Новая обработка персональных данных: что делать с сайтом после 30 мая 2025 года

Обновленный закон 152-ФЗ требует от российского бизнеса соответствия новым, строго регламентированным правилам обработки персональных данных. 

Как исполнить новые требования Роскомнадзора по обработке персональных данных? 

С 1 июня 2025 года бизнес оказался на грани ступора: вступили в силу изменения в 152-ФЗ, ужесточающие порядок оформления российских сайтов, связанных с онлайн-услугами. 

Роскомнадзор усилил контроль и расширил перечень требований к сайтам. Штрафы за несоблюдение — до 15 млн рублей. Но главное — многие не понимают, что именно теперь считается нарушением на сайте?

Попытка предпринимателей разобраться порой заканчивается растерянностью. Кто обязан регистрироваться, какие документы подавать, как именно настраивать сайт? Нет понятных инструкций, жалуются руководители компаний. Есть лишь угроза штрафа, висящая над каждым, кто «собирает» e-mail или телефон посетителя сайта.

Роскомнадзор требует регистрацию собирателей персональных данных в Рунете

Первый удар по бизнесу — обязательная регистрация всех, кто хоть как-то взаимодействует с персональными данными. Под это попадают:

• сайты с формами обратной связи;
• интернет-магазины с заказами и личными кабинетами;
• HR-сервисы;
• корпоративные порталы с входом по логину.

Для регистрации в реестре Роскомнадзора необходимо наличие ЭДО и КриптоПРО. Но даже при наличии всего — портал ведомства «висит», инструкции запутаны, а требования к техническому описанию серверов и программного обеспечения ставят предпринимателей в тупик.

На фоне страха перед 15-миллионными штрафами многие предприниматели обращаются в веб-агентства с запросами на адаптацию сайтов под 152-ФЗ за считанные дни. Вот что говорят владельцы сайтов программистам и специалистам в SEO:

«У меня сайт на Битриксе, почта через Mail, хранение на Яндексе. Что указывать в реестре? Где искать физический адрес сервера? Если я через месяц сменю подрядчика — это снова надо переделывать? В законе нет ответов», — сетует часть собственников digital-бизнеса.

Решение привлекать технических специалистов обусловлено IT-проблемами, которые коммерсанту самостоятельно решать трудно и некогда.

«Если не прописать конкретные способы защиты — могут оштрафовать. А если прописать не те — тоже оштрафуют. Ловушка», — объяснили IT-специалисты веб-компании РОСТСАЙТ федерального профиля.

Обработка персональных данных — есть риск

Роскомнадзор требует от заявителей описания мер по защите персональных данных. Какие именно меры считаются достаточными — не сказано. Кто должен определить, что достаточно? Юрист? Программист? Сам предприниматель?

Огромные штрафы за невнятную ФОС на сайте

Если раньше сайт мог просто предупредить о cookies, теперь обязательна не только надпись, но и форма согласия. Галочка, IP-адрес, дата — всё это должно быть зафиксировано и храниться.

«Сайт без фиксации галочек? Нарушение. 

Форма обратной связи без согласия с политикой конфиденциальности? Нарушение. 

Нет Соглашения об обработке данных? Ещё одно нарушение», — перечисляют юристы по ИТ-праву.

И самое тревожное: по закону за утечку данных штраф от 3 до 15 млн рублей, а сообщение в Роскомнадзор о факте утечки требуется отправить в течение 24 часов. Кто и как отслеживает эти утечки — неясно.

Трансграничная передача — приговор сайтам на иностранных платформах

Самое резонансное требование: запрет на трансграничную передачу данных. Любая интеграция с зарубежными сервисами — Google Fonts, YouTube, Meta Pixel, WhatsApp — теперь потенциальное основание для штрафа.

«Google Fonts? Штраф. 

Instagram-виджет? Блокировка. 

В коде YouTube-плеер? Привет, уведомление от Роскомнадзора», — говорят предприниматели.

Парадокс в том, что почти все сайты используют эти технологии по умолчанию. А замены многим из них просто нет.

Роскомнадзор проследит за каждым сайтом

Сканирование сайтов теперь выполняется нейросетью Роскомнадзора. Робот ищет запрещённые подключения к иностранным сервисам. Ошибка в коде — и сайт уже в «чёрном списке».

«AI не будет разбираться: ошибка верстальщика или сознательное нарушение. Попал — отвечай. Нашим клиентам уже пришло предупреждение за Google Fonts, которые даже не подключали напрямую», — пояснили в SEO-отделе РОСТСАЙТ для владельцев интернет-магазинов.

На сайте надо указать все персональные данные — иначе заблокируют

Новые требования обязывают предпринимателя указывать на сайте:

• ИНН;
• ОКВЭД;
• полное наименование;
• юридический адрес.

Отсутствие этих сведений — основание для блокировки ресурса. Это касается даже самых простых лендингов. Причём регистрировать надо не только бизнес, но и каждый сайт, через который собираются данные.

Срочный вопрос: кто поможет обработать данные по-новому?

Тысячи предпринимателей оказались в ситуации, когда:

• нет понятной для предпринимателей инструкции;
• портал ведомства работает нестабильно;
• каждый шаг вызывает новые вопросы;
• реестр требует данных, которых у владельца сайта нет;
• даже шрифт сайта может быть признан нарушением.

Рынок уже начал формировать ответ: появляются агентства и частные специалисты, готовые провести аудит сайта и привести его в соответствие с новым законом. Но пока это единичные случаи, и не все такие подрядчики вызывают доверие.

После того как в законе упомянули запрет на Google Fonts, предприниматели начали массово обращаться в РОСТСАЙТ. Там адаптируют сайт под закон, вычищают уязвимости и документируют соответствие.

Ждать уведомления Роскомнадзора — уже небезопасно

Штрафы реальны, закон вступил в силу, а непонимание в массах только усиливается. Бизнесу нужно не просто срочно адаптироваться — ему нужно срочно разобраться, кого привлекать и что делать. Ситуация критическая: любая задержка, ошибка в коде, недостающий пункт — и сайт может стать причиной колоссальных убытков.

Если вы предприниматель и не уверены, соответствует ли ваш сайт новым требованиям — это не проблема на завтра. Это вопрос выживания уже сегодня.