Сайт под прицелом Роскомнадзора 152-ФЗ
Что изменилось в 2025 и как избежать штрафов?
Аудит сайта на соответствие законодательству Время чтения: ~16 минут
Если вы — владелец сайта, маркетолог, IT-специалист или юрист, отвечающий за обработку пользовательских данных — эта информация обязательна к ознакомлению и внедрению.
С 2025 года в России вступили в силу новые требования к обработке персональных данных, которые напрямую касаются всех владельцев сайтов, онлайн-магазинов, сервисов и компаний, работающих с клиентскими базами. Изменения затрагивают не только формы согласия и уведомления о cookie-файлах, но и использование иностранных платформ, мессенджеров и даже виджетов входа через соцсети.
Обработка персональных данных теперь требует ещё большей прозрачности, согласованности с законом и технической подготовки. Даже небольшие нарушения — например, «галочка по умолчанию» в форме или размещение Facebook-пикселя на сайте — могут привести к штрафам.
Все эти меры направлены на усиление защиты цифровых прав граждан и контроль над трансграничной передачей данных. В статье мы разберёмся, что требует Федеральный закон №152-ФЗ "О персональных данных" (ознакомиться с текстом закона), какие изменения вступили в силу в 2025 году, какие новые санкции предусмотрены за нарушение, и как подготовить свой сайт к проверке Роскомнадзора.
Обработка персональных данных теперь требует ещё большей прозрачности, согласованности с законом и технической подготовки. Даже небольшие нарушения — например, «галочка по умолчанию» в форме или размещение Facebook-пикселя на сайте — могут привести к штрафам.
Все эти меры направлены на усиление защиты цифровых прав граждан и контроль над трансграничной передачей данных. В статье мы разберёмся, что требует Федеральный закон №152-ФЗ "О персональных данных" (ознакомиться с текстом закона), какие изменения вступили в силу в 2025 году, какие новые санкции предусмотрены за нарушение, и как подготовить свой сайт к проверке Роскомнадзора.
1. Основные положения ФЗ-152: что требует закон
Федеральный закон №152-ФЗ «О персональных данных» регулирует, как компании и частные лица могут собирать, хранить, использовать и передавать персональные данные граждан РФ. Основной принцип — защита прав граждан на неприкосновенность частной жизни и обеспечение информационной безопасности.
Вот ключевые требования, которые должен соблюдать любой сайт или сервис, работающий с персональными данными:
1.1. Законность и прозрачность обработки
Персональные данные можно обрабатывать только для заранее определённой и законной цели, которую необходимо чётко обозначить для пользователя. Например: «Сбор данных необходим для оформления заказа», «Для регистрации в личном кабинете» и т.д.
1.2. Информирование и согласие
Пользователь должен быть проинформирован о том:
- какие данные собираются;
- зачем они нужны;
- как и где они будут храниться;
- кому и при каких условиях могут передаваться.
Согласие должно быть явным — молчание или автогалочка не считаются согласием (см. п.4 ст.9 ФЗ-152).
1.3. Публичная политика обработки
У сайта должна быть размещена доступная политика обработки персональных данных, в которой указывается:
- перечень собираемых данных;
- цели и способы обработки;
- порядок хранения и удаления;
- права пользователя;
- условия передачи данных третьим лицам.
Политика должна быть актуальной, понятной и открытой — без сложной юридической лексики.
1.4. Хранение данных на территории России
Все персональные данные граждан РФ обязаны храниться на серверах, расположенных в России. Это требование закона о так называемой локализации персональных данных (ст.18 п.5 ФЗ-152).
1.5. Уведомление Роскомнадзора
Прежде чем начать обработку персональных данных, необходимо направить уведомление в Роскомнадзор и попасть в реестр операторов персональных данных. Это делается онлайн через официальный портал Роскомнадзора.
1.6. Безопасность и конфиденциальность
Оператор (то есть владелец сайта) обязан обеспечить защиту данных от утечек, взломов и несанкционированного доступа. Это включает:
- использование HTTPS;
- регулярные обновления системы безопасности;
- настройку прав доступа внутри компании;
- контроль за подрядчиками и интеграциями.
Эти положения — основа, на которую «надстраиваются» все нововведения 2025 года. Именно поэтому важно обеспечить базовое соответствие, прежде чем переходить к деталям: cookie, формам согласия, трансграничной передаче и иностранным платформам.
2. Что изменилось в 2025 году:
новые требования, запреты и санкции
В 2025 году в российское законодательство о персональных данных были внесены важные изменения, которые усиливают контроль за обработкой данных в интернете. Особенно это касается сайтов, собирающих информацию через формы, cookie, интеграции с соцсетями и сторонние сервисы аналитики.
В 2025 году в российское законодательство о персональных данных были внесены важные изменения, которые усиливают контроль за обработкой данных в интернете. Особенно это касается сайтов, собирающих информацию через формы, cookie, интеграции с соцсетями и сторонние сервисы аналитики.
Обновления, вступившие в силу с 2025 года:
2.1. Строгие требования к cookie-уведомлениям
Теперь сайт обязан не просто информировать о cookie-файлах, но и обеспечить реальный выбор пользователя: согласиться, отклонить или настроить их использование. Баннер должен появляться до начала сбора несущественных cookies (например, маркетинговых или аналитических).
2.2. Только явное согласие в формах
Во всех формах для сбора персональных данных обязательна галочка (чекбокс), которую пользователь должен установить самостоятельно. Предустановленные галочки и неявное согласие (например, просто нажать "Отправить") — незаконны.
Об этом подробнее — в разделе 5.
Об этом подробнее — в разделе 5.
2.3. Трансграничная передача — только с разрешения
Если компания планирует передавать данные за границу, требуется уведомить Роскомнадзор и получить отдельное согласие пользователя. В противном случае передача считается нарушением закона. Если безопасность данных или интересы РФ под угрозой — Роскомнадзор вправе запретить передачу.
2.4. Ограничения на использование иностранных платформ
С 1 июня 2025 года введены запреты на использование иностранных мессенджеров и соцсетей в ряде деловых процессов. А с 1 сентября 2025 года — введены штрафы за размещение рекламы на запрещённых или признанных экстремистскими платформах.
Эти изменения направлены на повышение прозрачности в онлайн-среде и защиту персональных данных российских граждан. За несоблюдение требований предусмотрена административная ответственность — от предупреждений до значительных штрафов. Об этом подробнее в разделе 9.
3. Cookie-файлы: уведомление обязательно
Согласно позиции Роскомнадзора, cookie-файлы считаются персональными данными, если через них можно идентифицировать пользователя (например, через IP-адрес, поведенческий профиль, геолокацию и т. д.).
Что требует закон:
3.1. Уведомление до начала сбора данных
Сайт обязан уведомить пользователя о том, что используются cookie-файлы, до начала их загрузки — если речь идёт не о технически необходимых cookies.
3.2. Возможность согласиться или отказаться
Пользователь должен иметь реальный выбор: принять, отклонить или настроить cookies по категориям. Молчание или скроллинг страницы не считается согласием.
3.3. Явная форма подтверждения
Согласие должно выражаться явным действием: нажатием кнопки «Согласен» или аналогичной. Без активного действия согласие не считается полученным.
3.4. Содержание уведомления
В уведомлении должно быть указано:
- используется ли cookie;
- для каких целей (например, аналитика, маркетинг, персонализация);
- кто является оператором данных;
- как можно отозвать согласие;
- ссылка на политику конфиденциальности или отдельную cookie-политику.
3.5. Учет сторонних сервисов
Если на сайте используются сторонние аналитики или рекламные платформы (например, Google Analytics, Meta Pixel и др.), в уведомлении необходимо указать, что может происходить передача данных третьим лицам, в том числе за границу. Это требует отдельного согласия.
Пример корректного уведомления:
Мы используем cookie-файлы для улучшения работы сайта, аналитики и персонализированной рекламы. Вы можете настроить использование файлов или отказаться. Подробнее — в политике обработки персональных данных.
Аудит сайта на соответствие законодательству
Если вы хотите получить краткий аудит сайта на соответствие новому законодательству — напишите нам. Мы поможем выявить слабые места и дадим практические рекомендации.
4. Формы сбора данных: только явное согласие
Каждая форма на сайте (обратная связь, подписка, заказ, регистрация) должна содержать чёткий механизм согласия на обработку данных, оформленный в виде пустого чекбокса.
Основные требования:
4.1. Без автогалочек
Галочка не может быть отмечена заранее. Пользователь должен сам осознанно поставить галочку — это и будет действительное согласие согласно ст. 6 и 9 ФЗ-152.
4.2. Текст согласия
Рядом с чекбоксом должен быть текст, поясняющий, на что пользователь соглашается.
Например: «Нажимая кнопку, я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности».
Например: «Нажимая кнопку, я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности».
Слова «Политика конфиденциальности» при этом должны быть гиперссылкой.
4.3. Фиксация согласия
Желательно настроить систему таким образом, чтобы она фиксировала:
- дату и время согласия;
- IP-адрес пользователя;
- идентификатор формы или сессии.
4.4. Раздельное согласие при необходимости
Если собираются разные категории данных (например, регистрация + маркетинговая рассылка), необходимо предоставить раздельные чекбоксы для каждого вида согласия.
4.5. Обновления политики
Если политика обработки меняется, необходимо заново получить согласие от новых пользователей по новой редакции.
5. Политика обработки данных: требования к содержанию
На сайте должна быть размещена доступная и актуальная политика обработки персональных данных, оформленная отдельной страницей.
Что обязательно указывать:
- категории и перечень персональных данных, которые собираются (ФИО, email, телефон, cookie и др.);
- цели обработки;
- правовое основание обработки (например, согласие пользователя);
- сроки хранения;
- порядок и условия передачи данных третьим лицам (в т. ч. трансграничной);
- контактные данные оператора;
- порядок реализации прав субъекта (например, отозвать согласие, уточнить информацию, удалить данные).
Рекомендации:
- текст должен быть написан понятным языком, без «юридических формулировок ради формальности»;
- политика должна быть доступна с любой страницы сайта — обычно ссылка размещается в подвале (footer);
- желательно — отдельно прописать политику cookie (или включить её как раздел).
6. Трансграничная передача: что теперь под запретом
Передача персональных данных за пределы России регулируется особенно строго. В 2025 году действуют ужесточённые правила, направленные на защиту данных граждан РФ от неконтролируемой обработки за рубежом.
Основные положения:
6.1. Необходимость уведомления Роскомнадзора
Согласно статье 12 ФЗ-152, оператор обязан уведомить Роскомнадзор о намерении передавать персональные данные за границу, указав:
- в какие страны осуществляется передача;
- кто является получателем;
- обеспечивает ли эта страна должный уровень защиты данных.
6.2. Получение согласия пользователя
Передача возможна только при наличии явного, информированного согласия субъекта данных на такую операцию. Согласие должно быть:
- осознанным;
- подтверждённым действием (галочкой или подписанием);
- оформленным отдельно от общего согласия на обработку.
6.3. Возможность запрета со стороны Роскомнадзора
Если передача данных за границу может повлечь угрозу:
- безопасности государства;
- общественному порядку;
- правам и свободам граждан — Роскомнадзор имеет право запретить передачу данных. Об этом прямо говорится в пункте 4 статьи 12 ФЗ-152.
6.4. Исключения
Передача допускается без отдельного разрешения только в случаях, прямо предусмотренных законом (например, для исполнения договора с участием субъекта данных), но даже тогда — с уведомлением.
7. Запрет на иностранные соцсети и сервисы
С 2025 года значительно расширились ограничения на использование иностранных цифровых платформ, особенно если они признаны:
- экстремистскими (например, Facebook*, Instagram* — принадлежат Meta*, деятельность запрещена в РФ),
- нежелательными,
- иностранными агентами.
(*деятельность запрещена на территории РФ по решению суда)
Новые ограничения:
7.1. Запрет на использование в бизнес-коммуникациях
Согласно разъяснениям Роскомнадзора от 2025 года, компаниям, работающим с персональными данными (особенно в сфере e-commerce, образования, медицины), запрещается использовать иностранные мессенджеры и соцсети для:
- обслуживания клиентов;
- внутренней коммуникации;
- обработки заказов и обращений.
7.2. Штрафы за размещение рекламы
С 1 сентября 2025 года запрещено размещать рекламу:
- на платформах, признанных экстремистскими или нежелательными,
- в аккаунтах, ведущих деятельность на таких площадках.
Нарушение влечёт штрафы:
- для физических лиц — от 10 000 до 30 000 рублей;
- для должностных лиц — от 30 000 до 100 000 рублей;
- для юридических лиц — от 100 000 до 500 000 рублей (по ст. 13.11 КоАП РФ).
7.3. Запрет на использование виджетов и плагинов
Размещение на сайте:
- кнопок входа через иностранные соцсети;
- форм обратной связи, использующих иностранные сервисы;
- трекинговых пикселей или плагинов (например, Meta Pixel, TikTok Pixel) — может расцениваться как трансграничная передача данных без согласия и нарушение правил о локализации.
8. Ответственность за несоблюдение закона
Нарушение требований ФЗ-152 может повлечь за собой административную или, в ряде случаев, даже уголовную ответственность. Проверки осуществляет Роскомнадзор, при необходимости — совместно с прокуратурой.
Размеры штрафов:
8.1. За отсутствие политики обработки данных:
- от 30 000 до 50 000 рублей (ст. 13.11 ч.1 КоАП РФ)
8.2. За отсутствие уведомления в Роскомнадзор:
- от 5 000 до 75 000 рублей (ст. 19.7 КоАП РФ)
8.3. За передачу данных за границу без согласия:
- до 500 000 рублей (ст. 13.11 ч. 3–5 КоАП РФ)
8.4. За использование автогалочек и неявное согласие:
- от 60 000 до 150 000 рублей (применяется по совокупности нарушений — отсутствие согласия, нарушение формы сбора, отсутствие уведомления)
8.5. Повторное или грубое нарушение:
может повлечь временную блокировку ресурса или возбуждение дела об административном приостановлении деятельности (ст. 13.11 ч.8 КоАП РФ)
9. Чек-лист для владельцев сайта
Проверьте, соответствует ли ваш сайт требованиям законодательства:
- Есть актуальная политика обработки персональных данных, размещённая на сайте
- Все формы содержат чекбокс без автогалочки, с текстом согласия и ссылкой на политику
- Пользователь подтверждает согласие явно (например, нажатием кнопки или установкой галочки)
- Cookie-баннер отображается до начала загрузки несущественных cookies
- В уведомлении указаны цели использования cookie и даны кнопки выбора («Принять», «Отклонить», «Настроить»)
- Данные граждан РФ хранятся на серверах в России
-
Оператор внесён в реестр Роскомнадзора - Передача данных за границу осуществляется только с согласия и после уведомления Роскомнадзора
- Не используются виджеты и пиксели иностранных соцсетей без отдельного согласия
- Не размещается реклама на запрещённых или признанных экстремистскими платформах
В 2025 году требования к обработке персональных данных стали жёстче, и соблюдение закона перестало быть формальностью. Теперь даже небольшие элементы сайта, такие как cookie-уведомления, галочки в формах или встроенные виджеты соцсетей, могут привести к штрафам и блокировке.
Владельцам сайтов и digital-компаниям важно не только адаптировать документацию, но и провести технический аудит всех форм сбора данных — от виджетов и cookie до систем аналитики.
В случае сомнений — обратитесь к специалистам или воспользуйтесь услугами внешнего юридического аудита на соответствие ФЗ-152.
Владельцам сайтов и digital-компаниям важно не только адаптировать документацию, но и провести технический аудит всех форм сбора данных — от виджетов и cookie до систем аналитики.
В случае сомнений — обратитесь к специалистам или воспользуйтесь услугами внешнего юридического аудита на соответствие ФЗ-152.
Аудит сайта на соответствие законодательству
Если вы хотите получить краткий аудит сайта на соответствие новому законодательству — напишите нам. Мы поможем выявить слабые места и дадим практические рекомендации.