Дата публикации: 6 сентября 2025
В 2025 году правила обработки персональных данных заметно ужесточились: часть поправок заработала весной и летом, а некоторые — с 1 сентября. В этой статье разберём, что нужно учесть владельцам сайтов, чтобы не попасть на штрафы и предписания Роскомнадзора.
Как РКН выявляет нарушения
Помимо плановых документарных и выездных проверок, активно применяются контрольные мероприятия без взаимодействия. Инспекторы просто анализируют ваш сайт на соответствие требованиям. Если находят несоответствия, направляют письмо с перечнем нарушений и сроками их устранения. Фактически компания узнаёт о проверке уже по результату.
Основные нарушения и как их избежать
1. Локализация баз данных
С 1 июля 2025 года уточнён п. 5 ст. 18 ФЗ-152: в России должны выполняться сбор, запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ. Трансграничная передача возможна только по ст. 12 ФЗ-152.
Что проверить:
- Размещение ресурсов у провайдеров с инфраструктурой в РФ.
- Код сайта — отсутствие сторонних скриптов, собирающих ПДн (Google Fonts, Analytics, CRM-виджеты и др.).
- Cookie и IP-адреса тоже могут считаться персональными данными.
Штраф: от 1 до 6 млн ₽ для юрлиц.
2. Передача ПДн третьим лицам
Выделяют два режима:
- Поручение обработки — третье лицо действует по договору-поручению, но ответственность несёт оператор.
- Передача ПДн — третье лицо использует данные самостоятельно и несёт ответственность перед субъектом.
Пользователь должен знать, кому и зачем передаются данные. Перечислите третьих лиц в согласии, соглашении или на отдельной странице сайта. Чаще всего это метрические системы и хостинг-провайдеры.
Cookie-баннер пример: «Продолжая использовать сайт, вы соглашаетесь на обработку персональных данных, собираемых посредством „Яндекс.Метрики“, в целях аналитики посещаемости сайта».
3. Согласие на обработку ПДн
По ч. 1 ст. 9 ФЗ-152 согласие должно быть конкретным, информированным и недвусмысленным. На сайте обычно оформляется как отдельный документ/оферта. Простейшие формулировки «Согласен на обработку ПДн» регулятор считает некорректными.
Обязательные пункты:
- Сведения об операторе (наименование, ИНН).
- Перечень ПДн, категории субъектов.
- Цели и сроки обработки.
- Передача и трансграничная передача (если есть).
- Контакты оператора и ссылка на Политику конфиденциальности.
Новое требование 2025: согласие должно быть отдельным документом. Для маркетинговых рассылок оформляется обособленное согласие.
Штраф: от 150 000 до 300 000 ₽.
4. Политика обработки ПДн
Это ключевой документ оператора. Политику необходимо утвердить и опубликовать на сайте (ссылка должна быть на каждой странице, где идёт сбор данных).
Штраф: 30 000–60 000 ₽ для юрлиц.
Политика должна содержать цели, перечень обрабатываемых данных, категории субъектов, сроки, способы уничтожения и меры защиты.
5. Уведомление об обработке ПДн
Оператор обязан до начала обработки подать уведомление в территориальный орган РКН. Информация должна совпадать с Политикой конфиденциальности. Несоответствие — одно из самых частых нарушений.
Штраф: 100 000–300 000 ₽ (п. 10 ст. 13.11 КоАП РФ).
6. Сроки хранения и уничтожение данных
Формулировка «бессрочно» недопустима. Сроки хранения должны быть указаны в согласии и политике. Обычно рекомендуют указывать 3 года (срок исковой давности) или до достижения цели обработки.
После окончания срока данные нужно уничтожить. Для этого составляется Акт об уничтожении, который хранится 3 года.
Заключение
Чтобы сайт соответствовал ФЗ-152 и не вызвать претензий РКН, необходимо:
- Разместить базы ПДн в России.
- Составить перечень третьих лиц, которым поручается обработка.
- Определить сроки хранения и уничтожения данных.
- Разработать и опубликовать политику конфиденциальности.
- Настроить cookie-баннер с уведомлением.
- Подать уведомление в Роскомнадзор и поддерживать его актуальным.
Соблюдение этих правил поможет избежать штрафов и повысить доверие пользователей к вашему ресурсу.