Персональные данные на сайте в 2025 году: требования и рекомендации

Абсолютно любой бизнес, представленный онлайн, занимается сбором и дальнейшей обработкой информации о своих клиентах. Владелец веб–ресурса, который размещает на своих площадках формы подписки и регистрации, собирает куки или отслеживает поведение посетителей страницы с целью повысить конверсию или персонализировать предложения, автоматически становится Оператором обработки таких сведений. Однако перечень персональных данных на сайте в 2025 году расширился, а требования к порталам – ужесточились.

Поправки в Федеральный закон №152, вступившие в силу 30 мая 2025 года, заставляют бизнес полностью пересмотреть процесс сбора и обработки любой информации, ведь количество проверок со стороны регулятора – Роскомнадзора, выросло на 40% по сравнению с аналогичным периодом предыдущего года. В статье мы постарались собрать наиболее актуальную информацию для владельцев сайтов: узнайте, как легально работать с данными клиентов и избежать штрафов.

Правовое поле: что изменилось?

Законодательное определение персональных данных претерпело существенные изменения. Если ранее существовали разногласия по поводу отнесения к ним различных видов информации, то теперь перечень четко зафиксирован в новой редакции ФЗ.

В соответствии с новыми правилами, сбор персональных данных на сайте включает в себя обработку следующих сведений:

Традиционные идентификационные данные (ФИО, серия и номер паспорта)
Любые контакты (номера телефонов, аккаунты в мессенджерах, электронные адреса)
Цифровые идентификаторы (IP-адреса, cookie-файлы)
Биометрические параметры (при использовании систем распознавания)
Поведенческие характеристики (история покупок, предпочтения)

Особое внимание следует уделить новым положениям о «производных данных» – информации, которая становится персональной при определенных условиях обработки. К ним относится время, проведенное на сайте и даже просматриваемый контент. Однако в категорию персональных они переходят только в том случае, если конкретного пользователя можно идентифицировать.

Обработка персональных данных на сайте – 2025: самое важное

По статистике юридической компании "Право и технологии", в 2024 году 68% штрафов, наложенных на организации по причине нарушения ФЗ–152, были связаны с недочетами в оформлении согласий. Аналитики считают, что, скорее всего, в текущем периоде это количество увеличится еще сильней: процедура получения согласия претерпела значительные изменения.

Основные требования

Теперь соглашение об обработке персональных данных должно содержать:

Конкретный перечень обрабатываемой информации
Четко сформулированные цели обработки
Сведения о возможных получателях данных
Срок действия согласия (не более 5 лет)
Процедуру отзыва согласия.

Формальный подход к получению согласий больше не допустим. Каждый элемент Политики обработки персональных данных на сайте в 2025 году необходимо тщательно проработать с учетом специфики конкретного портала и собираемых сведений.

Еще одно новшество – техническая защита от утечек информации

Техническая защита данных стала отдельным направлением регулирования. Согласно дополнениям к постановлению Правительства № 1119, все операторы персональных данных обязаны реализовать комплекс защитных мер.

Основные требования и изменения

Ключевые меры по техническому обеспечению безопасности включают в себя:

Обязательное хранение все получаемой и обрабатываемой информации только на российских серверах;
Шифрование передаваемых данных (TLS 1.2 и выше);
Регулярное тестирование систем защиты порталов;
Ведение журналов доступа к данным пользователей;
Постоянное совершенствование системы защиты от DDoS-атак.

Для сайтов с посещаемостью более 100 000 пользователей в месяц дополнительно требуется сертификация системы защиты в ФСТЭК.

Безусловно, реализация новых технических мер защиты требует от бизнеса серьезных материальных вложений. Однако игнорирование данных требований регулятора способно привести не только к серьезным репутационным потерям, но и к солидным штрафам.

Ответственность за нарушения положений ФЗ–152

Штрафные санкции за нарушения в области персональных данных были существенно ужесточены. По данным судебного департамента при Верховном суде РФ, средний размер штрафа в 2025 году составил 1,2 млн рублей.

Административная ответственность

Согласно обновленным положениям Федерального закона, в России появилось принципиально новое наказание для владельцев веб–ресурсов – за неподачу уведомлений об обработке персональных данных на сайте или подачу некорректных сведений в РКН. До введения изменений законодательством было предусмотрено наказание только за неподачу любых сведений в Роскомнадзор: суммы штрафов для бизнеса при этом составляли от 3 до 5 тысяч рублей.

С 30 марта цифра кратно увеличилась: теперь счет идет на сотни тысяч. За нарушение, допущенное впервые, штраф составит от 100 до 300 000 рублей, а за повторное несоблюдение требований регулятора – до полумиллиона. При этом, окончательный размер штрафа зависит и от организационно–правовой формы бизнеса, владеющего площадкой:

Физические лица и самозанятые – до 15 000 рублей;
Индивидуальные предприниматели – от 100 000 до 300 000 рублей;
Юрлица (организации) – от 500 000 до 5 млн рублей.

Уголовная ответственность

Теперь все нарушения, приведшие к утечке персональных данных, рассматриваются как уголовное преступление. Регулятор не ограничивается только денежными взысканиями. Так, если ущерб в случае утечки информации будет признан значительным, владелец сайта может лишиться свободы на срок до 5 лет. Впечатляют и размеры штрафных санкций:

В случае утечки данных в зависимости от объема ущерба – от 3 до 15 млн рублей;
Если к мошенникам попала биометрия ваших пользователей – от 15 до 20 млн рублей;
Если своевременно не уведомить регулятора об инциденте – от 1 до 3 млн рублей.

Риски, связанные с нарушениями ФЗ–152, стали настолько существенными, что требуют самого серьезного отношения.

Что делать владельцам сайтов, чтобы избежать штрафов?

Анализ успешной практики показывает, что приведение сайта в соответствие с новыми требованиями требует системного подхода. Подготовили для вас небольшой чек–лист, который поможет избежать административных наказаний и уголовного преследования.

Шаг 1. Проверка регистрации в РКН

Наличие форм для персональных данных на сайте автоматически делает владельца ресурса Оператором, который обрабатывает такую информацию, а значит – обязан зарегистрироваться в Роскомнадзоре. Если углубляться в судебную практику, то регулятор причисляет к Операторам даже тех, кто записывает контакты своих клиентов в таблицу Excel, не имея сайта. Что говорить о тех, кто располагает собственным порталом?

Перейдите на сайт РКН и проверьте, есть ли вы в соответствующем реестре: для этого потребуется ввести свой ИНН или ОГРН бизнеса.

Если регистрация отсутствует, а соответствующее уведомление подать в Роскомнадзор вы пока не успели – сделать это необходимо как можно скорее. Вероятней всего, выявив нарушение, регулятор в первый раз ограничится предупреждением. Но если нарушение последует повторно, штраф будет взыскан уже по новым нормам.

Шаг 2. Подача заявления в Роскомнадзор

Уведомить регулятора о том, что вы являетесь Оператором сбора и обработки ПД, можно несколькими способами:

Скачать и заполнить соответствующее заявление на сайте РКН, а затем – отправить его в территориальный орган почтой;
Авторизоваться через Госуслуги и заполнить заявление на портале;
Подписать бумагу электронной подписью (при ее наличии) и отправить по e–mail.

Шаг 3. Разработать новую версию Политики конфиденциальности и разместить ее в соответствующем разделе сайта

Добавьте в документ обновленные пункты, в которых укажите расширенный перечень информации, соответствующий законодательству.

Шаг 4. Обновите формы сбора информации на сайте

Теперь обычного чек–бокса недостаточно: форма должна содержать ссылку на Политику конфиденциальности и Соглашение об обработке. Из простой формальности этот этап превратился в важную вещь. Все «галочки» в чек–боксах должен проставлять только пользователь: забудьте об автоматизации.

Шаг 5. Исключите риски трансграничных утечек

По возможности, откажитесь от зарубежных сервисов аналитики: помните, что регулятор обязал хранить всю информацию на отечественных серверах. В любом случае, Яндекс.Метрика и MyTracker справляются с задачами не хуже, чем Google Analytics. Если вы используете почтовые рассылки, следует перейти на сервисы, принадлежащие российским организациям.

Шаг 6. Защитите информацию внутри компании

Если к данным пользователей в вашей компании имеет доступ целый ряд сотрудников, следует сделать так, чтобы в случае взлома злоумышленники могли получить только ограниченные сведения. Поэтому тщательно отбирайте информацию, к которой имеет доступ команда. Используйте двухфакторную идентификацию и систему сложных паролей.

Соблюдение законодательства о ПД – это не разовое мероприятие, а постоянный процесс, требующий регулярного контроля и обновления. Регулятор в праве в любой момент провести проверку соблюдения законодательства, поэтому утрачивать бдительность не стоит.

Если ваш сайт создан на Taptop – клиентская база в безопасности. С момента основания платформа работает исключительно на отечественных серверах, что гарантирует отсутствие так называемых трансграничных утечек. Команда технических экспертов регулярно мониторит и совершенствует внутренние системы безопасности, препятствуя несанкционированному доступу к любой информации.

Возможность безграничной кастомизации дизайна позволяет вам создавать формы для сбора информации, соответствующие обновленным требованиям законодательства: со ссылками на Согласие и Политику конфиденциальности вашей компании. А отзывчивая техническая поддержка Taptop поможет вам быстро устранить любые недостатки и справиться с багами, если что–то не получится.

Новые требования к обработке персональных данных создают серьезные вызовы для владельцев веб–ресурсов, но их своевременное выполнение позволяет не только избежать штрафов, но и повысить доверие пользователей. Разработайте комплексный план мероприятий по приведению сайта в соответствие с законодательством и регулярно проводите его актуализацию, и никаких вопросов со стороны регулятора к вашей площадке не последует.