2. Документы, договоры и работа с сотрудниками
Пройдитесь по пунктам. Каждый «нет» — это потенциальный штраф или утечка.
Чек-лист самопроверки: 10 минут на оценку рисков
Отметье галочки, если пункт выполнен
Выполнено: 0 из 0 пунктов
Если у вас меньше 11 «галочек» из 16 — это серьёзная зона риска. Любая проверка или инцидент могут закончиться штрафом.
Почему этим стоит заняться сейчас
Прошли часть А чек-листа и увидели несколько «нет»? Это нормально — у большинства компаний так. В спокойное время безопасность кажется затратой. Когда случается инцидент — это страховка, которая в десятки раз дешевле штрафа.
Мы работаем с командой, которая проводит такие проверки: с понятными отчётами и без лишней технической воды.
👉 lex-go.ru
Что входит в комплекс работ по техническому аудиту:
• аудит безопасности сайта и хостинга;
• проверка настроек доступов, паролей, бэкапов;
• отчёт с приоритетами и план действий — что закрывать первым;
• консультация после аудита простым языком, без воды.
Юридическая часть (документы по ФЗ-152, согласия, регламенты) — это работа профильного юриста, мы её не делаем. Если нужно — обращайтесь к юристу по персональным данным.
👉 lex-go.ru
Что входит в комплекс работ по техническому аудиту:
• аудит безопасности сайта и хостинга;
• проверка настроек доступов, паролей, бэкапов;
• отчёт с приоритетами и план действий — что закрывать первым;
• консультация после аудита простым языком, без воды.
Юридическая часть (документы по ФЗ-152, согласия, регламенты) — это работа профильного юриста, мы её не делаем. Если нужно — обращайтесь к юристу по персональным данным.
Частые вопросы
Да. Закон не делает скидок по размеру базы — оператором является любой, кто обрабатывает персональные данные. Минимальные штрафы при утечке начинаются от 3 млн ₽, а штраф за работу без уведомления Роскомнадзора и без правильных согласий не зависит от количества клиентов в принципе.
Нет. По ФЗ-152 ответственность несёт владелец бизнеса — то есть тот, кто определяет, какие данные собирать и зачем. Это вы. CRM — только обработчик по вашему поручению. Если данные утекут через CRM, штраф получите вы. Потом сможете попробовать взыскать убытки с подрядчика — но только при условии, что между вами есть правильно оформленное поручение на обработку.
Да, и в большинстве случаев штрафы для ИП — те же, что для юрлиц. По крупным утечкам это 3–15 млн ₽ независимо от формы собственности.
Несколько каналов: жалобы клиентов, мониторинг даркнета и теневых форумов, публикации в СМИ, плановые и внеплановые проверки. Часто РКН узнаёт об инциденте раньше самого владельца бизнеса.
Пока ничего не случилось — ничего. После первой жалобы или утечки — проверка, штраф, предписание. После повторного нарушения — оборотный штраф и уголовное дело против ответственных лиц. Восстановление после серьёзного инцидента обычно стоит компании в 3–5 раз дороже, чем превентивные меры.
Расскажите о своей задаче
Заполните форму и мы свяжемся, чтобы обсудим детали и предложить оптимальный подход для вашего бизнеса
Сохраняем cookie по правилам конфиденциальности