Добавить в корзинуПозвонить
Найти в Дзене
Степанов | IT-для бизнеса
19 подписчиков

⚠️ С 30 мая Роскомнадзор начнёт штрафовать за персональные данные. Что нужно сделать бизнесу

19
2 мин
Если у вас на сайте есть форма заявки, вы используете CRM, чат-бот или просто собираете телефоны клиентов — вы обрабатываете персональные данные. А значит, подпадаете под требования закона № 152-ФЗ. С 30 мая 2025 года Роскомнадзор запускает массовую проверку соблюдения этих требований. Без уведомления — штраф до 300 000 ₽. Если произошла утечка данных — до 3 млн ₽. Повторные нарушения — до 3% от оборота. 1. Подать уведомление в Роскомнадзор
Вы обязаны внести себя в реестр операторов персональных данных. Это можно сделать онлайн через pd.rkn.gov.ru. Нужно указать цели обработки, виды собираемых данных, и какие меры защиты применяются. 2. Разместить политику конфиденциальности
Она должна быть в футере сайта и содержать: 3. Получать согласие на обработку данных
Под формами на сайте должна быть отдельная галочка (неактивная по умолчанию), текст согласия и ссылка на политику. Важно логировать момент согласия: IP, дата, форма. 4. Установить cookie-баннер
Если вы используете Яндекс.Метрик
Оглавление
С 30 мая все, кто собирает персональные данные, обязаны зарегистрироваться в Роскомнадзоре.
С 30 мая все, кто собирает персональные данные, обязаны зарегистрироваться в Роскомнадзоре.

Сайт есть? Значит, вы уже оператор персональных данных

Если у вас на сайте есть форма заявки, вы используете CRM, чат-бот или просто собираете телефоны клиентов — вы обрабатываете персональные данные. А значит, подпадаете под требования закона № 152-ФЗ.

С 30 мая 2025 года Роскомнадзор запускает массовую проверку соблюдения этих требований. Без уведомления — штраф до 300 000 ₽. Если произошла утечка данных — до 3 млн ₽. Повторные нарушения — до 3% от оборота.

Что нужно сделать

1. Подать уведомление в Роскомнадзор

Вы обязаны внести себя в реестр операторов персональных данных. Это можно сделать онлайн через pd.rkn.gov.ru. Нужно указать цели обработки, виды собираемых данных, и какие меры защиты применяются.

2. Разместить политику конфиденциальности

Она должна быть в футере сайта и содержать:

  • цели и правовые основания обработки данных;
  • список собираемых данных;
  • сроки хранения (данные нельзя хранить дольше, чем нужно по цели);
  • контакт ответственного;
  • возможность пользователя изменить или удалить свои данные.

3. Получать согласие на обработку данных

Под формами на сайте должна быть отдельная галочка (неактивная по умолчанию), текст согласия и ссылка на политику. Важно логировать момент согласия: IP, дата, форма.

4. Установить cookie-баннер

Если вы используете Яндекс.Метрику, Google Analytics или другие трекеры — обязаны получить согласие.

Без него — использование cookie-файлов может считаться нарушением.

5. Обеспечить защиту данных

  • SSL и HTTPS на всём сайте.
  • Антивирус на серверах и рабочих станциях.
  • Разграничение прав доступа.
  • Использование /api/* с CORS-защитой.

6. Добавить форму обратной связи или контакт

Пользователь должен иметь возможность отправить запрос на удаление или изменение своих данных. Это может быть форма или e-mail.

Можно ли использовать Google Analytics?

Да, но с большими оговорками. Сервис передаёт данные за границу (IP, поведение, User-Agent), поэтому:

  • требуется согласие пользователя через cookie-баннер;
  • необходимо уведомить Роскомнадзор о трансграничной передаче ПД;
  • данные не должны быть персонализированы — иначе риск штрафа.

В большинстве случаев лучше перейти на российские сервисы: Яндекс.Метрика, Roistat, Top.Mail.ru и др.

Что будет, если проигнорировать

  • 🔻 до 300 000 ₽ — за отсутствие уведомления;
  • 🔻 до 3 млн ₽ — за утечку ПД;
  • 🔻 до 3% от оборота — за повторные нарушения;
  • 🚫 Блокировка сайта и внеплановая проверка по жалобе.

И да — факт сбора e-mail в рассылку или телефона в CRM уже считается обработкой ПД. Неважно, маленький у вас бизнес или крупный.

Безопасность и правопорядок
95,2 тыс интересуются