Связаться со мной:

Помощь по вашему проекту или 2 бесплатных курса по SEO

смайлик

Связаться со мной:

  1. Главная /
  2. Блог /
  3. Персональные данные на сайте: что нужно сделать, чтобы не получить штраф

Персональные данные на сайте: что нужно сделать, чтобы не получить штраф

автор

статья от

Алексей Лазутин

Специалист по поисковому маркетингу

Если ваш сайт собирает хоть один email, телефон или даже использует cookie для аналитики — вы уже оператор персональных данных. И это не просто техническая деталь: это юридический статус, который влечет за собой обязательства, контролируемые Роскомнадзором. С 2025 года штрафы за нарушения выросли до 18 миллионов рублей — и это только начало. Не потому что закон стал жестче, а потому что его теперь начинают исполнять. Кто-то считает это бременем, но на деле — соблюдение требований закона о персональных данных (ФЗ-152) становится инструментом для построения доверия, снижения рисков и укрепления репутации бизнеса. В этой статье вы найдете не просто список требований, а системный подход к тому, как правильно организовать обработку персональных данных на сайте, чтобы избежать штрафов, сохранить репутацию и работать в правовом поле.

Кто считается оператором персональных данных?

Оператором персональных данных признается любое юридическое или физическое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. Это означает, что даже если вы — индивидуальный предприниматель с мини-сайтом, принимающим заявки через форму обратной связи, вы уже попадаете под действие закона № 152-ФЗ. Не имеет значения, насколько маленький ваш бизнес или сколько клиентов вы обслуживаете в месяц. Главное — есть ли сбор, хранение или передача информации, позволяющей идентифицировать конкретного человека.

Ключевые признаки оператора:

  • Вы собираете имя, фамилию, номер телефона или email — даже если это делается не напрямую, а через форму на сайте.
  • Вы определяете, зачем эти данные нужны: для доставки товара, рассылки новостей или анализа поведения пользователей.
  • Вы организуете их хранение — будь то база данных на вашем сервере, облачный сервис или даже просто файл Excel.
  • Вы передаете эти данные третьим лицам — курьерам, платёжным системам или маркетинговым агентствам.

Важно понимать: ответственность лежит на владельце сайта, а не на разработчиках или хостинг-провайдере. Даже если вы наняли стороннюю компанию для создания сайта, законодательство возлагает на вас обязанность обеспечить соответствие требованиям. Это не «техническая задача» — это управление рисками, связанная с ответственностью за личные данные клиентов.

Что считается персональными данными?

Закон № 152-ФЗ не дает исчерпывающего списка персональных данных. Вместо этого он использует определение: «любая информация, относящаяся к прямо или косвенно определяемому физическому лицу». Это значит, что персональные данные — это не только паспорт или СНИЛС. Это всё, что позволяет связать информацию с конкретным человеком.

Вот типичные примеры, которые часто упускают из виду:

  • Имя и фамилия — очевидно, но не всегда учитываются в формах.
  • Номер телефона — даже если вы его не запрашиваете напрямую, а он приходит через WhatsApp-интеграцию.
  • Email — ключевой идентификатор в цифровом мире, даже если он не связан с ФИО.
  • IP-адрес — при использовании аналитики он считается персональными данными, если позволяет идентифицировать пользователя.
  • Cookie-файлы — если они используются для отслеживания поведения, формирования профиля или таргетированной рекламы.
  • Уникальные идентификаторы устройств — например, IDFA или Android ID.
  • Местоположение — если сайт определяет город или координаты пользователя.
  • Поведение на сайте — страницы, которые посещал пользователь, время пребывания, добавленные в корзину товары.

Роскомнадзор и суды неоднократно подтверждали: даже если вы «не собираете» персональные данные, но используете Google Analytics или Яндекс.Метрику — вы их обрабатываете. Почему? Потому что эти сервисы позволяют связать действия пользователя с его устройством, а значит — с личностью. Нет необходимости запрашивать паспортные данные, чтобы подпадать под закон — достаточно одного cookie.

Важно: Обработка персональных данных — это не только использование, хранение или передача. Согласно статье 3 ФЗ-152, это любое действие, включая сбор, запись, систематизацию, уточнение, извлечение, блокирование и даже удаление. То есть, если вы просто сохранили email в базе на 5 минут и удалили — это всё равно обработка. И если вы не оформили документы, то нарушение уже произошло.

8 обязательных шагов для соответствия закону

Соблюдение требований ФЗ-152 — это не одноразовая задача. Это система, требующая регулярной проверки и обновления. Ниже — пошаговый план, который охватывает все ключевые аспекты законодательства. Пропустите хотя бы один пункт — и вы рискуете получить штраф в десятки или сотни тысяч рублей.

1. Разместите Политику обработки персональных данных

Это — основа всей системы. Политика обработки персональных данных (ПО ПДн) — это публичный документ, в котором вы честно и подробно описываете, как вы работаете с данными пользователей. Это не копипаст из интернета — это конкретный текст, отражающий ваш бизнес-процесс.

Что обязательно должно быть в Политике:

  • Название и адрес сайта, к которому относится политика.
  • ФИО индивидуального предпринимателя или полное наименование юридического лица.
  • Цели обработки: например, «оформление заказа», «отправка ответов на запросы», «анализ поведения для улучшения UX».
  • Категории субъектов ПДн: клиенты, подписчики, кандидаты на вакансию, посетители.
  • Перечень собираемых данных: имя, телефон, email, IP-адрес, cookie, геолокация.
  • Способы хранения: на сервере в России, в облачном хранилище (если разрешено), с шифрованием.
  • Срок хранения: «до исполнения обязательств», «3 года после последней активности».
  • Уничтожение данных: как и когда данные удаляются — автоматически, по запросу или по истечении срока.
  • Передача третьим лицам: курьеры, платежные шлюзы, маркетинговые агентства — все должны быть указаны.
  • Использование cookie и аналитики: указать, что вы используете Яндекс.Метрику, Google Analytics и подобные сервисы, с ссылкой на их политики.

Политика должна быть легко доступна. Её нельзя прятать в подвале или делать невидимой для мобильных пользователей. Текст должен быть понятным — не на языке юриста, а на языке клиента. Используйте простые формулировки: «Мы собираем ваш телефон, чтобы доставить заказ», а не «Процессинг персональных данных осуществляется в целях реализации договора купли-продажи».

Штраф за отсутствие Политики: 30 000–60 000 рублей по ч. 3 ст. 13.11 КоАП РФ.

2. Добавьте ссылку на Политику в футер сайта

Разместить Политику на отдельной странице — недостаточно. Закон требует, чтобы она была доступна на каждой странице, где происходит сбор данных. Наиболее эффективный и универсальный способ — добавить ссылку в подвал сайта (footer). Это стандартная практика, признанная Роскомнадзором и судами как соответствующая принципу «открытости».

Текст ссылки должен быть понятным: «Политика обработки персональных данных» — а не просто «Конфиденциальность» или «Условия использования». Важно, чтобы пользователь сразу понял, куда он переходит. Если у вас несколько сайтов (например, магазин и блог) — каждому нужна своя Политика с привязкой к домену.

Совет: используйте технологию «постоянного отображения». Если вы используете CMS (например, WordPress), убедитесь, что ссылка в футере добавляется автоматически на все страницы — даже новые. Не полагайтесь на ручную вставку.

3. Разместите уведомление под формами сбора данных

Нет ничего проще, чем получить штраф за отсутствие согласия. Когда пользователь заполняет форму — контакт, заявка, подписка — вы обязаны получить его явное согласие на обработку персональных данных. Это требование не уступает в важности Политике.

Как это оформить правильно:

  • Чекбокс с текстом: «Я даю согласие на обработку моих персональных данных в соответствии с Политикой обработки ПДн».
  • Чекбокс не должен быть предварительно отмечен. Пользователь сам должен его кликнуть.
  • Ссылка на Политику должна быть подчеркнута и кликабельна.
  • Если вы используете пользовательское соглашение, убедитесь, что в нём четко прописано согласие на обработку ПДн. Иначе — рискуете признать его недействительным.

Текст согласия должен включать:

  • Наименование оператора.
  • Цель обработки (оформление заказа, ответ на запрос).
  • Перечень собираемых данных.
  • Способы обработки: хранение, передача, обезличивание.
  • Кому вы передаете данные: курьерская служба, платежный шлюз.
  • Срок действия согласия и способ его отзыва (например, через форму на сайте).

Штраф за отсутствие согласия: 300 000–700 000 рублей за первое нарушение, 1–1,5 млн рублей — за повторное. Это не штраф «за забывчивость» — это крупный финансовый удар.

4. Уведомляйте пользователей о сборе cookie

Cookie — одна из самых недооцененных угроз. Многие считают их «безопасной технической деталью». Но Роскомнадзор четко заявил: cookie, используемые для отслеживания поведения, аналитики или таргетинга — это персональные данные. И их сбор требует уведомления и согласия.

Как правильно организовать cookie-баннер:

  • Баннер должен появляться при первом заходе на сайт, до того как пользователь что-либо сделает.
  • Текст: «Продолжая использовать сайт, вы соглашаетесь на обработку ваших персональных данных с помощью cookie и аналитических сервисов. Подробнее в Политике обработки персональных данных».
  • Должна быть кнопка «Принять» и «Отказать». Отказ должен полностью блокировать установку cookie, кроме тех, что строго необходимы для работы сайта (например, сессионные).
  • Ссылка на Политику должна вести именно к разделу про cookie.

Что нужно учитывать:

  • Google Analytics, Яндекс.Метрика — требуют согласия.
  • Ретаргетинговые пиксели (Facebook, VK) — требуют согласия.
  • Инструменты аналитики поведения (Hotjar, FullStory) — требуют согласия.
  • Cookie-менеджеры (например, Cookiebot) — не заменяют Политику, а дополняют её.

Если вы используете сторонние сервисы — обязательно проверьте, как они обрабатывают данные. Например, Google Analytics 4 не поддерживает российское законодательство в полной мере. Это повышает вашу ответственность.

5. Подайте уведомление в Роскомнадзор

Если вы собираете персональные данные — вы обязаны подать уведомление в Роскомнадзор. Это не рекомендация — это обязательство. С 2022 года используется новая форма, утвержденная Приказом № 180 от 28.10.2022. Если вы подавали уведомление раньше — оно больше не действует, и его нужно повторить.

Куда подавать: портал персональных данных Роскомнадзора.

Что нужно для подачи:

  • Регистрация на портале.
  • Заполнение электронной формы с данными о компании и способах обработки.
  • Приложение — копия Политики ПДн в PDF.

Три исключения, когда уведомление не требуется:

  • Обработка данных в рамках государственных информационных систем (например, МФЦ).
  • Обработка в целях транспортной безопасности.
  • Исключительно неавтоматизированная обработка — только на бумажных носителях. Если вы ведете клиентскую базу в Excel или Google Таблице — это автоматизированная обработка. Значит, уведомление обязательно.

Штраф за отсутствие уведомления: 10 000–20 000 рублей (ст. 13.11 КоАП РФ). Но это только начало — если Роскомнадзор обнаружит, что вы обрабатываете данные без регистрации — последуют более серьезные проверки.

6. Отвечайте на запросы пользователей о персональных данных

С 2022 года срок ответа на запросы пользователей сократился: теперь у вас есть только 10 рабочих дней, чтобы ответить. Раньше было месяц — теперь это считается медленным ответом.

Какие запросы могут поступать:

  • «Покажите, какие данные вы обо мне храните».
  • «Удалите мои данные».
  • «Отзовите согласие на обработку».
  • «Почему вы собираете мой IP-адрес?»

Ответ должен быть:

  • Письменным — по email или через форму на сайте.
  • Полным — перечислите все собранные данные, цели, сроки хранения.
  • С ссылками — на Политику и согласие.
  • С возможностью отозвать согласие — предусмотрите кнопку или форму для отказа.

Штраф за нарушение сроков ответа: 40 000–80 000 рублей. А если вы игнорируете запросы — это уже не «ошибка», а системное нарушение. Роскомнадзор может начать проверку, и штрафы будут расти.

7. Трансграничная передача данных — это отдельная головная боль

Если вы используете зарубежные сервисы — Mailchimp, Trello, Notion, Zoho CRM, Google Drive, Amazon S3 или даже Cloudflare — вы нарушаете закон. Потому что их серверы находятся за пределами России, а значит — вы осуществляете трансграничную передачу персональных данных.

С 1 марта 2023 года передача за границу требует:

  1. Подачи уведомления в Роскомнадзор через портал персональных данных.
  2. Ожидания 10 рабочих дней. Если за это время нет запрета — вы можете передавать данные.
  3. Повторной подачи уведомления НЕ требуется, если вы уже делали это ранее.

Как узнать, можно ли передавать данные в страну?

Статус страны Примеры стран Что делать?
Адекватная защита Болгария, Польша, Литва, Словения, Норвегия Можно передавать после уведомления РКН.
Не обеспечивает защиту США, Китай, Германия, Великобритания, Нидерланды Передача запрещена без специального разрешения. Используйте только российские аналоги.

Список стран с адекватной защитой утвержден Приказом РКН № 08-10201 от 17.02.2023. Он периодически обновляется — проверяйте актуальную версию на сайте Роскомнадзора.

Практический совет: замените зарубежные сервисы на российские аналоги. Например:

  • Mailchimp → Мегабаннер
  • Google Analytics → Яндекс.Метрика
  • Zoho CRM → Битрикс24 (локализованная версия)
  • Notion → Телеграм-боты с базой в России

Если вы используете зарубежные сервисы — уведомление в РКН должно быть подано. Иначе штраф — до 18 млн рублей.

8. Заключайте договор с подрядчиком при передаче данных

Если вы доверяете обработку персональных данных маркетологам, дата-центрам или аутсорсинговым компаниям — вы обязаны заключить с ними договор, в котором четко прописаны обязательства по защите данных. Это не «формальность» — это юридическая защита.

В договоре с подрядчиком должны быть указаны:

  • Перечень передаваемых данных: имя, телефон, email — конкретно.
  • Цели обработки: «проведение рассылки», «анализ трафика».
  • Способы защиты: шифрование, доступ по логину/паролю, резервное копирование.
  • Обязательства подрядчика: хранить данные только на серверах в России, не передавать третьим лицам без вашего согласия.
  • Ответственность за утечку: штрафы, компенсации.
  • Ссылки на ст. 18 и 19 ФЗ-152 — они описывают технические и организационные меры по защите данных.

Штрафы:

  • Первое нарушение: 100 000–300 000 рублей.
  • Повторное нарушение (с 30 мая 2025 года): 300 000–500 000 рублей.

Это касается даже самых «маленьких» подрядчиков: например, если вы нанимаете копирайтера для рассылки — и он получает список email-адресов — вы обязаны заключить с ним договор. Нет исключений.

Особенности для интернет-магазинов

Интернет-магазины — один из самых рискованных сегментов по ФЗ-152. Почему? Потому что они собирают больше всего данных: адреса, телефоны, истории покупок, данные карт. И часто — требуют лишнего.

С 1 сентября 2022 года действует правило: «Пользователь не обязан предоставлять персональные данные, если они не требуются для исполнения договора».

Пример:

  • Правильно: «Для доставки в пункт выдачи вам нужен только телефон и ФИО».
  • Неправильно: «Укажите адрес проживания, ИНН и дату рождения».

Что нужно сделать:

  • Определите минимальный набор данных для каждой услуги: доставка в пункт выдачи — не требует адреса. Доставка «домой» — требует только адрес и телефон.
  • Обновите публичную оферту: укажите, какие данные обязательны, а какие — нет.
  • Уберите ненужные поля: «Выберите пол», «Укажите возраст» — если они не нужны для заказа.
  • Обосновывайте отказ: если клиент отказался предоставить необязательные данные — вы обязаны объяснить, почему услуга недоступна.

Сроки ответов на запросы пользователей:

  • Письменный запрос: 7 календарных дней.
  • Устный запрос: немедленно — в момент обращения.

Практический совет: используйте модуль «минимальный сбор данных» в вашей CMS. Например, в Битрикс24 или Мегагруппе — можно настроить формы с обязательными и необязательными полями. Это снижает риски и повышает конверсию — клиенты не боятся оставлять данные, если понимают, что их просят только то, что реально нужно.

Что будет, если не делать ничего?

Роскомнадзор уже начал массовые проверки. В 2024 году было зафиксировано более 3 500 нарушений в сфере персональных данных. Штрафы за первое нарушение — от 30 тысяч рублей, но средний штраф по итогам проверок — от 300 до 800 тысяч рублей. При повторном нарушении — свыше миллиона.

С 30 мая 2025 года штрафы вырастут до 18 миллионов рублей — это не гипербола. Это закон. И это касается всех: от малого бизнеса до крупных корпораций.

Что происходит при проверке:

  1. Роскомнадзор запрашивает у сайта ссылку на Политику.
  2. Проверяет наличие чекбокса согласия.
  3. Анализирует, есть ли cookie-баннер и как он работает.
  4. Запрашивает уведомление в РКН — и если его нет — начинает штрафовать.
  5. Проверяет, передаются ли данные за границу — и есть ли уведомление.
  6. Запрашивает договоры с подрядчиками — и если их нет — выставляет штраф.

Кроме финансовых потерь — вы рискуете:

  • Потерять доверие клиентов: если они узнают, что вы не защищаете их данные — уйдут к конкурентам.
  • Получить публичную проверку: Роскомнадзор публикует списки нарушителей.
  • Быть заблокированным: в крайних случаях — сайт могут отключить от интернета.
  • Получить уголовную ответственность: если данные были украдены и использованы для мошенничества — руководитель может быть привлечен к уголовной ответственности.

Чек-лист для проверки сайта: 8 пунктов

Вот практический чек-лист, который вы можете использовать для аудита своего сайта. Пройдите его раз в квартал.

  1. Есть ли на сайте Политика обработки персональных данных? — Проверьте содержание.
  2. Ссылка на Политику есть в футере каждой страницы? — Проверьте на всех разделах.
  3. Чекбокс согласия есть под каждой формой? — Проверьте форму заказа, обратной связи, подписки.
  4. Есть ли cookie-баннер? — Откройте сайт в инкогнито. Появляется ли он? Можно ли отказать?
  5. Подано ли уведомление в Роскомнадзор? — Зайдите на pd.rkn.gov.ru и проверьте статус.
  6. Есть ли ответы на запросы пользователей? — Проверьте, есть ли в логах запросы за последние 3 месяца.
  7. Используются ли зарубежные сервисы? — Проверьте: Google Analytics, Mailchimp, Cloudflare. Если да — подано ли уведомление?
  8. Есть ли договор с подрядчиками? — Проверьте договоры с маркетологами, разработчиками, хостингом.

Сохраните этот чек-лист как шаблон. Распечатайте или добавьте в внутренний регламент. Это ваша страховка от штрафов.

Заключение: доверие — это ваше конкурентное преимущество

Соблюдение требований ФЗ-152 — это не «неприятная обязанность», а мощный инструмент для построения доверия. Клиенты все чаще задают вопросы: «Где хранятся мои данные?», «Как вы защищаете мою информацию?». Если вы ответите — вы получите лояльность. Если нет — уйдете в тень.

Штрафы растут. Проверки становятся системными. Но у вас есть возможность действовать заранее. Каждый пункт, который вы выполните — снижает ваш риск в десятки раз. Это не «затраты» — это инвестиции в стабильность вашего бизнеса.

Проверьте сайт. Обновите Политику. Подайте уведомление. Заключите договоры. Уберите ненужные поля. Сделайте cookie-баннер. Это не займет у вас много времени — но сохранит ваш бизнес от катастрофы.

Проверьте себя прежде, чем это сделает Роскомнадзор.

Содержание

Увеличенная версия изображения