Как соблюдать требования по персональным данным после 30 мая 2025 года?

Введение: что изменилось и зачем всё это нужно?

С 01 сентября 2022 года и особенно с 30 мая 2025 года сфера персональных данных в России изменилась кардинально. Прежнего подхода — «у нас на сайте есть политика, и этого достаточно» — больше не существует. Роскомнадзор теперь проверяет не только наличие нужных документов, но и то, как именно вы обрабатываете персональные данные (ПД): где хранятся базы, какие галочки стоят на формах, используете ли иностранные сервисы, ведёте ли учёт согласий и кто назначен ответственным за ПД.

Если вы ИП, юридическое лицо, компания с сайтом, формами обратной связи, чат-ботами, рассылками или хотя бы с 1С — вы, скорее всего, оператор персональных данных. И нужно выполнить ряд шагов, чтобы не попасть под штраф от 100 000 до 6 000 000 рублей. Да, такие суммы — уже не теория, а практика. И проверок становится больше: Роскомнадзор получает жалобы от пользователей и в автоматическом режиме запускает аудит компаний, указавших трансграничную передачу данных.

Ниже — пошаговая инструкция, что нужно сделать, чтобы соответствовать требованиям законодательства и избежать проблем.

Этап 1. Уведомляем Роскомнадзор: как подать заявление?

1. Кто должен подавать?

Если вы храните или обрабатываете ПД с помощью автоматизированных систем (CRM, 1С, сайт, формы заявок, квизы, чат-боты, email-рассылки) — вы обязаны подать уведомление в Роскомнадзор. Даже если у вас нет сайта, но есть 1С — это уже автоматизация. Не попадают под обязательное уведомление только те, кто ведёт учёт в бумажных тетрадях (бумага без оцифровки).

❗ Но если вы используете Google Таблицы — это уже трансграничная передача данных. Такие случаи требуют уведомления и могут повлечь штраф до 6 млн рублей.

2. Где подавать?

Подать уведомление можно через личный кабинет на сайте Роскомнадзора:

• https://pd.rkn.gov.ru/operators-registry/notification/

Можно сделать это самостоятельно — интерфейс понятный, разберётся любой бухгалтер или офис-менеджер. Но важно знать, что именно указывать.

3. Что нужно указать в уведомлении?

Цели обработки ПД — выбирайте из предложенного списка. Например:

• Кадровый учёт
• Выполнение договора
• Маркетинг
• Продажа товаров и услуг
• Обработка заявок через сайт и т. д.

Внимание: цели, указанные в уведомлении, должны точно совпадать с тем, что вы потом напишете в политике обработки ПД. РКН это проверяет.

Места хранения баз данных (ЦОД):

• Указываются адреса серверов — точные, с улицей, домом и помещением, а также договор поручения с облачными провайдерами.
• Если используете облачные сервисы (Тильда, Юнисендер, Яндекс Метрика), добавляйте их юр. адрес, ИНН и ОГРН — найти это можно на сайте провайдера или запросить в техподдержке.

Пример:

• сайт — сервер «4ROME» в РФ
• лендинг — Тильда
• рассылки — Юнисендер
• CRM — арендованный сервер
• метрика — Яндекс
• лид-формы — Марквиз
• коллтрекинг — UIS

Трансграничная передача ПД:

Если вы используете Google Analytics, Google Tag Manager, облачные Google Таблицы и все другие иностранные сервисы — это трансграничная передача.

• Либо отказывайтесь от таких сервисов и переходите на отечественные (предпочтительный вариант),
• Либо уведомляйте РКН, иначе — штраф.

Но даже если уведомите, к вам могут прийти с проверкой: посмотрят документы, процессы, где утечка, кто ответственный. Это не обязательно, но всё чаще случается.

Этап 2. Приводим сайт и формы в порядок

Здесь ошибки чаще всего и случаются. Большинство компаний уже подали уведомления в РКН, но при этом забыли про оформление форм и cookie-баннеров. А за это тоже штрафуют.

1. Убираем иностранные трекеры

Удалите с сайта:

• Google Analytics
• GTM (Google Tag Manager)
• любые Google Forms
• Hotjar, HubSpot, Sendinblue — всё, что отправляет ПД за границу

2. Размещаем нужные документы

В подвале сайта разместите Политику обработки ПД и Согласие на обработку ПД. Они должны быть согласованы между собой:

• Согласие должно ссылаться на Политику
• Тексты согласий в форме и в документе — идентичны
• Все ссылки — кликабельные

Если у вас есть регистрация пользователей или приём оплаты — используйте также Оферту или Пользовательское соглашение. Тогда текст согласия будет другим (см. ниже).

3. Оформляем лид-формы

У каждой формы, где вы собираете имя, телефон, почту — должно быть две галочки:

• «Согласие на обработку ПД»
• «Согласие на рассылку»

Рекомендуемые формулировки:

⬜ Я даю согласие на обработку персональных данных на условиях Политики

⬜ Я согласен получать рекламные и информационные материалы

В чат-ботах и квизах вместо галочек используйте текст над кнопкой:

«Нажимая “Отправить”, я даю согласие на обработку персональных данных на условиях Политики обработки персональных данных»

Если у вас есть регистрация или приём платежей:

⬜ Я принимаю условия Оферты и даю согласие на обработку персональных данных

Все слова «Политика», «Согласие», «Оферта» — обязательно с активными ссылками.

4. Настраиваем cookie-баннер

РКН требует уведомлять пользователей о cookie. Поэтому:

• Установите баннер с текстом:

«Продолжая пользоваться сайтом, вы соглашаетесь с политикой обработки cookies. Подробнее — в Политике обработки ПД.»

• Добавьте в политику отдельный раздел про cookie: какие вы собираете, зачем, как отключить.

Это обязательно, даже если вы не используете трекеры — сам факт использования CMS или хостинга уже может задействовать cookies.

Этап 3. Внутренняя документация компании

Обязательно нужно сделать — особенно если вы уже сообщили о трансграничной передаче ПД. В случае проверки вас спросят:

• Кто назначен ответственным за обработку ПД
• Где журнал регистрации согласий
• Кто имеет доступ к базам
• Какие меры защиты используются
• Какой срок хранения ПД
• Как оформлено удаление данных по запросу субъекта

Что нужно подготовить?

Вот минимальный набор документов:

• Политика обработки ПД
• Согласие на обработку ПД
• Журнал учёта согласий
• Положение об обработке и защите ПД
• Приказ о назначении ответственного за ПД
• Риски утечки и план реагирования
• Соглашение о конфиденциальности с сотрудниками и подрядчиками
• Договоры с сервисами, если они обрабатывают ПД как операторы по поручению

В идеале всё это должно быть оформлено и храниться в электронном и бумажном виде. Если у вас нет штатного юриста, возьмите шаблоны у коллег или проконсультируйтесь с экспертами.

Что будет, если не выполнять требования?

Проверки Роскомнадзора — реальность. Сегодня их инициируют автоматически при поступлении жалоб или при указании трансграничной передачи ПД в уведомлении. И если что-то не в порядке — будут санкции.

Размеры штрафов (ст. 13.11 КоАП РФ):

• Отсутствие уведомления — до 150 000 ₽
• Неправильное оформление согласия — до 500 000 ₽
• Незаконная трансграничная передача — до 6 000 000 ₽
• Нарушение сроков хранения или утечка — ещё дороже

Наказание могут наложить не только на юрлицо, но и на директора лично. ИП рискует тоже, вплоть до блокировки сайта.

Заключение

Всё, что связано с персональными данными, уже не формальность. Закон стал жёстче, а практика проверок — регулярной. И речь не только о крупных компаниях: наказывают ИП, фрилансеров, веб-студии и даже тех, у кого «ничего кроме Excel нет» (если этот Excel вдруг оказался Google Таблицами).

Поэтому:

1. Подайте уведомление в РКН
2. Проверьте сайт и все формы
3. Подготовьте документы
4. Откажитесь от иностранных сервисов
5. Не храните ПД в облаках без уведомления

Это неделя работы, которая избавит от штрафов и спасёт репутацию. Лучше сделать сейчас, чем объясняться с проверкой.

Резюмируем главные практические рекомендации

1. Удаляйте Google Analytics и другие сервисы Google с сайта

Лучше убрать Google Analytics, формы Google и Google Tag Manager с вашего сайта. Есть строгие правила про хранение данных внутри России, а сервисы Google обычно передают данные за рубеж. Снизить риск трансграничной передачи можно, но полностью избежать проблем с локализацией — сложно.

Почему важно: штрафы могут быть очень большими — от миллиона рублей и выше.

2. Если у вас есть доступ к данным клиентов вашего клиента — действуйте осторожно

Если вы видите телефоны, имена, email или другие данные клиентов вашего клиента и используете их для отчетов, рекламы или доработки сайта, нужно срочно заключить с клиентами дополнительные соглашения. Без этого могут быть обвинения в неправильном использовании данных и угроза утечки.

Почему важно: штрафы — на миллионы рублей.

3. Не отправляйте рассылки без согласия

Если человек не дал четкого согласия на обработку своих данных, рассылать ему письма нельзя. За нарушение грозят штрафы — до 500 тысяч рублей за каждую жалобу.

Обязательно просите людей соглашаться на обработку данных.

4. Проводите проверки и отчитывайтесь в Роскомнадзор

Чтобы не попасть под штрафы, каждый год нужно проводить аудит соответствия закону и подавать отчеты в Роскомнадзор. Лучше сделать это привычкой — тогда проверок и проблем будет меньше.

5. Записывайте входящие звонки и предупреждайте о согласии

Все входящие звонки нужно записывать. Перед разговором обязательно сообщайте человеку, что, если он продолжит, то соглашается на обработку персональных данных. Эти записи нужно хранить в безопасности — они подтвердят, что вы соблюдаете закон.

6. Использование квизов и марквизов

Квизы и марквизы — это интерактивные маркетинговые инструменты, которые активно собирают персональные данные, такие как: имя, email, телефон, возраст, интересы и поведенческие характеристики. Они используются для генерации лидов, таргетированной рекламы и персонализации предложений и также требуют соблюдения законодательства.

Автор

Сергей Просветов