Как бизнесу работать с новыми требованиями по работе с персональными данными
⚠️ Информация, представленная в статье, носит исключительно информационный характер и не является юридической консультацией. Автор не несёт ответственности за точность, актуальность или полноту предоставленных данных. Для получения профессиональной юридической помощи рекомендуется обратиться к квалифицированному юристу.
С 30 мая 2025 года в России вступили в силу новые требования по защите персональных данных (ПДн). Ужесточены штрафы, усилена уголовная ответственность и расширен список нарушений.
Эти изменения касаются всех — от владельцев интернет-магазинов до авторов Telegram-ботов.
🏛️ Обзор новых законов и штрафов
Согласно последним поправкам в законы № 420‑ФЗ и № 421‑ФЗ:
- Штрафы от 100 000 до 300 000 ₽ — за отсутствие регистрации в Роскомнадзоре как оператора ПДн.
- Оборотные штрафы от 1 до 3 млн ₽ — за утечку данных, даже если виноват подрядчик.
- Уголовная ответственность — в случае умышленного или массового нарушения (например, при продаже баз).
- Штрафы для юрлиц и ИП — до 5 млн ₽ за отсутствие согласия, нарушение хранения и несоблюдение срока обработки.
🎯 Кто считается оператором персональных данных?
Если вы:
- собираете заявки или комментарии через сайт;
- принимаете оплату онлайн;
- используете email- или мессенджер-рассылки;
- подключили чат-бот или CRM;
— то вы оператор персональных данных и обязаны соблюдать законодательство.
Это касается всех — от крупных компаний до ИП и самозанятых.
🖥️ Что нужно сделать владельцам сайтов?
1. Зарегистрироваться в Роскомнадзоре
Если ваш сайт собирает любые данные (имя, телефон, email, cookies и пр.) — вы обязаны уведомить Роскомнадзор и зарегистрироваться как оператор ПДн.
2. Разместить политику конфиденциальности
На сайте должна быть доступна и легко читаемая политика обработки персональных данных, содержащая:
- наименование и контакты оператора;
- цели и способы обработки;
- категории собираемых данных;
- срок хранения;
- права пользователей;
- способы отзыва согласия.
Политика размещается в футере и отображается при первом входе на сайт (например, в виде баннера).
3. Запросить согласие перед сбором
Перед тем как собирать любые данные:
- покажите текст согласия;
- добавьте чекбокс или кнопку "Согласен", без которой форма не отправляется;
- фиксируйте дату, IP и содержание согласия.
Согласие должно быть свободным, конкретным, информированным и осознанным.
4. Уведомить о cookie и сторонних скриптах
Если сайт использует cookies, аналитические сервисы (Google Analytics, Яндекс.Метрика) или сторонние пиксели (TikTok), вы обязаны:
- уведомлять пользователей при входе на сайт;
- позволять отключать cookies;
- давать выбор — принимать или отклонять их.
🤖 Как собирать данные в чат-ботах
Если вы используете чат-ботов (Telegram, WhatsApp, ВКонтакте, Viber, Web):
1. Зарегистрируйтесь как оператор ПДн
Даже если бот — только для получения заявок, это уже обработка персональных данных.
2. Получите явное согласие
Попросите пользователя нажать «Согласен» или ввести команду (например, /agree) перед отправкой имени или телефона.
3. Разместите ссылку на политику
Политика конфиденциальности должна быть доступна из бота — через кнопку или автоответ.
4. Фиксируйте факт согласия
Сохраняйте дату, время, ID пользователя и текст, который он подтвердил.
🔐 Общие требования по безопасности
- Собирайте только нужное — минимизируйте объем данных.
- Храните данные в зашифрованном виде.
- Ограничьте доступ — только для сотрудников, которым он необходим.
- Удаляйте устаревшие данные — в срок, указанный в политике.
- Заключайте договоры с подрядчиками, которые обрабатывают ПДн от вашего имени.
📋 Чек-лист для владельцев сайтов и чат-ботов
| Действие | Обязательно? | Комментарий |
|---|---|---|
| Регистрация в Роскомнадзоре | ✅ Да | Даже если собираете только email |
| Политика конфиденциальности | ✅ Да | На сайте, в футере, доступна по ссылке из бота |
| Согласие пользователя | ✅ Да | До отправки формы или сообщения |
| Уведомление о cookie | ✅ Да | При первом посещении сайта |
| Минимизация данных | ✅ Да | Не запрашивайте лишнего |
| Хранение и защита | ✅ Да | Пароли, шифрование, логирование доступа |
| Обработка через подрядчиков | ⚠️ С осторожностью | Только по договору, с передачей ответственности |
| Трансграничная передача (например, Telegram) | ⚠️ Доп. уведомление в РКН | Особенно, если сервера за пределами РФ |
📌 Выводы
- Новые законы усилили контроль — штрафы стали выше, а ответственности больше.
- Каждый сайт и бот — это потенциальный обработчик данных.
- Главное правило — явное согласие: без него любые сборы ПДн незаконны.
- Автоматизация ≠ безответственность — даже если все делает бот, ответственность несет владелец.
- Правильная настройка сайта и чат-бота сегодня — защита от миллионов штрафов завтра.
