2025 год оказался богат на поправки в законодательство о персональных данных. Одна часть изменений вступила в силу весной, другая — летом, а некоторые начали действовать только с 1 сентября.

Привет, Хабр! На связи Алёна, аналитик по информационной безопасности в Selectel. В этой статье разберем, что делать владельцам интернет-ресурсов, чтобы избежать штрафов и других санкций. Материал основан на моем опыте работы с регулятором и анализе его публичных разъяснений.

О выявлении нарушений

Многие владельцы сайтов ошибочно полагают, что перед проверкой Роскомнадзора они получат уведомление и успеют подготовиться. Кажется, что можно будет быстро исправить недочеты самостоятельно или нанять консультанта.

Действительно, плановые проверки — документарные или выездные — один из видов контроля. В этом случае компания получает официальное письмо и готовит документы либо ждет визита инспекторов.

Но помимо стандартных ревизий Роскомнадзор активно использует другой инструмент — контрольные мероприятия без взаимодействия. В ходе таких проверок инспекторы изучают сайт компании на соблюдение требований закона. При обнаружении несоответствий владельцу ресурса направляют письмо с перечнем нарушений и предписанием их устранить в сжатые сроки. Компания узнает о таком контроле уже по факту, получив результат.

Рассмотрим, какие нарушения чаще всего выявляют при анализе сайтов и что делать, чтобы их избежать.

Локализация баз данных

С 1 июля 2025 года требование о локализации баз данных российских граждан на территории РФ было уточнено — появились изменения в п. 5 ст. 18 ФЗ-152. Теперь закон четко определяет, какие именно действия с персональными данными (ПДн) необходимо выполнять в России. Это сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение.

Новая формулировка не запрещает трансграничную передачу данных. Она по-прежнему допускается, но в строгом соответствии с требованиями ст. 12 ФЗ-152.

Локализация — проблема не только юридическая, но и техническая. Владельцам сайтов необходимо проверить своих хостинг-провайдеров и убедиться, что ресурсы размещены на территории Российской Федерации. Также важно проанализировать код сайта на наличие сторонних скриптов, собирающих ПДн. Использование таких инструментов, как Google Fonts, Google Analytics или виджеты иностранных CRM-систем, — прямое нарушение.

Некоторые сервисы на первый взгляд никак не соприкасаются с персональными данными. Однако при более внимательном рассмотрении оказывается, что это не так. Рассмотрим, к примеру, Google Fonts, который собирает IP‑адреса пользователей.

Такой сетевой идентификатор косвенно определяет пользователя, поэтому может рассматриваться как персональные данные. На это намекает и ст. 53 ФЗ‑126 «О связи». Позиция судов в таких ситуациях, к сожалению, неоднозначна. Мы бы рекомендовали не создавать  для компании дополнительных рисков.

Чаще всего на сайтах требование о локализации не соблюдается из-за зарубежных метрических систем. При их использовании сбор ПДн, включая cookie-файлы, происходит на серверах за пределами РФ.

Несоблюдение требований о локализации наказывается штрафом для юридических лиц в размере от 1 до 6 млн рублей. На данный момент за такие нарушения оштрафовано уже более 20 компаний на общую сумму 130 млн рублей.

Позиция Роскомнадзора и судов однозначна: если cookie-файлы позволяют выделить конкретного пользователя и отслеживать его поведение, их следует рассматривать как персональные данные. Потенциальная возможность идентификации посетителя — достаточное основание, чтобы считать cookie такими данными.

Security Center

Рассказываем о лучших практиках и средствах ИБ, требованиях и изменениях в законодательстве.

Исследовать →

Передача ПДн третьим лицам

Закон предусматривает два способа привлечения сторонних компаний к обработке персональных данных.

• Поручение обработки ПДн. В этом случае третье лицо обрабатывает данные в объеме и целях, которые определил оператор. Между сторонами заключается договор-поручение. Оператор делится частью своих полномочий, но ответственность перед человеком все равно несет сам.

• Передача ПДн. Здесь третье лицо действует самостоятельно и в собственных целях. После получения данных от оператора оно само несет ответственность перед субъектом.

Человек должен быть уведомлен, кому, в каком объеме и для каких целей передаются его данные или поручается их обработка. Все третьи лица должны быть перечислены в согласии на обработку ПДн или в пользовательском соглашении. Если список контрагентов большой или часто меняется, можно дать ссылку на отдельную страницу сайта. Главное — поддерживать ее в актуальном состоянии.

Говоря о сайте, в качестве третьих лиц, действующих по поручению, обычно указывают метрические системы и хостинг-провайдеров.

При использовании метрических программ важно учесть несколько моментов.

• Информируйте посетителя об этом при входе на сайт.

• Укажите название метрической программы и способ согласия на сбор данных в основном документе — например, в пользовательском соглашении.

• Отразите информацию о таких программах в Политике конфиденциальности.

Правильный cookie-баннер может содержать следующую формулировку.

Продолжая использовать сайт, вы соглашаетесь на обработку персональных данных, собираемых посредством метрической программы «Яндекс.Метрика», в целях аналитики посещаемости сайта.

При этом обязательно должна быть указана ссылка на политику конфиденциальности.

Привлекая третьих лиц, не забывайте: ответственность за безопасность данных перед субъектом лежит на операторе. Рекомендую запрашивать у партнеров информацию о принимаемых ими мерах защиты.

Мы в Selectel подтверждаем соответствие своей инфраструктуры требованиям по безопасности ПДн в форме регулярной оценки эффективности. Готовы заключить поручение на обработку ПДн с клиентом. Прочитать ответы на типичные вопросы, а также заказать консультацию можно на нашей странице, посвященной соответствию 152‑ФЗ.

Согласие на обработку ПДн

Требования к согласию определены в ч. 1 ст. 9 ФЗ‑152. Оно должно быть конкретным, предметным, информированным, сознательным и однозначным.

На сайте согласие можно представить в виде оферты или отдельного документа. Способом его получения может служить чек-бокс под формой сбора данных. При этом формулировка должна быть предметной. Варианты «Я согласен на обработку ПДн» или «Я даю согласие на Политику конфиденциальности» Роскомнадзор считает некорректными.

Согласие должно содержать:

• сведения об операторе (наименование или ФИО, ИНН);

• перечень ПДн, категории субъектов;

• цели обработки, способы и сроки хранения;

• информацию о передаче данных третьим лицам — если она есть;

• сведения о трансграничной передаче — если такое действие осуществляется;

• способы связи с оператором для реализации прав субъекта;

• ссылку на политику конфиденциальности.

Основанием для обработки ПДн может быть не только согласие, но и договор, заключаемый с человеком. Если данные собираются исключительно для подготовки и исполнения договора, например оферты на сайте, и не используются в других целях, то отдельное согласие не требуется.

Одно из новых требований, вступивших в силу в этом году, — согласие должно быть отдельным документом. Его нельзя «прятать» в многостраничных пользовательских соглашениях, если обработка ведется в целях, отличных от предмета договора. С 1 сентября 2025 года такая практика незаконна. Предоставление согласия должно быть осознанным и недвусмысленным действием пользователя.

Отдельно стоит отметить, что согласие на маркетинговые рассылки также должно быть обособленным.

Несоблюдение этих требований наказывается штрафом для юридических лиц в размере от 150 до 300 тыс рублей.

Политика обработки ПДн

Издание политики обработки персональных данных — одна из ключевых обязанностей каждого оператора. Ее структура определена в 152‑ФЗ. Документ необходимо не просто утвердить, но и опубликовать или иным образом обеспечить к нему неограниченный доступ — например, разместить на стенде.

Допускается иметь несколько документов, определяющих политику. Например, для посетителей сайта можно выпустить отдельную Политику конфиденциальности. При этом политику обработки ПДн, относящуюся к работникам, можно не публиковать, а разместить в другом, но доступном для них месте.

Обратите внимание, что ссылка на политику должна быть на каждой интернет-странице, где осуществляется сбор ПДн.

В структуре документа важно учесть, что категории ПДн и субъектов, перечень сведений, способы и сроки обработки данных описываются для каждой цели отдельно.

Представители Роскомнадзора часто рекомендуют следующую структуру. Сначала — цель № 1 и все ее атрибуты: субъекты, категории, сроки. Затем — цель № 2, а также ее атрибуты, и так далее. То есть правильная структура — такая же как в уведомлении про обработку ПДн, о котором поговорим  ниже.

Несоблюдение требований о размещении политики наказывается штрафом для юридических лиц в размере от 30 до 60 тыс рублей.

Политики конфиденциальности и обработки ПДн должны содержать:

• данные об операторе — наименование, ИНН или ФИО;

• цели обработки ПДн;

• перечень обрабатываемых ПДн;

• категории субъектов и ПДн;

• способы и сроки обработки ПДн, включая порядок их уничтожения;

• правовые основания обработки ПДн — в соответствии с ч. 1 ст. 6 ФЗ-152;

• перечень мер, принимаемых оператором и направленных на обеспечение выполнения обязанностей предусмотренных ФЗ‑152.

Уведомление об обработке ПДн

Еще одна ключевая обязанность оператора согласно ч. 1 ст. 22 ФЗ‑152. Если вы обрабатываете персональные данные, то должны проинформировать об этом регулятора. Причем уведомление подается в территориальный орган Роскомнадзора до начала самого процесса обработки.

На порядке подачи уведомления и его составе сегодня подробно останавливаться не будем.

Важно: информация в уведомлении должна быть синхронизирована с вашей Политикой обработки ПДн. Расхождения между опубликованной на сайте политикой и сведениями в реестре операторов — одно из самых частых и легко выявляемых нарушений.

Уведомление — не разовый акт, а «живой» документ. Согласно ч. 3 ст. 22 ФЗ-152, при внесении изменений в политику необходимо не позднее 15-го числа следующего месяца скорректировать и сведения в реестре. Например, это могут быть:

• цели,

• категории обрабатываемых ПДн,

• принимаемые меры,

• адреса размещения баз данных.

Обязательный финальный шаг — подача уведомления об изменении сведений.

Забывчивость и недисциплинированность при работе с уведомлениями наказывается штрафом Роскомнадзора для юридических лиц в размере от 100 до 300 тыс рублей — согласно п. 10 ст. 13.11 КоАП РФ.

Сроки хранения ПДн и уничтожение ПДн

Одно из частых нарушений, выявляемых Роскомнадзором, — отсутствие ограничения сроков обработки ПДн. Формулировка «бессрочно» прямо противоречит требованиям ФЗ-152.

Сроки обработки должны быть установлены в согласии и в политике. Если в законодательстве они не определены, допускается указать 3 года — продолжительность исковой давности. Можно уточнить условие прекращения обработки — например, по достижении цели или до отзыва согласия.

После достижения цели, истечения сроков хранения или отзыва согласия ПДн необходимо уничтожить в соответствии с п. 4 и 5 ст. 21 ФЗ-152. Требования к подтверждению этого процесса утверждены приказом РКН № 179 от 28.10.2022. Если речь идет об уничтожении данных из базы сайта, необходимо составить Акт об уничтожении и приложить к нему выгрузку из журнала регистрации событий, подтверждающую удаление записей. Акт нужно хранить в течение 3 лет.

Заключение

Чтобы ваш сайт соответствовал требованиям 152-ФЗ и не вызывал вопросов у Роскомнадзора, необходимо учесть несколько ключевых моментов.

1. Базы данных, хранящие ПДн, разместите на территории РФ.

2. Сформируйте открытый перечень третьих лиц, которым передаются данные.

3. Ограничьте хранение ПДн конкретными, заранее определенными сроками.

4. Разработайте и опубликуйте на каждой странице со сбором данных Политику конфиденциальности и форму согласия.

5. Если планируете работать с cookie‑файлами, разместите специальный баннер, уведомляющий об этом пользователя.

6. Подайте уведомление об обработке ПДн в Роскомнадзор и поддерживайте его в актуальном состоянии.

Выполнение этих требований вполне доступно. Главное — внимательно изучить свой сайт, процессы обработки данных и учесть все рекомендации из этой статьи.