Персональные данные на сайте: регистрация оператора в Роскомнадзоре, новые штрафы 2025 и защита данных

Где зарегистрироваться как оператор персональных данных?

На Портале персональных данных Роскомнадзора оператор может сформировать и отправить уведомление в территориальный орган Роскомнадзора одним из следующих способов:

1. в бумажном виде;
2. в электронном виде с использованием усиленной квалифицированной электронной подписи;
3. в электронном виде с использованием средств аутентификации ЕСИА.

Проверить оператора в Реестре операторов, осуществляющих обработку персональных данных

Коротко о проблеме

Каждый сайт, который собирает данные пользователей – будь то интернет-магазин, корпоративный ресурс компании или личный блог с формой обратной связи – обязан соблюдать требования российского законодательства о персональных данных​. С 2025 года эти требования значительно ужесточились: появились новые правила и штрафы за нарушения. В этой статье понятным языком объясняется, что считается персональными данными на сайте, кому необходимо регистрироваться в Роскомнадзоре как оператору персональных данных, какие изменения в законе о персональных данных вступили в силу с 30 мая 2025 года, какие новые штрафы грозят за отсутствие регистрации или утечку данных, как правильно подать уведомление в Роскомнадзор (пошаговая инструкция для ООО, ИП и физлиц), какие документы и меры должны быть размещены на сайте (политика конфиденциальности, согласие на обработку, cookie-баннер и пр.), какие технические требования предъявляются для защиты персональных данных (SSL, сервер в РФ и т.д.), а также приведён чек-лист для владельцев сайтов, собирающих персональные данные.

Что считается персональными данными на сайте?

Персональные данные (ПДн) – это любая информация, относящаяся к определённому или определяемому физическому лицу​. Проще говоря, к персональным данным пользователя вашего сайта относится любая информация, по которой можно прямо или косвенно идентифицировать человека.

Примеры персональных данных на сайте: имя и фамилия, адрес электронной почты, номер телефона, почтовый адрес (для доставки товаров), данные аккаунта (логин), IP-адрес, данные из cookie-файлов, которые позволяют отследить или идентифицировать пользователя, и т.д. Даже разрозненные сведения при сочетании могут идентифицировать личность. Например, отдельное упоминание фамилии само по себе может не являться персональными данными, но фамилия вместе с адресом проживания – уже персональные данные​. Важно помнить: если на вашем сайте есть форма обратной связи, форма регистрации, форма заказа (корзина интернет-магазина) или подписка на рассылку – практически любая запрашиваемая там информация о пользователе (Ф.И.О., контактные данные, и т.п.) будет считаться персональными данными.

Кроме общих персональных данных (Ф.И.О., контакты, адрес и пр.), закон выделяет и специальные категории (биометрические, медицинские и т.д.), однако на обычных сайтах такие данные обычно не собираются без отдельной необходимости. Если же вы по каким-то причинам запрашиваете, к примеру, данные о здоровье или паспортные сведения, то должны соблюдать дополнительные требования закона о защите таких данных. В любом случае любая информация о физическом лице, которую собирает сайт, должна обрабатываться по правилам закона о персональных данных​.

Кто обязан регистрироваться в Роскомнадзоре в качестве оператора персональных данных?

Если ваш сайт собирает персональные данные пользователей, вы автоматически становитесь «оператором персональных данных» в понимании Федерального закона №152-ФЗ («Закон о персональных данных»). Операторы персональных данных – это любые организации или частные лица, которые обрабатывают персональную информацию (не для личных, домашних нужд)​. По закону все операторы ПДн (то есть фактически все юридические лица) обязаны уведомлять Роскомнадзор и вставать на учет в реестре операторов персональных данных​.

Раньше у этой обязанности были исключения. До 2022 года компания могла не уведомлять Роскомнадзор, если обрабатывала данные только своих сотрудников или, скажем, только сведения по заключённым договорам с контрагентами – регистрация в реестре требовалась не для всех случаев. Однако с сентября 2022 года законодательство изменилось: большинство исключений отменили​. Теперь **освобождены от уведомления лишь те операторы, которые обрабатывают персональные данные без использования средств автоматизации (т.е. полностью на бумаге)​. Проще говоря, если данные хранятся или обрабатываются на компьютере (а компьютер и офисное ПО уже считаются средством автоматизации​), то такое предприятие обязано подать уведомление.

Таким образом, практически все владельцы сайтов должны зарегистрироваться в Роскомнадзоре. Любое действующее юрлицо, использующее персональные данные, подлежит постановке на учет​. В Едином государственном реестре юрлиц зарегистрировано более 3 млн компаний, и каждая из них формально должна быть в реестре операторов Роскомнадзора​ (на деле многие пока не зарегистрированы). Касается это не только компаний: в ряде случаев даже физические лица, если они обрабатывают персональные данные не для личных нужд, обязаны уведомлять Роскомнадзор​. Например, если вы как физлицо создали сайт/приложение и собираете через него данные других людей (не только для личного использования), вы становитесь оператором ПДн и должны зарегистрироваться.

Что изменилось с 30 мая 2025 года в законодательстве о персональных данных?

30 мая 2025 года вступили в силу важные изменения в российском законодательстве о персональных данных. Основные нововведения коснулись усиления ответственности и ужесточения штрафов за нарушение требований закона. Рассмотрим ключевые изменения:

• Введена прямая ответственность за отсутствие регистрации в реестре Роскомнадзора. Ранее за неподачу уведомления не было отдельной статьи наказания – формально грозил лишь небольшой штраф (до 5 тыс. руб.) за непредоставление сведений государственному органу​. Теперь же с 30.05.2025 в КоАП введена специальная норма (ч.10 ст.13.11 КоАП РФ) за неуведомление Роскомнадзора об обработке ПДн. Каждая компания, не вставшая на учет как оператор персональных данных, рискует получить серьезный штраф.

• Резкое увеличение штрафов за отсутствие регистрации. Штраф за неподачу уведомления (отсутствие в реестре операторов) возрос в десятки раз. Если раньше максимальный штраф для организации составлял 5 тыс. рублей, то с 30 мая 2025 года штраф за отсутствие регистрации достигает 300 000 рублей​. Для должностных лиц и ИП штрафы тоже увеличились (для ИП штраф обычно сопоставим со штрафом для должностных лиц юрлица). Таким образом, работать с персональными данными без уведомления Роскомнадзора теперь крайне рискованно и дорого.

• Обязательное уведомление об утечках персональных данных в сжатые сроки. С 2025 года в закон введена обязанность оперативно сообщать о каждом инциденте утечки персональных данных. Если произошла утечка (например, база клиентов вашего сайта стала доступна третьим лицам без разрешения), у оператора есть лишь 24 часа, чтобы уведомить об этом Роскомнадзор​. Неуведомление о произошедшей утечке в суточный срок грозит отдельным штрафом.

• Новые «оборотные» штрафы за утечки данных. Ранее штрафы за утечку были невелики, теперь же введены крупные штрафные санкции, сопоставимые с европейскими правилами (GDPR). За несообщение об утечке в срок компания может получить штраф до 3 млн руб., а за сам факт утечки персональных данных – до 15 млн руб. Причем если утечка произошла повторно (рецидив), штраф может достигать колоссальных сумм – до 500 млн рублей​. По сути, закон ввел оборотные штрафы, величина которых для крупных компаний может быть привязана к масштабам бизнеса (до нескольких процентов от годового оборота, но не более 500 млн). Для малого бизнеса размеры штрафов меньше, но все равно чувствительны.

• Ужесточение требований локализации данных. Хотя это изменение вступает в силу чуть позже (с 1 июля 2025 г.), его стоит учитывать уже сейчас. Поправки в закон о персональных данных прямо запрещают хранить и обрабатывать персональные данные россиян в базах данных за пределами РФ (за некоторыми исключениями)​. Ранее требовалось обеспечивать первичное хранение в РФ, но формулировки допускали обход (через передачу обработки стороннему лицу за рубежом). Теперь лазейку закрыли – обработка персональных данных граждан РФ должна осуществляться исключительно на территории России​. Например, использование иностранных сервисов для сбора или хранения данных (Google Forms, Google Analytics, зарубежный хостинг и т.п.) ставится вне закона​. За нарушение требований локализации также предусмотрены крупные штрафы.

Помимо вышеперечисленного, Роскомнадзор получил больше возможностей контроля и проводит больше проверок. Бизнесу теперь важно не просто соблюдать базовые требования закона о персональных данных, но и оперативно реагировать на инциденты. В совокупности изменения 2025 года означают, что игнорировать требования по регистрации и защите данных больше нельзя – слишком высоки риски финансовых санкций и блокировки ресурса.

Новые штрафы за отсутствие регистрации и утечку данных

Разберем еще раз конкретные санкции (штрафы), которые действуют с 30 мая 2025 года по Закону о персональных данных и КоАП РФ:

• Штраф за отсутствие регистрации сайта (оператора) в Роскомнадзоре. Если компания/ИП/владелец сайта не подал уведомление и не включен в реестр операторов персональных данных, ему грозит штраф. Для юридических лиц максимальный штраф теперь составляет 300 000 рублей. Для должностных лиц (руководителей) – порядка 30–50 тыс. руб., для ИП – до 50–100 тыс. руб. (точные суммы зависят от частей статьи КоАП). Эти штрафы применяются за сам факт неуведомления уполномоченного органа.

• Штраф за несообщение об утечке персональных данных. Если произошла утечка (компрометация) персональных данных, оператор обязан уведомить об этом Роскомнадзор в течение 24 часов с момента обнаружения. За неуведомление в срок предусмотрен штраф до 3 000 000 руб. для организаций​ (для должностных лиц до 300–500 тыс. руб.). Иными словами, замалчивание утечки теперь карается очень серьезно.

• Штраф за саму утечку персональных данных. Даже если оператор уведомил Роскомнадзор вовремя, за сам факт утечки (утерю конфиденциальности данных) также накладывается штраф. Максимальный штраф за утечку – до 15 000 000 руб. для компаний​ (и до 500 тыс. для должностных лиц). Если утечка произошла повторно в течение года, применяется повышенная санкция – штраф до 500 000 000 руб.. Такие огромные суммы актуальны для крупного бизнеса (де-факто это оборотный штраф, призванный быть чувствительным для корпораций). Для малого бизнеса штраф за утечку будет ближе к минимальным пределам статьи, но в любом случае речь идет о сотнях тысяч или миллионах рублей.

• Штраф за нарушение требований локализации данных. За хранение персональных данных россиян на иностранных серверах или передачу их за границу без оснований операторов также начали штрафовать активнее. После вступления в силу поправок о локализации (с 01.07.2025) компании, не перенесшие базы данных в РФ, могут получить штраф до 6 млн руб. (по ст.13.11 КоАП, ч.9) за каждое выявленное нарушение, с возможной блокировкой ресурса до устранения нарушения​.

• Другие штрафы по закону о ПДн. Остаются в силе и ранее существовавшие штрафы: за отсутствие необходимых документов, за обработку данных без согласия при требующем согласия случае, за несоблюдение прав субъектов данных и др. Размеры таких штрафов обычно ниже (десятки-сотни тыс. руб.), но они складываются. Например, если на сайте нет необходимой политики конфиденциальности или не соблюдается порядок получения согласий, это само по себе нарушение. Поэтому важно соблюдать все требования в комплексе.

Как подать уведомление в Роскомнадзор: пошаговая инструкция

Для выполнения закона о персональных данных каждый оператор (владелец сайта, собирающего ПДн) должен подать уведомление об обработке персональных данных в Роскомнадзор. Это и есть процедура регистрации в качестве оператора ПДн. Рассмотрим, как правильно подать уведомление – шаг за шагом. Процесс в целом сходный для организаций (ООО), ИП и физических лиц, с незначительными отличиями в перечне сведений:

1. Подготовьте необходимые сведения. Прежде чем заполнять уведомление, соберите всю требуемую информацию о вашей организации и о том, какие данные вы обрабатываете. Вам понадобится:

   • Для юридического лица (ООО): полное название организации, ОГРН, ИНН, юридический адрес, контактные данные; фамилия, имя, отчество руководителя; данные ответственного лица за организацию обработки ПДн (если назначен отдельно); категории персональных данных, которые вы собираете (например, имена, телефоны клиентов), цели их обработки (например, для оформления заказов в интернет-магазине, для обратной связи и т.п.), способы и формы обработки (автоматизированная, смешанная), меры защиты данных и т.д.

   • Для индивидуального предпринимателя (ИП): ФИО, данные ИП (ОГРНИП, ИНН), адрес, контакты; аналогично – какие данные собираете, цели, способы обработки, меры защиты.

   • Для физического лица (не зарегистрированного как ИП), выступающего оператором: ФИО, паспортные данные или иной идентификатор, адрес, контакты; и описание обрабатываемых данных, целей, способов, мер защиты. Физлицо в уведомлении указывает себя в качестве оператора. По сути, пакет сведений схожий, просто без реквизитов юрлица/ИП.

2. Заполните форму уведомления. У Роскомнадзора установлена стандартизированная форма уведомления. Подать ее можно двумя основными способами:

   • Онлайн через интернет. Проще всего воспользоваться специальным сервисом на сайте Роскомнадзора (через портал персональных данных pd.rkn.gov.ru или через Госуслуги). Авторизовавшись, вы заполняете электронную форму уведомления, вводя подготовленные сведения. Для юридических лиц потребуется электронная подпись для заверения данных. Через онлайн-подачу уведомление автоматически попадает в Роскомнадзор.

   • На бумаге (почтой или лично). Альтернативный вариант – скачать форму уведомления (утвержденную приказом Роскомнадзора), заполнить ее в бумажном виде и отправить заказным письмом в территориальное управление Роскомнадзора (или подать лично через канцелярию). В форме вы аналогично указываете все сведения. Юрлица заверяют бумажное уведомление подписью руководителя и печатью (если есть).

   В уведомлении вы перечисляете, какие категории персональных данных будете обрабатывать (например, контактные данные клиентов: ФИО, телефон, email), с какой целью (например, для исполнения договоров продажи и доставки товаров, для ответа на запросы пользователей сайта и т.д.), а также описываете меры защиты и указываете ответственного за обработку (для организаций). Роскомнадзор требует также указать правовое основание обработки (например, согласие субъекта или исполнение договора) и источники получения данных (непосредственно от субъекта через сайт).

3. Отправьте уведомление и дождитесь регистрации. После заполнения и проверки всех данных отправьте уведомление:

   • При онлайн-подаче – просто подпишите ЭЦП (если требуется) и отправьте через систему. Вам должна прийти электронная квитанция/подтверждение приема.

   • При почтовой подаче – отправьте заказное письмо с описью вложения на адрес регионального управления Роскомнадзора. Сохраните квитанцию почты.

   • При личной подаче – получите отметку о приеме на вашем экземпляре (или номер входящего письма).

   Роскомнадзор регистрирует уведомление и вносит ваши сведения в Реестр операторов персональных данных. Обычно в течение 30 дней (а нередко быстрее) данные появятся в публичном реестре на сайте Роскомнадзора. Вы можете проверить по названию организации или фамилии – появились ли вы в реестре​. Официальное уведомление о регистрации обычно не высылается, факт внесения в реестр и есть подтверждение.

4. Учтите дополнительные требования после регистрации. Само по себе уведомление – лишь первый шаг. Закон обязывает оператора поддерживать сведения в актуальном состоянии. Если вы изменили характер обработки (например, начали собирать новые категории данных, изменился адрес компании или ответственное лицо) – нужно подать обновленное уведомление. Если полностью прекратили работу с персональными данными (закрыли сайт или убрали формы) – подается уведомление о прекращении обработки. Кроме того, с момента регистрации на вас официально распространяются все требования закона о персональных данных – от обеспечения прав субъектов до готовности к проверкам.

Какие документы и меры должны быть на сайте для соблюдения закона?

Один из важных аспектов соответствия закона – наличие необходимых документов и пользовательских соглашений на самом сайте, а также организационных мер для законной обработки персональных данных. Перечислим, что обязательно должно быть реализовано на сайте, который собирает ПДн:

• Политика конфиденциальности (политика обработки персональных данных). Это публичный документ, в котором оператор подробно описывает, какие персональные данные он собирает у пользователей, с какой целью, как их хранит и защищает, кому передает и какие у пользователя есть права. Закон прямо обязывает иметь и опубликовать в открытом доступе Политику в отношении обработки персональных данны. Ссылку на политику обычно размещают в подвале сайта (footer) или при вводе данных. В политике должна быть указана дата ее утверждения и данные оператора. Каждый сайт, собирающий данные, обязан иметь актуальную Политику конфиденциальности.

• Форма согласия на обработку персональных данных. Несмотря на то, что сам факт отправки данных через форму уже может подразумевать согласие, закон требует во многих случаях получать явное согласие субъекта на обработку его ПДн. На практике это реализуется чекбоксом «Я даю согласие на обработку моих персональных данных» или фразой-согласием, на которую пользователь должен нажать перед отправкой формы. Согласие может быть оформлено в электронной форме, например проставлением галочки в онлайн-форме​ – это считается надлежащим согласием. Важно, чтобы рядом была ссылка на Политику или текст соглашения, а факт согласия фиксировался (например, в логах или базе данных отметка). Если вы планируете рассылать пользователю новости или передавать его данные партнерам, это должно отдельно оговариваться в согласии. Учтите, что для отдельных категорий данных или действий могут требоваться письменные согласия, но на обычном сайте с общими данными электронной формы достаточно.

• Уведомление об использовании cookie и сборе технических данных. Многие сайты используют cookie-файлы, веб-аналитику, пиксели социальных сетей и прочие технологии, которые тоже собирают информацию о пользователях (пусть даже обезличенную). Согласно подходу Роскомнадзора, cookie-файлы могут рассматриваться как персональные данные, если по ним можно идентифицировать пользователя или его устройство. Поэтому рекомендуется реализовать cookie-баннер – всплывающее уведомление при первом заходе на сайт, информирующее о использовании cookie и предлагающее согласиться (или настроить их использование). Хотя прямого требования закона РФ по cookie-баннерам пока нет, принцип законности обработки требует информировать пользователя о любых собираемых данных. Оптимально: краткое сообщение «Этот сайт использует файлы cookies для персонализации сервисов и удобства пользователей. Оставаясь на сайте, вы подтверждаете свое согласие» + ссылка на политику использования cookies (часть политики конфиденциальности). Для большей соответствия мировым стандартам можно дать выбор, какие cookies разрешить (но в РФ это пока не строго обязательно). Наличие cookie-баннера показывает надзорным органам ваше заботливое отношение к приватности пользователей.

• Пользовательское соглашение (оферта) при оказании услуг онлайн. Если через сайт вы оказываете услуги или продаете товары (например, интернет-магазин), полезно разместить публичную оферту или пользовательское соглашение. Этот документ не прямо про персональные данные, но опосредованно связан – в нем можно указать, что пользователь, принимая условия, соглашается и с политикой конфиденциальности. Оферта регулирует условия покупки/использования сервиса, а раздел о приватности может отсылать к вашей Политике ПДн. Хотя закон о персональных данных напрямую не требует оферту, ее наличие повышает юридическую защищенность и прозрачно информирует пользователя о правилах работы с сайтом.

• Контактные данные для связи по вопросам персональных данных. В политике и на сайте в целом должны быть указаны контакты, по которым субъект данных может обратиться к оператору: запросить удаление своих данных, уточнение, отзыв согласия и т.д. Обычно указывается email ответственного за работу с обращениями по ПДн. Закон дает гражданам ряд прав (отозвать согласие, получить перечень своих данных, требовать исправления и удаление, если данные неверны или обработаны незаконно). Оператор обязан обеспечить реализацию этих прав, поэтому на сайте должны быть средства связи (форма запроса или email) для пользователей по вопросам их персональных данных.

• Меры защиты на сайте. Сайт должен не только декларировать защиту, но и технически ее обеспечивать. К мерам мы перейдем в следующем разделе подробнее, но здесь отметим: на сайте должны быть реализованы необходимые организационные и технические меры защиты, отраженные в Политике. Например, если вы заявляете, что данные пользователя не передаются третьим лицам – убедитесь, что никакие внешние скрипты не отправляют данные наружу без основания. Если говорите, что данные защищены – минимально используйте HTTPS (SSL) и актуальные методы шифрования.

Кроме того, внутри компании (или у ИП) должны быть утверждены локальные акты по защите персональных данных: приказ о назначении ответственного за обработку ПДн, положение о порядке обработки персональных данных, инструкция для сотрудников, план действий при утечках и т.п. Пользователям сайта эти документы не видны, но при проверке Роскомнадзором их отсутствие будет нарушением. Тем не менее, для посетителей сайта ключевыми сигналами законности являются именно наличие Политики и понятный процесс получения согласия.

Подведем итог: на каждом сайте, который собирает персональные данные, обязательно должна быть опубликована Политика конфиденциальности, реализован сбор согласий на обработку ПДн (например, через чекбокс), а также уведомление о cookie (при их использовании). Эти меры не только выполняют требования закона, но и повышают доверие пользователей к вашему ресурсу.

Технические требования к защите персональных данных на сайте

Законом установлено, что оператор персональных данных обязан принимать организационные и технические меры для защиты персональных данных от несанкционированного доступа, утечек, изменений и прочих угроз. Для владельца сайта это означает необходимость позаботиться о безопасности той информации, которую вы собираете и храните. Ниже приведены основные технические требования и рекомендации:

• Использование защищенного протокола (SSL/TLS). Если на сайте собираются персональные данные (логины, пароли, контактные данные и т.д.), соединение должно быть защищенным (HTTPS). SSL-сертификат шифрует передаваемые данные, предотвращая их перехват злоумышленниками. Наличие HTTPS теперь фактически стандарт для всех сайтов, тем более закон о ПДн предписывает обеспечить конфиденциальность при передаче данных по сети. Незашифрованное отправление персональных данных (по протоколу HTTP) является нарушением мер защиты и легко может привести к утечке, за что оператор будет ответственен. Поэтому первым делом убедитесь, что ваш сайт доступен по адресу https://, а не по обычному http://. Современные браузеры помечают сайты без шифрования как «небезопасные».

• Хранение данных на серверах в России (локализация персональных данных). Как отмечалось, по закону персональные данные граждан РФ должны храниться в базах данных, находящихся на территории России​. То есть ваш хостинг или сервер, где лежит база данных с информацией пользователей, должен физически располагаться в РФ. Если вы пользуетесь услугами хостинга, проверьте, где находятся его дата-центры. Крупные российские провайдеры размещают данные в России. Нельзя, например, сохранять данные клиентов на сервере в Европе или США без особых оснований – это будет нарушением локализации. Более того, с июля 2025 года не допускается даже первичный сбор персональных данных через иностранные сервисы​. Поэтому, если на сайте стоят формы из Google Forms или аналитика Google Analytics, которые отправляют данные за рубеж, это повод заменить их на российские аналоги (Яндекс Форма, Метрика и пр.)​. Итог: обеспечьте, чтобы вся информация с вашего сайта хранится и обрабатывается внутри страны.

• Защита данных на сервере. Помимо местоположения сервера, важно как на нем защищены данные. Необходимо использовать современные методы защиты: шифрование баз данных или хотя бы отдельных полей (например, пароли пользователей должны храниться исключительно в хэшированном виде); контроль доступа – ограничьте круг лиц, имеющих доступ к серверу и к самой информации (только администратор или ответственный специалист); брандмауэр и мониторинг – используйте средства защиты от внешних атак (фаерволы, системы обнаружения вторжений). Регулярно устанавливайте обновления безопасности для CMS сайта, плагинов, серверного ПО – уязвимости часто становятся причиной утечек.

• Резервное копирование и изоляция. Делайте резервные копии персональных данных (баз данных) – это часть защиты от потери информации. Однако резервные копии тоже должны храниться в России и под защитой. Если вы скачиваете базу с сайта для локальной работы, не забывайте шифровать и этот канал передачи. Избегайте хранить реальные данные пользователей на тестовых или публично доступных серверах. Все копии ПДн должны быть изолированы и защищены так же, как основная база.

• Назначение ответственного и обучение персонала. Техническая защита включает в себя и человеческий фактор. Назначьте ответственного за безопасность персональных данных (это может быть системный администратор или другой сотрудник). Убедитесь, что все, кто имеет доступ к данным пользователей, обучены правилам безопасности: не скачивают данные на личные устройства без необходимости, не пересылают незащищенными каналами, используют сложные пароли. Внутренний контроль и порядок обращения с данными – требование закона​, которое напрямую влияет на техническую защищенность.

• Соответствие уровням защищенности. В зависимости от объема и характера ПДн российские правила (приказы ФСТЭК) разделяют информационные системы персональных данных на уровни (1-й – самый строгий, 4-й – менее строгий). Обычный сайт с данными клиентов малого бизнеса обычно отнесен к 3-4 уровню защищенности. Для них достаточно выполнить базовые меры (как вышеописанные). Если же вы оператор крупной базы, могут потребоваться дополнительные сертифицированные средства защиты, аудит системы и т.п. Малому и среднему бизнесу достаточно здравого смысла: выполнить все разумные меры для кибербезопасности сайта и данных.

Новые требования 2025 года и общая тенденция такая, что контроль за технической защитой усиливается​. Роскомнадзор на проверках требует предъявить доказательства защищенности: сертификаты шифрования, журналы разграничения доступа, договоры с хостингом о локализации. Если произойдет утечка и выяснится, что оператор халатно относился к безопасности (не было шифрования, не актуализировал ПО) – штрафы, как мы выяснили, могут быть огромными.

Поэтому вложения в защиту сейчас лучше, чем потери от инцидента потом. Минимально реализуйте SSL, хранение в РФ, ограничение доступа и регулярное обновление системы. Это позволит выполнить основные требования закона о защите персональных данных и обезопасить ваш бизнес.

Чек-лист для владельцев сайтов, которые собирают персональные данные

Ниже приведен краткий чек-лист основных действий и мер, которые должен выполнить каждый владелец сайта (ООО, ИП или физлицо), если сайт собирает персональные данные пользователей:

• Убедитесь, что понимаете, какие данные вы собираете. Проведите инвентаризацию форм на сайте: какие поля запрашиваются, не собираете ли вы лишнего. Четко определите категории персональных данных (ФИО, email, телефон и т.д.) и цели, для которых они нужны.

• Зарегистрируйтесь в Роскомнадзоре как оператор ПДн. Если еще не подали уведомление, срочно подготовьте и отправьте его​. Регистрация сайта в реестре Роскомнадзора – это обязанность, невыполнение которой карается штрафом до 300 тыс. руб. Уведомление можно подать онлайн, это несложно – главное, сделать это своевременно.

• Назначьте ответственного за персональные данные. В организации издайте приказ о назначении ответственного лица за обработку ПДн (это требование закона). Для ИП или единоличного владельца сайта – назначьте себя и зафиксируйте обязанности. Ответственный будет контактным лицом с Роскомнадзором и следить за соблюдением процедур внутри.

• Разработайте и разместите на сайте Политику конфиденциальности. Подготовьте понятный документ, описывающий обработку данных на вашем сайте, и выложите его в открытом доступе​. Проверьте, чтобы Политика соответствовала актуальным требованиям закона и реальной практике работы вашего сайта.

• Реализуйте получение согласия пользователей. Добавьте чекбокс(ы) или иные механизмы на все формы, где пользователь вводит свои данные, чтобы он мог явно подтвердить согласие на их обработку​. Без получения согласия нельзя, к примеру, отправлять рекламу на email или передавать данные партнерам. Текст согласия включите в Политику или отдельный документ и сделайте его доступным.

• Установите уведомление о cookie (cookie-баннер). Если вы используете на сайте сторонние сервисы, аналитику, или просто хотите быть прозрачными – внедрите баннер с предупреждением о сборе cookie. Позвольте пользователю ознакомиться, для чего вы собираете техническую информацию, и согласиться с этим. Это повысит доверие и будет плюсом при проверке.

• Обеспечьте шифрование и безопасность соединения. Проверьте, что ваш сайт работает по HTTPS. Установите SSL-сертификат (если еще этого не сделали). Современные бесплатные сертификаты (например, Let’s Encrypt) позволяют сделать это легко. Шифрование данных – базовый элемент защиты при работе в интернете.

• Храните персональные данные только на российских серверах. Проверьте хостинг: сервер в России? Если нет – перенесите данные на российскую площадку​. Отключите интеграции, которые отправляют данные за рубеж, либо замените их отечественными аналогами​. Это необходимо для соответствия требованиям локализации и обеспечения лучшей защиты.

• Реализуйте меры кибербезопасности на своем сайте. Обновите CMS, плагины, используйте сложные пароли для админ-панели, ограничьте доступ к базе данных. Настройте резервное копирование. Убедитесь, что доступ к данным имеют только те, кому это нужно по работе. Физическому лицу с небольшим сайтом эти меры тоже важны – используйте надежный хостинг с защитой.

• Подготовьте внутренние документы. Если вы – компания или ИП с сотрудниками, разработайте пакет документов по ПДн: приказ о порядке обработки, согласия сотрудников, журнал запросов субъектов, план на случай утечки. Для небольших сайтов без работников достаточно иметь хотя бы минимально оформленные политики и приказы, чтобы в случае чего продемонстрировать Роскомнадзору осознание ответственности.

• Будьте готовы к реализации прав субъектов. Настройте процесс, как вы будете исполнять обращения пользователей: удалить их данные по запросу, предоставить информацию о них и пр. На практике – мониторьте почту, указанную для контактов по ПДн, и реагируйте на обращения в 30-дневный срок (как требует закон).

• Следите за обновлениями законодательства. Закон о персональных данных динамично развивается. Периодически проверяйте новости Роскомнадзора или специализированные ресурсы. Например, новые требования 2025 года – не последние; возможно, дальше будут еще изменения. Будьте в курсе, чтобы заблаговременно адаптироваться.

• При обнаружении утечки – немедленно уведомьте Роскомнадзор. Если случилось худшее – персональные данные, которые вы храните, утекли или были похищены – у вас есть 24 часа, чтобы сообщить об этом регулятору​. Для этого Роскомнадзор принимает сообщения через спецформу. Лучше сообщить самостоятельно, чем если утечку выявят без вашего уведомления – проактивность смягчит ответственность. После уведомления примите меры по устранению причины утечки.

Этот чек-лист поможет убедиться, что вы не пропустили ключевых требований при работе с персональными данными на сайте. Персональные данные и их защита – не формальность, а реальная ответственность владельца ресурса. Выполнив перечисленные шаги, вы значительно снизите риски штрафов и проблем с регулятором, а заодно повысите доверие пользователей к вашему сайту или бизнесу.

Заключение

За последние годы защита персональных данных в России вышла на новый уровень. Для владельцев сайтов наступила эпоха строгого регулирования, сравнимая с европейским GDPR: обязателен учет в Роскомнадзоре, крупные штрафы за утечки, требования локализации данных в РФ и т.д. Однако соблюдение этих правил вполне по силам даже небольшому интернет-магазину или частному сайту, если подойти ответственно.

Подытоживая: персональные данные на сайте должны обрабатываться законно и безопасно. Что для этого нужно, мы подробно рассмотрели: от понимания, какие сведения являются ПДн, до технической защиты и действий при ЧП. Выполните регистрацию в Роскомнадзоре, разместите на сайте все нужные документы (политика, согласия), шифруйте и защищайте данные – и можете спокойно вести бизнес, не опасаясь многомиллионных штрафов. Помните, что репутация и доверие пользователей тоже во многом зависят от того, как вы обращаетесь с их личной информацией.

Следуя рекомендациям и чек-листу, вы обеспечите соответствие вашего сайта закону о персональных данных и защитите свой проект от претензий Роскомнадзора​. В условиях новых правил 2025 года это такая же необходимая часть ведения онлайн-деятельности, как, например, уплата налогов. Пусть ваш сайт собирает данные пользователей легально, прозрачно и безопасно – тогда и пользователи будут вам доверять, и государство не предъявит вам штрафных санкций.