1 сентября заработали новые положения закона о персданных. Для нас всех это новые правила и ответственность — штрафы до 15 000 000 рублей. Подготовиться успели далеко не все.
Сейчас РКН приступил к проверкам и мы уже получили одно из первых «писем счастья». Давайте посмотрим, на что теперь обращает внимание РКН и как не попасть на новые штрафы.

Сначала кратко напомню детали изменений в законах, а потом разберем конкретное предписание.
Изменения в законах по части персданных коснулись практически всех
Проверьте себя:
— Есть форма обратной связи на сайте?
— Собираете заявки через соцсети?
— Ведете базу клиентов в CRM?
— Работаете с юрлицами (записываете ФИО контактных лиц)?
— Используете Google Analytics или Яндекс.Метрику?
Если ответ хотя бы на один вопрос «да» — значит эта история касается и вас.
А использование гугл-аналитики, к слову, по нынешним меркам — трансграничная передача персданных в недружественную страну. Если еще не отключали — отключите.
За что теперь штрафуют: конкретные суммы
Персональные данные — это любая информация, по которой можно определить человека. ФИО, телефон, email. Если их обработка идет неправильно, этого уже достаточно для штрафа (ст. 13.11 КоАП РФ).
100-300 тысяч рублей — за неуведомление Роскомнадзора о начале обработки. Да, теперь нужно официально уведомлять власти, что наш сайт собирает контакты.
100-300 тысяч рублей — за сбор данных без согласия пользователя или за избыточный сбор. Например, на сайте нет правильной галочки для выражения согласия на обработку персданных, или документы по персданным составлены неверно.
1 000 000 - 15 000 000 рублей — за утечку персональных данных. Сумма зависит от масштаба утечки
Первая «ласточка» — Роскомнадзор проверил сайт предпринимателя и выдал предписание
Раньше мы читали новые изменения в законах и только предполагали, как Роскомнадзор будет их применять.
Сейчас Роскомнадзор запустил проверки предпринимателей и начал выдавать требования по устранению нарушений.
Одно из первых требований получил предприниматель из Тюмени. У него студия растяжки. У студии есть обычный сайт-лендинг, через который собирают заявки от клиентов.
Никто никуда не жаловался: Роскомнадзор провел проверку сайта по своей инициативе и прислал «письмо счастья».
Давайте посмотрим, на что указал Роскомнадзор, чем могут обернуться найденные нарушения и как их устранить, чтобы не попасть в такую ситуацию.
Расскажу обо всех пунктах, которые отметил РКН и покажу скриншоты из этого документа.
На сайте нет «галочки» для того, чтобы пользователь подтвердил согласие на обработку персданных
По закону предприниматель должен ознакомить посетителя сайта с политикой по персданным и получить согласие. На практике чаще всего на сайтах делают так:
— под кнопкой «оставить заявку» просто ставят ссылки на эти документы
— ставят ссылки и галочку «ознакомлен», которая по умолчанию уже стоит
— ставят ссылки и галочку «ознакомлен», но чтобы заявка отправилась, на галочку нужно кликнуть
Как я рассказывал в прошлых обзорах, варианты «просто ссылки» и даже «предустановленная галочка» — это не является правильным подтверждением согласия.
Роскомнадзор считает, что посетитель сайта, который оставляет заявку, должен иметь возможность вручную ставить галочку, подтверждающую согласие.
Вот как это выглядит не просто в теории и законах, а в требовании Роскомнадзора:

Если на сайте стоит Яндекс.Метрика, то нужно уведомлять посетителей о ее использовании и получать на это согласие
Как показала практика, Роскомнадзор действительно вычитывает документы по обработки персданных на сайте.
В этом случае Роскомнадзор не увидел в документах положений об использовании Яндекс-Метрики. А они там должны были быть.

Роскомнадзор проверяет содержание политики обработки персданных
Условия в политике по персданным не должны идти вразрез с тем, что написано в текущей редакции наших законов.
В этом случае Роскомнадзор обратил внимание на неправильно установленный срок обработки персданных:

Роскомнадзор проверяет фотографии сотрудников
На сайте студии растяжки есть фотографии тренеров. И Роскомнадзор посчитал, что раз фотографии это тоже персданные, то предприниматель должен подтвердить, что его тренеры давали согласие на их использование.
При этом Роскомнадзор указал, что на сайте нет ни подтверждения наличия согласия от тренеров, ни запрета третьим лицам использовать эти фотографии.

Роскомнадзор проверяет, уведомлял ли предприниматель об обработке персданных
У Роскомнадзора есть специальный Реестр операторов, осуществляющих обработку персданных.
По сути, сейчас каждый предприниматель должен уведомить Роскомнадзор об обработке этих самых данных. В противном случае — штраф от 100 до 300 тысяч рублей.
Как показывает практика, Роскомнадзор действительно проверяет, подавал ли предприниматель такое уведомление или нет:

Чем может обернуться такое требование
На исполнение требований Роскомнадзор дает всего 10 рабочих дней. За это время нужно успеть внести все правки в сайт и документы, и уведомить об этом РКН.
Несвоевременное исправление — штраф до 90 тысяч рублей по п.5. ст 13.11 КоАП РФ.
При этом далеко не факт, что даже выполнив требования Роскомнадзора предприниматель не получит штрафов за выявленные нарушения.
Ведь факт нарушения выявлен и он уже состоялся. Нельзя исключать вероятность того, что за первым требованием придет второе.
Поэтому имеет смысл проверить себя заранее, чтобы не получать такие требования вовсе.

Что должно быть на сайте: 4 обязательных элемента
1. Политика обработки персональных данных
Документ должен содержать:
общие цели;
цели сбора персональных данных;
правовые основания обработки персональных данных
объем и категории обрабатываемых данных, категории субъектов персональных данных;
порядок и условия обработки персональных данных;
актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным.
2. Согласие на обработку персональных данных
Отдельный документ. Это письменное подтверждение, что человек готов передать свои данные.
3. Правильные чекбоксы под всеми формами
Раньше все ставили «Отправляя заявку, вы соглашаетесь...». Теперь так нельзя.
Как должно быть:
Отдельная галочка под каждой формой
Галочка НЕ проставлена по умолчанию
Без галочки форму отправить невозможно
В тексте ссылки на политику и согласие
4. Уведомление об использовании cookies
Всплывающее окно о том, что сайт использует куки для аналитики и улучшения работы.
На все общие вопросы отвечаю в комментариях.
Если надо спросить что-то частное для себя или своей компании, например, ваше название или лого посмотреть-проверить по настоящим базам, разобраться с регистрацией товарного знака, патентом или судом — пишите мне в личку в телеграме @bchlf
Если вам в целом интересна тема защиты своих интеллектуальных прав — у меня есть небольшой телеграм-канал «Клуб правообладателей».
Недавно написал и опубликовал в канале небольшую методичку «Как теряют миллионы на компенсациях и штрафах» — без смс и регистраций собрал в табличку типичные ошибки, на которых теряют деньги, и расписал, что по моей практике стоит делать заранее, чтобы не влететь.
Комментарии (33)
VitaminND
08.10.2025 12:25Здравствуйте!
Если форма обратной связи содержит только сообщение и обратный email, или например, для форума нужно ввести только email - разве это персданные?
Нужно для этого какие либо галочки о согласии проставлять?Assidis
08.10.2025 12:25ну по мнению РКН у нас всё относится к персданным, доже то что к ним не относится (пункт про согласие на куки и яндекс метрику)
alexeybashuk Автор
08.10.2025 12:25Адрес электронной почты по мнению Роскомнадзора относится к категории персональных данных. Даже без дополнительной информации типа имени или номера телефона такой идентификатор является персональными данными (из публичного семинара для операторов персональных данных (письмо Минцифры от 17 марта 2022 г. N П25-5623-ОГ "О возможности отнесения адреса электронной почты к персональным данным").
Но вообще это спорная история, есть решения судов, где вполне справедливо отмечали, что по одной только почте человека нельзя идентифицировать, а значит это не персданные.
ruomserg
08.10.2025 12:25Правильный порядок действия для ИП:
Повесить на свой российский домент заглушку "на реконструкции" (и оставить его для того чтобы списывать затраты не вызывая подозрений)
Зарегистрировать домен вне RU/SU - или использовать прокладку чтобы домен не был напрямую связан с ИП оказывающим услуги
На несвязанном домене вернуть сайт, и работать как работал
На любые вопросы РКН - указывать что представительством предприятия в сети Интернет является ("сайт на реконструкции"), а к тому, другому сайту, имярек отношения не имеет.
ИМХО РКН поставили план по добыче штрафов, и они прикрутили краулер и нейронку. Тут давеча Россельхознадзор плакал что после введения ИИ - у них количество выявленных нарушений возрасло в 160000 (сто шестьдесят тысяч!) раз - и они не справляются штамповать столько административных дел (и было бы неплохо чтобы ИИ напрямую штрафовал поднадзорных субъектов!
"Война дорого обходится стране - казна пустеет, милорд..." (С) Ришелье
M_AJ
08.10.2025 12:25На любые вопросы РКН - указывать что представительством предприятия в сети Интернет является ("сайт на реконструкции"), а к тому, другому сайту, имярек отношения не имеет
Очень сомневаюсь, что такой финт прокатит, когда РКН подаст в суд.
ruomserg
08.10.2025 12:25Тогда следующим шагом - делаем на неподконтрольном хостинге сайт собирающий личные данные в пользу АО "Газпром", ПАО "Промсвязьбанк" и далее по списку "голубые фишки ММВБ". Как суд должен разобраться, что некий сайт за пределами РФ имеет отношение к ИП Пупкин В.А - а такой же сайт к Газпрому - нет ?
В смысле я понимаю - будет телефонный звонок, еще и не в том разберутся! Но масштаб не тот - и арбитражные суды все-таки пытаются соблюдать единообразие практики...
LinkToOS
08.10.2025 12:25казна пустеет, милорд..."
Такая трактовка конечно напрашивается, особенно на фоне призывов Матвиенко отбирать доходы у безработных, для оплаты бесплатной медпомощи.
Но с другой стороны, масштабы мошенничества это тоже серьезный повод для всяких резких движений. Если бы целью были только поборы в казну, то размер штрафов делали бы меньше, количество потенциальных "нарушителей" больше, а требования практически невыполнимыми. Чтобы дешевле было "отстегнуть и забыть", чем неукоснительно соблюдать, или обжаловать несправедливость.Popadanec
08.10.2025 12:25И как это должно помочь против мошенничества? Сливы перс данных как были, так и будут(да и слито уже всё), мошеннические сайты же нужно блокировать, а не делать запросы.
mixsture
08.10.2025 12:25Предлагаю альтернативу: убираем все поля, кроме текста.
Сверху пишем: если хотите, чтобы мы направили вам ответ - укажите email/телефон в тексте, а если не хотите - не пишите.Все, вы ничего не собираете! Ни к чему не принуждаете.
Настраиваем что-то для извлечения email/телефона из текста: хотите старым способом (регулярными выражениями), хотите новыми (нейронкой). Но РКН об этом без доскональной проверке не узнает.
Assidis
08.10.2025 12:25очень интересный пункт про фотографии. а где в законе написано что я должен публиковать согласия на сайте? собрать должен, да.
Yukr
08.10.2025 12:25Скажите,Алексей, если мой сайт в зоне .com, на английском языке , надо ли мне переводить политику обработки ПД на английский?
И что делать с английской версией сайта .ru (когда переключаешь язык кнопкой) ?
Kahelman
08.10.2025 12:25Мораль сей басни такова: make email great again
Оставляйте вместо формы с запросом емейла линк, который при нажатии откроет emailпрограмму у клиента и пошлет вам емейл с предустановленным заголовком.
Получите емейл клиента, а поскольку он вам его отправил то согласие на обработку персональных данных не тебуетсся
Шах и мат Роскомнадзору :)
diakin
08.10.2025 12:25Ну вот на сайте есть наш email. Посетитель шлет на него письмо. Это как считается?
alexeybashuk Автор
08.10.2025 12:25Штука в том, что РКН считает, что даже сам по себе емейл — это персданные. Некоторые суды с ним, правда, не соглашаются, но тем не менее.
Kahelman
08.10.2025 12:25Это если вы его в форме спросили. А если вам емейл прислали то это нельзя считать персональными данными. Так же как если я вам письмо пошлю по почте со своим обратным адресом. Я не собирал вы сами передали
Rubiorif
08.10.2025 12:25Не совсем так. Отправка письма действительно подразумевает добровольное сообщение данных, но последующая их систематизация (например, в CRM) всё равно подпадает под закон о персданных
out0f0rder
08.10.2025 12:25Тоже пришла в голову мысль: а как связать сайт и конкретного предпринимателя? Что если сделать сайт как бы под конкурента и нарушить там все, что можно (даже "случайно" список "клиентов" засветить)? Бедный конкурент может от штрафа и отбрехается, но нервов знатно потратит.
Rubiorif
08.10.2025 12:25Фальсификация доказательств легко превращается в фабрикацию преступления. Это путь к уголовному делу, блокировкам и репутационному краху. Не стоит..
edogs
08.10.2025 12:25Как сейчас и в интернете - не знаем. А нашему клиенту где-то в 2021 прилетел огромный штраф за рекламу, к которой он отношения никакого не имел (точно не имел, там даже услуги были те, которые он не умел оказывать при всем желании), просто потому что "Ваш телефон - значит реклама Ваша, можете подать регрессивный иск к тому кто эту рекламу за Вас разместил". И у нас тогда было ощущение, что это нормальная практика, чьи реквизиты нашли - тому штраф и влепили.
diakin
08.10.2025 12:25Снес всю аналитику. Куки, как понимаю, при этом тоже не собираются? На страницах скриптов нет, только html.
Rubiorif
08.10.2025 12:25Теперь даже лендинг с формой обратной связи превращается в юридическое минное поле
SergioPrieto
08.10.2025 12:25А у меня техническо-юридические вопросы:
Как было направлено письмо? Я вижу, что это письмо в формате PDF (традиционно), но как был выявлен конкретный электронный адрес предпринимателя? Указан, как адрес собственника доменного имени? Или компания-хостер предоставила? Или на сайте был размещен?
Адрес сайта в студию! Имя компании-хостера в студию!
Компания ИП занимается "растяжкой" в Тюмени. Но никто не жаловался. Сомнительно... Ну... ОК. Нет ли здесь подоплеки иного характера, когда ИП просто перешел дорогу, скажем, жене какого-нибудь уважаемого человека, которая обладает множеством талантов, но предпринимательство в сфере "растяжки" в них не входит, а бизнес ей муж уже купил?
Лендинг был привязан к конкретному офлайн-бизнесу. А если это сайт объявлений? Форум? Справочник?
Доменная зона насколько важна?
edogs
08.10.2025 12:25На нескольких своих сайтах сделали лайт ребрендинг.
Куки убрали вообще, там где надо переделали на сессии.
Контактные формы из "Ваш телефон" и "Ваше ФИО" переделали на нечто в стиле "По какому телефону Вас набрать" и "Как к Вам обращаться при звонке".
От передачи персональных данных клиентов это естественно не защищает, но собственно персональные данные могут и просто так на контактную почту прислать - это этого никто не защищен, главное что персональные данные мы больше не запрашиваем и соответственно не обрабатываем.
RalphMirebs
08.10.2025 12:25На исполнение требований Роскомнадзор дает всего 10 рабочих дней. За это время нужно успеть внести >все правки в сайт и документы, и уведомить об этом РКН.
А если просто отключить сайт, то будет "у меня лапки"?
Исправить за 60 дней и потом включить?
flower9
08.10.2025 12:25Должна ли я, как пользователь, чувствовать себя более защищенной от этого закона? Есть ощущение, что как всегда это повлияет только на простых работяг-ИПшников, а реальные злоумышленники действуют через сайты-однодневки или просто взламывают базы данных. Что говорить, если популярные схемы развода включают госуслуги?
Как у обывателя, у меня такой вопрос – если я запускаю гугл-форму на своей личной странице в соцсети, и там есть поле "ФИО" – это сбор персданных?
travacry
08.10.2025 12:25Мне вот итересно как и насколько будут штрафовать КВАДРО, за излишюю кастомизацию для УК и саму УК.
Как пример, оказывается они предоставляют функционал любой УК позволяющий отключить вкладку Обращения. Проще говоря, после того как вы загрузили туда обращения (юридически значимые доки в РФ, см. определение), УК подтвердила, что их получила, и даже взяла в работу. Внезапно оказывается, что у пользователей пропадает сама вкладка со всеми доками.
Keks650
Что если форма обратной связи встроена через фрейм условного ucoz? Она считается формой обратной связи конечного сайта или ucoz?
ainu
Да
hphphp
Классный ответ)
yarkov
Анекдот №843740