Мы задали десятки вопросов юристу и еще около сотни эксперту из Роскомнадзора, чтобы разобраться в самых разных аспектах перемен. В первой части материала расскажем кратко про самые важные моменты, во второй – дадим подробный чек-лист для комплексной проверки сайта. С его помощью вы можете самостоятельно внести изменения и избежать «писем счастья» от РКН. А если вам нужна помощь с доработкой сайта под новые требования, напишите нам.
Кого касаются изменения?
Всех! Вообще всех!
Не важно, магазин у вас с одним продавцом за прилавком или огромный холдинг — вы храните личные данные (отсканированные страницы паспорта и трудовой книжки, номер телефона и домашний адрес).
Поправки касаются даже самозанятых. Если, например, тату-мастер вбивает в заметки смартфона ФИО и номер телефона клиентов, то это попадает под категорию «хранение личных данных».
Предполагается, что в каждой компании есть взаимодействие между людьми, а значит и обмен личными данными. Потому, даже если ваша организация только-только получила ИНН и регистрационный номер стоит сразу зарегистрировать её в реестре РКН, чтобы избежать наказания. Одного намерения когда-то в будущем обрабатывать данные клиентов уже достаточно чтобы пройти регистрацию и спать спокойно.
Что же такое персональные данные?
Четкого и конечного перечня нет.
Под эту категорию попадает любая информация, которая позволяет, пусть даже не напрямую, но с достаточной степенью достоверности, связать конкретные сведения с конкретным человеком, — и, тем самым, идентифицировать его.
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Если компанию заподозрили в нарушении требований законодательства — начинается проверка и суд. Решение по конкретной истории будет принято на основе судебной практики — то есть согласно устоявшимся подходам, которые выработаны на основе разбирательств, жалоб и споров. Перед судом компании будет дано время на объяснение причин и устранение нарушений.
Что точно попадает под категорию: ФИО, дата рождения, данные паспорта, место регистрации или фактического проживания, номер телефона, сведения о месте трудоустройства.
Что нужно сделать?
Поправки к закону вступили в силу с 30 мая 2025 года, но закон о защите персональных данных существовал задолго до этого.
Возможно, ваша компания уже есть в реестре операторов, которые осуществляют хранение персональных данных. Проверить это можно на сайте.
Нашли себя? Перепроверьте актуальность данных. После изменений в законодательстве в форме заявления появились новые пункты, которые вам, возможно, стоит заполнить.
Не нашли себя в реестре? Время заполнять форму.
Важно! Советуем заполнить шаблон уведомления на сайте, но в любом случае (даже если у вашей организации есть электронная подпись) передать данные в РКН в том числе и на бумажном носителе.
Советы по заполнению формы РКН
Вся информация должна быть точной и достоверной. Заполняя поля формы опирайтесь на официальные данные в документах компании.
Например: Многие вносят в графу “дата начала обработки персональных данных” некую дату, которая нигде не зафиксирована.
Да, возможно, именно в указанный день Анна стала вести Excel-таблицу с номерами телефонов и другой информацией о клиентах ее салона красоты, но для РКН дата начала обработки персональных данных = дата открытия компании.
Внимательно читайте каждую часть и заполняйте максимально детально:
- В графе цели — детально опишите то, зачем вы используете персональные данные. Важно, чтобы ваша цель соответствовала требованиям законодательства и не нарушала их.
- Пропишите все субъекты, личные данные которых вы храните или можете хранить в будущем (сотрудники, клиенты, посетители сайта и другие).
- Уточните у провайдера фактический адрес ЦОДа (центра обработки данных) — это одна из самых частых ошибок в данных. Если вы храните таблицу с данным на компьютере в офисе — укажите адрес офиса.
- Если информация НЕ передается за границу — отметьте: «Не осуществляется».
Как должен измениться сайт компании?
Если на вашем ресурсе имеется форма обратной связи, куда посетитель/потенциальный клиент вносит свои данные, он должен знать для чего и как будет использована информация, а также дать свое согласие.
✔ На всех сбора данных добавьте отдельную галочку согласия с политикой конфиденциальности.
✔ Галочка не должна быть активирована по умолчанию.
✔ Кнопка отправки формы должна быть заблокирована до получения согласия.
✔ Для рассылок — отдельное согласие на получение рекламных материалов.
✔ При регистрации/оплате — ссылка на пользовательское соглашение и политику конфиденциальности.
Изменения касаются также и cookie-файлов:
✔ Добавьте всплывающее окно с выбором: «Согласен» / «Не согласен».
✔ Блокировка аналитики и трекеров до получения согласия.
✔ В тексте укажите, какие именно технологии используются (например, Яндекс.Метрика).
✔ Добавьте ссылку на подробную информацию о cookie.
Советуем проверить на соответствие этим требованиям не только сайт, но и все сопутствующие способы связи с клиентами, контрагентами и прочими субъектами: лендинги, чат-боты, сервисы сбора заявок. Везде должны быть: политика конфиденциальности, форма согласия, уведомление о cookie.
Важно! Социальные сети компании — не равно сайт. Информация размещенная лично пользователями в группах/аккаунтах компании НЕ попадает под закон о защите персональных данных, так как это было сделано по личному волеизъявлению (пример: человек написал комментарий под своим именем и фамилией и указал свой адрес или телефон).
Как и где хранить информацию?
Как хранятся данные — каждая компания решает самостоятельно. Четких требований в законодательстве нет. Однако Роскомнадзор поделился с нами перечнем локальных актов оператора ПД, который может помочь вам правильно оформить документацию — адаптируйте его под особенности своей компании.
Каждая организация должна чётко, вплоть до конкретных формулировок, определить режимы и условия хранения персональных данных. Речь не только о географической или физической локализации носителей — будь то бумажные документы или цифровые хранилища, — но и об установлении чётких границ допуска: кто, когда, при каких условиях и в каком объёме имеет право на доступ к тому или иному массиву сведений.
Важно назначить конкретных ответственных лиц, действующие контакты которых нужно указать в реестре и обновлять, если сотрудник сменился.
Важно! Перенесите данные с сервисов с трансграничной передачей (Google Analytics, Google Tag Manager, Google Forms, и пр.) на российские аналоги (Яндекс Метрика, Sputnik, Mail.ru Pixel).
Установить точное местонахождение сервера, где хранятся данные конкретной таблицы — практически невозможно. Пользуясь таким сервисом вы, вероятно, не сможете указать необходимую информацию в реестре.
Если вы не можете отказаться от какого-то иностранного сервиса, то укажите факт трансграничной передачи данных в уведомлении РКН с обоснованием того, почему этот сервис необходим — получите отдельное разрешение от РКН на использование сервиса.
Если же организация в своей деятельности использует биометрические данные, то дополнительно требуется обеспечить соответствие Постановлению Правительства № 512 от 2008 года, в котором зафиксированы специальные меры по защите особо чувствительных категорий информации.
Что грозит за нарушения?
После внесенных изменений в закон в мае 2025 оштрафовать могут отдельно за то, что вы не подали уведомление о сборе и обработке персональных данных или указали в нём неправильную информацию.
Если раньше штраф составлял 3-5 тысяч рублей, то теперь сумма значительно увеличилась:
- от 100 до 300 тысяч рублей — первично,
- до 500 тысяч — при повторном нарушении.
Если ошибку допустил самозанятый, штраф составит до 15 тысяч рублей, А если это сделал сотрудник компании — от 50 до 100 тысяч рублей.
Отдельно стоит сказать про штрафы за утечки данных:
- Если вы не сообщили об утечке — от 1 до 3 миллионов рублей.
- За саму утечку — от 3 до 15 миллионов (в зависимости от того, сколько данных утекло).
- Если утекли биометрические данные (отпечатки пальцев, голос), штраф будет еще выше — от 15 до 20 миллионов.
А если компания допустила крупную утечку не в первый раз, ей грозит оборотный штраф — от 1 до 3% от годовой выручки.
И наконец: если из-за утечки пострадали люди — например, им нанесли финансовый или другой ущерб, — это может стать уголовным делом.
Чтобы избежать предписаний Роскомнадзора, штрафов и судов мы подготовили и согласовали со специалистом РКН этот подробный чек-лист:
1. Регистрация в реестре операторов персональных данных
✔ Проверьте, состоит ли ваша организация в реестре операторов:
🔗https://pd.rkn.gov.ru/operators-registry/operators-list/
✔ Если нет — подайте уведомление в Роскомнадзор:
🔗https://pd.rkn.gov.ru/operators-registry/notification/form/
✔ Способы подачи:
- через ЭЦП
- через Госуслуги (при условии привязки учетной записи к организации)
✔ Укажите все категории субъектов:
- работники
- клиенты
- посетители сайта
- контрагенты и др.
✔ Если данные не передаются за границу — отметьте: «Не осуществляется»
✔ Уточните у хостинг-провайдера адрес ЦОДа (например: г. Омск, Ленина 20, офис 222, ИНН *** ОГРН ***)
2. Обновление политики конфиденциальности
✔ Политика должна точно совпадать с данными из заявки в РКН
✔ Включите следующие пункты:
- цели сбора персональных данных
- категории субъектов
- виды собираемых данных
- действия с данными: сбор, запись, систематизация, хранение, удаление и т.д.
- сроки хранения: "до достижения целей обработки"
- информация о cookie и использовании Яндекс.Метрики
- ссылка на согласие пользователя
✔ Пример текста про Яндекс.Метрику:
С помощью cookies-файлов и cookies-идентификаторов собираются только обезличенные персональные данные. В дальнейшем указанные обезличенные персональные данные используются в сервисах «Яндекс.Метрика», в соответствии с политикой конфиденциальности Яндекс, размещенной на интернет-сайте https://yandex.ru/legal/confidential/
3. Добавление согласия на обработку персональных данных
✔ На всех формах, где собираются данные (ФИО + телефон/почта), добавьте отдельную галочку согласия с политикой конфиденциальности
✔ Галочка не должна быть активированной по умолчанию
✔ Кнопка отправки формы должна быть заблокирована до получения согласия
✔ Для рассылок — отдельное согласие на получение рекламных материалов
✔ При регистрации/оплате — ссылка на пользовательское соглашение и политику конфиденциальности
4. Уведомление о файлах cookie
✔ Добавьте всплывающее окно с выбором: «Согласен» / «Не согласен»
✔ Блокировка аналитики и трекеров до получения согласия
✔ В тексте укажите, какие именно технологии используются (например, Яндекс.Метрика)
✔ Добавьте ссылку на подробную информацию о cookie
5. Удаление Google Analytics, GTM и других иностранных сервисов
✔ Удалите Google Analytics, Google Tag Manager, Google Forms, Google Fonts и другие инструменты с трансграничной передачей данных
✔ Используйте российские аналоги: Яндекс.Метрика, Sputnik, Mail.ru Pixel
✔ Если какой-то иностранный сервис всё-таки используется — укажите факт трансграничной передачи данных в уведомлении РКН
6. Проверка цифровых ресурсов
✔ Проверьте не только основной сайт, но и:
- лендинги
- чат-боты
- квизы
- рассылки
- сервисы сбора заявок
✔ На всех площадках должны быть:
- политика конфиденциальности
- форма согласия
- уведомление о cookie
7. Хранение персональных данных
✔ Не используйте Google Таблицы и другие зарубежные облачные сервисы для хранения данных
✔ Используйте Excel, Яндекс Таблицы или локальные хранилища
✔ Убедитесь, что сервер находится в России
✔ Адрес ЦОДа при необходимости: г. Омск, ул. Маркса, 20, офис 307; ИНН 5528009730, ОГРН 1025500994111
8. Проверка реквизитов в документах
✔ Убедитесь, что в политике и других документах указаны:
- полное юридическое наименование
- ИНН, ОГРН
- адрес местонахождения
- контактные данные
9. Аудит HTML/CSS/JS кода сайта
✔ Проведите аудит кода сайта на наличие внешних обращений к иностранным доменам
✔ Исключите пиксели, скрипты и библиотеки, обращающиеся за пределы РФ
✔ Замените все элементы (шрифты, изображения, счетчики) на локальные или российские аналоги
10. Проверка информационного и графического контента
✔ Убедитесь в уникальности текстов на сайте
✔ Проверьте изображения, баннеры, логотипы на авторские права
✔ При необходимости — создайте уникальные изображения для замены
11. Консультация с юристом
✔ Получите полный анализ данных сайта
✔ Подготовьтесь к возможным переговорам с Роскомнадзором
✔ Оцените юридические риски вашего проекта
12. Комплексный аудит сайта
✔ Проведите комплексную проверку сайта:
- формы обратной связи
- политики и согласия
- cookie-уведомления
- удаление иностранных сервисов
- регистрация в РКН
- проверка контента и изображений на авторское право
💡 Что мы можем сделать за вас:
Если вы не уверены, что всё сделано правильно, или просто хотите быть спокойным — мы готовы:
- Провести технический и юридический аудит сайта
- Подготовить или обновить политику конфиденциальности и согласие на обработку ПДн
- Реализовать уведомление о cookie и галочки согласия
- Проверить код сайта на наличие скрытых скриптов
- Зарегистрировать вас в качестве оператора ПДн
Это стоит дешевле, чем штраф или блокировка.