Привет! Меня зовут Андрей, я разрабатываю Telegram-ботов в конструкторе «Бот в блокноте» и веду Телеграм-канал, где делюсь кейсами и советами по работе с ботами. Сегодня речь пойдёт в основном о сайтах — точнее, о том, что многие их владельцы даже не подозревают : с 30 мая 2025 года за нарушение правил обработки персональных данных можно получить штраф от 100 000 до 700 000 рублей .
Я часто общаюсь с предпринимателями и вижу: даже те, кто давно в бизнесе, не знают, что если на сайте есть форма с запросом имени или телефона — они уже считаются оператором ПД и обязаны соблюдать требования закона.
Многие думают, что формальная политика конфиденциальности, скачанная из интернета, спасёт. Это глубокое заблуждение. Кстати, эти правила касаются не только сайтов — Telegram-ботов тоже , если они собирают данные пользователей.
Кто попадает под закон?
Вы уже являетесь оператором ПД, если:
Собираете данные сотрудников
Есть форма на сайте (например, заявка, подписка, обратная связь);
Обрабатываете email-адреса или номера телефонов;
Ведёте учет клиентов, контрагентов или посетителей сайта.
Даже если у вас нет сайта, но есть отдел кадров — вы всё равно обязаны соблюдать требования закона.
Основные обязательства
1. Уведомление в Роскомнадзор
Если вы собираете персональные данные — до 30 мая 2025 года необходимо подать уведомление в Роскомнадзор о начале обработки персональных данных. Если вы этого не сделали еще есть время проскочить без штрафа. А штрафы очень весомые:
? Штраф за просроченное или отсутствующее уведомление: от 100 000 до 300 000 рублей.
2. Политика конфиденциальности
Обязательно разместите на сайте Политику обработки персональных данных. Если сайта нет — опубликуйте её на информационном стенде в офисе.
? Штраф за отсутствие политики: от 30 000 до 60 000 рублей.
3. Согласия на обработку данных
Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие. Без него любая обработка становится нарушением.
? Штраф за отсутствие согласия: от 300 000 до 700 000 рублей.
Примечание: для сотрудников согласие не требуется при исполнении трудовых обязанностей, но хранение личных документов (паспорта, военный билет) требует согласия.
4. Правила безопасности и инструкции
Вам нужно внедрить меры защиты персональных данных, а также разработать внутренний регламент действий в случае утечки.
? Штраф за утечку ПД может достигать 15 миллионов рублей и выше.
7 самых частых ошибок на сайте
Сбор данных без согласия пользователя Добавьте чек-боксы с ссылкой на политику и текст согласия.
Хранение данных за пределами РФ Переведите серверы в Россию или получите разрешение на трансграничную передачу.
Неактуальная или шаблонная политика конфиденциальности Она должна точно соответствовать вашим процессам.
Избыточный сбор данных Не запрашивайте лишнее — только то, что действительно нужно.
Использование cookies без уведомления Установите pop-up с запросом согласия на использование файлов.
Отправка уведомления в Роскомнадзор после начала обработки Это будет нарушением с 30 мая.
Отсутствие мер безопасности и регламента при утечке Подготовьтесь заранее — проверьте защиту и составьте план действий.
Что делать уже сейчас?
✅ Проверьте, подали ли вы уведомление в Роскомнадзор
✅ Обновите Политику конфиденциальности под реальные процессы ✅ Настройте формы с согласием на сайте
✅ Уберите лишние поля в формах
✅ Убедитесь, что данные хранятся в России или оформлено разрешение
✅ Обеспечьте безопасность персональных данных по требованиям 152-ФЗ
✅ Разработайте инструкции по защите ПД и действиям при утечке
Важно помнить
Эти требования касаются не только крупных компаний, но и малого бизнеса, ИП и даже самозанятых и физлиц. Чем больше вы собираете данных — тем больше ответственности.
До 30 мая осталось 10 дней. Не игнорируйте изменения — они затронут почти всех. Лучше подготовиться заранее, чем платить штрафы.
Комментарии (33)
noker81
19.05.2025 12:38Можно ли не ставить галку, а просто написать, "Нажимая кнопку Оправить, вы соглашаетесь..."?
linux-over
19.05.2025 12:38если я делаю следующий сайт:
люди регистрируются и покупают на нём какие-то услуги
люди видят части сайта в зависимости от оплаченного
То мне придётся держать
email/телефон - потому что логин/авторизация
список оплаченных услуг
И вот как правильно что мне делать?
ITShchen
19.05.2025 12:38Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие.
Так и вижу вместо уже ставшего классическим чекбоксом "Согласен" - поле для загрузки листа ознакомления подписанного КЭЦП. Ну или как минимум кнопку инициации запроса к криптопровайдеру или плагину для подтверждения действия с использованием СКЗИ. Кстати у MetaMask неплохо реализован запрос на подпись контракта криптокошельком, но как-то всё это не для бабушек, которые хотят подписаться на невинный гороскоп или узнать наличие валокордина в ближайшей аптеке.
Очень жаль, что при настолько прогрессирующей уже почти ПД-шизе, мы всё равно регулярно слышим о грандиозных сливах.. И отдельно хотелось возмутиться отсутствием прогрессивной шкалы исчисления размера штрафа. Всё-таки довольно сложно ставить в один ряд многомиллиардный ресурс и местечковый форум или сайт-визитку
select26
19.05.2025 12:38Не на прогрессивные, а на оборотные, наверное вы хотели сказать - зависящие от оборота компании.
nivorbud
19.05.2025 12:38И отдельно хотелось возмутиться отсутствием прогрессивной шкалы исчисления размера штрафа. Всё-таки довольно сложно ставить в один ряд многомиллиардный ресурс и местечковый форум или сайт-визитку
Так уже... ввели прогрессивную шкалу за утечку, начиная с 1000 единиц утекших данных. Только там есть нюанс - минимальный порог штрафа, который огромен. И если для крупной компании оборотный штраф в несколько процентов не смертелен, то для мелочи этот минимальный порог во многих случаях означает мгновенное закрытие и вероятно банкротство. А 1000 аккаунтов - это например, мелкий интернет магазинчик или форум/блог небольшой.
pavelsha
19.05.2025 12:38What is "КЭЦП"?
Мой Чатлано-Пацакский словарь вероятно не полон:
З. Ы. С 2011 года термин звучит как "Электронная Подпись". Поэтому
ПЭП, КЭП, НЭП, УНЭП, УКЭП
З. З. Ы. "Ц" в терминологии до 2010 года появилась наверное из-за того, что импортный лектор, который читал лекции авторам термина Элетронно-цифровая Подпись несколько заикался, и в конспект слушателей попало что-то вроде
"Ди-Дитжитал Сайгн" / "Дидж-Дидж Сайгс"
Ну а при переводе этих конспектов пришлось выкручиваться и плодить "масляное масло".
ALapinskas
19.05.2025 12:38Форма на сайте еще не означает, что данные как-то обрабатываются или хранятся в отрытом виде. Или в законе есть прямое указание на обратное?
ifap
19.05.2025 12:38если на сайте есть форма с запросом имени или телефона — они уже считаются оператором ПД
Судебная практика говорит, что это не так - есть позиции ВС и КС, по которым одно имя или телефон - не ПД.
RulenBagdasis
19.05.2025 12:38Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие. Без него любая обработка становится нарушением.
Вроде бы разрешено обрабатывать данные, необходимые для оказания услуги, безо всяких согласий. Вы, например, можете отозвать согласие у банка, но продолжать оставаться его клиентом. Все эти согласия давно стали фарсом.
ALapinskas
19.05.2025 12:38Эти требования касаются не только крупных компаний, но и малого бизнеса, ИП и даже самозанятых и физлиц. Чем больше вы собираете данных — тем больше ответственности.
Каждый хранит в своем телефоне ФИО и телефоны, знакомых, родственников, контрагентов, каждый получается оператор ПД.
mmxplorer
19.05.2025 12:38Отправка уведомления в Роскомнадзор после начала обработки Это будет нарушением с 30 мая.
А если до 30 мая успеть уведомить, что давно обрабатываешь, то не будет нарушением? )
BrazilMaterializator
19.05.2025 12:38Считаю РКН выдающейся в своей бесполезности шайкой паразитов. Это не эмоционально, это фактически.
В далёком году приезжали паразиты на завод и задали "коронный" вопрос. Получаем разрешение на обработку персданных, используем их, они уходят в архив, субъект отзывает разрешение. Наши действия с ПДн отозвавшего в архивах?
sse
> если на сайте есть форма с запросом имени или телефона — они уже считаются оператором ПД и обязаны соблюдать требования закона.
Довольно сильное утверждение, хотелось бы увидеть обоснование. Номер телефона в отрыве от ФИО или номера паспорта, или иных идентифицирующих сведений ("+7-905-909-99-99 Миша К.") не является персональными данными, т.к. нет лица, которое он однозначно идентифицирует
ialexander
Классическое определение персональных данных - это информация которая может идентифицировать человека прямо или косвенно с помощью других данных. Номер телефона определенно является персональными данными так как он позволяет уникально идентифицировать человека при наличии доступа к базе данных телефонных номеров.
При этом не так и важно есть у оператора доступ к этой базе данных или нет, важна сама возможность.
То же самое касается и IP адреса. Даже при динамических адресах, зная время и имея доступ к данным интернет провайдера теоретически можно идентифицировать человека.
Otard
Вряд ли это будет идентификация человека. Максимум компьютер, который был в сети, а вот кто им пользовался останется неизвестным.
ialexander
Я согласен, что это спорный момент и далеко не всегда компьютер == человек.
Тем не менее, к примеру, GDPR явно относит IP адреса к PII, формулировка в российском ФЗ-152 тоже позволяет отнести их к персональным данным
Это весьма широкой определение под которое могут попасть много неожиданных данных, даже данные геолокации (местоположение человека в рабочее время и местоположение в ночное часто позволяет практически однозначно определить человека).
Это не я сам придумал - научили на тренингах по PII. И хотя они были ориентированны в основном на западное законодательство GDPR, CCPA, HIPPA и тп, они точно так же широко формулируют персональные данные и общая рекомендация подходить к этому осторожно - даже если явно не сказано, что что-то это PII, относиться к ним так, если есть хоть какой-то способ идентифицировать человека с их помощью. И они могут быть персональными данными не в одном законе, так в другом, не сегодня так завтра.
sse
> Классическое определение персональных данных - это информация которая может идентифицировать человека прямо или косвенно с помощью других данных
Нет, в 152-ФЗ (раз мы в его контексте рассуждаем) дано другое определение, подменять его не следует.
А раз определение другое, то и рассуждения про IP тоже сомнительны
ialexander
И тем не менее Верховный суд в 2020 посчитал IP адрес персональными данными https://www.law.ru/question/163895-otnositsya-li-ip-adres-k-personalnym-dannym
nivorbud
Ведь по вашей ссылке четко сказано, что:
Так что практика неоднозначна.
Постановление 225-АПУ19-4 в открытом доступе не нашел, но, судя по ссылкам на него, там вообще уголовное дело рассматривается.
Но я видел и другое дело, на которое часто ссылаются относительно ip и куков. Однако, там речь шла о совокупности данных, в число которых входили и куки и ip, и... чуть ли не паспортные данные.
dartraiden
То есть, если я сейчас за 5 минут напишу скрипт, который по шаблону +7 495 xxx xx xx генерирует все возможные сочетания цифр (от 000 00 00 до 999 99 99), то это будут персональные данные? Ведь среди них неизбежно окажутся действующие номера москвичей, а при наличии доступа к базе...
ialexander
Ну вы так же можете нагенерить номера паспортов, имена и так далее.
Персональными данными они считаются только связаны с конкретным пользователем. Например, если вы требуете для регистрации на сайте номер телефона, то должны следовать законодательству о персональных данных.
nivorbud
Здесь важна точность формулировок. Если подразумевать совокупность данных, то вопросов нет - легко можно придумать ситуации, когда ip дополняет идентификацию конкретного физлица. Но сам по себе ip (в отрыве от прочих данных) идентифицирует только узел и в большинстве случаев - промежуточный узел. По ip нельзя даже определить, человек открывает страницу или бот.
nivorbud
Ну если уж доводить до абсурда, то тогда можно утверждать, что почти каждый сайт занимается трансграничной передачей данных (а там штрафы уже исчисляются миллионами). Ведь почти каждый сайт использует гугл-шрифты, скрипты и прочее, загружаемое в браузер посетителя с серверов зарубежных компаний. А при загрузке эти сервера фиксируют ip посетителей сайта. На этом фоне (с миллионными штрафами) штрафы за форму выглядят копеечными. Но может быть, просто не надо доводить до абсурда?
dartraiden
Проблема в том, что определение персональных данных и того, что с ними связано, трактуется государством так, как государству выгодно в конкретный момент.
Можно вспомнить случай с одним из сайтов Навального, где была форма обратной связи. Стандартная форма вида "Имя и что вы хотели нам написать". Прокуратура решила, что в форму человек может ввести свои персональные данные (например, паспортные - ведь технически может же), а значит, тут осуществляется их сбор и обработка.
Таким образом, если стоит цель вас закошмарить - вас закошмарят за простую форму из двух полей.
select26
Наверное, даже так:
если стоит цель вас закошмарить - вас закошмарят.
Akuma
А ещё можно в браузере в дев тулс из дива сделать форму и…поля нам больше не нужны. И никак не докажешь, что на твоей сайте этого вообще не было.