Изменения в законе о персональных данных: что важно знать владельцам сайтов в 2025 году
Владельцы сайтов, которые собирают персональные данные посетителей — будь то через формы обратной связи, подписку на рассылку или системы аналитики — должны учитывать последние изменения в законодательстве о защите персональных данных. С 1 сентября 2022 года и 1 марта 2023 года вступили в силу важные поправки в Федеральный закон №152 «О персональных данных», а с 30 мая 2025 года размер штрафов за нарушение этих требований значительно вырастет.
В этой статье расскажем, кто и за что может получить штраф, какие новые требования нужно соблюдать владельцам сайтов, и как подготовиться к проверкам Роскомнадзора.
Кто подпадает под действие закона и кого будут штрафовать?
Под оператором персональных данных понимается любое физическое или юридическое лицо, которое самостоятельно или совместно с другими организует и осуществляет сбор и обработку персональных данных. Например, оператором может быть владелец сайта, который собирает email-адреса для рассылок.
Под персональными данными понимается любая информация, относящаяся к конкретному человеку, по которой его можно идентифицировать — прямо или косвенно. Это не только имя и фамилия, но и, например, электронная почта, номер телефона, IP-адрес, данные cookie, сведения о местоположении и другие данные, которые пользователь может передать через сайт или которые собираются автоматически.
Это могут быть: ФИО, номер телефона, адрес проживания, данные паспорта, фотографии, информация о банковских счетах, данные о медицинском состоянии, политические, религиозные и иные убеждения, и многое другое.
Важно: информация считается персональной, если она позволяет установить личность человека напрямую или в совокупности с другими данными.
Даже простое хранение данных считается обработкой, и на владельца сайта возлагаются обязательства по обеспечению их защиты.
Основные требования закона для владельцев сайтов
Чтобы не нарушить закон и избежать штрафов, владельцам сайтов необходимо выполнить следующие шаги:
1. Разработайте и разместите политику обработки персональных данных
Политика должна быть размещена на отдельной странице сайта и содержать:
- наименование сайта и организации-оператора;
- перечень собираемых данных и целей их обработки (например, рассылка, аналитика, использование cookie);
- категории субъектов персональных данных (посетители, сотрудники, кандидаты);
- сроки и способы хранения данных;
- порядок уничтожения данных при достижении целей обработки.
Отсутствие такой политики может повлечь штраф от 30 до 60 тысяч рублей.
2. Добавьте ссылку на политику в подвал (футер) сайта
Это обеспечит постоянный доступ к документу с любой страницы сайта.
3. Разместите под формами сбора данных предупреждение и запрос согласия
Рядом с кнопкой отправки формы необходимо разместить чек-бокс с текстом согласия на обработку персональных данных и ссылкой на пользовательское соглашение или политику конфиденциальности.
Согласие должно быть:
- конкретным;
- предметным;
- информированным;
- сознательным;
- однозначно выраженным (например, проставлением галочки вручную).
Обработка персональных данных без согласия пользователя грозит штрафом от 300 до 700 тысяч рублей за первое нарушение.
4. Показывайте баннер с уведомлением о сборе cookie
Поскольку cookie-файлы относятся к персональным данным, необходимо получить согласие посетителей сайта на их обработку. В баннере укажите, что использование сайта означает согласие на обработку данных, и добавьте ссылку на политику конфиденциальности.
Если пользователь отказывается — он должен покинуть сайт.
5. Подайте уведомление в Роскомнадзор о начале обработки персональных данных
Оператор обязан уведомить Роскомнадзор, подав заявление через официальный портал. Существуют исключения, например, если данные обрабатываются только на бумажных носителях или входят в государственные информационные системы.
6. Разработайте регламент работы с запросами пользователей
Пользователи имеют право запрашивать у оператора информацию о целях и способах обработки их данных, а также требовать прекращения обработки. Срок ответа на такие запросы — не более 10 рабочих дней. Игнорирование запроса или нарушение сроков влечет штрафы от 40 до 80 тысяч рублей.
Дополнительные требования для интернет-магазинов
С 1 сентября 2022 года пользователи могут не предоставлять персональные данные, не относящиеся к исполнению договора. Например, если клиент оформляет доставку в пункт выдачи, он может не указывать домашний адрес. Владельцам интернет-магазинов нужно:
- определить, какие данные обязательны для исполнения заказа;
- исключить из оферты избыточный сбор данных;
- обосновать необходимость обработки каждого типа персональных данных.
Особенности трансграничной передачи данных
Если вы передаёте персональные данные на территорию иностранного государства — например, используете зарубежные сервисы (Mailchimp, Trello, Zoho CRM и др.) — с 1 марта 2023 года вы обязаны подать уведомление в Роскомнадзор.
Передача возможна спустя 10 рабочих дней после подачи, если нет запрета или ограничений. Страны разделены на «адекватные» и «неадекватные» с точки зрения защиты данных, что также нужно учитывать.
Обработка данных третьими лицами
Если вы поручаете обработку данных сторонним компаниям (маркетинговым агентствам, дата-центрам и т.п.), это должно быть оформлено договором с указанием:
- перечня данных и действий с ними;
- целей обработки;
- обязательств по безопасности и конфиденциальности;
- мест хранения баз данных на территории РФ.
Отсутствие таких договоров влечёт штрафы от 60 до 100 тысяч рублей, а с 30 мая 2025 года — до 300 тысяч рублей за повторные нарушения.
Обязательные меры для юридических лиц
Компаниям необходимо:
- назначить ответственных за обработку персональных данных;
- разработать и утвердить внутренние документы, регламентирующие обработку данных;
- подписать с сотрудниками согласия на обработку персональных данных;
- обеспечить техническую и организационную защиту данных (антивирусы, межсетевые экраны, разграничение доступа).
С 30 мая 2025 года за утечки данных предусмотрены штрафы до 15 млн рублей и более — в зависимости от ущерба и выручки компании.
При инцидентах утечки оператор обязан уведомить Роскомнадзор в течение 24 часов и провести расследование за 72 часа.
Итоговый чек-лист для владельцев сайтов
- Определите, какие персональные данные собираете;
- Обновите политику конфиденциальности согласно новым требованиям;
- Разместите ссылку на политику в футере сайта;
- Добавьте под формами согласие пользователей на обработку данных;
- Разместите уведомление о cookie и получите согласие пользователей;
- Подайте уведомление в Роскомнадзор об обработке и трансграничной передаче данных (если нужно);
- Разработайте регламент ответов на запросы пользователей;
- Проверьте оферту и формы на избыточный сбор данных;
- Оформите договоры с подрядчиками на обработку данных;
- Если вы юрлицо — назначьте ответственных, оформите внутренние документы и обеспечьте защиту данных.
Соблюдение этих требований поможет избежать штрафов и сохранить доверие клиентов. Если нужна помощь с юридическим сопровождением в области персональных данных — обращайтесь к специалистам: своевременная консультация сэкономит вам деньги и репутацию.