Готовим сайт к изменению закона 152-ФЗ

 Уже 30 мая 2025 года вступают в силу новые штрафы по 152-ФЗ, а 1 июля станет обязательной локализация данных в РФ. Рассказываем об обновлении закона 152-ФЗ, как защитить свой сайт и уточняем нюансы для владельцев.

Что такое 152-ФЗ и почему он касается каждого сайта

152-ФЗ «О персональных данных» — ключевой закон РФ, регулирующий сбор, хранение и использование личной информации пользователей. Его цель — защитить права граждан на неприкосновенность частной жизни и предотвратить злоупотребление их данными. Вот что нужно знать:

Что считается персональными данными (ПДн)?

Любая информация, позволяющая идентифицировать человека:

• Прямые идентификаторы: ФИО, телефон, email, адрес, паспортные данные.
• Косвенные данные: IP-адрес, cookie, геолокация, история действий на сайте, user ID — даже если они обезличены! Роскомнадзор и суды приравнивают их к ПДн, так как они помогают отследить поведение пользователя.

Кто обязан соблюдать закон

Операторы ПДн — почти все, кто работает с данными пользователей:

• Юрлица, ИП, самозанятые с клиентскими базами или формами на сайте;
• Сайты с обратной связью, подпиской, корзиной заказов;
• Даже небольшие проекты, использующие cookie для аналитики.

Что включает «обработка ПДн»

Не только хранение! Любое действие:

• Сбор (через формы, cookie);
• Запись, анализ, передача (например, в рекламные системы);
• Обезличивание, удаление.

Почему вашему сайту срочно нужен апдейт

Несоответствие грозит не абстрактными санкциями, а конкретными ударами по бизнесу:

• Рекордные штрафы: за утечку биометрических данных (отпечатки, сканы лица) — до 20 млн рублей.
• За компрометацию 100 000+ записей персональных данных (email, телефоны, ФИО) — до 15 млн рублей.
• Оборотные санкции: за повторные нарушения — штраф до 3% годовой выручки, но не менее 500 млн рублей. Это не гипотеза, а реальная норма закона для крупных утечек.
• Репутационный крах: роскомнадзор публикует данные о нарушителях в открытом реестре. Доверие клиентов, подорванное утечкой, восстановить сложнее, чем заплатить штраф.
• Блокировка ресурса: за систематические нарушения или отказ локализовать данные РКН вправе ограничить доступ к сайту.

Что это значит для вас?
Если ваш сайт:

• использует Google Analytics, Facebook Pixel, зарубежные формы (Typeform, JotForm) или хостинг за границей;
• собирает данные без явного согласия (чекбокс);
• не имеет актуальной Политики конфиденциальности / страницы согласия;
• не подал уведомление в Роскомнадзор — вы в зоне риска уже сейчас.

Изменения 152-ФЗ в 2025

Поправки к 152-ФЗ ужесточают правила работы с персональными данными (ПДн) россиян. Ключевые требования Роскомнадзора, которые повлияют на ваш сайт:

1. Локализация данных — приоритет №1 (с 1 июля 2025):
   • Суть: Первичное хранение и обработка ПДн граждан РФ должны происходить на серверах в России.
   • Что попадает под запрет:
     • Использование зарубежных сервисов, которые хранят ПДн за пределами РФ без выполнения требований закона (Google Analytics, Facebook Pixel, зарубежные хостинги, формы, облака).
     • Важно: Это касается всех ПДн, включая IP-адреса, cookie, email, телефоны, ФИО .

2. Штрафы вырастают в разы (с 30 мая 2025). Об этом говорили выше.
3. Согласие: явное, информированное, подробное:
   • Предустановленные галочки — запрещены. Согласие должно быть активным действием пользователя (проставить галочку самому) .
   • Информированность. Пользователь должен четко понимать:
     • Какие именно данные собираются (ФИО, email, телефон, cookie).
     • Конкретные цели обработки («отправка новостей», «оформление заказа», «аналитика поведения»).
     • Срок хранения данных или действия согласия.
     • Способ отзыва согласия (например, email: [email protected]).
   • Cookie = ПДн: Согласие теперь обязательно и на установку необязательных cookie (аналитика, ретаргетинг). Баннеры с одной кнопкой «Принять» больше недостаточно — нужна кнопка «Отклонить» .
4. Биометрия под особым контролем. Для обработки биометрических данных (даже для «безобидной» примерки очков онлайн) требуется:
   • Отдельное, явное письменное согласие (не чекбокс в общей форме).
   • Аккредитованная система обработки биометрии .
5. Уведомление в РКН: проверьте актуальность. В 2025 помеенялась форма для уведомлениеяо сборе ПДн.

Переходим на портал Роскомнадзора → Смотрим в реестр на наличие вашей информации → Выбираем способ электронной подачи (нужна авторизация через Госуслуги).

Отмечаем цель обработки и категории ПД:

Выбираем способы сбора персональных данных и нажимаем «Добавить цель обработки»:

Указываем, какиими способами осущеествляется обработка:

И у какой аудитории собирается информация:

2. Кто обязан: Почти все, кто обрабатывает ПДн (включая сбор через формы обратной связи или аналитику).
3. Новая форма: Уведомление нужно подавать по новой форме (утверждена Приказом РКН №180) .
4. Старые уведомления: Если вы подавали уведомление до 2024 года, велика вероятность, что оно устарело (особенно раздел «Список информационных систем»).

Как проверить сайт на соответствие закону

Шаг 1: Аудит
Прежде чем что-то менять, проведите детальную проверку сайта. Где искать риски?

• Зарубежные сервисы — стоп-лист:
  Проверьте все внешние скрипты и интеграции. Опасны:
  • Аналитика: Google Analytics, Facebook Pixel → Меняем на Яндекс.Метрику (убедитесь в настройке серверов РФ).
  • Виджеты/чаты: Intercom, Tawk.to → Российские аналоги: JivoSite, Calltouch.
  • Реклама: Google Ads, Meta (Facebook/Instagram) Ads → Переходим на Яндекс.Директ, VK Реклама.
  • Формы: Google Forms, Typeform → Используйте формы вашей CMS (1С-Битрикс, WordPress плагины) или Formoza.
  • Другое: Google Fonts, CDN (Cloudflare), иконки FontAwesome → Заменяйте на локальное подключение или российские CDN (CDNvideo).
• Хостинг и данные: где физически лежит информация?
  • Если хостинг зарубежный → Срочно переносите сайт на российский (Selectel, Timeweb, Beget) или подайте уведомление о трансграничной передаче в РКН (через rkn.gov.ru).
  • Где хранится база данных (имена, телефоны, email)? Серверы должны быть в РФ.
  • Используете облако (Google Drive, Dropbox) для бэкапов с ПДн? → Переходите на Яндекс.Диск, S3 Storage в РФ.
• Формы и согласия: Проверьте каждую точку сбора:
  • Есть ли чекбокс согласия? Предустановленная галочка = нарушение.
  • Ссылается ли чекбокс на:
    • Актуальную Политику конфиденциальности (/privacy-policy);
    • Страницу/форму согласия (/consent) с целями, сроками и способом отзыва?
  • Cookie-баннер: Не просто «Ок», а кнопки «Принять» и «Отклонить» необязательные куки (аналитика, реклама).

Шаг 2: Документы — Легализуйте обработку данных
Без правильных документов даже технически безупречный сайт нарушает закон. Что срочно создать/обновить?

1. Политика Конфиденциальности:
   • Не используйте шаблон, пишите конкретно под ваш сайт:
     • Какие данные собираете: ФИО, email, телефон, IP, cookie (с указанием типов).
     • Зачем (цели): «Оформление заказа», «Ответ на запрос», «Аналитика посещаемости», «Рекламный таргетинг».
     • Как защищаете: «Шифрование SSL», «Ограничение доступа», «Регулярные обновления ПО».
     • Сроки хранения: «3 года после последнего взаимодействия» или «До отзыва согласия».
     • Кому передаете данные (если передаете): Партнеру по доставке, платежному агрегатору.
2. Согласие на Обработку ПДн:
   • Вариант 1: Отдельная страница (/consent) с формой/текстом.
   • Вариант 2: Развернутый блок в каждой форме сбора данных (под чекбоксом).
   • Что обязательно указать:
     • Конкретную цель обработки («для отправки счета», «для записи на консультацию»).
     • Перечень данных (ФИО, телефон, email).
     • Срок действия согласия или хранения данных («5 лет», «до отзыва»).
     • Ясный способ отозвать согласие! Пример: «Напишите на email dpo@ваш-сайт.ru с темой «Отзыв согласия».

Заключение

Изменения в 152-ФЗ с 30 мая и 1 июля 2025 года требуют немедленных действий: замените зарубежные сервисы на российские аналоги, перенесите хостинг в РФ, создайте прозрачную политику конфиденциальности и страницу согласия. Аудит сайта и подача уведомления в Роскомнадзор — обязательные шаги для минимизации штрафов до 20 млн рублей и потери доверия клиентов.