С 2025 года правила игры в сфере персональных данных ужесточились. Роскомнадзор усилил контроль, штрафы выросли, а автоматические проверки сайтов стали обычным делом. Если у компании есть сайт хоть с одной формой обратной связи, она считается оператором персональных данных, и это уже вопрос юридической безопасности компании.
Поправки к закону о персональных данных вступают в силу поэтапно, самые значимые — с 30 мая и 1 сентября 2025 года. Они затрагивают согласие на обработку, правила обезличивания данных, порядок работы с cookie и требования к инфраструктуре. Роскомнадзор официально получил больше полномочий и право применять свои методики, а значит, проверки стали строже.
Ключевые требования 2025 года
Ниже — разбор ключевых требований, которые бизнес обязан учитывать в 2025 году, и пояснение, что будет, если этого не сделать.
1. Политика обработки персональных данных
Политика персональных данных должна быть на сайте, открыта и актуальна, это документ, который показывает пользователю: какие данные вы собираете, зачем вы их собираете, кому передаете, как их храните, как человек может отозвать свое согласие.
В 2025 году политика обязана соответствовать реальной работе сайта. Если у вас стоит Яндекс Метрика, CRM или формы на сторонних сервисах — все это должно быть упомянуто.
Чем грозит несоблюдение?
Роскомнадзор считает отсутствие политики нарушением. Штраф может прилететь даже за «типовой шаблон, который не соответствует реальности».
2. Согласие на обработку данных
Это один из ключевых изменений закона. С 1 сентября 2025 года согласие должно быть отдельным документом или действием, подтвержденным таким образом, чтобы оператор мог доказать факт его получения.
Фраза «нажимая кнопку, вы соглашаетесь» больше не считается полноценным согласием. Теперь нужна отдельная галочка, которую пользователь ставит осознанно. Плюс сайт должен хранить доказательства: логи, время, IP-адрес, текст согласия на момент получения.
Если вы передаете данные третьим лицам — например, CRM, сервисам рассылки, коллтрекингу - нужно отдельное согласие именно на передачу.
Чем грозит несоблюдение?
В случае жалобы или проверки оператор должен доказать, что согласие действительно было. Если логов нет, РКН трактует ситуацию как отсутствие законного основания обработки. Это прямое нарушение ст. 9 закона 152-ФЗ.
3. Уведомление Роскомнадзора об обработке данных
Если вы обрабатываете персональные данные, вы обязаны уведомить РКН об этом до начала работы. Это касается всех: ИП, самозанятых, малого бизнеса, сайтов-визиток.
В уведомлении указывают: цели обработки, методы обработки, описания информационных систем, передачу третьим лицам, трансграничную передачу (если используете иностранные сервисы).
Чем грозит несоблюдение?
Штраф за отсутствие уведомления плюс риск получить дополнительные санкции, если одновременно выявят нарушения в согласиях или политике.
4. Cookie-баннер и политика cookie
Если сайт использует какие-либо скрипты аналитики, ретаргетинга, виджеты, то должен быть: баннер при первом входе, возможность выбора типа cookie (минимум базовые/аналитические/маркетинговые), политика cookie или раздел в политике ПДн.
РКН теперь проверяет не только текст сайта, но и его код.
Чем грозит несоблюдение?
Штраф за непрозрачную обработку данных и нарушение прав пользователя.
5. Юридические данные в подвале сайта
В подвале должны быть: полное наименование юрлица или ИП, адрес, контактная информация. Не бренд, не торговая марка — а владелец сайта.
Чем грозит несоблюдение?
Нарушение закона об информации и законодательства о рекламе — а это отдельные штрафы.
6. Российский хостинг и запрет на трансграничную передачу
Обработка и хранение персональных данных должны происходить на серверах, физически расположенных в России. Это требование закона о локализации данных.
Нельзя хранить персональные данные в Google Drive, Notion, Dropbox и других зарубежных облаках. Нельзя использовать хостинг, сервер которого физически стоит в ЕС или США, даже если провайдер российский.
Чем грозит несоблюдение?
Это считается трансграничной передачей данных без оснований — одно из самых серьезных нарушений. Возможна блокировка сайта и крупные штрафы.
7. Автоматические проверки Роскомнадзора
Роскомнадзор начал использовать автоматизированные алгоритмы, которые анализируют: html-код, js-скрипты, скрытые пиксели, cookie, формы, интеграции.
Такая проверка не требует предупреждения. Нарушение фиксируется автоматически.
Чем грозит несоблюдение?
Может прийти предписание, штраф или блокировка сайта без длительной переписки. Ошибки в коде, которые пользователь не видит, робот видит отлично.
8. Жалобы конкурентов как инструмент давления
Сейчас это реальная практика, любой конкурент может отправить жалобу в РКН, даже анонимно. Инспекция обязана реагировать. Нарушений не нужно много — достаточно одного, чтобы запустить проверку.
Чем грозит несоблюдение?
Даже мелкая ошибка может стать поводом для проверки и штрафа. Фактически, несоответствие требованиям — открытая дверь для атак.
Полный перечень документов и требований по 152-ФЗ для веб-ресурса
В таблице ниже систематизированы все необходимые документы, элементы интерфейса и технические требования, актуальные на ноябрь 2025 года.
Штрафы за нарушения в сфере персональных данных
Полная таблица штрафов за несоблюдение требований Роскомнадзора по ФЗ-152, актуальная на ноябрь 2025 года. С 30 мая 2025 года штрафы были существенно увеличены, а для ИП теперь установлен такой же размер штрафов, как и для юридических лиц.
Важные уточнения по новым правилам:
- Ответственность ИП: с 30 мая 2025 года штрафы для индивидуальных предпринимателей приравнены к штрафам для юридических лиц.
- Отдельное согласие: с 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено отдельным документом. Его нельзя включать в пользовательское соглашение или оферту. Запрещены заранее проставленные галочки.
- Cookie — это персональные данные: Роскомнадзор рассматривает файлы cookie и данные, собираемые метриками, как персональные данные. На их обработку также необходимо получать информированное согласие пользователя до начала любой обработки.
- Повторные нарушения: за повторное совершение большинства административных правонарушений, указанных в таблице, предусмотрены значительно увеличенные штрафы. Например, штраф за обработку без согласия при повторном нарушении может составить до 500 000 рублей, а за неуведомление об обработке — до 500 000 рублей.
- Автоматические проверки Роскомнадзора: с 1 июля 2025 года Роскомнадзор проводит автоматическую проверку сайтов с помощью ИИ на наличие запрещенных элементов, таких как Google Analytics и виджеты зарубежных мессенджеров.
Что бизнесу стоит сделать прямо сейчас?
Это не бюрократия ради бюрократии. Это минимальный набор мер, которые помогут избежать штрафов, блокировок и неприятных сюрпризов со стороны «доброжелателей».
Провести аудит сайта
Необходимо провести комплексный аудит сайта: юридический и технический. Проверить все формы, скрипты, интеграции, документы и соответствие требованиям 152-ФЗ.
Обновить политику персональных данных
Политика должна соответствовать реальной работе сайта. Упомянуть все используемые сервисы: Яндекс Метрику, CRM, формы на сторонних сервисах. Убедиться, что документ актуален и доступен.
Пересобрать согласия
С 1 сентября 2025 года согласие должно быть отдельным документом с отдельной галочкой. Настроить логирование всех согласий: время, IP-адрес, текст согласия. Это критически важно для доказательства перед РКН.
Привести cookie-уведомления в порядок
Настроить cookie-баннер с выбором типов cookie (базовые/аналитические/маркетинговые). Блокировать аналитические скрипты до получения согласия. Добавить ссылку на Политику cookie. Убедиться, что все работает корректно.
Проверить хостинг и убрать слабые места
Убедиться, что хостинг российский и серверы физически расположены в России. Убрать лишние зарубежные сервисы или оформить передачу корректно. Проверить, что персональные данные не хранятся в зарубежных облаках.
Итоги
Требования Роскомнадзора к сайтам в 2025 году стали строже, а контроль - автоматизированным. Несоблюдение правил грозит реальными штрафами, блокировками и проверками по жалобам конкурентов.
Ключевые изменения касаются согласий на обработку данных, политик конфиденциальности, работы с cookie и локализации хранения данных. Каждое нарушение может стать поводом для проверки, а автоматические алгоритмы РКН проверяют сайты без предупреждения.
Соблюдение требований 152-ФЗ - это необходимость для безопасной работы сайта. Регулярный аудит, актуальные документы и правильная техническая настройка помогут избежать проблем и защитить бизнес от неожиданных штрафов.
Если вам нужна помощь в приведении сайта в соответствие с требованиями Роскомнадзора, вы можете обратиться к нам за консультацией.