ШТРАФ 500 МИЛЛИОНОВ! Полный гайд по новым правилам (58-ФЗ) для владельцев сайтов

Привет, друзья! Если у вас есть сайт, блог, интернет-магазин или даже просто страничка-визитка в интернете – эта статья для вас. И это не очередная "страшилка", а реальный повод очень серьезно задуматься.

Новые штрафы за персональные данные для сайтов с 2025 года

С 30 мая 2025 года в России начинают действовать новые, драконовские правила работы с персональными данными (ПДн), установленные Федеральным законом № 58-ФЗ, который вносит поправки в статью 13.11 КоАП РФ. И если раньше на многие вещи можно было закрыть глаза, то теперь это может обернуться не просто большими, а огромными штрафами. Давайте по-простому, без заумных юридических терминов, разберемся, что это значит для нас, обычных владельцев интернет-ресурсов.

Главное правило №1: Данные россиян – только в России!

Представьте, что все данные ваших российских клиентов, подписчиков, посетителей (имена, телефоны, email, IP-адреса – всё, что помогает их узнать) теперь должны "жить" на серверах, которые физически находятся в России. Это касается первичного сбора, записи, систематизации, накопления и хранения этих данных. Как прописка в паспорте, только для данных.

Если ваш сайт "квартирует" где-нибудь в Германии или США, а клиенты у вас в основном из России – это повод серьезно задуматься о "переезде" данных на российские серверы или использовании российских хостинг-провайдеров. Иностранные сервисы (вроде некоторых популярных CRM, систем аналитики, почтовых рассыльщиков, которые уводят данные "за бугор") тоже под прицелом. Пользоваться ими можно будет, только если первичная запись и хранение ПДн россиян происходит в РФ, а передача за рубеж (если она вообще есть) осуществляется с соблюдением строгих правил и, часто, после уведомления Роскомнадзора о трансграничной передаче. А это, сами понимаете, тот еще квест.

Правило №2: Одна галочка "Согласен на всё" – больше не работает!

Помните, как раньше было? Поставил пользователь одну галочку (а то и вовсе без нее обходились) – и вроде как на всё согласился. Теперь так нельзя. Это, пожалуй, самое заметное изменение для внешнего вида сайтов.

На каждое конкретное действие с данными – будь то отправка ему новостей, обработка заказа, передача данных партнеру для доставки, показ рекламы на основе его интересов – нужно будет ОТДЕЛЬНОЕ, КОНКРЕТНОЕ, ИНФОРМИРОВАННОЕ и ОСОЗНАННОЕ согласие.

Причем все эти галочки на вашем сайте должны быть по умолчанию СНЯТЫ. Человек сам должен их проставить. И рядом с каждой галочкой – четко и понятно:

• Кто вы (наименование вашей компании или ФИО ИП, ваш ИНН, адрес).
• Для какой конкретной цели берете эти данные (например, "для отправки новостной рассылки", "для обработки и доставки заказа", "для показа персонализированной рекламы").
• Какие именно данные для этой цели собираете.
• Какие действия будете с ними совершать.
• Срок действия согласия или условие его прекращения.
  А еще ссылочка на вашу "Политику обработки персональных данных" должна быть легкодоступна прямо из формы согласия. Это документ, где вы подробно расписываете все нюансы работы с данными на вашем ресурсе.

Правило №3: "Печеньки" (cookies) – тоже персональные данные!

Даже эти маленькие файлики, которые сайт оставляет в браузере пользователя (те самые cookies, или "печеньки"), теперь тоже под пристальным вниманием. Если они помогают как-то идентифицировать пользователя или его устройство, отслеживать его предпочтения и поведение (а они почти всегда это делают, особенно аналитические и рекламные) – это тоже работа с персональными данными.

Значит, и на их использование нужно явное согласие. Не просто баннер "Мы используем куки, ОК?", а с реальной возможностью для пользователя выбрать: вот эти технические "печеньки" (необходимые для работы сайта) я разрешаю, а вот эти рекламные или аналитические – нет, спасибо. И опять же – все галочки, кроме строго необходимых, по умолчанию выключены (opt-in). Баннер не должен блокировать доступ к контенту до получения выбора пользователя.

Правило №4: Уведомь Роскомнадзор! (если ты еще не там)

Раньше многие мелкие операторы ПДн могли работать без уведомления Роскомнадзора, если обрабатывали данные только для исполнения договора с клиентом (например, ФИО и адрес для доставки товара). Теперь исключений стало меньше. Если вы собираете email для рассылок, используете cookies для аналитики или рекламы, собираете данные через формы обратной связи для чего-то, кроме прямого ответа на конкретный запрос – скорее всего, вам нужно подавать уведомление в Роскомнадзор о том, что вы являетесь оператором персональных данных. Сделать это можно онлайн на сайте РКН. За неподачу или несвоевременную подачу – новый крупный штраф.

Что делать простому владельцу сайта? (Спойлер: без паники, но действовать надо СРОЧНО!)

1. Провести аудит своего сайта и процессов:
   Посмотрите, где и какие данные вы собираете (формы подписки, заказа, комментарии, обратной связи, чаты)?
   Какие сторонние сервисы используете (аналитика Google/Яндекс, CRM, виджеты, рекламные пиксели)? Узнайте, где физически хранятся эти данные, и передаются ли они за рубеж.
   Проверьте, собираете ли вы биометрию (например, если у вас есть вход по лицу/голосу) или специальные категории данных (здоровье, политические взгляды и т.д.) – для них требования еще строже.
2. Разработать или обновить "Политику обработки персональных данных": Она должна быть подробной, понятной и легко доступной на вашем сайте (обычно ссылка в "подвале" сайта). В интернете есть шаблоны, но их нужно тщательно адаптировать под себя, а в идеале – проконсультироваться с юристом, который "в теме".
3. Переделать все формы сбора данных на сайте:
   Добавьте отдельные чекбоксы (галочки) для каждого согласия.
   Сформулируйте корректные тексты согласий (кто, что, зачем, как долго).
   Убедитесь, что галочки по умолчанию сняты.
   Добавьте ссылку на Политику.
4. Настроить баннер управления cookies: Он должен давать реальный выбор (принять все, отклонить необязательные, настроить) и запоминать выбор пользователя.
5. Обеспечить логирование (запись) полученных согласий: Закон требует не просто получить согласие, но и иметь возможность это доказать (кто, когда, на что согласился, текст согласия, IP-адрес, версия политики на момент согласия). Некоторые CMS, плагины или специализированные сервисы могут помочь это автоматизировать.
6. Подать (или актуализировать) уведомление в Роскомнадзор: Если вы обрабатываете ПДн и не попадаете под немногочисленные исключения, это обязательно.
7. Назначить ответственного за организацию обработки ПДн в вашей компании/у ИП. Даже если это вы сами. И разработать внутренние документы (положения, приказы).
8. Если сомневаетесь – не стесняйтесь обращаться к специалистам: Веб-разработчики, знакомые с новыми требованиями, DPO (Data Protection Officer) или юристы, специализирующиеся на 152-ФЗ, помогут привести сайт и процессы в порядок.

А если ничего не делать? Пару слов о штрафах (и это НЕ шутки)

Закон суров, и штрафы за его неисполнение теперь по-настоящему кусаются. Контроль обещают усилить многократно.

• Неподача уведомления в Роскомнадзор (когда оно обязательно): для юрлиц и ИП – от 100 000 до 300 000 руб.
• Обработка ПДн без согласия субъекта (когда оно обязательно) или несовместимая с целями сбора: для юрлиц – от 150 000 до 300 000 руб., за повторное – от 300 000 до 500 000 руб.
• Утечка персональных данных (очень важно!):
  от 1 000 до 10 000 субъектов: для юрлиц – до 5 млн руб.
  от 10 000 до 100 000 субъектов: для юрлиц – до 10 млн руб.
  более 100 000 субъектов: для юрлиц – до 15 млн руб.
  Утечка биометрических данных: для юрлиц – до 20 млн руб.
• А вот те самые "до 500 миллионов рублей" (и даже выше!) – это оборотные штрафы за ПОВТОРНУЮ утечку данных, произошедшую в течение года после первого наказания за утечку. Штраф составит от 0,1% до 3% выручки компании за предшествующий календарный год (или часть текущего года), но не менее 15 млн руб. и не более 500 млн руб. Для утечек специальных категорий ПДн, биометрии или данных из государственных/муниципальных информсистем при повторном инциденте штраф может быть еще выше.

Согласитесь, проще один раз вникнуть, потратиться на приведение сайта и процессов в порядок, чем потом платить такие штрафы, терять репутацию и, возможно, сам бизнес.

Что в итоге?

Конечно, все эти изменения добавляют нам, владельцам сайтов, хлопот. Но это новая цифровая реальность, к которой нужно адаптироваться. Игнорировать эти правила – себе дороже, в прямом смысле слова.

Главное – не откладывать на "завтра" или "потом". Начните разбираться с этим вопросом уже сегодня: проведите аудит своих сайтов и процессов, изучите требования, проконсультируйтесь со специалистами, если нужно. Чтобы 30 мая 2025 года не стало для вас днем неприятных финансовых сюрпризов.

Надеюсь, эта статья помогла вам немного сориентироваться. Делитесь в комментариях, что думаете об этих нововведениях и как готовитесь! Удачи с вашими сайтами!