Персональные данные 2025: уведомление Роскомнадзора требует менять сайты, а как

Обновленный закон о персональных данных №152-ФЗ, вступивший в силу с июня 2025 года, поставил российских владельцев сайтов перед сложнейшей задачей. Одновременно с ужесточением контроля и многомиллионными штрафами — непонимание перемен. 

У бизнеса множество вопрос: как исполнить закон, если бизнесмену сделать это самому весьма трудно? На вопросы предпринимателей, оказавшихся в эпицентре правовой неопределенности, ответили специалисты крупного веб-агентства РОСТСАЙТ.

«Сайт могут заблокировать, а компанию оштрафовать на 15 миллионов. Данные не мы продаём. Чекбокс стоит. Мы что-то нарушаем? Как сделать актуальной обработку персональных данных? Кто вообще может это осуществить технически и законно?» — спрашивают многие владельцы сайтов.

Подобные диалоги с IT-специалистами и SEO-продвиженцами сегодня можно услышать в каждом бизнес-чате.

«Сотни тысяч сайтов в России сегодня продолжают работать, не зная, попадают ли они под штрафные санкции. Официальные уведомления пугают наказанием на миллионы рублей, а технически разобраться, где граница между легальным сайтом и нарушителем без определенных технологий невозможно»  — пояснила руководитель профильного отдела РОСТСАЙТ.

Уведомление об обработке персональных данных в подробностях

Малый бизнес, интернет-магазины, клиники, салоны, образовательные проекты — все вдруг оказались под подозрением. В чём? В том, что не установили нужный скрипт? В том, что не успели перенести сайт на российский сервер? В том, что забыли прописать ОКВЭД в подвале страницы?

Регистрация оператора ПДн — как квест

На первый взгляд, всё просто: зарегистрируйтесь как оператор персональных данных. На деле — сплошные препоны.

Чтобы подать заявление через сайт Роскомнадзора, нужно:

• установить электронную подпись (КриптоПРО),
• подключить электронный документооборот,
• разобраться, где найти адреса всех используемых серверов,
• понять, как описать «меры защиты» информации,
• подписать всё цифровой подписью и загрузить.

Предприниматели признаются: у половины нет ни подписи, ни понимания, что такое ЭДО. А кто должен всё это настраивать? Разработчик сайта? Бухгалтер? Юрист? Ответа нет. Каждому приходится собирать картину из кусочков чужих догадок.

Самая обновленная точка сайта — ФОС

Новый закон требует, чтобы посетитель сайта сам подтвердил согласие на обработку данных, ознакомился с политикой конфиденциальности и только потом мог отправить обращение по форме обратной связи (ФОС). Намереваясь, например, заказать услугу или получить товар.

Но многие владельцы сайтов на знают, каким образом это ФОС технически реализовать.

• Какие формулировки допустимы?
• Каким образом зафиксировать, что пользователь поставил галочку?
• Достаточно ли сохранить IP и время?

На эти вопросы нет разъяснений. Каждый делает, как понял. А понял ли правильно — узнается только при проверке.

Паника из-за кода: Google Fonts, Meta, YouTube — враги?

Не меньшая неясность царит вокруг темы «трансграничной передачи данных».

Закон запрещает передавать информацию за пределы РФ. И Роскомнадзор трактует это предельно широко. Даже подключение шрифта Google Fonts может быть расценено как нарушение.

Разместите
тендер бесплатно

Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.

Заполнить заявку 13230 тендеров
проведено за восемь лет работы нашего сайта.

Предприниматели в шоке: большинство шаблонов сайтов используют эти шрифты по умолчанию. А что им на замену? Где найти аналоги? Где проверить сайт на предмет «опасного кода»?

— «Мы удалили всё, что можно, — говорит один из респондентов. — Но в письме всё равно пришло предупреждение о нарушении. Оказалось, на одной странице внизу осталась кнопка YouTube. Мы даже не знали, что она там».

Никакого единого сервиса проверки нет. Всё — вручную. Всё — вслепую.

Сбор данных на российских серверах — но не понятно, как

Важнейшее требование закона — размещение всех данных на российских серверах. Но как убедиться, что они действительно «российские»? Если я арендую облако у хостинг-провайдера — как проверить, где физически размещены сервера?

Предприниматели говорят: даже крупные провайдеры не всегда могут дать официальный документ, подтверждающий размещение. И что делать? Кто несет ответственность? Как подстраховаться?

Формально у бизнеса есть второй способ регистрации — бумажный. Заполнить заявление и отправить по адресу территориального управления. Но никто не знает, сколько ждать ответа. Будет ли он вообще? Будет ли уведомление о нарушении, или сразу — проверка и штраф?

Сама регистрация в реестре — процесс, обросший страхами и слухами. Бизнесмены спрашивают:

• Если я не зарегистрируюсь — меня оштрафуют?
• А если зарегистрируюсь с ошибкой?
• А если подам бумажное заявление, но не получу подтверждения?

Никто не знает. Ни в службе поддержки, ни в юридическом сообществе. Закон вступил в силу — но механизмов нет. А бизнес — в неопределённости.

Где искать помощь для новой обработки персональных данных?

Вот вопрос, который повторяют отовсюду: «Кто поможет? Кто скажет, правильно ли я всё сделал? Кто даст заключение: сайт соответствует требованиям?»

• Юристы? Не берут на себя ответственность.
• Разработчики? Не знают юридических тонкостей.
• Коллеги? У самих те же вопросы.

С момента вступления в силу новых поправок многие владельцы сайтов перешли в режим ожидания. А часть — отправила сайты в РОСТСАЙТ, чтобы за короткое время полностью соответствовать требованиям и не ждать проверку.

Никто не спорит с тем, что данные пользователей нужно защищать. Но на повестке дня не столько защита данных, сколько защита бизнеса от правовой дезориентации. И до тех пор, пока не появится ясный интерфейс взаимодействия с законом, любой сайт может оказаться вне закона — не потому что злонамерен, а потому что не понял, полагают некоторые бизнесмены.

Фото: генерация AL