Персональные данные в 2025: как обеспечить законность сайта компании

Особое внимание Роскомнадзор уделяет проверкам интернет-сайтов на соответствие требованиям законодательства о защите персональных данных, в частности, порталам, которые осуществляют сбор персональных данных пользователей.

Причиной таких проверок могут стать жалобы посетителей сайтов, происки конкурентов или плановые мероприятия госорганов. Однако далеко не всегда бизнес заранее узнает о проводимой проверке его сайта — случается, что о проверочных мероприятиях становится известно из запроса Роскомнадзора о предоставлении дополнительных материалов и информации, подготовленного уже в ходе проверки.

Именно поэтому мы рекомендуем не дожидаться каких-либо сигналов о возможных нарушениях в работе вашего сайта, а предвосхитить их, приняв меры к тому, чтобы обеспечить его соответствие закону.  

Для защиты вашего сайта от претензий Роскомнадзора, независимо от того, являетесь вы юридическим или физическим лицом, важно соблюдать следующие рекомендации:

1. Регулярно обновляйте политику обработки персональных данных в соответствии с новеллами законодательства и размещайте ссылку на ее актуальную редакцию на каждой странице сайта, где собираются данные его пользователей. Оптимально: разместите данную ссылку в едином для всех страниц футере сайта.
2. Уведомляйте пользователей об обработке персональных данных. Все размещенные на сайте формы сбора персональных данных должны сопровождаться уведомлением об этом и возможностью для пользователей подтвердить свое согласие. Оптимально: используйте чек-бокс с текстом: «Даю согласие на обработку своих персональных данных», где пользователи могут проставить галочку (она ни в коем случае не должна быть предустановленной).
3. Уведомляйте пользователей об использовании cookie-файлов при первом посещении сайта. Оптимально: разместите баннер-предупреждение, с кнопкой «Согласен» или с текстом: «Используя настоящий сайт, вы предоставляете согласие на обработку ваших персональных данных с помощью сервисов веб-аналитики».
4. Убедитесь, что данные пользователей вашего сайта хранятся и обрабатываются исключительно на территории России. Встречаются ситуации, когда бизнес не учитывает или даже не подозревает, что осуществляет трансграничную передачу данных. Ею является персональных данных на территорию иностранного государства, будь то органу власти, иностранному физическому или юридическому лицу. Такой передачей может являться, например, использование сервисов, базы данных которых расположены зарубежом (например,  Google, Zoho CRM, Trello и др.). Оптимально: в случае трансграничной передачи данных — подайте уведомление об этом в Роскомнадзор.
5. Своевременно реагируйте на запросы пользователей, касающиеся обработки их персональных данных. Пользователи периодически могут обращаться с вопросами о целях, способах и сроках обработки персональных данных, их локализации и др. Ранее срок ответов на данные запросы составлял один месяц, в настоящее время — 10 рабочих дней. Оптимально: разработайте регламент для ответов на данные запросы, подготовьте стандартные ответы, чтобы не пропустить установленный срок и своевременно реагировать.

Выше приведены ключевые рекомендации, которые, однако, не являются исчерпывающими. Тем не менее, указанные активные меры позволят своевременно минимизировать риски и избежать претензий пользователей и надзорных органов.