Новая обработка персональных данных может закрыть ваш сайт или защитить

Когда предприниматели стали получать уведомления из Роскомнадзора о новой обработке персональных данных на сайтах, они сначала подумали: розыгрыш. У них честный бизнес, сайты без выкрутасов и даже юристы — в штате. Но предупреждение о штрафах оказались реальнее некуда. Наказание грозит вполне осязаемое. За нарушение порядка обработки персональных данных, за незаконную передачу  информации третьим лицам, за шрифты от Google и прочее сайт могут заблокировать, а вас лишить 15 млн рублей.

В июне 2025-го предприниматели поняли: Яндекс перестал быть витриной сайтов, но превратился в территорию уголовной ответственности. Как же не попасть под дамоклов меч Роскомнадзора, если бизнесмен — не IT-специалист? Пояснения дали в веб-компании РОСТСАЙТ. Ее специалисты настраивают сайты по новым нормам и запросы на это стали массовыми.

Федеральный закон №152 давно был знаком каждому, кто хоть раз создавал форму заявки на сайте. Но в 2025 году он перестал быть «формальностью». Обновленная редакция закона приравняла владельцев сайтов к полноценным операторам персональных данных.

Теперь сайт — это инфраструктура, которая должна:

• публиковать корректные документы;

• доказывать получение согласия пользователя;

• исключать зарубежные каналы утечки;

• сохранять цифровые следы согласий.

Любое отклонение — не технический баг, а нарушение федерального закона.

Вы можете продать всё, что угодно: туры, окна, торты или бетон. Но если на вашем сайте нет трёх обязательных документов, вы — потенциальный фигурант.

Нужны:

1. Политика обработки персональных данных — без шаблонов из интернета, с актуальной датой и подписями.

2. Политика конфиденциальности — где указано, что, зачем, как и кем собирается.

3. Уведомление о cookies — не просто баннер, а функциональный интерфейс с кнопкой отказа.

Каждый из этих документов должен быть публичен, неизменен без версии, и не спрятан в подвале третьего уровня сайта.

Форма на сайте — это капкан. Не для пользователя, а для владельца. Если там не стоит явный чекбокс, если он уже отмечен по умолчанию, если под формой нет ссылки на политику — вы попали.

С 2025 года формы должны:

• иметь чекбоксы без предустановок;

• разграничивать согласия: одно — на контакт, другое — на маркетинг;

• логировать: когда, кто, откуда согласился;

• сохранять IP, дату, URL.

Всё это должно быть доступно при первой проверке. Нельзя найти — штраф. Лог повреждён — штраф. Срок хранения не указан — штраф. В этой игре нет ничьих.

Любой вызов на внешний API — теперь повод для возбуждения дела.

Под жёстким контролем объединение вашего сайта с контактами иностранных сервисов:

• Google Fonts, Analytics, Maps;

• Facebook¹ (вне закона в РФ), Pixel, TikTok Ads, Telegram-боты;

• Mailchimp, Hubspot, Trello-формы, Airtable и прочее.

Российские данные должны оставаться на российских серверах, обрабатываться российскими платформами и не покидать пределы юрисдикции без официального разрешения. Даже если ваш сайт на Tilda — проверьте, откуда грузятся скрипты. Даже если подключен виджет календаря — посмотрите, чей он.

Начиная с июня, любой сайт должен быть как паспорт на витрине:

• название компании (ИП или юрлицо);

• ИНН, ОГРН, адрес;

• контактные данные;

• вид деятельности, соответствующий ОКВЭД.

Если на сайте нет признаков принадлежности, это трактуется как попытка анонимной обработки персональных данных. А это уже не гражданское дело, а административное.

Представьте: базу украли. Или слили случайно. Или ваш подрядчик оказался менее надежным, чем казался. С этого момента у вас ровно сутки.

Что делать:

• отправить уведомление в Роскомнадзор;

• описать, как, где и при каких условиях произошла утечка;

• подтвердить, какие меры предприняты;

• сделать это через ЭДО и КЭП (электронную подпись).

Если вы молчите — вы нарушитель. Если вы ошиблись в сроках — вы нарушитель. Закон безэмоционален.

Теперь сайты проверяет не человек, а код. Искусственный интеллект Роскомнадзора сканирует тысячи сайтов в сутки, и ищет не очевидные ошибки, а алгоритмические следы:

• подключенные скрипты из-за границы;

• баннеры cookies без возможности отказа;

• отсутствие указанных документов в DOM-структуре;

• следы старых интеграций — даже удалённых из визуального интерфейса.

Одна проверка — один акт. Один акт — один штраф.

Если ваш сайт собирает хотя бы номер телефона, вы — оператор ПДн. Это не право, а обязанность.

Нужно:

• завести кабинет на сайте Роскомнадзора;

• подписать заявление ЭЦП;

• указать цели, категории данных, методы обработки;

• подтвердить меры защиты.

Если вы не в реестре — всё, что вы собираете, считается незаконным. А значит — подлежит санкциям.

Это реальность июня 2025 года.

1. Проверить наличие документов: политики, уведомления, согласия.

2. Провести аудит всех форм, чекбоксов, скриптов.

3. Отключить интеграции, ведущие за пределы РФ.

4. Зарегистрироваться в реестре операторов.

5. Убедиться, что все согласия логируются.

6. Подготовить план действий на случай утечки.

7. Назначить ответственного по ПДн внутри компании.

Один только список требований к шифрованию данных вызывает вопросы у предпринимателей. Владельцы сайтов начали массово обращаться в веб-компании за техподдержкой. Игра с защитой персональных данных в РФ закончилась. Началась эпоха цифровой ответственности.

Изображения нейросети