⚠️ С 30 мая Роскомнадзор начнёт штрафовать за персональные данные. Что нужно сделать бизнесу

Сайт есть? Значит, вы уже оператор персональных данных

Если у вас на сайте есть форма заявки, вы используете CRM, чат-бот или просто собираете телефоны клиентов — вы обрабатываете персональные данные. А значит, подпадаете под требования закона № 152-ФЗ.

С 30 мая 2025 года Роскомнадзор запускает массовую проверку соблюдения этих требований. Без уведомления — штраф до 300 000 ₽. Если произошла утечка данных — до 3 млн ₽. Повторные нарушения — до 3% от оборота.

Что нужно сделать

1. Подать уведомление в Роскомнадзор Вы обязаны внести себя в реестр операторов персональных данных. Это можно сделать онлайн через pd.rkn.gov.ru. Нужно указать цели обработки, виды собираемых данных, и какие меры защиты применяются.

2. Разместить политику конфиденциальности Она должна быть в футере сайта и содержать:

• цели и правовые основания обработки данных;
• список собираемых данных;
• сроки хранения (данные нельзя хранить дольше, чем нужно по цели);
• контакт ответственного;
• возможность пользователя изменить или удалить свои данные.

3. Получать согласие на обработку данных Под формами на сайте должна быть отдельная галочка (неактивная по умолчанию), текст согласия и ссылка на политику. Важно логировать момент согласия: IP, дата, форма.

Разместите
тендер бесплатно

Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.

Заполнить заявку 13590 тендеров
проведено за восемь лет работы нашего сайта.

4. Установить cookie-баннер Если вы используете Яндекс.Метрику, Google Analytics или другие трекеры — обязаны получить согласие. Без него — использование cookie-файлов может считаться нарушением.

5. Обеспечить защиту данных

• SSL и HTTPS на всём сайте.
• Антивирус на серверах и рабочих станциях.
• Разграничение прав доступа.
• Использование /api/* с CORS-защитой.

6. Добавить форму обратной связи или контакт Пользователь должен иметь возможность отправить запрос на удаление или изменение своих данных. Это может быть форма или e-mail.

Можно ли использовать Google Analytics?

Да, но с большими оговорками. Сервис передаёт данные за границу (IP, поведение, User-Agent), поэтому:

• требуется согласие пользователя через cookie-баннер;
• необходимо уведомить Роскомнадзор о трансграничной передаче ПД;
• данные не должны быть персонализированы — иначе риск штрафа.

В большинстве случаев лучше перейти на российские сервисы: Яндекс.Метрика, Roistat, Top.Mail.ru и др.

Что будет, если проигнорировать

• 🔻 до 300 000 ₽ — за отсутствие уведомления;
• 🔻 до 3 млн ₽ — за утечку ПД;
• 🔻 до 3% от оборота — за повторные нарушения;
• 🚫 Блокировка сайта и внеплановая проверка по жалобе.

И да — факт сбора e-mail в рассылку или телефона в CRM уже считается обработкой ПД. Неважно, маленький у вас бизнес или крупный.