Как предпринимателям соблюдать закон о персональных данных на сайте

В 2025 году в России существенно выросли штрафы за нарушения в сфере персональных данных. За соблюдением закона следит Роскомнадзор — представители госоргана проверяют сайты вручную (например, при получении жалоб), а также с помощью автоматизированных систем, которые сканируют сайты на соответствие.

Под действие закона о защите персональных данных 152-ФЗ попадают большинство российских сайтов. Даже если на сайте нет форм регистрации, подписки на рассылку или прямых продаж, но, например, подключены сервисы аналитики. Требований к сайтам немало, а общая сумма штрафов может исчисляться миллионами. В статье собрали все самое важное, о чем стоит знать каждому владельцу сайта, чтобы избежать непредвиденных блокировок и штрафов.

Что считается персональными данными

Представим, что вы предприниматель и у вас интернет-магазин винтажной посуды. Чтобы пользователи могли добавлять товары в Избранное или оформить заказ в два клика, они регистрируются на сайте и передают данные: например, имя, почту или телефон. В таком случае вы становитесь оператором персональных данных.

Бывает, когда компания не просит данные напрямую, но сайт запоминает IP-адрес пользователя или его геолокацию. Обычно это используют для ретаргетинга или персонализации предложений при повторном визите. Это тоже считается сбором персональных данных и попадает под действие закона.

Персональные данные — это любая информация, по которой можно прямо или косвенно определить конкретного человека.

Часть данных являются просто персональными, а другие, например, результаты анализов, сведения о политических взглядах или отпечатки пальцев — специальными или биометрическими. Требования закона к обработке последних строже, а штрафы выше.

За законность обработки персональных данных граждан РФ ответственность несет владелец сайта, независимо от статуса: самозанятый, ИП или юрлицо. Это распространяется как на многостраничные сайты, так и на лендинги, и личные блоги, независимо от количества страниц.

О чем важно помнить владельцам сайтов

Главная задача закона — сделать процесс работы с данными прозрачным. Человек должен понимать, для чего именно он отдает информацию. Поэтому владельцам сайтов важно придерживаться следующих правил:

• Для каждого типа данных должна быть четкая цель.
  Например, телефон — чтобы связаться и подтвердить заказ, e-mail — чтобы отправить чек или подтвердить заказ. Если цель нельзя объяснить одной фразой, скорее всего, данные лишние.
• Не стоит собирать данные «на всякий случай».
  Спрашивайте то, что необходимо для выполнения задачи. Например, для подписки на рассылку достаточно e-mail, а имя и телефон уже не обязательны. Чем меньше данных собираете, тем ниже риски и тем проще соблюсти закон.
• Пользователь должен знать о сборе данных.
  Необходимо рассказать: кто и какие данные собирает, для чего и на каком основании, как долго их будут хранить и обрабатывать. Пользователь должен иметь возможность ознакомиться с информацией до начала сбора данных.

Что сделать, чтобы соответствовать требованиям 152-ФЗ

Почти любому бизнесу важно понимать, кто его клиенты. Без этого сложно продавать, строить маркетинг и развивать бренд. Поэтому полностью отказаться от сбора данных не получится. Но важно делать это законно и понятно для пользователя. Собрали базовый набор шагов, который подойдет для большинства сайтов.

Создайте и опубликуйте политику конфиденциальности

Политика конфиденциальности — это документ, который объясняет пользователю, что происходит с его персональными данными. Документ должен быть на любом сайте, где есть формы обратной связи, подключены сервисы аналитики или происходит любой иной сбор данных.

В соответствии с законом в политике обязательно должны быть:

• сведения о компании или предпринимателе, который собирает данные;
• цели обработки для каждого типа данных (информационные рассылки, доступ к образовательному контенту, информирование о заказах);
• перечень персональных данных, которые обрабатываются;
• категории лиц, персональные данные которых обрабатываются (например, посетители сайта, клиенты или сотрудники);
• информация о способах и сроках хранения данных;
• способы защиты данных (SSL-сертификат, доступ к сведениям у ограниченного числа сотрудников);
• порядок уничтожения персональных данных.

Для политики конфиденциальности нет единого шаблона. Его можно составить самостоятельно, придерживаясь структуры из обязательных пунктов. Однако, можно воспользоваться конструктором политики обработки персональных данных. Заполните необходимые поля, получите документ о конфиденциальности и разместите на сайте.

Политика должна быть доступна на любой странице, где собираются данные. Можно разместить ссылку в подвал сайта — он единый для всех страниц, и при добавлении новых разделов не забудете добавить документ. Пользователь должен иметь возможность ознакомиться с ней до начала сбора данных, а не после.

Получите правовое основание для обработки

Многие считают, что сбор персональных данных на сайте без получения согласия на обработку является нарушением закона — однако это не совсем так.

Для обработки персональных данных оператору необходимо иметь правовое основание. Это может быть договор (пользовательское соглашение, публичная оферта), законный интерес, требования закона, согласие либо иное специальное основание, предусмотренное 152-ФЗ.

Например, если на сайте размещена публичная оферта договора купли-продажи и корзина с формой заказа, данные покупателей (имя, адрес доставки, номер телефона) могут обрабатываться на основании договора — ведь без этих данных продавец не сможет отправить товар. В таком случае получение согласия на обработку не потребуется.

В определенных случаях закон также обязывает получать отдельные согласия — например, при сборе специальных, биометрических персональных данных или в случае публичного размещения данных на сайте. Требования к содержанию таких согласий устанавливаются 152-ФЗ и приказами Роскомнадзора.

До начала сбора персональных данных на сайте нужно определить:

• имеется ли основание для обработки данных, помимо согласия,
• требуется ли специальное/письменное согласие из-за особенности типа данных или способа их использования.

Если ответ на оба пункта — нет, получите простое согласие на обработку. Обычно это делается через чекбокс рядом с кнопкой отправки и короткий текст согласия — например, «Даю согласие на обработку данных в соответствии с политикой конфиденциальности». Человек должен самостоятельно дать согласие, поэтому чекбокс не может заполняться автоматически.

В тексте согласия обычно содержится та же информация, что и в политике конфиденциальности: кто обрабатывает данные, зачем они собираются, какие меры защиты используются и в каких случаях данные могут быть переданы третьим лицам.

Правовое основание для сбора cookie-файлов

На сайтах может осуществляться сбор cookies — небольших технических файлов, которые хранятся в браузере пользователя. Cookies могут содержать уникальный ID устройства, сведения о поведении пользователя, технические параметры браузера, поэтому их использование подпадает под действие 152-ФЗ.

В соответствии с общепринятой классификацией cookies бывают:

• обязательными — обеспечивают корректную работу сайта;
• функциональными — необходимы для сохранения пользовательских настроек;
• аналитическими — позволяют собирать статистику количества посетителей и исследовать источники трафика.

В зависимости от собираемых типов cookie-файлов можно использовать разные правовые основания для обработки. Обычно обязательные и функциональные cookies могут собираться на основании законного интереса, так как без них сайт будет работать некорректно.

При этом, в соответствии с позицией Роскомнадзора, обработка аналитических cookie-файлов, собираемых сервисами (например, Яндекс Метрикой), может осуществляться только на основании договора или согласия. Для получения согласия на сбор cookies необходимо разместить всплывающий баннер на сайте с кнопкой.

Роскомнадзор рекомендует:

• проинформировать пользователей об использовании cookies;
• разместить информацию о метрической программе в договоре/согласии. Например: «Продолжая использовать сайт, вы соглашаетесь с обработкой персональных данных, собираемых посредством Яндекс Метрики в целях аналитики посещаемости сайта. Политика конфиденциальности»;
• включить информацию о сборе cookies в политику конфиденциальности.

Сделать уведомление о сборе cookies на сайте можно при помощи сторонних сервисов. Однако, если сайт сделан на Тильде, такой баннер можно добавить внутри платформы при помощи специальных блоков (T972, T657, T886 и T887). Они добавляют на страницу виджет, предупреждающий о сборе cookies.

Уведомите Роскомнадзор об обработке данных 

Если компания, ИП или самозанятый собирает данные клиентов — об этом нужно сообщить Роскомнадзору. Если этого не сделать можно получить штраф до 300 тысяч рублей.

Подать уведомление можно на сайте ведомства. После проверки оператора вносят в реестр операторов Роскомнадзора — обычно это происходит в течение 30 дней.

Заключите поручения на обработку с владельцами сервисов

Для полноценной работы сайта и удобства пользователей бизнес почти всегда использует разные сервисы. Это может быть хостинг, конструктор сайтов, CRM для обработки заявок, сервисы email- или SMS-рассылок, системы аналитики, онлайн-чаты, коллтрекинг.

Согласно требованиям 152-ФЗ взаимоотношения со сторонними сервисами, осуществляющими обработку данных ваших клиентов, должны быть юридически оформлены. Для этого заключается поручение на обработку данных — требования к его содержанию определены законом.

Если ваш сайт сделан на Тильде, данные клиентов будут обрабатываться на основании поручения. Заключать его дополнительно не нужно, это происходит, когда вы регистрируетесь на платформе.

Поэтому важно проверить публичные документы используемых сервисов. Многие из них заключают такие соглашения автоматически, как Тильда. Если вы не нашли поручение на сайте — обратитесь в поддержку с просьбой подписать отдельное соглашение, чтобы не нарушать закон.

Проработайте вопросы локализации и передачи данных за рубеж

В соответствии с требованиями 152-ФЗ при сборе персональных данных запись, систематизация, накопление, хранение, уточнение, извлечение персональных данных российских граждан с использованием баз данных, находящихся за пределами России, не допускаются. Штраф для компаний и ИП за нарушение составляет до 6 млн рублей.

Например, если ваш сайт сделан на Тильде, а страной профиля указана Россия — все данные, которые вы собираете, хранятся на российских серверах Selectel и Яндекс Облако.

Законом не запрещено передавать данные за рубеж, но первичные сбор и обработка должны обязательно осуществляться на серверах на территории России.

Например, компания занимается подбором преподавателей для изучения русского языка за рубежом — для этого получает данные граждан России и передает их за пределы страны. Если вы собираете данные в России, например на сайте, и потом передаете в иностранное государство — нарушений нет. При этом для легализации такой передачи обязательно нужно подать отдельное уведомление в Роскомнадзор.

Закон не ограничивает бизнес в использовании зарубежных инструментов. Но он требует осознанного подхода к выбору платформ. Если инфраструктура сайта российская, владельцу будет проще соблюсти требования, а значит ниже риск штрафов. Перед подключением сервисов стоит заранее уточнить, где находятся серверы и как владельцы сервисов работают с данными. 

Назначьте ответственное лицо и разработайте пакет внутренних документов

Вышеуказанные требования действуют для любых сайтов — не важно, кому они принадлежат и с какой целью созданы. Однако юридические лица должны выполнить еще ряд предписаний:

• Назначить сотрудника, который будет отвечать за работу с персональными данными. Информация об ответственном лице включается в реестр РКН.
• Утвердить и ознакомить сотрудников с пакетом внутренних документов (ЛНА). Это могут быть регламент по работе с персональными данными или локальные акты, устанавливающие порядок уничтожения данных.

Что будет, если не соблюдать закон о защите персональных данных в 2026 году

Несоблюдение закона 152-ФЗ грозит административными штрафами. Помимо прямых финансовых потерь, это еще и утрата доверия клиентов, вернуть которое бывает сложнее, чем заплатить штраф.

Собрали основные виды нарушений и предусмотренные за них штрафы в 2026 году:

Конкретные суммы могут варьироваться в зависимости от обстоятельств: размера компании, типа данных, тяжести последствий и количества пострадавших, общего числа нарушений. Дороже всего обойдется утечка биометрических данных: до 20 млн ₽ — для организаций и ИП.

Если о юридической стороне позаботиться на этапе создания сайта и выбрать российскую платформу со всем необходимым функционалом, то соблюсти закон будет несложно.

Краткий чек-лист для владельца сайта

1. Определите, какие данные вы собираете на сайте и для каких задач.
2. Проверьте, не собираете ли вы лишнюю информацию. Особенно это важно для интернет-магазинов и сервисов: данные должны быть необходимы для осуществления заказа.
3. Получите правовые основания для обработки данных — например, договор или согласие. Чтобы получить согласие, разместите незаполненный чекбокс под формой сбора данных.
4. Подготовьте политику конфиденциальности. Текст должен быть понятным и опираться на реальные процессы, а не быть шаблонным.
   Разместите политику в подвале сайта, чтобы пользователь мог ее легко найти.
5. Если на сайте собираются файлы cookies — предупредите пользователей и объясните, зачем они обрабатываются.
6. Отправьте в Роскомнадзор уведомление о начале обработки персональных данных, чтобы вас внесли в реестр операторов.
7. Оформите передачу данных сторонним сервисам. Проверьте публичные документы — многие сервисы заключают поручения на обработку автоматически.
8. Проработайте вопросы локализации и передачи данных за рубеж. При необходимости подайте уведомление в Роскомнадзор о трансграничной передаче.
9. Если вы юрлицо — назначьте ответственного за обработку  и оформите внутренние документы.