Владельцы сайтов и интернет-бизнесы вновь оказались в фокусе внимания регулятора. В 2025 году в силу вступили ключевые поправки в Федеральный закон № 152-ФЗ «О персональных данных», которые ужесточают правила игры. Если ваш сайт собирает любые данные пользователей — от электронной почты для подписки до номеров телефонов для заказа — эта статья для вас. Разберем, что было раньше, что изменилось сейчас и чем грозят нарушения.
Федеральный закон № 152-ФЗ является основным документом, регулирующим сбор, хранение и обработку персональных данных в России. Его обязаны соблюдать все операторы, коими являются большинство сайтов.
До внесения последних масштабных поправок правила для сайтов были уже достаточно строгими. Вот ключевые требования, которые действовали ранее.
Политика конфиденциальности. На сайте должна была быть размещена подробная политика в отношении обработки персональных данных, доступная для ознакомления любому пользователю.
Согласие на обработку данных. Сайт обязан был получать явное и информированное согласие пользователя на обработку его персональных данных. Чаще всего это реализовывалось через проставление галочки в форме подписки или регистрации.
Уведомление Роскомнадзора. Оператор был обязан направить уведомление в Роскомнадзор о своем намерении обрабатывать персональные данные. Были и исключения (например, данные только для исполнения договора), но они трактовались узко.
Защита данных. Оператор должен был обеспечить безопасность данных, принимая все необходимые организационные и технические меры для их защиты от несанкционированного доступа.
Поправки 2024-2025 годов усилили ответственность и сделали процессы более прозрачными для субъекта данных — вашего пользователя.
Теперь пользователи имеют больше контроля над своей информацией:
Право на отзыв согласия стало безусловным. Раньше были споры, можно ли отозвать согласие, если данные уже обрабатываются. Теперь — можно, и оператор обязан в простой и понятной форме обеспечить пользователю техническую возможность отозвать согласие так же легко, как и дать его. Просто удалить форму обратной связи недостаточно — нужна специальная ссылка или функция в личном кабинете.
Уточнение запросов о прекращении обработки. Пользователь может не только отозвать согласие, но и потребовать прекратить обработку данных, указав конкретные цели, для которых обработка должна быть остановлена.
Простая и общая политика, скопированная с другого сайта, больше не пройдет. Теперь документ должен содержать:
Конкретные сроки хранения данных для каждой цели обработки. Нельзя писать размытое «до достижения целей обработки». Нужно указать, например: «email для рассылки хранится 5 лет с момента последней активности», «данные заказа хранятся 3 года для целей налогового учета».
Четкий перечень действий с данными, которые вы совершаете: сбор, запись, систематизация, накопление, передача третьим лицам (с указанием, каким именно).
Информацию о трансграничной передаче. Если вы используете сервисы, чьи серверы находятся за рубежом (например, облачные хранилища, почтовые сервисы), об этом нужно прямо указать в политике.
Это одно из самых заметных изменений для пользователей и владельцев сайтов.
Аналитические куки (Яндекс.Метрика, Google Analytics) теперь приравнены к сбору персональных данных. Раньше многие считали, что обезличенные данные не подпадают под закон. Сейчас позиция изменилась: для установки любых файлов cookie, которые позволяют идентифицировать пользователя (даже в связке с случайным ID), требуется получать отдельное согласие.
Отказ должен быть так же прост, как и согласие. Поп-ап окно с кнопкой «Принять все» теперь должно иметь равноценную по простоте и заметности кнопку «Отклонить все». Скрыть отказ в настройках — нарушение.
Штрафы за нарушения в сфере персональных данных были и остаются значительными. В 2025 году контролирующие органы получили еще больше полномочий для проверок.
Для юридических лиц:
Обработка данных без согласия субъекта: штраф от 150 000 до 500 000 рублей.
Невыполнение обязанности по опубликованию политики: штраф от 30 000 до 100 000 рублей.
Невыполнение предписания Роскомнадзора: штраф от 500 000 до 1 000 000 рублей.
Для должностных лиц (руководителей, ИП):
Штрафы от 10 000 до 100 000 рублей.
В ряде случаев возможна дисквалификация на срок до трех лет.
Помимо штрафов, Роскомнадзор имеет право заблокировать сайт, нарушающий законодательство о персональных данных, до устранения всех нарушений.
Игнорировать новые правила — значит подвергать свой бизнес серьезным рискам. Рекомендуется предпринять следующие шаги:
Аудит сайта. Проверьте все формы сбора данных, политику конфиденциальности, использование куки-файлов и метрики.
Переработать политику конфиденциальности. Сделайте ее конкретной, прозрачной и соответствующей новым требованиям (сроки, перечень действий).
Обновить механизм получения согласий. Убедитесь, что есть возможность легко отозвать согласие, а для куки реализован механизм «Принять все / Отклонить все».
Проверить уведомление в Роскомнадзор. Актуально ли оно? Внесены ли все изменения?
Соблюдение закона о персональных данных — это не только способ избежать штрафов, но и мощный инструмент для построения доверительных отношений с вашей аудиторией. Показывая, что вы уважаете и защищаете их данные, вы инвестируете в репутацию и долгосрочный успех своего онлайн-проекта.
Данная статья является аналитическим обзором и не представляет собой юридическую консультацию.
