Как выполнить требования Роскомнадзора к сайтам, чтобы избежать штрафа до 18 млн руб.

Операторы персональных данных (в том числе владельцы сайтов) при сборе данных физлиц должны пользоваться отечественными решениями — программным обеспечением, серверами и базами данных.

С 1 июля 2025 года изменились правила так называемой «локализации» персональных данных. Теперь запрещено собирать данные посетителей сайтов с использованием зарубежных онлайн-сервисов и серверов. Основание — ч. 5 ст. 18 закона от 27.07.2006 № 152-ФЗ «О персональных данных».

При этом допускается использование иностранных сервисов, которые официально представлены в России и соответствуют требованиям об обработке данных россиян.

Цель изменений — полностью перенести инфраструктуру обработки персональных данных в Россию и обеспечить защиту данных российских граждан от неконтролируемого использования недружественными странами.

Новые требования касаются всех операторов персональных данных, у которых есть сайты. Их список внушительный:

1. Коммерческие компании — маркетплейсы, интернет, магазины, сервисы доставки, курьерские службы, банки, страховые компании, брокерские платформы, IT-компании, CRM, маркетинговые агентства, турфирмы, онлайн-школы, СМИ.

2. Образовательные организации — школы, лицеи, гимназии, вузы, частные образовательные центры. 

3. Медицинские и социальные учреждения — государственные и частные клиники, аптеки, фармацевтические компании, социальные службы и фонды помощи, страховые медицинские компании.

4. Государственные и муниципальные структуры — порталы госуслуг, администрации, учреждения в сфере ЖКХ, транспорта, здравоохранения, образования.

5. Работодатели и кадровые площадки — сайты по поиску работы, корпоративные сайты компаний, агентства по подбору персонала.

Требования о локализации относятся ко всем сайтам — как к многостраничным веб-ресурсам, так и обычным сайтам-визиткам. Даже если вы ничего не продаете с помощью сайта и не используете формы обратной связи, но у вас установлены метрические системы, виджеты или «пиксели» соцсетей, ваш сайт все равно собирает данные пользователей (IP, геолокацию, сведения об используемом браузере).  А значит, вы — оператор и обязаны выполнять требования о локализации персональных данных.

Законодательство ограничивает использование на сайте зарубежных элементов, которые не соблюдают российские требования. К ним относятся:

1. Виджеты мессенджеров WhatsApp¹, Telegram, напрямую передающие данные пользователей на иностранные серверы.

2. Сервисы Google — Google Analytics, Google Tag Manager, Google reCAPTCHA, Google Forms; Google Maps (если встроены в сайт).

3. Зарубежные CDN и хостинг-провайдеры — Cloudflare, Amazon Web Services и т.п..

4. Формы обратной связи, онлайн-чаты — которые собраны с помощью иностранных конструкторов или интегрированы с зарубежными платформами. Например, нельзя использовать платформы для коммуникации с клиентами —  Zendesk, Tawk.to, конструкторы форм и анкет — Jotform, Typeform.

5. Иные IT-решения, использующие внешние JS-библиотеки и зарубежные сервисы.

А также запрещены любые трекеры, скрипты, поля и другие элементы, которые автоматически или напрямую отправляют данные пользователей за границу при первичном сборе данных пользователей в России.

Роскомнадзор — уполномоченный орган по контролю и защите в области обработки персональных данных (ст. 23 закона № 152-ФЗ). РКН имеет разные инструменты для выявления нарушений:

1. Автоматический поиск. С 2025 года Роскомнадзор активно применяет технологии ИИ для проверки сайтов на наличие запрещенных элементов. Тенденция сохранится и в 2026 году. 

2. Проверка «вручную». Поиск нарушений на сайтах выполняют специалисты Роскомнадзора. Спровоцировать проверку могут жалобы пользователей, письма конкурентов, публикации в СМИ, поручения правительства.

Стоит отметить: у Роскомнадзора нет задачи массово штрафовать владельцев сайтов. Регулятор может направить оператору письмо с предписанием об устранении нарушения. Только игнорирование законодательных требований влечет огромные штрафы — до 18 млн рублей на организации. 

Главная рекомендация — проверьте свой сайт и удалите / замените незаконные элементы, если они есть. Ниже — пошаговая инструкция.

Проверьте сайт с технической и юридической стороны: есть ли запрещенные элементы, нарушает ли сайт требования о «локализации». Что именно проверить:

• сервисы, формы, виджеты, скрипты, поля, трекеры и т. д.;

• серверы, базы данных ПО, облака, SaaS-решения;

• маршрут обработки персональных данных: какие сведения и куда передаются.

Проверьте сайт до того, как это сделает Роскомнадзор. Это позволит устранить нарушения и недочеты заранее. 

Топ ошибок в работе с персональными данными, которые могут привести к многомиллионным штрафам

Проверьте, правильно ли ваша компания обрабатывает персональные данные

Заполните форму ниже, вышлем мануал вам на e-mail:

Имя^*

E-mail^*

Телефон^*

Отправить

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Нашли при проверке незаконные элементы? Удалите их с сайта или используйте российские аналоги:

Российские аналоги сервисов для сайта помогают операторам работать без нарушений: серверы расположены в России, первичная обработка данных происходит в России, недружественные страны не получают сведения о поведенческих факторах пользователей. 

Отметим еще раз: использование зарубежных сервисов, чат-ботов, виджетов, форм и других элементов не запрещено, если сбор и первичная обработка данных пользователей выполняется в России (на отечественных серверах). В дальнейшем трансграничная передача персональных данных на территорию иностранного государства может осуществляться при условии выполнения требований ст. 12 закона № 152-ФЗ.

Вы можете использовать зарубежные решения (почтовые клиенты, CRM, хранилища данных и т.п.), если они критически важны для вашего бизнеса. Но заранее подайте уведомление в Роскомнадзор о трансграничной передаче (ч. 3 ст. 12 закона № 152-ФЗ).

Роскомнадзор в любой момент может организовать выездную проверку или запросить документы, чтобы проверить соответствие законодательным требованиям. На что обратить внимание:

1. Актуализируйте политику обработки персональных данных, политику сбора cookies, пользовательское соглашение.

2. Обновите форму согласия на обработку персональных данных и уведомление об обработке файлов cookies. С 1 сентября согласие должно быть самостоятельным документом, а не в составе других договоров, соглашений или политики. Выделите согласие на сайте: это может быть чекбокс, кнопка «Соглашаюсь» с текстом согласия, отдельная страница с текстом согласия (ведите пользователя на нее по ссылке).

3. Подайте уведомление в Роскомнадзор о начале обработки персональных данных (если еще не сделали это). Подать уведомление можно лично в отделение, онлайн на сайте РКН, в том числе с использованием профиля на госуслугах (ЕСИА).

Отсутствие оператора в реестре Роскомнадзора влечет штраф на организацию — до 300 тыс. руб., за обработку персональных данных без согласия владельца — до 1,5 млн рублей (ч. 2, 2.1, 10 ст. 13.11 КоАП).

Уведомление о трансграничной передаче нужно подавать отдельно от уведомления о намерении осуществлять обработку (ч. 3 ст. 12 закона № 152-ФЗ). Сделать это можно двумя способами:

1. На бумаге. Распечатайте бумажный бланк уведомления на сайте Роскомнадзора, заполните и лично принести в местное отделение ведомства.

2. В электронной форме. С сайта Роскомнадзора вас перенаправят на портал «Госуслуги». Подать уведомление онлайн можно только с подтвержденного профиля. Если документ направляет ответственный, то его профиль на «Госуслугах» должен быть привязан к учетной записи организации.

Обязательные разделы уведомления о трансграничной передаче (ч. 4 ст. 12 закона № 152-ФЗ):

1. Данные оператора — наименование организации, ФИО ИП.

2. Номер уведомления о намерении осуществлять обработку, которое было отправлено ранее.

3. Данные ответственного сотрудника — ФИО, адрес, email, номер телефона.

4. Законные основания и цель трансграничной передачи.

5. Категории и перечень передаваемых данных.

6. Категории владельцев данных.

7. Список иностранных государств, куда будут доставляться данные.

8. Дата проведения оператором оценки соблюдения конфиденциальности при обработке персональных данных на иностранной стороне.

Роскомнадзор проверяет сайты и направляет операторам предписания по устранению нарушений. Невыполнение предписания грозит штрафами — а они сейчас настолько огромные, что игнорировать письма РКН точно не стоит (ч. 8, 9 ст. 13.11 КоАП):

Законом установлены равные штрафы для ИП и организаций (п. 1 примечаний к ст. 13.11 КоАП).

Услуги в области персональных данных

Подробнее

1. Сбор персональных данных с использованием зарубежных сервисов, не имеющих представительств и серверной инфраструктуры в России, запрещен.

2. Репутацию сайта (= оператора) могут разрушить незаконные элементы, если они напрямую или автоматически доставляют данные на иностранные серверы: Google Analytics и другие сервисы Google, SaaS-сервисы, CRM, облака, виджеты WhatsApp¹/Telegram, формы обратной связи.

3. Штрафы за незаконную передачу трансграничных данных для ИП и организаций доходят до 18 млн рублей.

4. Чтобы законно избежать штрафов, используйте российские аналоги элементов, не соответствующих требованиям.

5. Уведомите Роскомнадзор о трансграничной передаче данных, если используете зарубежные почтовые клиенты, CRM, хранилища данных и иные сервисы. При это не забывайте, что сбор и первичная обработка данных пользователей должна выполняться с использованием российских сервисов и на серверах в России.

Нужна помощь в организации работы с персональными данными или юридическая консультация? Специалисты «Центра безопасности данных» реализуют любой проект по вашему запросу — от типовых до индивидуальных задач. Наши юристы и технические специалисты подключатся на любом этапе и помогут снизить риски нарушений. Вы можете заказать: разработку полного пакета документов, регистрацию в реестре Роскомнадзора, аудит процессов компании, подготовку к проверкам, оценку ИСПДн и т. д. Ознакомьтесь с полным перечнем услуг.

Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFGnPajz