В России только что вступили в силу обновления федерального закона №152-ФЗ «О персональных данных». Изменения, по мнению тысяч предпринимателей, оказались не просто неожиданными — они парализуют работу малого и среднего бизнеса. Предприниматели массово признаются: им трудно выполнить требования Роскомнадзора, чтобы не попасть под штрафы в сотни тысяч и миллионы рублей.
«С 1 июня требования к сайтам ужесточились, и к нам начали поступать типовые запросы, — объясняет Владимир Кривов, эксперт в сфере веб-разработки и руководитель РОСТСАЙТ. — В первую очередь приходится настраивать логику обработки согласий: обязательные чекбоксы, сбор IP-адресов, дата-временные метки, блокировка кнопки отправки до получения согласия. Вторая часть — фильтрация внешнего кода: удаляем скрипты Google Fonts, YouTube, аналитики. Также отдельный блок — уведомление о cookie с активным подтверждением и логированием. Многие недооценивают, что даже одна недоработка в логике сайта может трактоваться как нарушение, особенно в части трансграничной передачи».
Регистрация оператора: запутанная?
Главный удар пришёлся по тем, кто собирает хоть какие-либо данные — телефон, e-mail, даже внутренние переписки сотрудников. Любой сайт, где есть форма обратной связи, стал «оператором персональных данных». А это значит: обязан зарегистрироваться в реестре Роскомнадзора.
Но как? Официальный путь — с помощью электронной подписи и криптографической защиты. Нужно иметь ЭДО, КриптоПРО, пройти сложную процедуру подписания и загрузки документов. Для многих это стало первым барьером. Сайт Роскомнадзора перегружен, ошибки вылетают при каждой попытке авторизации.
Штрафы за неактуальную обработку персональных данных
За отсутствие регистрации — до 300 тысяч рублей.
За утечку данных — от 3 до 15 миллионов рублей.
За трансграничную передачу — до 18 миллионов рублей.
Санкции предусмотрены не только для компаний, но и для ИП и самозанятых. При этом в законе не сказано, как трактовать многие технические нюансы: что считать безопасным, какие сервисы запрещены, и какие галочки нужно собрать с пользователей, чтобы считаться «законопослушным».
Настройка сайта по 152-ФЗ либо мина замедленного действия
Каждый элемент сайта теперь может стать причиной штрафа. Предприниматели в шоке: формально почти все сайты в Рунете нарушают что-то из новых правил.
Вот что теперь обязательно:
Размещение актуальной политики обработки персональных данных.
Галочка согласия при каждой отправке формы на сайте.
Обязательное уведомление о cookie с подтверждением от пользователя.
Документы о согласии на обработку и хранение этих галочек (IP-адреса, даты).
Указание юрлица, ИНН, ОКВЭД и юридического адреса на сайте.
Раскрытие всех серверов и облачных сервисов, где хранятся данные.
Но как соблюсти всё это — не объяснил никто. Некоторые ИТ-специалисты с иронией говорят: «Проще закрыть сайт, чем соответствовать всему списку».
От владельцев сайтов требуют невозможного?
Пожалуй, самая тревожная новелла закона — запрет на трансграничную передачу данных. Под него попадают не только явные иностранные сервисы вроде Google Analytics или YouTube, но даже Google Fonts, встроенный в 99% сайтов в мире.
Именно это вызывает у предпринимателей откровенную панику:
«Мы не знали, что использование шрифта — это уже трансграничная передача! Получили письмо от Роскомнадзора, где об этом прямо сказано. Теперь нужно вычищать весь код. Но чем заменить эти шрифты? Где официальные рекомендации? Никто ничего не объясняет».
Более того, нейросеть Роскомнадзора уже запущена и в автоматическом режиме анализирует весь Рунет на соответствие закону. Любой «след» иностранного кода может быть поводом для проверки или блокировки.
Форма обратной связи как источник риска
Даже простая форма обратной связи теперь становится юридическим объектом. Если на вашем сайте нет принудительной галочки с согласием на обработку ПДн — вы нарушаете закон. Если нет хранимых доказательств этих согласий — тоже нарушение. А если кнопка «отправить» активна до проставления галочки — ждите проверку.
«Мы внедрили форму с галочкой, но теперь не знаем, где и как хранить IP-адреса и подтверждения, — признаются владельцы сайтов. — Поставить галочку — легко, а вот доказать, что пользователь поставил её сознательно — уже проблема».
А если вы смените подрядчика?
При регистрации в реестре операторов нужно указать, где физически хранятся данные пользователей. Сюда входят:
Внутренние серверы
Облачные хранилища (Яндекс, Google, Bitrix24)
CMS-платформы (Tilda, WordPress и др.)
Но что делать, если через месяц вы смените подрядчика? Закон молчит. Многие бизнесмены задаются вопросом: «Каждую смену сервиса теперь регистрировать заново?»
«Чаще всего вопросы касаются не интерфейса, а серверной части, — поясняет Владимир Кривов, владелец агентства по адаптации сайтов под 152-ФЗ. — Нужно указать, где именно хранятся персональные данные: на каких серверах, в каких облачных системах. В ряде случаев это требует пересмотра хостинга — особенно если используется иностранный провайдер. Также сайт должен передавать данные строго по HTTPS, иметь валидный SSL-сертификат, а политика обработки персональных данных должна быть не просто размещена, а встроена в логику работы — например, связана с формами, cookie-уведомлениями и техническими логами. Многие забывают и про требование хранить копии согласий — это должен быть отдельный механизм, с экспортируемыми записями».
Почтовый путь регистрации оператора сбора данных: спасение?
Второй способ регистрации в реестре — отправка бумажного письма. Да, на дворе 2025 год, а официальная альтернатива онлайн-порталу — «эпистолярная форма». Это выглядит абсурдно, учитывая срочность и тяжесть последствий.
«Мы не понимаем, сколько будет идти письмо, и засчитается ли дата отправки как день регистрации. Пока ждем ответа — нас могут уже оштрафовать?» — возмущаются предприниматели.
Будет ли массовая зачистка сайтов с персональными данными?
Владельцы бизнес-порталов всерьёз опасаются: сайт с нарушениями может быть заблокирован без предупреждения. И если на нём нет ИНН, ОКВЭД и юрадреса — он уже попадает в «зону риска».
«Мы не знаем, что будет: отключат сайт, закроют бизнес или просто обложат штрафами. Одно ясно — самостоятельно разобраться с этим невозможно. Каждый пункт закона вызывает новые вопросы, а ответов нет».
Выход есть?
Пока единственный реальный путь — это обращение к профильным веб-агентствам и юристам, которые адаптируют сайт под закон. Но даже они не всегда уверены, что через неделю не появится новая трактовка от Роскомнадзора.
Многие в онлайн-бизнесе сейчас в растерянности. Закон 152-ФЗ в 2025 году превратился из формального документа в реальный инструмент давления. Вопрос стоит ребром: либо срочно адаптироваться, либо готовиться к санкциям.
Иллюстрации: генерация нейросети
Комментарии (5)
Margutoop
09.06.2025 15:37В целом, так работает везде. Взять например налоговую, многие правила абсолютно непонятны, но и разъяснить их никто не может. В одном отделении скажут, что "это ок", в другом же наоборот. Кажется пора внедрять новую должность трактовщика всех этих законов
Alxgr
09.06.2025 15:37Вместо страшилки лучше почитать гайд: https://habr.com/ru/articles/914414/
Законы криво написаны, поэтому делаем что-то похожее на политику, согласие на обработку, согласие на рассылки, делаем галочки, которые не стоят по умолчанию и будем смотреть.
А так - огромное количество компаний сейчас и близко не соответствуют всем нововведениям. И огромные крупные типа банков, и конечно, маленькие ИП и самозанятые с сайтом на конструкторе. Хотя у первых возможно в бюджет заложено "не паримся, оштрафуют - оплатим, можем себе позволить".
Newm
Просьба уточнить со ссылками на пункты законодательства, откуда вот эта клюква:
Ну и про всякие аналитиксы и шрифты тем более.
Если нет в законодательстве, то хотя бы пример судебного решения, где ИМЕННО ЭТО без отягчающих в виде, например, сбора паспортных данных без необходимости и без согласия стало поводом для штрафа.
Больше похоже на галимую рекламу со страшилками.
dianamirmir Автор
Добрый день.Данные требования описаны в законопроекте от 27.07.2006 N 152-ФЗ, все можно найти именно в нем. В перечне, который взят с официального письма-уведомления РОСКОМНАДЗОРА, всего лишь указано техническое обеспечение, которое позволит подтвердить требования и не получить штраф. Если у вас нет этих галочек, значит нет подтверждения, что персональные данные попали к вам легально и так по остальным пунктам.Никого не волновало подтверждение сбора и хранение информации до момента, пока не ужесточили штрафы. Те кто не хочет платить до 18 млн рублей и тем, кому пришли предупредительные письма от РОСКОМНАДЗОРА, где прописаны данные правила, решили заранее исправлять все недочеты.Мы не являемся официальным источником РОСКОМНАДЗОРА и не имеем права разглашать информацию, о тех клиентах, чьи сайты уже подверглись блокировкам и штрафным санкциям, это как раз и защищает данный закон. Судебных решений в данных случаях нет, есть постановление, которое несет автоматические действия (блокировка или наложение штрафа на счета юр.лица), а вот оспорить данное решение уже можно будет в судебном порядке.На данные момент в нашу компанию уже обратились 691 юр.лицо с внесением изменений на сайт и регистрации оператора, из них попали под карающие меры пока только 5, но все понимают, что это только начало.
Newm
Мне вот интересно, контора, к которой обратилось 691 юрлицо понимает, что в большинстве случаев юрлицо при наличии формы обратной связи на сайте НЕ имеет право брать добровольное согласие на обработку персональных данных? У нормальных контор форма связи используется только для заключения договора по инициативе субъекта персональных данных.
И уж точно не имеет права хранить IP и дату со временем простановки галки (я не про тех, кто для спама запрашивает, а для нормальных), так как они хранят без необходимости псевдоперсональные данные.
Ну и совет, обратите внимание, что персональные данные обрабатываются конкретно по одному из случаев статьи 6 152-ФЗ. И добровольное согласие на обработку можно брать исключительно в случаях, если обработка не подпадает под остальные случаи. Если же подпадает, то брать добровольное согласие ЗАПРЕЩЕНО!!! Почему? Читайте комментарий для GDPR, где они подробно это разбирают. В нашем случае действуют эти же аргументы, там чистая логика, а не ссылки на законы.