⚠️ С 30 мая Роскомнадзор начнёт штрафовать за персональные данные. Что нужно сделать бизнесу

Сайт есть? Значит, вы уже оператор персональных данных

Если у вас на сайте есть форма заявки, вы используете CRM, чат-бот или просто собираете телефоны клиентов — вы обрабатываете персональные данные. А значит, подпадаете под требования закона № 152-ФЗ.

С 30 мая 2025 года Роскомнадзор запускает массовую проверку соблюдения этих требований. Без уведомления — штраф до 300 000 ₽. Если произошла утечка данных — до 3 млн ₽. Повторные нарушения — до 3% от оборота.

Что нужно сделать

1. Подать уведомление в Роскомнадзор Вы обязаны внести себя в реестр операторов персональных данных. Это можно сделать онлайн через pd.rkn.gov.ru. Нужно указать цели обработки, виды собираемых данных, и какие меры защиты применяются.

2. Разместить политику конфиденциальности Она должна быть в футере сайта и содержать:

• цели и правовые основания обработки данных;
• список собираемых данных;
• сроки хранения (данные нельзя хранить дольше, чем нужно по цели);
• контакт ответственного;
• возможность пользователя изменить или удалить свои данные.

3. Получать согласие на обработку данных Под формами на сайте должна быть отдельная галочка (неактивная по умолчанию), текст согласия и ссылка на политику. Важно логировать момент согласия: IP, дата, форма.

4. Установить cookie-баннер Если вы используете Яндекс.Метрику, Google Analytics или другие трекеры — обязаны получить согласие. Без него — использование cookie-файлов может считаться нарушением.

5. Обеспечить защиту данных

• SSL и HTTPS на всём сайте.
• Антивирус на серверах и рабочих станциях.
• Разграничение прав доступа.
• Использование /api/* с CORS-защитой.

Разместите
тендер бесплатно

Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.

Заполнить заявку 13203 тендера
проведено за восемь лет работы нашего сайта.

6. Добавить форму обратной связи или контакт Пользователь должен иметь возможность отправить запрос на удаление или изменение своих данных. Это может быть форма или e-mail.

Можно ли использовать Google Analytics?

Да, но с большими оговорками. Сервис передаёт данные за границу (IP, поведение, User-Agent), поэтому:

• требуется согласие пользователя через cookie-баннер;
• необходимо уведомить Роскомнадзор о трансграничной передаче ПД;
• данные не должны быть персонализированы — иначе риск штрафа.

В большинстве случаев лучше перейти на российские сервисы: Яндекс.Метрика, Roistat, Top.Mail.ru и др.

Что будет, если проигнорировать

• 🔻 до 300 000 ₽ — за отсутствие уведомления;
• 🔻 до 3 млн ₽ — за утечку ПД;
• 🔻 до 3% от оборота — за повторные нарушения;
• 🚫 Блокировка сайта и внеплановая проверка по жалобе.

И да — факт сбора e-mail в рассылку или телефона в CRM уже считается обработкой ПД. Неважно, маленький у вас бизнес или крупный.