Требования к сайтам в 2025 году: как соответствовать новым нормам Роскомнадзора по персональным данным

статья

С 2025 года владельцам сайтов стоит обратить особое внимание на соответствие требованиям закона о персональных данных. Мы в агентстве Подскриптом подготовили подробный материал о том, при каких условиях необходима политика обработки персональных данных (ПДн), что она должна содержать и как правильно разместить её на сайте, чтобы избежать штрафов и претензий со стороны регулятора.

Что такое персональные данные

Под персональными данными понимается любая информация, позволяющая идентифицировать человека. Это определение закреплено в статье 3 Федерального закона № 152-ФЗ. К таким данным относятся: фамилия, имя, отчество, номер телефона, адрес электронной почты, физический адрес, дата рождения, место работы, образование, а также IP-адрес и даже cookies — если они собираются.

Политика обработки ПДн: что это и зачем нужна

Политика обработки персональных данных — это официальный документ, в котором сайт объясняет пользователю, как его данные собираются, используются и защищаются. Этот документ должен быть размещён в открытом доступе — без регистрации и ограничений. Более того, если сайт обрабатывает персональные данные, отсутствие такой политики может рассматриваться как нарушение закона.

В каких случаях политика обязательна

Если на сайте происходят любые действия с персональными данными, даже их разовое или автоматическое получение — вы попадаете под действие закона № 152-ФЗ. А значит, обязаны разместить политику.

Примеры:

  • Сайт автоматически собирает данные о посетителях — IP-адрес, cookies, характеристики устройства и браузера.

  • Пользователи оставляют контактную информацию для оформления заявки, регистрации, подписки, обучения и пр.

  • Посетителям предлагается авторизация через социальные сети.

  • Сайт публикует вакансии и принимает резюме, в которых содержатся контактные и биографические данные кандидатов.

Даже если вы не сохраняете эти сведения, сам факт их получения считается обработкой данных. А это автоматически делает вас оператором персональных данных.

Чтобы убедиться, что ваш сайт не нарушает закон о персональных данных, используйте базовый чеклист:


✔️ Есть ли на сайте открытая Политика обработки ПДН?
✔️ Сообщаете ли вы о сборе cookies и иных данных через аналитические или рекламные скрипты?
✔️ Получено ли согласие пользователя перед передачей данных в сторонние сервисы?
✔️ Обеспечены ли технические меры безопасности (SSL-сертификат, защита от SQL-инъекций и пр.)?

Можно ли использовать Google CAPTCHA и сторонние виджеты?

Google reCAPTCHA, Яндекс.Метрика и аналогичные инструменты действительно обрабатывают персональные данные (в том числе IP-адреса и поведенческую информацию). Их можно использовать, но только при соблюдении трёх условий:

  1. Уведомление в Политике конфиденциальности о передаче данных третьим лицам;

  2.  Явное согласие пользователя (например, через чекбокс);

  3. Принятие мер по защите данных и, желательно, заключение соглашения о трансграничной передаче данных, если это предусмотрено.

Как подать уведомление:

  1. Через портал: https://rkn.gov.ru/personal-data/

  2. В бумажной форме — отправив по почте заявление по утверждённой форме.

  3. Важно: данные должны быть актуальны — при изменении информации нужно направить обновлённое уведомление.

© 2025, Podscriptom.