Персональные данные на сайте в 2025 году: новые требования Роскомнадзора
С 30 мая 2025 года в России вступили в силу обновленные правила работы с персональными данными (ПДн). Роскомнадзор получил новые полномочия и автоматизированные инструменты контроля, включая искусственный интеллект для круглосуточного мониторинга сайтов. Нарушения фиксируются мгновенно, а размер штрафов многократно вырос: за серьезные несоответствия могут взыскать до 18 миллионов рублей, а в случае утечки биометрии – и до 20 миллионов.
Даже форма обратной связи или подписка на рассылку на небольшом сайте приравниваются к обработке персональных данных. А значит, каждый владелец сайта – оператор ПДн и обязан выполнять обязательства по закону №152-ФЗ.
Новые обязанности для владельцев сайтов
Роскомнадзор теперь проверяет не только наличие политики обработки ПДн на сайте, но и все остальные процессы: как вы получаете согласие, где хранятся данные и что вы делаете для их защиты, используете ли иностранные сервисы.
1. Актуальная политика обработки персональных данных
Политика должна быть размещена в футере и рядом с каждой формой обратной связи. В ней обязательно должны быть следующие сведения:
- перечень собираемых данных (имя, email, телефон, cookies и т.п.);
- цели и правовые основания обработки;
- срок хранения данных и порядок их удаления;
- способы обработки, включая возможную передачу третьим лицам;
- информацию о применяемых мерах защиты;
- контакты оператора и возможность отозвать согласие.
2. Получение согласий на обработку
Согласие оформляется как отдельный документ. Для каждой цели требуется отдельное согласие – на обратную связь, на получение рекламы, на передачу данных третьим лицам. Чекбоксы должны быть неотмеченными по умолчанию, кнопка отправки формы – неактивна без галочки.
3. Регистрация в Роскомнадзоре
Все, кто собирает данные в электронной форме, обязаны подать уведомление через pd.rkn.gov.ru. В нем должна содержаться информация о целях, категориях данных, их локализации, способах обработки, хостинге и защите. Ошибки могут быть расценены как недостоверная информация и стать основанием для санкций.
4. Хранение данных на территории РФ
Персональные данные граждан РФ должны размещаться только на российских серверах. Использование зарубежных облачных сервисом, CRM, форм, аналитики (включая Google Analytics и Meta Pixel*) без специального разрешения Роскомнадзора с 1 июля 2025 года запрещено.
5. Cookie-уведомление и отказ от лишних файлов
Сайт обязан информировать пользователей о cookies, описывать категории собираемых файлов и предоставлять возможность отказаться от аналитических и маркетинговых cookies. Всплывающее окно cookie-уведомления должно быть реализовано технически корректно и отображаться при первом посещении.
6. Контактные сведения на
На каждой странице должны быть указаны юридические данные владельца: наименование организации, адрес, контакты. Это не только требование закона о персональных данных, но и обязательство в рамках ФЗ №149 «Об информации».
7. Внутренние документы
Одной политики недостаточно. Для юридических лиц и ИП потребуются дополнительные данные:
- приказ о назначении ответственного за ПДн;
- регламенты, приказы, инструкции, журналы и шаблоны согласий;
- список сотрудников с доступом к данным;
- документы по защите информации;
- акты по обучению сотрудников;
- журнал запросов и инцидентов.
Эти документы формируют систему внутреннего контроля и должны быть готовы до подачи уведомления в Роскомнадзор.
Я даю согласие на обработку моих персональных данных а также подтверждаю, что ознакомлен с Политикой конфиденциальности
Что грозит нарушителям
Новое законодательство включает не только расширенный перечень оснований для штрафов, но и увеличение сумм:
- до 60 000 рублей – за отсутствие политики обработки ПДн на сайте
- до 300 000 рублей – за отсутствие уведомления об обработке данных, неактуальную информацию в реестре операторов, игнорирование запроса пользователя о его данных;
- до 700 000 рублей – за сбор данных без корректного согласия, отказ в удалении или блокировке данных по запросу пользователя;
- до 18 миллионов рублей – за трансграничную передачу без разрешения;
- до 3 миллионов рублей – если не было сообщено об утечке данных;
- до 20 миллионов рублей – за утечку данных, сумма зависит от количества человек и категории данных, наибольший штраф налагается за утечку биометрии.
Роскомнадзор теперь фиксирует нарушения не в ходе визитов, а с помощью автоматических систем анализа. Проверки проходят в фоновом режиме, а предписания могут быть выставлены без предварительных уведомлений. На исправление дается 10 дней, после чего санкции могут быть наложены в полном объеме.
Кейсы: как сайты могут потерять деньги и репутацию
Интернет-магазин без регистрации в реестре
Небольшой e-commerce проект собирает заявки на доставку и обратную связь без подачи уведомления в Роскомнадзор, считая, что малые обороты не требуют внимания. После жалобы клиента начнется автоматическая проверка. Будут обнаружены нарушения: отсутствие уведомления, неполная политика, интеграция с зарубежным сервисом. Потенциальный итог – до 600 000 рублей штрафа.
Образовательная платформа на иностранном хостинге.
Компания проводит онлайн-курсы, сайт размещен на Tilda. Несмотря на российскую регистрацию, платформа находится на европейском хостинге, а код сайта содержит подключение к Google Analytics. Роскомнадзор квалифицирует это как трансграничную передачу. Не поможет даже наличие политики и согласий – штраф составит до 6 миллионов рублей.
Форма обратной связи без согласия
Клиент отправил обращение через сайт компании, не увидев никакого предупреждения о сборе данных. Проверка РКН по жалобе выявит, что на формах отсутствуют чекбоксы согласия. Нарушение приравняют к обработке без законного основания. Компания получит предписание и штраф до 300 тысяч рублей.
Устаревшая политика и ошибки в уведомлении
Организация зарегистрировалась в Роскомнадзоре, но в уведомлении указала неполный перечень целей и не внесла информацию о новых формах сбора данных. При автоматической проверке ИИ выявит несоответствие между содержимым сайта и реестром. Роскомнадзор расценит это как недостоверные сведения – штраф до 300 тысяч рублей.
Это гипотетические сценарии, каждый из которых вполне может оказаться реальным, если не адаптироваться к новым реалиям законодательства и не предпринять действия. Какие именно?
Как избежать проблем: пошаговый алгоритм
- Провести аудит сайта: проверить формы, cookies, внешние подключения и хостинг.
- Обновить политику обработки ПДн и согласия – с учетом новых требований.
- Направить уведомление в Роскомнадзор через pd.rkn.gov.ru.
- Настроить корректную работу согласий и cookie-уведомления.
- Обеспечить хранение данных в РФ и прекратить использование иностранных сервисов, если нет разрешения.
- Разработать и внедрить все внутренние документы: приказы, журналы, инструкции, формы согласий.
- Назначить ответственного за ПДн.
- Организовать обучение сотрудников и контроль исполнения регламентов.
- Обновлять документацию при изменениях: новые формы, CRM, цели обработки.
В 2025 году работа с персональными данными требует системного подхода. Сайт – это только вершина айсберга. Главное – соответствие всех процессов требованиям закона и возможность доказать это при проверке. Формальный подход больше не работает: автоматизированные системы Роскомнадзора выявляют нарушения даже в скрытых частях кода, а устранить их после этого уже не получится.
Если у вас нет уверенности, что сайт и процессы соответствуют требованиям, вы можете обратиться к профессионалам. Специалисты компании «Лидер Поиска» не только проведут анализ ресурса на соответствие требованиям РКН, но и предложат другие услуги, необходимые для развития бизнеса в цифровой среде. От SEO до разработки нового сайта с нуля – сделаем все для мощного продвижения, которое будет эффективным и на 100% законным!
Я даю согласие на обработку моих персональных данных а также подтверждаю, что ознакомлен с Политикой конфиденциальности