Разбираем, какие поправки были внесены в № 152-ФЗ «О персональных данных», как избежать штрафов и подготовить бизнес и сайт согласно требованиям закона. Делимся информацией, которую нашли и проверили сами — за полной юридической консультацией лучше обратиться к специалистам.
С 30 мая 2025 года в России действует обновлённый порядок работы и защиты персональных данных (ПДн). Ошибка в работе с ПДн может обернуться финансовой и репутационной катастрофой для любого бизнеса.
Привет, я Анатолий Полицын — технический директор агентства интернет-маркетинга «Синапс». Мы создаем сайты с нуля и помогаем компаниям привлекать клиентов с помощью SEO, контекстной и таргетированной рекламы.
Что такое персональные данные
Персональные данные — это любая информация, по которой можно определить личность человека: ФИО, номер телефона, email, паспортные данные, СНИЛС, ИНН. Даже фото сотрудника на сайте — это тоже персональные данные.
Вы становитесь оператором персональных данных, если:
- Нанимаете сотрудников и обрабатываете их данные;
- Ведёте CRM или клиентскую базу;
- Общаетесь с клиентами в мессенджерах и по email/телефону;
- Собираете заявки на сайте с помощью форм.
Даже если сайта нет, но у вас есть сотрудники или клиенты и вы работаете с их данными — закон о ПДн к вам применим.
Что именно изменилось в законе «О персональных данных»
1. Уведомление в Роскомнадзор
Теперь подать уведомление необходимо до начала работы с любыми персональными данными, а не «постфактум», как было ранее. Сделать это можно тремя способами:
- Заполнить электронную форму, распечатать и отправить её почтой или любым удобным способом в Роскомнадзор (РКН);
- Сформировать уведомление на портале Госуслуг и там же отправить.
Работать с ПДн без уведомления в РКН можно только в исключительных случаях, например, когда данные записывают и хранят на бумаге или включены в государственные информационные системы.
Остальным: за первое нарушение — предупреждение, далее — штрафы:
- Физлица — 5 000–10 000 ₽;
- Должностные лица — 30 000–50 000 ₽;
- ИП и организации — 100 000–300 000 ₽.
2. Локализация и хранение данных — только в России
Первичный сбор и обработка персональных данных граждан РФ должны происходить только на территории РФ — без трансграничной передачи. Например, на сайте есть кнопка «Написать в WhatsApp», посетитель нажимает на неё и переходит в чат. Его данные в таком случае обрабатываются через серверы компаний, расположенных за пределами РФ. Это нарушение закона.
Кроме того, с 1 марта 2023 года, если вы планируете передавать данные за границу, нужно заранее сообщить об этом в РКН — ведомство может разрешить или ограничить такую передачу.
Штрафы за нарушение требования о локализации для организаций — до 6 млн ₽ за первое нарушение и до 18 млн ₽ — за повторное.
3. Согласие на обработку данных — отдельный документ
С 1 сентября 2025 года согласие на обработку персональных данных нельзя «спрятать» в договор, оферту, анкету или пользовательское соглашение. Оно должно быть:
- Оформлено отдельным документом, чекбоксом с полным текстом или визуально обособленным блоком на сайте;
- Доступным для ознакомления до подтверждения пользователем;
- Без автоматически проставленной галочки.
Если цель обработки ПДн меняется (например, вы получили согласие на подписку, а потом хотите использовать данные для рекламы) — требуется новое согласие пользователя.
За неправильное оформление согласия на обработку персональных данных организации и ИП могут попасть на штраф в размере до 700 000 ₽.
4. Передача обезличенных данных в ГИС
Компании также должны уметь корректно обезличивать персональные данные — то есть удалять из них возможность идентифицировать конкретного человека. По запросу от Минцифры такие массивы обезличенных данных нужно передать в ГИС — государственную информационную систему.
Методы по обезличиванию данных описаны в приказе Роскомнадзора №140 от 19.06.2025.
5. Активные проверки со стороны РКН
Роскомнадзор имеет право проводить как плановые, так и внеплановые проверки. А ещё — применять автоматизированные системы мониторинга сайтов на предмет нарушений. В приоритете: интернет-магазины, банковские сервисы — сайты, которые связаны с активной обработкой ПДн.
Это значит, что сайт может быть проверен и без жалобы клиента — нарушение может быть выявлено автоматически.
6. Значительно выросла ответственность за утечку данных
Если третьи лица завладели ПДн пользователей случайно или умышленно, виноват будет бизнес. Взлом информационной системы компании через уязвимости в ПО, слабые пароли, потерянные сотрудником документы — всё это относится к утечке данных.
Сумма штрафа зависит от количества пострадавших: за утечку данных более 100 000 субъектов ПД компании грозит штраф от 10 млн ₽ до 15 млн ₽.
При утечке ПДн нужно подать уведомление в РКН в течение 24 часов, иначе — штраф. А затем предоставить отчёт об устранении последствий.
Чек-лист: что нужно сделать предпринимателю, чтобы соблюсти закон
- Обеспечить, чтобы согласие на обработку ПДн было отдельным документом или чекбоксом/блоком на сайте, без предустановленных галочек.
- Проверить, что согласие на обработку ПДн не спрятано в договорах, офертах, анкетах или других документах.
- Разработать отдельные формы согласий для разных целей: одно согласие для подписки на рассылку, другое — для участия в акции и т.д.
- Разместить политику конфиденциальности в футере и на каждой странице сайта, где собираются ПДн.
- Обеспечить безопасное хранение ПДн — надёжные пароли, резервные копии, аккуратное обращение с документами.
- Убедиться, что сбор и обработка ПДн происходит только на серверах в РФ.
- Подать уведомление в Роскомнадзор до начала обработки ПДн.
- Иметь регламент реагирования на утечки и инциденты.
Соблюдение закона о ПДн — ответственность собственника бизнеса, но многие юридические аспекты правильнее поручить юристам.
Что мы делаем со своей стороны для сайта
Наша задача — сделать сайт технически готовым к соблюдению закона о ПДн:
1. Размещаем сайт на российских серверах. Это исключает нарушение требований о локализации данных.
2. Используем Российское ПО:
- CMS Drupal (ДАР), на которой строятся наши типовые решения, зарегистрирована в Едином реестре российских программ для электронных вычислительных машин и баз данных.
3. Настраиваем формы с корректным сбором согласий на обработку ПДн — без предустановки галочки.
4. Добавляем страницу политики обработки ПДн и ссылку на неё в футере сайта.
5. Размещаем политику конфиденциальности на каждой странице сайта, где бизнес собирает данные о пользователях. Предоставляем шаблонный документ с политикой конфиденциальности.
Он закрывает техническое требование к наличию политики на сайте. За содержание текста политики и юридическую проработку отвечаете вы или ваш юрист.
6. Устанавливаем всплывающее уведомление о cookie-файлах — чтобы пользователь сознательно давал или не давал согласие на сбор аналитики.
7. Размещаем в подвале сайта юридическую информацию о компании/ИП (название, ИНН/ОГРН, email для обращения по персональным данным) по требованиям заказчика или при условии, что реклама ведёт на сайт.
Мы передаём вам технически готовый к проверке РКН сайт, за юридическое содержание документов отвечаете вы или ваш юрист.
Примеры наших сайтов вы можете увидеть в портфолио.
Итог
С 2025 года контроль за персональными данными стал жёстче, а штрафы — выше. Чтобы не рисковать, бизнесу нужно правильно выстроить работу с ПДн и иметь технически корректный сайт. Синапс берёт эту задачу на себя: размещаем сайт на серверах в РФ и настраиваем функционал сайта для соблюдения закона — вам остаётся подключить юристов и спокойно развивать бизнес.
Сайты, которые мы создаем, изначально имеют готовую, выверенную структуру — такую, что помогает клиенту пройти путь от первого визита до заявки без лишних шагов. Каждая страница продумана с маркетинговой точки зрения.
Если вы хотите увидеть, как такая структура работает на практике, создайте свой бесплатный прототип сайта с помощью нашего Телеграм-бота.