Копипаст | Роскомнадзор и обработка персональных данных: что делать, если сайт не готов к 152-ФЗ

С 30 мая 2025 года в России вступили в силу изменения к закону №152-ФЗ, радикально изменившие правила сбора персональных данных для всех владельцев сайтов. Реакция части предпринимателей — паника, растерянность и ощущение полной правовой неразберихи. Новые правила Роскомнадзора по защите персональных данных поставили бизнес в тупик: требования технически сложны, юридически неоднозначны, а штрафы — пугающе высоки.

Почему теперь невозможно просто вести бизнес онлайн?

Самое болезненное нововведение — обязательная регистрация операторов персональных данных в реестре Роскомнадзора. Речь идет обо всех, кто на сайте хоть как-то собирает контактные данные клиентов, сотрудников, партнеров — телефоны, e-mail, IP-адреса. Это означает, что почти каждый сайт в зоне риска.

«В большинстве обращений от владельцев сайтов проблема одна и та же, — говорит Владимир Кривов, руководитель веб-агентства РОСТСАЙТ. — Требуется реализовать техническую логику, соответствующую 152-ФЗ. Это значит: формы обратной связи работают только при наличии подтвержденного согласия, которое сохраняется в виде цифровой записи — IP, точное время, текст соглашения. Cookie-баннер — с обязательным выбором до загрузки любых сторонних скриптов. Проверяется исходный код: удаляем внешние подключения — Google Fonts, сторонние аналитики, embedded-ресурсы. Все файлы, в том числе JS и CSS, переносятся на локальные серверы. Указываются конкретные адреса хранения данных, иначе регистрация оператора невозможна».

• Сложность №1: регистрация невозможна без установки системы ЭДО и КриптоПРО.

• Сложность №2: сайт Роскомнадзора стабильно «лежит» — зарегистрироваться удается немногим.

• Сложность №3: при регистрации необходимо указать все серверы хранения данных, включая облачные хранилища и CMS. Что делать, если подрядчик меняется — неясно.

«Я даже не знаю, где физически находятся наши серверы — это знает техподдержка. А от меня требуют указать адреса каждого ресурса! Как?» — делится владелец регионального интернет-магазина.

300 тысяч за отсутствие регистрации оператора сбора данных — только начало

Если сайт не внесён в реестр, штраф — от 300 000 рублей. Но и это не предел. В случае утечки персональных данных сумма может вырасти до 15 миллионов рублей. Уведомить о факте утечки Роскомнадзор необходимо в течение 24 часов, а это требует наличия специалистов и систем быстрого реагирования.

Еще один тревожный пункт — обязанность продемонстрировать применяемые меры защиты данных. Предприниматели с тревогой признают: нигде не изложено, что именно считается достаточной защитой. В законе нет списка допустимых методов шифрования или требований к антивирусной защите. Вся ответственность за интерпретацию — на бизнесе.

«Мы не знаем — нам нужен VPN или достаточно запрета на доступ к данным? Каждый юрист говорит разное. Мы не понимаем, что делать — и боимся ошибиться».

Браузерные галочки, cookie и IP-доказательства: технический абсурд?

Теперь обратная связь на сайте не может работать без согласия пользователя на обработку данных. Причем согласие должно быть не просто «по умолчанию» — должна стоять галочка, которую клиент поставил осознанно. Без неё — даже кнопка «отправить» не должна работать.

Далее — cookie-файлы. Любой сайт, собирающий cookie, обязан теперь не только предупреждать, но и получать активное согласие на это от посетителя. И сохранить доказательства — например, IP-адрес, дату, галочку.

Сайты, не соответствующие этим требованиям, потенциально могут быть заблокированы. Речь уже не о гипотетических рисках — автоматизированные системы мониторинга от Роскомнадзора активно сканируют сайты на предмет соответствия.

Персональный запрет: трансграничная передача данных

Особый ужас у владельцев сайтов вызвало требование не допускать передачи данных за пределы РФ. Даже если вы используете Google Fonts для отображения шрифтов — это уже может быть признано трансграничной передачей.

Что под запретом?

• Шрифты Google Fonts

• Метрики Google Analytics

• Facebook Pixel

• Встроенные видео с YouTube

• WhatsApp, Instagram и даже код от Meta (даже если сервисы заблокированы)

Роскомнадзор официально заявляет: использование зарубежных сервисов без разрешения = нарушение закона. Штраф — до 18 млн рублей. Подключать иностранные библиотеки, аналитику, скрипты теперь можно только с официального одобрения надзорного органа.

«Нас заставляют убрать все внешние сервисы, но российские аналоги либо не работают, либо технически несовместимы. Мы не понимаем, что именно нужно сделать, чтобы избежать нарушений».

Кто поможет и где искать ответы?

Юристы, айтишники и владельцы сайтов признаются: ни у кого нет полной ясности. Закон сложен, практики применения нет, реестр не работает, технические требования размыты.

Формы уведомлений, шаблоны политики, технические описания — всё приходится составлять самостоятельно, или заказывать у специалистов. Возникает не просто нехватка времени, а дефицит знаний: предприниматели не в состоянии разобраться в этом сами.

Многие уже обращаются в профессиональные агентства, но это лишь единичные случаи. У основной массы малого и среднего бизнеса нет ресурсов даже на это. Тем временем отсчёт пошёл.

Последний удар — требования к структуре сайта

На этом всё не заканчивается. Теперь каждый сайт обязан содержать:

• название компании,

• ИНН,

• ОКВЭД,

• юридический адрес,

• документы о политике обработки данных и cookies,

• форму согласия на обработку с активной галочкой,

• обязательства по хранению логов о согласиях.

Без этих данных сайт может быть признан анонимным и подлежит блокировке.

«Даже лендинги с одной страницей должны теперь иметь юрреквизиты. Не разместил ИНН — получи предупреждение, потом штраф. Это уже не интернет-свобода, а принудительный учёт каждого пикселя».

«Одно из ключевых требований — это управляемость доступа к персональным данным, — уточняет Владимир Кривов, эксперт по информационной безопасности. — На сервере нужно разграничить права: кто и к каким данным имеет доступ, всё это должно быть задокументировано. Второй момент — аудит действий. Система должна вести логирование не только согласий, но и событий доступа: кто, когда, с какого IP читал или изменял данные. Ещё важный нюанс — синхронизация текстов: политика конфиденциальности, пользовательское соглашение и уведомления в интерфейсе не могут противоречить друг другу. Любое расхождение может быть трактовано как нарушение закона. Поэтому мы, как правило, связываем юридический контент с технической реализацией через единую схему обновлений».

Вывод

Ситуация, сложившаяся с 152-ФЗ в 2025 году, стала настоящим вызовом для российского бизнеса. Роскомнадзор не оставил шансов на «плавную адаптацию» — правила вступили в силу внезапно, а требований столько, что даже профессиональные разработчики не могут оперативно адаптировать сайты.

Предприниматели в шоке:

• Как исполнить то, что непонятно?

• Как избежать многомиллионных штрафов, если даже инструкции никто не дал?

• Кто поможет привести сайты в порядок?

Главный вопрос, который звучит сегодня от бизнеса: «Что делать, если я не успеваю? И кто вообще поможет мне выжить?»

Иллюстрирование: генерация нейросети