1 сентября заработали новые положения закона о персданных. Для нас всех это новые правила и ответственность — штрафы до 15 000 000 рублей. Подготовиться успели далеко не все.

Сейчас РКН приступил к проверкам и мы уже получили одно из первых «писем счастья». Давайте посмотрим, на что теперь обращает внимание РКН и как не попасть на новые штрафы.

По всей стране началось: Роскомнадзор приступил к проверкам и начал рассылать предпринимателям первые требования по новому закону

Сначала кратко напомню детали изменений в законах, а потом разберем конкретное предписание.

Изменения в законах по части персданных коснулись практически всех

Проверьте себя:

— Есть форма обратной связи на сайте?
— Собираете заявки через соцсети?
— Ведете базу клиентов в CRM?
— Работаете с юрлицами (записываете ФИО контактных лиц)?
— Используете Google Analytics или Яндекс.Метрику?

Если ответ хотя бы на один вопрос «да» — значит эта история касается и вас.

А использование гугл-аналитики, к слову, по нынешним меркам — трансграничная передача персданных в недружественную страну. Если еще не отключали — отключите.

За что теперь штрафуют: конкретные суммы

Персональные данные — это любая информация, по которой можно определить человека. ФИО, телефон, email. Если их обработка идет неправильно, этого уже достаточно для штрафа (ст. 13.11 КоАП РФ).

100-300 тысяч рублей — за неуведомление Роскомнадзора о начале обработки. Да, теперь нужно официально уведомлять власти, что наш сайт собирает контакты.

100-300 тысяч рублей — за сбор данных без согласия пользователя или за избыточный сбор. Например, на сайте нет правильной галочки для выражения согласия на обработку персданных, или документы по персданным составлены неверно.

1 000 000 - 15 000 000 рублей — за утечку персональных данных. Сумма зависит от масштаба утечки

Первая «ласточка» — Роскомнадзор проверил сайт предпринимателя и выдал предписание

Раньше мы читали новые изменения в законах и только предполагали, как Роскомнадзор будет их применять.

Сейчас Роскомнадзор запустил проверки предпринимателей и начал выдавать требования по устранению нарушений.

Одно из первых требований получил предприниматель из Тюмени. У него студия растяжки. У студии есть обычный сайт-лендинг, через который собирают заявки от клиентов.

Никто никуда не жаловался: Роскомнадзор провел проверку сайта по своей инициативе и прислал «письмо счастья».

Давайте посмотрим, на что указал Роскомнадзор, чем могут обернуться найденные нарушения и как их устранить, чтобы не попасть в такую ситуацию.

Расскажу обо всех пунктах, которые отметил РКН и покажу скриншоты из этого документа.

На сайте нет «галочки» для того, чтобы пользователь подтвердил согласие на обработку персданных

По закону предприниматель должен ознакомить посетителя сайта с политикой по персданным и получить согласие. На практике чаще всего на сайтах делают так:

— под кнопкой «оставить заявку» просто ставят ссылки на эти документы

— ставят ссылки и галочку «ознакомлен», которая по умолчанию уже стоит

— ставят ссылки и галочку «ознакомлен», но чтобы заявка отправилась, на галочку нужно кликнуть

Как я рассказывал в прошлых обзорах, варианты «просто ссылки» и даже «предустановленная галочка» — это не является правильным подтверждением согласия.

Роскомнадзор считает, что посетитель сайта, который оставляет заявку, должен иметь возможность вручную ставить галочку, подтверждающую согласие.

Вот как это выглядит не просто в теории и законах, а в требовании Роскомнадзора:

По всей стране началось: Роскомнадзор приступил к проверкам и начал рассылать предпринимателям первые требования по новому закону

Если на сайте стоит Яндекс.Метрика, то нужно уведомлять посетителей о ее использовании и получать на это согласие

Как показала практика, Роскомнадзор действительно вычитывает документы по обработки персданных на сайте.

В этом случае Роскомнадзор не увидел в документах положений об использовании Яндекс-Метрики. А они там должны были быть.

По всей стране началось: Роскомнадзор приступил к проверкам и начал рассылать предпринимателям первые требования по новому закону

Роскомнадзор проверяет содержание политики обработки персданных

Условия в политике по персданным не должны идти вразрез с тем, что написано в текущей редакции наших законов.

В этом случае Роскомнадзор обратил внимание на неправильно установленный срок обработки персданных:

По всей стране началось: Роскомнадзор приступил к проверкам и начал рассылать предпринимателям первые требования по новому закону

Роскомнадзор проверяет фотографии сотрудников

На сайте студии растяжки есть фотографии тренеров. И Роскомнадзор посчитал, что раз фотографии это тоже персданные, то предприниматель должен подтвердить, что его тренеры давали согласие на их использование.

При этом Роскомнадзор указал, что на сайте нет ни подтверждения наличия согласия от тренеров, ни запрета третьим лицам использовать эти фотографии.

По всей стране началось: Роскомнадзор приступил к проверкам и начал рассылать предпринимателям первые требования по новому закону

Роскомнадзор проверяет, уведомлял ли предприниматель об обработке персданных

У Роскомнадзора есть специальный Реестр операторов, осуществляющих обработку персданных.

По сути, сейчас каждый предприниматель должен уведомить Роскомнадзор об обработке этих самых данных. В противном случае — штраф от 100 до 300 тысяч рублей.

Как показывает практика, Роскомнадзор действительно проверяет, подавал ли предприниматель такое уведомление или нет:

По всей стране началось: Роскомнадзор приступил к проверкам и начал рассылать предпринимателям первые требования по новому закону

Чем может обернуться такое требование

На исполнение требований Роскомнадзор дает всего 10 рабочих дней. За это время нужно успеть внести все правки в сайт и документы, и уведомить об этом РКН.

Несвоевременное исправление — штраф до 90 тысяч рублей по п.5. ст 13.11 КоАП РФ.

При этом далеко не факт, что даже выполнив требования Роскомнадзора предприниматель не получит штрафов за выявленные нарушения.

Ведь факт нарушения выявлен и он уже состоялся. Нельзя исключать вероятность того, что за первым требованием придет второе.

Поэтому имеет смысл проверить себя заранее, чтобы не получать такие требования вовсе.

По всей стране началось: Роскомнадзор приступил к проверкам и начал рассылать предпринимателям первые требования по новому закону

Что должно быть на сайте: 4 обязательных элемента

1. Политика обработки персональных данных

Документ должен содержать:

  • общие цели;

  • цели сбора персональных данных;

  • правовые основания обработки персональных данных

  • объем и категории обрабатываемых данных, категории субъектов персональных данных;

  • порядок и условия обработки персональных данных;

  • актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным.

2. Согласие на обработку персональных данных

Отдельный документ. Это письменное подтверждение, что человек готов передать свои данные.

3. Правильные чекбоксы под всеми формами

Раньше все ставили «Отправляя заявку, вы соглашаетесь...». Теперь так нельзя.

Как должно быть:

  • Отдельная галочка под каждой формой

  • Галочка НЕ проставлена по умолчанию

  • Без галочки форму отправить невозможно

  • В тексте ссылки на политику и согласие

4. Уведомление об использовании cookies

Всплывающее окно о том, что сайт использует куки для аналитики и улучшения работы.

На все общие вопросы отвечаю в комментариях.

Если надо спросить что-то частное для себя или своей компании, например, ваше название или лого посмотреть-проверить по настоящим базам, разобраться с регистрацией товарного знака, патентом или судом — пишите мне в личку в телеграме @bchlf

Если вам в целом интересна тема защиты своих интеллектуальных прав — у меня есть небольшой телеграм-канал «Клуб правообладателей».

Недавно написал и опубликовал в канале небольшую методичку «Как теряют миллионы на компенсациях и штрафах» — без смс и регистраций собрал в табличку типичные ошибки, на которых теряют деньги, и расписал, что по моей практике стоит делать заранее, чтобы не влететь.

Комментарии (33)


  1. Keks650
    08.10.2025 12:25

    Что если форма обратной связи встроена через фрейм условного ucoz? Она считается формой обратной связи конечного сайта или ucoz?


    1. ainu
      08.10.2025 12:25

      Да


      1. hphphp
        08.10.2025 12:25

        Классный ответ)


      1. yarkov
        08.10.2025 12:25

        Анекдот №843740


  1. VitaminND
    08.10.2025 12:25

    Здравствуйте!

    Если форма обратной связи содержит только сообщение и обратный email, или например, для форума нужно ввести только email - разве это персданные?

    Нужно для этого какие либо галочки о согласии проставлять?


    1. Assidis
      08.10.2025 12:25

      ну по мнению РКН у нас всё относится к персданным, доже то что к ним не относится (пункт про согласие на куки и яндекс метрику)


    1. alexeybashuk Автор
      08.10.2025 12:25

      Адрес электронной почты по мнению Роскомнадзора относится к категории персональных данных. Даже без дополнительной информации типа имени или номера телефона такой идентификатор является персональными данными (из публичного семинара для операторов персональных данных (письмо Минцифры от 17 марта 2022 г. N П25-5623-ОГ "О возможности отнесения адреса электронной почты к персональным данным").

      Но вообще это спорная история, есть решения судов, где вполне справедливо отмечали, что по одной только почте человека нельзя идентифицировать, а значит это не персданные.


  1. ruomserg
    08.10.2025 12:25

    Правильный порядок действия для ИП:

    • Повесить на свой российский домент заглушку "на реконструкции" (и оставить его для того чтобы списывать затраты не вызывая подозрений)

    • Зарегистрировать домен вне RU/SU - или использовать прокладку чтобы домен не был напрямую связан с ИП оказывающим услуги

    • На несвязанном домене вернуть сайт, и работать как работал

    • На любые вопросы РКН - указывать что представительством предприятия в сети Интернет является ("сайт на реконструкции"), а к тому, другому сайту, имярек отношения не имеет.

    ИМХО РКН поставили план по добыче штрафов, и они прикрутили краулер и нейронку. Тут давеча Россельхознадзор плакал что после введения ИИ - у них количество выявленных нарушений возрасло в 160000 (сто шестьдесят тысяч!) раз - и они не справляются штамповать столько административных дел (и было бы неплохо чтобы ИИ напрямую штрафовал поднадзорных субъектов!

    "Война дорого обходится стране - казна пустеет, милорд..." (С) Ришелье


    1. M_AJ
      08.10.2025 12:25

      На любые вопросы РКН - указывать что представительством предприятия в сети Интернет является ("сайт на реконструкции"), а к тому, другому сайту, имярек отношения не имеет

      Очень сомневаюсь, что такой финт прокатит, когда РКН подаст в суд.


      1. ruomserg
        08.10.2025 12:25

        Тогда следующим шагом - делаем на неподконтрольном хостинге сайт собирающий личные данные в пользу АО "Газпром", ПАО "Промсвязьбанк" и далее по списку "голубые фишки ММВБ". Как суд должен разобраться, что некий сайт за пределами РФ имеет отношение к ИП Пупкин В.А - а такой же сайт к Газпрому - нет ?

        В смысле я понимаю - будет телефонный звонок, еще и не в том разберутся! Но масштаб не тот - и арбитражные суды все-таки пытаются соблюдать единообразие практики...


        1. verssetty
          08.10.2025 12:25

          Им проще в реестр внести и накидать штрафов не подъемных


    1. LinkToOS
      08.10.2025 12:25

      казна пустеет, милорд..."

      Такая трактовка конечно напрашивается, особенно на фоне призывов Матвиенко отбирать доходы у безработных, для оплаты бесплатной медпомощи.
      Но с другой стороны, масштабы мошенничества это тоже серьезный повод для всяких резких движений. Если бы целью были только поборы в казну, то размер штрафов делали бы меньше, количество потенциальных "нарушителей" больше, а требования практически невыполнимыми. Чтобы дешевле было "отстегнуть и забыть", чем неукоснительно соблюдать, или обжаловать несправедливость.


      1. Popadanec
        08.10.2025 12:25

        И как это должно помочь против мошенничества? Сливы перс данных как были, так и будут(да и слито уже всё), мошеннические сайты же нужно блокировать, а не делать запросы.


    1. mixsture
      08.10.2025 12:25

      Предлагаю альтернативу: убираем все поля, кроме текста.
      Сверху пишем: если хотите, чтобы мы направили вам ответ - укажите email/телефон в тексте, а если не хотите - не пишите.

      Все, вы ничего не собираете! Ни к чему не принуждаете.

      Настраиваем что-то для извлечения email/телефона из текста: хотите старым способом (регулярными выражениями), хотите новыми (нейронкой). Но РКН об этом без доскональной проверке не узнает.


  1. Assidis
    08.10.2025 12:25

    очень интересный пункт про фотографии. а где в законе написано что я должен публиковать согласия на сайте? собрать должен, да.


  1. Yukr
    08.10.2025 12:25

    @alexeybashuk

    Скажите,Алексей, если мой сайт в зоне .com, на английском языке , надо ли мне переводить политику обработки ПД на английский?

    И что делать с английской версией сайта .ru (когда переключаешь язык кнопкой) ?


  1. Kahelman
    08.10.2025 12:25

    Мораль сей басни такова: make email great again

    Оставляйте вместо формы с запросом емейла линк, который при нажатии откроет emailпрограмму у клиента и пошлет вам емейл с предустановленным заголовком.

    Получите емейл клиента, а поскольку он вам его отправил то согласие на обработку персональных данных не тебуетсся

    Шах и мат Роскомнадзору :)


    1. diakin
      08.10.2025 12:25

      Ну вот на сайте есть наш email. Посетитель шлет на него письмо. Это как считается?


    1. alexeybashuk Автор
      08.10.2025 12:25

      Штука в том, что РКН считает, что даже сам по себе емейл — это персданные. Некоторые суды с ним, правда, не соглашаются, но тем не менее.


      1. Kahelman
        08.10.2025 12:25

        Это если вы его в форме спросили. А если вам емейл прислали то это нельзя считать персональными данными. Так же как если я вам письмо пошлю по почте со своим обратным адресом. Я не собирал вы сами передали


    1. Rubiorif
      08.10.2025 12:25

      Не совсем так. Отправка письма действительно подразумевает добровольное сообщение данных, но последующая их систематизация (например, в CRM) всё равно подпадает под закон о персданных


  1. out0f0rder
    08.10.2025 12:25

    Тоже пришла в голову мысль: а как связать сайт и конкретного предпринимателя? Что если сделать сайт как бы под конкурента и нарушить там все, что можно (даже "случайно" список "клиентов" засветить)? Бедный конкурент может от штрафа и отбрехается, но нервов знатно потратит.


    1. Rubiorif
      08.10.2025 12:25

      Фальсификация доказательств легко превращается в фабрикацию преступления. Это путь к уголовному делу, блокировкам и репутационному краху. Не стоит..


    1. edogs
      08.10.2025 12:25

      Как сейчас и в интернете - не знаем. А нашему клиенту где-то в 2021 прилетел огромный штраф за рекламу, к которой он отношения никакого не имел (точно не имел, там даже услуги были те, которые он не умел оказывать при всем желании), просто потому что "Ваш телефон - значит реклама Ваша, можете подать регрессивный иск к тому кто эту рекламу за Вас разместил". И у нас тогда было ощущение, что это нормальная практика, чьи реквизиты нашли - тому штраф и влепили.


  1. diakin
    08.10.2025 12:25

    Снес всю аналитику. Куки, как понимаю, при этом тоже не собираются? На страницах скриптов нет, только html.


  1. pae174
    08.10.2025 12:25

    CloudFlare теперь использовать нельзя?


  1. Rubiorif
    08.10.2025 12:25

    Теперь даже лендинг с формой обратной связи превращается в юридическое минное поле


  1. SergioPrieto
    08.10.2025 12:25

    А у меня техническо-юридические вопросы:

    1. Как было направлено письмо? Я вижу, что это письмо в формате PDF (традиционно), но как был выявлен конкретный электронный адрес предпринимателя? Указан, как адрес собственника доменного имени? Или компания-хостер предоставила? Или на сайте был размещен?

    2. Адрес сайта в студию! Имя компании-хостера в студию!

    3. Компания ИП занимается "растяжкой" в Тюмени. Но никто не жаловался. Сомнительно... Ну... ОК. Нет ли здесь подоплеки иного характера, когда ИП просто перешел дорогу, скажем, жене какого-нибудь уважаемого человека, которая обладает множеством талантов, но предпринимательство в сфере "растяжки" в них не входит, а бизнес ей муж уже купил?

    4. Лендинг был привязан к конкретному офлайн-бизнесу. А если это сайт объявлений? Форум? Справочник?

    5. Доменная зона насколько важна?


  1. edogs
    08.10.2025 12:25

    На нескольких своих сайтах сделали лайт ребрендинг.
    Куки убрали вообще, там где надо переделали на сессии.
    Контактные формы из "Ваш телефон" и "Ваше ФИО" переделали на нечто в стиле "По какому телефону Вас набрать" и "Как к Вам обращаться при звонке".
    От передачи персональных данных клиентов это естественно не защищает, но собственно персональные данные могут и просто так на контактную почту прислать - это этого никто не защищен, главное что персональные данные мы больше не запрашиваем и соответственно не обрабатываем.


  1. RalphMirebs
    08.10.2025 12:25

    На исполнение требований Роскомнадзор дает всего 10 рабочих дней. За это время нужно успеть внести >все правки в сайт и документы, и уведомить об этом РКН.

    А если просто отключить сайт, то будет "у меня лапки"?
    Исправить за 60 дней и потом включить?


  1. NotSlow
    08.10.2025 12:25

    пишите мне в личку в телеграме @bchlf

    а это сбор персданных?


  1. flower9
    08.10.2025 12:25

    Должна ли я, как пользователь, чувствовать себя более защищенной от этого закона? Есть ощущение, что как всегда это повлияет только на простых работяг-ИПшников, а реальные злоумышленники действуют через сайты-однодневки или просто взламывают базы данных. Что говорить, если популярные схемы развода включают госуслуги?

    Как у обывателя, у меня такой вопрос – если я запускаю гугл-форму на своей личной странице в соцсети, и там есть поле "ФИО" – это сбор персданных?


  1. travacry
    08.10.2025 12:25

    Мне вот итересно как и насколько будут штрафовать КВАДРО, за излишюю кастомизацию для УК и саму УК.

    Как пример, оказывается они предоставляют функционал любой УК позволяющий отключить вкладку Обращения. Проще говоря, после того как вы загрузили туда обращения (юридически значимые доки в РФ, см. определение), УК подтвердила, что их получила, и даже взяла в работу. Внезапно оказывается, что у пользователей пропадает сама вкладка со всеми доками.