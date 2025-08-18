Год 2025 насыщен новыми требованиями по обработке персональных данных. С 30 мая действуют новые штрафы за нарушение правил работы с ПДн. С 1 июля Роскомнадзор запустил автоматическую проверку сайтов на базе ИИ. С 1 сентября 2025 года ожидаются новые требования к Согласию об обработке данных. Рассказываем, к чему готовиться бизнесу и как избежать штрафов.

Новые требования к сайтам с 1 июля 2025

С 1 июля 2025 года вступили в силу поправки в закон № 152-ФЗ. Они касаются сайтов, которые используют аналитику, виджеты, сервисы, которые нарушают правила трансграничной передачи. В частности — запрет затрагивает сервисы Google, мессенджеры WhatsApp1 и Telegram, иностранные SaaS и облака.

Ключевое изменение: запрещена передача персональных данных на зарубежные сервисы до их первичного размещения в России.

Проверьте сайт на наличие элементов-«нарушителей»:

1. Google Analytics передает данные пользователей на серверы США (IP-адрес, геоточку, браузер). Под запретом также Google Forms, Google Map, Google reCAPTCHA, Google Tag Manager. Если они передают данные напрямую за рубеж (без первичного сохранения на российском сервере) — это нарушение.

Что делать: использовать Яндекс.Метрику или другие системы на российском хостинге, заменить reCAPTCHA на российский аналог.

2. WhatsApp1 и Telegram через форму «Написать в мессенджер» могут передавать данные за границу. Подобные алгоритмы считаются трансграничной передачей данных.

Что делать: настроить форму связи через мессенджер без передачи данных.

3. Иностранные SaaS-сервисы и облака. Интеграции сайта с CRM-системами или почтовыми сервисами нарушают правила трансграничной передачи, если данные первично не обрабатываются в России. Например, нарушением считается форма обратного звонка или оплаты, которая подключена к иностранному сервису.

Что делать: отказаться от этих интеграций или направить уведомление в Роскомнадзор о наличии сервисов для трансграничной передачи (например, если нужна зарубежная CRM).

Штрафы за нарушение правил трансграничной передачи ПДн (ч. 8 и 9 ст. 13.11 КоАП):

на граждан — от 30 до 50 тыс. руб., при повторном нарушении — до 100 тыс. руб.;

на должностных лиц — от 100 до 200 тыс. руб., при повторном нарушении — до 800 тыс. руб.;

на организации и ИП — от 1 до 6 млн руб., при повторном нарушении — до 18 млн руб.

Важно! Роскомнадзор проверяет сайты автоматически с использованием ИИ (на наличие документов, внешних подключений, передачу данных за границу, регистрацию оператора ПДн в реестре). Своевременная проверка сайта и устранение пробелов позволят организации избежать штрафов до 18 млн рублей.

2. Согласие на обработку ПДн с 1 сентября 2025

Нередко владельцы сайтов «гонятся за двумя зайцами»: встраивают форму согласия в текст Политики или Пользовательского соглашения.

Простой пример формулировки: «Принимая настоящее Соглашение, Пользователь подтверждает свое согласие на обработку Продавцом его персональных данных».

С 1 сентября 2025 года «совмещать» документы запрещено — после вступления в силу изменений в ст. 9 закона № 152-ФЗ. Согласие на обработку ПДн должно быть оформлено как самостоятельный документ. В противном случае это будет приравнено к отсутствию согласия.

Штрафы за отсутствие согласия (ч. 2 и 2.1 ст. 13.11 КоАП):

на граждан — от 10 до 15 тыс. руб., при повторном нарушении — до 30 тыс. руб.

на должностных лиц — от 100 до 300 тыс. руб., при повторном нарушении — до 500 тыс. руб.;

на организации — от 300 до 700 тыс. руб., при повторном нарушении — до 1,5 млн руб.

Как реализовать на сайте: отдельная кнопка, блок или чек-бокс. Нельзя включать согласие в cookie-уведомление, Политику или Пользовательское соглашение.

В согласии должны быть указаны данные субъекта ПДн (или его представителя), данные оператора, конкретный список данных, цели обработки, действия с данными (сбор, хранение, передача и т.д.).

Главное

Любые действия с персональными данными (от сбора до уничтожения) разрешается выполнять только после подачи уведомления в Роскомнадзор. Обработка разрешена только при наличии полного пакета документов. Состав документов зависит от специфики работы конкретного оператора. Основные документы — политика обработки ПДн, согласие субъекта данных, приказ о назначении ответственного, регламенты, инструкции, журналы учета. С 1 сентября 2025 года вносятся поправки в ст. 9 закона № 152-ФЗ — согласие об обработке ПДн нужно будет оформлять как отдельный документ. Запрещено встраивать его в текст Политики или Пользовательского соглашения. С 1 июля 2025 года Роскомнадзор автоматически проверяет сайты на наличие запрещенных виджетов, форм, чат-ботов, скриптов (Google Analitycs, Google карты, reCAPTCHA, виджеты WhatsApp1 и Telegram, SaaS-сервисы и т. д.). Основные штрафы для операторов ПДн перечислены в ст. 13.11 КоАП.

Разработка документов оператора ПДн — долгий и трудозатратный процесс. Доверьте эту задачу специалистам компании «Роском Онлайн». Вы можете заказать как локальный документ, так и подготовку всего комплекта под ключ. Полное соответствие требованиям Роскомнадзора и закона № 152-ФЗ.

