Самое главное:
Изменения с 01.07.2025 года связаны с «локализацией» персональных данных и штрафами до 18 млн руб.
Операторы персональных данных попадают под удар закона, если на сайте используются сервисы, формы, скрипты, пиксели и другие зарубежные IT-решения, нарушающие правила трансграничной передачи.
Роскомнадзор проверяет сайты автоматически с применением ИИ, без предупреждения владельцев веб-ресурсов. Поводом для внеплановой, документарной или выездной проверки могут стать жалобы пользователей и конкурентов.
Сайт готов к проверке, если выполнены правила: политика обработки ПДн находится в открытом доступе, согласие на обработку явно выделено на сайте, настроено всплывающее cookie-уведомление, в футере сайта размещены юридические данные, а также отсутствуют нелегитимные компоненты или они заменены на отечественные аналоги.
В конце статьи найдете чек-лист «Проверь себя»: если выполнены базовые условия, то сайт готов к проверке Роскомнадзора.
Что изменилось с 1 июля 2025 года для владельцев сайтов
В 2025 году произошли переломные события в области персональных данных, которую регламентирует закон от 27.07.2006 № 152-ФЗ. Одной из обсуждаемых дат в коммерческом и государственном секторе стало 1 июля 2025 года:
1. Государство постепенно «локализует» сбор и обработку персональных данных пользователей сайтов.
❌ Как было раньше. При входе посетителя на сайт владелец (оператор персональных данных) получает данные о браузере, IP-адресе, геолокации пользователя. Эти и другие данные напрямую доставлялись в страны Европы (США, Великобританию и др.), то есть первичная обработка происходила за границей в обход российского законодательства.
✅ Как стало. С 1 июля 2025 года первичная обработка данных пользователей должна проходить в России. Для этого владелец веб-ресурса заменяет или полностью отказывается от элементов, которые не соответствуют обновленным требованиям — формы, виджеты, скрипты, пиксели и другие веб-составляющие. С точки зрения информационного обмена, в списке «безопасных» стран Роскомнадзора — государства ЕАЭС и БРИКС (Беларусь, Кыргызстан, Индия и др.).
2. «Привычные» элементы сайта ставят под угрозу деятельность операторов персональных данных.
❌ Как было раньше. Владельцы сайтов использовали зарубежные IT-решения — Google Analytics и другие сервисы Google, reCAPTCHA, виджеты WhatsApp1 и Телеграм, JS-библиотеки с готовыми функциями, CRM и т. д. Данные российских пользователей сохранялись на зарубежных серверах, что не соответствовало нормам безопасности и законодательству РФ.
✅ Как стало. Государство постепенно переводит бизнес на российскую инфраструктуру. Владельцы сайтов должны использовать отечественные ПО, сервисы, конструкторы и другие элементы. В то же время разрешено использовать решения из «дружественных» стран, которые не нарушают правила трансграничной передачи. Например, владелец сайта должен подать уведомление в Роскомнадзор о трансграничной передаче данных (ТППДн), если бизнесу жизненно необходимо зарубежное решение (CRM, почта-клиент, облако и др.).
3. Штрафы за нарушение ТППДн выросли до 18 млн руб.
❌ Как было раньше. Владельцы сайтов могли использовать зарубежные решения, не опасаясь получить штрафы в миллионы рублей.
✅ Как стало. Закон от 06.12.2021 № 405-ФЗ дополнил ст. 13.11 КоАП частями 8 и 9. Первичное нарушение правил трансграничной передачи влечет штрафы до 200 тыс. руб. на должностных лиц, до 6 млн руб. на ИП и организации. За повторное нарушение штрафы возрастают до 800 тыс. и 18 млн руб., соответственно.
«Центр безопасности данных» — это помощник бизнеса и компаний в сфере защиты информации и персональных данных. Эксперты ЦБД готовы решить локальную задачу или реализовать проект «под ключ». Какие услуги вы можете заказать:
аудит текущих бизнес-процессов на наличие рисков;
подготовка документов и подача уведомления в Роскомнадзор;
выстраивание системы защиты персональных данных (СЗПДн);
подготовка к проверкам РКН;
выполнение индивидуальных проектов.
Затрудняетесь с выбором услуги? Менеджеры проведут консультацию и дадут первые рекомендации.
Как подготовить сайт к проверке Роскомнадзора
Проверки Роскомнадзора в 2025 году стали более строгими. Кроме плановых, внеплановых, документарных и выездных проверок, регулятор использует автоматизированный мониторинг сайтов — с использованием ИИ-технологий. Проверка происходит 24/7 и без предупреждения владельца веб-ресурса.
Поводом для проверки могут стать жалобы пользователей и конкурентов. Роскомнадзор обязан реагировать даже на анонимные письма. Задача бизнеса — создать законопослушный сайт, в котором не за что будет зацепиться «доброжелателям».
1. Политика обработки персональных данных
Политики обработки ПДн — основной документ бизнеса и компании, которые работают с чужими сведениями (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). В документе собрана основная информация об операторе:
наименование, адрес, контактные данные;
ФИО ответственного за организацию обработки персональных данных;
цели обработки ПДн с указанием перечня обрабатываемых данных, категорий субъектов, способов, сроков обработки и хранения, порядка уничтожения;
передача данных третьим лицам
Что сделать: разработать и разместить политику на сайте, а ссылку на нее — в «подвале» (нижней части) сайта на видном месте на каждой странице веб-ресурса. Отсутствие политики в открытом доступе приведет к штрафам по ч. 3 ст. 13.11 КоАП — до 20 тыс. руб. на ИП, до 60 тыс. руб. на организации.
2. Согласие на обработку персональных данных
В 2025 году не только выросли штрафы за обработку данных без согласия пользователя, нарушение технической реализации на сайте, но и изменились требования к документу. Что важно:
форма согласия должна быть видна на сайте, формулировка — понятна, без скрытых смыслов;
у пользователя должна быть возможность выполнить действие по активации согласия — поставить «галочку» в чекбоксе, нажать кнопку «Я согласен».
предусмотрена отдельная форма согласия, а не «встроенная» в тексты пользовательского соглашения, политики по cookies, анкет и заявок;
на получение рекламной рассылки нужно получить отдельное согласие пользователя.
Что сделать: провести аудит текущих документов и разработать форму согласия по новым правилам в соответствии со ст. 9 закона № 152-ФЗ, действующим с 1 сентября 2025 года. Предусмотреть на сайте чекбокс с возможностью активации согласия. Ч. 2 и 2.1 ст. 13.11 КоАП устанавливают штрафы за первичное и повторное нарушение, если данные пользователя обрабатываются без его согласия: до 1 млн руб. на ИП, до 1,5 млн руб. на организации.
Услуги в области персональных данных
Закажите полный комплекс услуг по защите персональных данных «под ключ». Мы проведем работы в кратчайший срок и по оптимальной цене
Файлы cookie помогают сайту «запомнить» пользователя и ускорить действия при повторном посещении веб-ресурса. Настройка cookie-уведомления — это один из обязательных шагов, его наличие в том числе проверяет Роскомнадзор:
это всплывающее окно при входе на сайт;
оно информирует пользователя, что сайт собирает данные;
включает сбор разных типов файлов — аналитических, маркетинговых, функциональных.
Что сделать: прописать раздел про cookie в Политике обработки cookie-файлов или в общей Политике в отношении обработки ПДн. Разместить ссылку на документ, включающий раздел про cookie.
4. Официальные данные об операторе
В футере сайта или в политике/пользовательском соглашении необходимо разместить юридические данные организации в соответствии с требованиями ч. 2 ст. 10 закона от 27.07.2006 № 149-ФЗ:
наименование компании;
адрес регистрации;
контактные данные;
номер лицензии (если деятельность подпадает под лицензирование).
Примечание: сведения о юр.лице, в том числе контактные данные, должны быть актуальными и полными, чтобы субъект знал к кому обращаться за защитой своих прав.
5. Формы, виджеты, сервисы по правилам ТППДн
Отметим еще раз: использование зарубежных решений на сайте не запрещено, если они не нарушают правила трансграничной передачи. А главное правило — первичная обработка должна происходить в России, на отечественных серверах.
Какие элементы на сайте могут «закопать» бизнес:
виджеты WhatsApp1 и Телеграм, настроенные на прямую передачу персональных данных за границу;
готовые решения и функции, взятые из иностранных JS-библиотек;
форма reCAPTCHA;
Google Analytics, Google Maps и другие сервисы Google;
SaaS-сервисы, облака, CRM;
другие иностранные сервисы, формы, пиксели, которые собирают и передают данные пользователей на серверы «недружественных» стран.
Что сделать: отказаться или ограничить использование на сайте элементов-«нарушителей». Заменить их на отечественные аналоги: Яндекс.Метрику, Smartcaptcha; отключить в виджетах прямую передачу данных за рубеж и т. д.
Что еще сделать владельцу сайта
Общие требования к операторам персональных данных описаны в законе № 152-ФЗ. Они относятся ко всем ИП, компаниям, самозанятым, физлицам, которые собирают и используют данные граждан:
Иметь в наличии полный и актуальный пакет документов. В рамках проверки Роскомнадзор может запрашивать эту информацию. Сведения в документах должны соответствовать реальному положению дел: целям обработки, ОКВЭД, категориям обрабатываемых данных и субъектов ПДн.
Направить в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных. Это заявление, которое подается один раз. В случае изменений потребуется подать уведомление об изменении сведений (например, если поменялся ответственный или юридический адрес организации). Подать уведомление можно онлайн на сайте РКН или предоставить в отделение лично.
Назначить ответственного приказом. Это уполномоченный представитель, который отвечает за обработку ПДн в компании, взаимодействует с сотрудниками, организует работу с гражданами (п. 1 ч. 1 ст. 18.1, ст. 22.1 закона № 152-ФЗ).
Обеспечить безопасность персональных данных. Например, проводить меры по профилактике утечек, разграничить доступ к базам данных, ознакомить сотрудников с ЛНА под роспись, своевременно уведомлять Роскомнадзор в случае инцидентов.
Направить в Роскомнадзор уведомление о трансграничной передаче персональных данных. Это может сделать руководитель или представитель компании. Учетная запись сотрудника на «Госуслугах» должна быть привязана к профилю организации. Уведомление о ТППДн можно подать онлайн на сайте Роскомнадзора.
Рекомендация: не препятствуйте проверкам Роскомнадзора, предоставляйте документы по запросу инспекторов. Сейчас практика только формируется, у регулятора нет цели массово всех штрафовать. В большинстве случаев дело обходится предписанием. Закрытая позиция может привести оператора к негативным последствиям и более глубокой проверке бизнеса.
Услуги в области персональных данных
Закажите полный комплекс услуг по защите персональных данных «под ключ». Мы проведем работы в кратчайший срок и по оптимальной цене
Чек-лист «Проверь себя»
В таблице собрали основные этапы для проверки оператора персональных данных и ошибки, которые встречаются чаще всего:
✅ На что обратить внимание | ❌ Не допускайте этих ошибок |
Разработана политика обработки персональных данных | Скачали нерелевантный шаблон политики, не опубликовали документ в открытом доступе или указали недостоверные цели обработки |
Основные документы размещены на сайте (политика по cookie, пользовательское соглашение) | Оформили только общую политику, но забыли про политику cookie |
Компания включена в реестр Роскомнадзора | Не подали уведомление в Роскомнадзор или подали после начала обработки персональных данных |
Деятельность соответствует целям, указанным в уведомлении о начале обработки персональных данных | Цели обработки изменились, но не подали корректирующее уведомление |
Трансграничная передача данных согласована с Роскомнадзором | Пользуетесь зарубежными сервисами, CRM, почта-клиентами, но не уведомили РКН |
На сайте настроено всплывающее cookie-уведомление | Отдельное cookie-уведомление отсутствует |
Форма согласия на обработку разработана, размещена на сайте на видном месте, предусмотрены чекбоксы и кнопки для посетителей | Согласие «спрятано» на сайте, нет чекбокса или кнопки «Я согласен» |
В «подвале» сайта указаны актуальные юридические данные: наименование, адрес, контакты | Указали только бренд или торговую марку, а официальное наименование организации отсутствует |
На сайте отсутствуют зарубежные IT-решения и интеграции или они не нарушают правила трансграничной передачи | Используете решения и сервисы зарубежных разработчиков из стран, входящих в перечень «небезопасных» Роскомнадзора |
В организации приказом назначен ответственный за работу с персональными данными | Ответственный поменялся, но забыли выпустить новый приказ |
Специалисты «Центра безопасности данных» проведут комплекс мероприятий в вашей компании на соответствие требованиям закона № 152-ФЗ — текущие бизнес-процессы на наличие рисков, аудит документации, наличие уязвимых мест в системе защиты (СЗПДн), разработка проекта под индивидуальный запрос. Также вы можете обратиться за решением локальных задач — подача уведомления в Роскомнадзор, подготовка документов, аудит процессов. Ознакомьтесь с полным списком услуг.
Читайте также:
Защита критической информационной инфраструктуры в 2025 году: что нужно знать бизнесу.
Как выполнить требования Роскомнадзора к сайтам, чтобы избежать штрафа до 18 млн руб.
Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFGdcmHS
- Деятельность компании Meta Platforms Inc. (Facebook и Instagram) на территории РФ запрещена
Начать дискуссию