Приведите Ваш сайт в соответствие с требованиями в области персональных данных

С 2025 года Роскомнадзор предъявляет ряд требований к сайтам, обрабатывающим персональные данные пользователей, несоблюдение которых, с недавних пор, может привести к миллионным штрафам и блокировке ресурса. Восстановление доступа к ресурсу требует значительных усилий и времени, что сказывается на всей деятельности компании.

Не претендуя на полноту изложения, перечислим некоторые из наиболее существенных требований, предъявлямых к сайтам, расскажем как можно самостоятельно и быстро оценить соответствие этим требованиями, и дадим рекомендации по обеспечению соответствия.

Значительное усиление ответственности за нарушения в области персональных данных

В случае нарушения порядка получения и обработки персональных данных, а также их распространение, предусмотрена административная ответственность по ст. 13.11 КоАП РФ. Данной статьей предусмотрено наказание в виде наложения административного штрафа на граждан в размере от двух тысяч до ста тысяч рублей; на должностных лиц – от десяти тысяч до восьмисот тысяч рублей; на юридических лиц – от ста тысяч до восемнадцати миллионов рублей.

Организации, собирающие персональные данные через сайты, обязаны заранее уведомлять Роскомнадзор о начале такой деятельности. Кроме того, все изменения, касающиеся методов обработки данных или состава собираемой информации, также подлежат регистрации. За непредставление в Роскомнадзор уведомлений о начале обработки персональных данных предусмотрены штрафы для ИП и юридических лиц до 300 тысяч рублей (ч. 10 ст. 13.11 КоАП РФ).

Если персональные данные окажутся в открытом доступе из-за халатности компании, ей грозят серьёзные финансовые санкции. Повторные случаи могут повлечь за собой штраф до 3% от годового оборота. Штрафы за непредставление уведомления об утечке персональных данных для ИП и юридических лиц составляют до 3 млн. рублей (ч. 11 ст. 13.11 КоАП РФ).

Обязательность получения явного согласия посетителя сайта на обработку его персональных данных

Посетитель сайта должен чётко подтвердить свое согласие на обработку его персональных данных в соответствии со следующими основными принципами, определенными в 152-ФЗ О персональных данных:

• Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
• Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
• Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
• Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

Особенно это касается cookie-файлов, которые теперь признаны персональной информацией. Обработка cookie-файлов возможна только с согласия пользователя. Баннеры о cookies должны содержать не просто уведомление, а полноценный выбор — согласие или отказ.

Уведомление о файлах cookie должно содержать ссылку на политику cookie или на общую политику в отношении обработки персональных данных, где имеется раздел про файлы cookie. Это требование установлено требованиями Роскомнадзора, которые в 2025 году фиксируют отсутствие cookie-уведомлений как нарушение закона, особенно при наличии интеграций с Яндекс Метрикой, Google, Facebook (Meta Pixel).

В политике куки (или в политике конфиденциальности и обработки персональных данных) нужно описать, какие cookie-файлы и для каких целей используются на сайте. Ссылки на неё желательно разместить на каждой странице сайта и обязательно — на тех, где происходит сбор пользовательских данных.

Владелец сайта обязан:

• Информировать пользователей о сборе данных через cookie-файлы, если они не являются критически важными для функционирования сайта (например, для аналитики или персонализированной рекламы).
• Получить явное согласие пользователя на использование cookie, если они собирают персональные данные или могут передавать их третьим лицам.
• Описать типы используемых cookie в уведомлении и политике, указать их назначение, срок хранения и другие аспекты.

Запрет на использование иностранных хостингов и сервисов, передающих данные за рубеж

С 1 июля 2025 годазапрещено хранить персональные данные граждан РФ в базах, находящихся за пределами России. Это требование установлено обновлёнными положениями пункта 5 статьи 18 Федерального закона №152-ФЗ «О персональных данных» от 27 июля 2006 года. Данный запрет, однако не носит абсолютного характера.

Любая информация, позволяющая идентифицировать пользователя, должна собираться и храниться на серверах, расположенных на территории Российской Федерации. Использование иностранных облачных хранилищ и аналитических сервисов, которые передают данные за рубеж, считается нарушением закона.

Некоторые нюансы нововведения:

• Запрет касается первичного сбора данных. Если информация сразу уходит на иностранный сервер, минуя территорию России, — это нарушение.
• Запрещено использовать, например, сервисы Google Analytics и Google Tag Manager, так как их архитектура предполагает немедленную передачу данных за рубеж.
• Передавать персональные данные за границу можно только после их локализации в РФ и обязательного уведомления Роскомнадзора.
• Необходимо иметь законные основания для передачи данных и гарантировать их конфиденциальность.

Размещение сайта на иностранных серверах или облаках приравнивается к трансграничной передаче персональных данных.

С 1 марта 2023 года операторы до начала осуществления деятельности по трансграничной передаче персональных данных обязаны направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных.

Указанное уведомление будет рассматриваться в порядке, установленном постановлением Правительства Российской Федерации от 16.01.2023 г. № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».

Обязательность опубликования на сайте Политики обработки персональных данных

На всех интернет-ресурсах должна быть размещена подробная Политика обработки персональных данных (Политика конфиденциальности), где чётко прописано, какие данные собираются, для чего они используются, как обрабатываются и где хранятся. Её отсутствие или несоответствие законодательству будет расцениваться как правонарушение. За отсутствие опубликованной политики обработки персональных данных предусмотрены штрафы для юридических лиц до 60 тысяч рублей (ч. 3 ст. 13.11 КоАП РФ).

Роскомнадзор рекомендует включить в Политику следующие структурные компоненты:

1. Общие положения. В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.
2. Цели сбора персональных данных. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Правовые основания обработки персональных данных. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. В рамках каждой из категорий субъектов и применительно к конкретным целям рекомендуется перечислить все обрабатываемые оператором персональные данные, а также, если применимо, отдельно описать все случаи обработки специальных категорий персональных данных и биометрических персональных данных.
5. Порядок и условия обработки персональных данных. В данном разделе рекомендуется указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.
6. Условия передачи персональных данных в адрес третьих лиц. В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных рекомендуется указывать условия передачи персональных данных в адрес третьих лиц (например, наличие договора поручения на обработку персональных данных), в том числе, находящихся за пределами Российской Федерации (трансграничная передача). При этом рекомендуется указать конкретное наименование и местонахождение соответствующих третьих лиц, цели осуществляемой (трансграничной) передачи, объем передаваемых персональных данных, перечень действий по их обработке, способы и иные условия обработки, включая требования к защите обрабатываемых персональных данных.
7. Сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
8. Условия прекращения обработки персональных данных. Ими может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
9. Условия и сроки хранения персональных данных. Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Рекомендуется указывать иные условия хранения персональных данных, в том числе, при обработке персональных данных без использования средств автоматизации.
10. Регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

Оценка соответствия сайта требованиям Роскомнадзора

С 2025 года Роскомнадзор усиливает и автоматизирует контроль за сайтами, в том числе и с использованием ИИ инструментов.

Для оценки соответствия Вашего сайта требованиям и рекомендациям Роскомнадзора можно воспользоваться общедоступным сервисом PersDataSec.ru, предоставляемым компанией GlobalTrust.

Там всего за 5 минут можно пройти опрос под названием Самооценка соответствия интернет-сайта требованиям по обработке персональных данных, позволяющий оценить степень соответствия и получить подробные рекомендации по доработке сайта и его содержимого, с учетом требований и рекомендаций Роскомнадзора, не все из которых явным образом прописаны в нормативных документах, однако применяются на практике при проверках сайтов.

Приведение сайта в соответствие с требованиями Роскомнадзора

Для приведения сайта в соответствие с требованиями Роскомнадзора нужно произвести следующие действия:

1. Провести аудит текущего состояния сайта. Нужно проверить, соблюдает ли сайт требования законодательства: наличие Политики обработки персональных данных в лёгком доступе для ознакомления, корректное использование согласий пользователей, локализацию хранения данных.
2. Разработать и актуализировать документацию. Необходимо создать или обновить ключевые документы: Политику обработки персональных данных с полным описанием методов сбора и обработки информации, формы согласия пользователей на обработку данных.
3. Обеспечить техническую безопасность. Нужно установить SSL-сертификаты для защиты передачи данных, внедрить системы мониторинга безопасности для предотвращения взломов и утечек, регулярно обновлять CMS и плагины сайта.
4. Обучить сотрудников. Персонал должен знать, как собирать, хранить и обрабатывать информацию в соответствии с законом и что может спросить Роскомнадзор при проверке.
5. Разработать план действий на случай проверки. Нужно подготовить алгоритм взаимодействия с представителями Роскомнадзора: назначить ответственного за взаимодействие с проверяющими, собрать комплект документов, которые могут потребовать инспекторы.

Для профессионального аудита сайта и максимального снижения риска стоит обратиться к специалистам.