Настройка столбцов 
Настройка столбцов 
Столбец Сохранить изменения Добавленные столбцы Настройки столбцов Удаление столбцов Добавленных столбцов нет
Дополнительные настройки
Применить
Выбор регионов 
ПрименитьЗакрыть
Катим в ТОП Катим в ТОП 27.05.2025

Ваш сайт — источник штрафов? Как соответствовать 152-ФЗ без юриста: быстрый чек-лист

Что делать, чтобы сайт соответствовал Федеральному закону «О персональных данных».

Ваш сайт — источник штрафов? Как соответствовать 152-ФЗ без юриста: быстрый чек-лист

С 30 мая 2025 года в России вступают в силу обновлённые требования к обработке персональных данных (ПД). Они коснутся всех организаций, индивидуальных предпринимателей и самозанятых, которые собирают или используют личную информацию. Тема пока вызывает много вопросов: нормы не до конца проработаны, а юристы порой дают противоречивые рекомендации.

Чтобы разобраться, я изучила информацию. В этой статье объясню, какие шаги необходимо предпринять, чтобы сайт соответствовал Федеральному закону «О персональных данных».

❗ Важно: закон охватывает большое количество аспектов, но мы не будем их рассматривать подробно. В этой статье речь пойдёт именно о требованиях к сайтам. 
  • Каких сайтов коснутся изменения
  • Какой штраф можно получить, если не привести сайт в соответствие с новыми требованиями
  • Чек‑лист для сайта
  • Ещё по теме

    • Каких сайтов коснутся изменения

    Новые требования важно соблюдать всем владельцам сайтов. Например, если у вас на сайте есть форма обратной связи или Яндекс Метрика, вы уже собираете персональные данные. 

    Есть ли вообще сайты, которым не нужно устанавливать Метрику и собирать данные пользователей?

    Если не устанавливать на сайт никакую аналитику и не использовать средства автоматизации для сбора данных пользователей, новые требования не коснутся владельца сайта.

    Но важно понимать, что отправка заявки на почту или в CRM, заполнение формы обратной связи или квиза — это уже автоматизация. Если оставить на сайте телефон и не использовать CRM, а к примеру, записывать информацию по заявкам от руки в блокнот, то это не автоматизация.

    Если сайт создаётся для продвижения с целью получения заявок/продаж, не собирать персональные данные нереально, так как будет невозможно оценивать эффективность действий (без аналитики), также очень много времени будет уходить на ручную обработку заявок. Это должен быть небольшой сайт‑визитка для бизнеса с минимальным потоком заявок и без сотрудников.

    Как работать с Яндекс Метрикой: установка, настройка, отчёты 

    Какой штраф можно получить, если не привести сайт в соответствие с новыми требованиями

    Штрафы за обработку ПД без законных оснований и за обработку данных, не соответствующую целям сбора, увеличатся почти втрое. Например, для юридических лиц и ИП за первое нарушение сумма составит 150 000 – 300 000, а за повторное — 300 000 – 500 000.

    Также введут штрафы за непредставление уведомления о намерении обрабатывать ПД. Они составят 100 000 – 300 000 для юридических лиц и ИП.

    Чек‑лист для сайта

    1. Сбор и обработка данных

    Убедиться, что все данные хранятся и обрабатываются на российских серверах (включая CRM, аналитику, почту, облачные хранилища). 

    Если это не так, нужно перенести всё на российские серверы или уведомить Роскомнадзор о трансграничной передаче данных.

    Трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства органу власти этого государства, иностранному физическому или юридическому лицу.

    К ней относится использование иностранных сервисов аналитики на сайте компании (например, Google Analytics), хранение информации о клиентах на заграничных серверах, передача контактных данных сотрудников иностранным контрагентам и т. д.

    Использование сервисов Google Analytics, GTM и т. д. тоже является трансграничной передачей данных. Здесь два варианта: отключение или уведомление в РКН.

    Как работать с Google Analytics 4: подключение, настройка целей, событий и аналитика 

    1. Политика конфиденциальности

    Необходимо создать отдельную страницу на сайте. Политика конфиденциальности должна включать следующую информацию:

    • Цели обработки персональных данных

    Для каждой цели важно указать:

    • категории и перечень обрабатываемых ПД;

    • категории субъектов, персональные данные которых обрабатываются;

    • способы обработки ПД;

    • сроки обработки ПД;

    • порядок уничтожения.

    • Сведения о реализуемых требованиях к защите персональных данных

    Политика конфиденциальности должна быть доступна на любой странице, где производится сбор персональных данных. Это проще реализовать, разместив ссылку на страницу в футере сайта, а также во всех формах.

    Важно не собирать лишние данные, необходимость которых вы не сможете обосновать. Избыточные персональные данные — это данные, которые не соответствуют заявленным целям их обработки и являются избыточными по отношению к ним. Например, требование в форме сбора данных оставить адрес и телефон, если в Политике указана только общая цель, например информирование клиента по электронной почте о поступлении товара в продажу.

    Важно понимать, что универсальных шаблонов политики конфиденциальности нет — важно ориентироваться именно на процессы и особенности обработки персональных данных в конкретной компании (в идеале — вести реестр процессов, как требует РКН).

    1. Согласие на обработку персональных данных

    Необходимо создать отдельную страницу на сайте. В согласии указывают:

    • название компании;

    • цель сбора;

    • перечень ПД, в отношении которых пользователь выражает согласие на обработку и использование;

    • способы обработки;

    • наименование третьих лиц, которые вправе использовать эти данные;

    • срок действия согласия;

    • способ, которым владелец ПД может отозвать согласие.

    Согласие, как и политику, важно разместить в футере и во всех формах.

    Что такое футер сайта и как сделать его удобным для пользователя 

    1. Формы сбора персональных данных

    Во всех формах сбора персональных данных должна быть предупреждающая надпись о сборе данных со ссылками на политику и согласие. В чек‑боксе не должно быть предустановленной галочки.

    Если вы планируете делать рассылки, пользователь должен дать согласие на получение информационных и рекламных рассылок. Для этого нужна отдельная страница и ссылка из формы на неё. 

    Так неправильно: предустановлена галочка, нет ссылки на согласие, нет согласия на рассылки — оно нужно, если планируется отправлять рассылки:

    установлен

     Я соглашаюсь с политикой конфиденциальности.

    Так правильно: есть ссылка на согласие, на политику, отдельное согласие на рассылки, отсутствуют предустановленные галочки:

    снят

     Нажимая на кнопку «Отправить», я даю согласие на обработку своих персональных данных и соглашаюсь с политикой конфиденциальности.

    снят

     Я даю согласие на направление рекламных рассылок.

    1. Cookie‑файлы

    Если на сайте осуществляется сбор cookie, нужно разместить баннер с текстом. Например: «Нажмите на кнопку, если вы согласны с условиями обработки cookie и информации о поведении на сайте, которые необходимы нам для аналитики».

    С фразы «с условиями обработки» нужно поставить ссылку на Политику обработки персональных данных.

    На баннере должна быть кнопка, на которую пользователь может нажать, чтобы дать согласие. Например, «Согласен», «Ок» и т. д.

    Пример баннера cookie
    Пример баннера cookie

    1. Проверить актуальность почты

    Роскомнадзор может прислать предупреждение о нарушениях с просьбой устранить их. Если вы отреагируете быстро, можно избежать неприятных последствий. Чаще всего уведомления приходят на почту на сайте, поэтому важно следить за её актуальностью. 

    1. Уведомление в Роскомнадзор

    После выполнения всего вышеперечисленного важно подать уведомление об обработке персональных данных в реестр операторов РКН, чтобы избежать штрафов. 

    Есть несколько способов подачи уведомлений в РКН:

    • Через сайт РКН. Нужно заполнить специальную форму, подписать электронной подписью и подождать рассмотрения — это может занять до 30 дней.

    • Через профиль на Госуслугах.

    • Лично или почтой России в территориальное управление РКН.

    Ещё по теме

    SEO для юристов: инструкция, кейсы и инструменты для работы

    Как составить договор на продвижение сайта 

    Как регулируются права для ИИ‑контента