Collagery/Shutterstock/FOTODOM
Одна галочка «на все» больше не работает
Что поменялось в политике конфиденциальности в 2025 году
С сентября 2025 года привычная фраза «Нажимая кнопку, вы соглашаетесь…» может стоить вам 15 млн рублей. Разбираемся, как новые поправки к ФЗ-152 изменили правила сбора персональных данных и что нужно сделать на вашем сайте прямо сейчас, чтобы не нарваться на штраф от Роскомнадзора.
У вас на сайте есть форма обратной связи? Вы регистрируете людей на мероприятия, собираете e-mail для рассылки или принимаете заявки через соцсети? Поздравляем, вы — оператор персональных данных. С 1 сентября 2025 года сбор этих данных ведется по новым правилам. Рассказываем, какие неочевидные мины замедленного действия скрываются под капотом нового ФЗ, как привести свои формы в порядок и прописать правильные формулировки.
У вас на сайте есть форма обратной связи? Вы регистрируете людей на мероприятия, собираете e-mail для рассылки или принимаете заявки через соцсети? Поздравляем, вы — оператор персональных данных. С 1 сентября 2025 года сбор этих данных ведется по новым правилам. Рассказываем, какие неочевидные мины замедленного действия скрываются под капотом нового ФЗ, как привести свои формы в порядок и прописать правильные формулировки.
Согласие — не опция, а отдельный документ
Раньше все было просто: длинная портянка пользовательского соглашения с пунктом о согласии на все на свете и заранее проставленной галочкой, которую никто не читал. Теперь эпоха «скрытых согласий» официально завершилась.
Марс Насыров,
юрист «ЛюдиPeople»:
«До 2025 года операторам ПДн (персональных данных) достаточно было предоставить в РКН уведомление и вывесить на сайте формальный документ с общими формулировками. Согласие можно было получить в любом виде, часто — включив его в текст договора. По сути, это было «скрытое согласие». Теперь же его необходимо оформлять отдельным документом. Вписывать согласие в текст договора или оферты запрещено. Ответственность за такое нарушение — до 700 тыс. рублей».
юрист «ЛюдиPeople»:
«До 2025 года операторам ПДн (персональных данных) достаточно было предоставить в РКН уведомление и вывесить на сайте формальный документ с общими формулировками. Согласие можно было получить в любом виде, часто — включив его в текст договора. По сути, это было «скрытое согласие». Теперь же его необходимо оформлять отдельным документом. Вписывать согласие в текст договора или оферты запрещено. Ответственность за такое нарушение — до 700 тыс. рублей».
Итак, запоминаем правило № 1: Согласно Федеральному закону от 08.08.2024 № 233-ФЗ, согласие на обработку персональных данных должно быть:
Пропустите любой из этих пунктов — и Роскомнадзор признает согласие недействительным. А это автоматически означает, что весь сбор данных был незаконным. Не забудьте указать информацию об операторе: название организации, адрес.
- Отдельным — не частью оферты, а самостоятельным документом.
- Осознанным — пользователь должен сам проставить все галочки. Никаких заранее активированных чекбоксов!
- Конкретным — в нем должны быть четко прописаны «набор» данных (ФИО, e-mail, телефон), цели и способы их обработки, срок действия согласия и понятный порядок его отзыва. Собираете аналитику с помощью «Яндекс Метрики» — не забудьте указать это в соглашении о сборе и обработке ПД.
Пропустите любой из этих пунктов — и Роскомнадзор признает согласие недействительным. А это автоматически означает, что весь сбор данных был незаконным. Не забудьте указать информацию об операторе: название организации, адрес.
«С какой целью интересуетесь?»
Марс Насыров уточняет: «Отдельным, очень важным пунктом прописываются цели сбора. Общие формулировки «для улучшения качества услуг» или «в целях хозяйственной деятельности» не допускаются. Цели необходимо прописывать ясно и четко». И это правило № 2.
Вот типичные сценарии многих сайтов, которые должны быть отражены в вашем согласии:
Вот типичные сценарии многих сайтов, которые должны быть отражены в вашем согласии:
- Регистрация аккаунта. Цель: создание и ведение личного кабинета пользователя.
- Подписка на рассылку. Цель: информирование о новостях, акциях и мероприятиях (маркетинг).
- Участие в мероприятии/конкурсе. Цель: регистрация участника и проведение мероприятия.
- Обратная связь. Цель: ответ на запрос пользователя.
Все о третьих лицах
Вы отправляете рассылки через Dashamail, UniSender или другой сервис рассылок? Используете CRM-систему? Значит, вы передаете персональные данные (тот же e-mail) третьим лицам. В политике конфиденциальности теперь нужно четко указать, каким именно сторонним сервисам и для каких целей вы передаете эти данные.
Если вы используете Google Forms, Google Analytics, встает вопрос о трансграничной передаче. Об этом следует уведомить Роскомнадзор и — в некоторых случаях — получить на это разрешение. Хранение же основных баз персональных данных должно осуществляться на территории РФ. И это правило № 3.
Если вы используете Google Forms, Google Analytics, встает вопрос о трансграничной передаче. Об этом следует уведомить Роскомнадзор и — в некоторых случаях — получить на это разрешение. Хранение же основных баз персональных данных должно осуществляться на территории РФ. И это правило № 3.
Ничего страшного не случилось
Звучит сложно? На практике все сводится к грамотной юридической и технической настройке, которую нужно сделать один раз.
Павел Скоков,
менеджер проектов «ЛюдиPeople»:
«Автоматически персональные данные посетителей сайта собираются при помощи cookie. Они фиксируют модель устройства, историю поисковых запросов, частоту посещения сайта и т. д. На сайтах наших заказчиков мы до 1 сентября обновили согласие с политикой конфиденциальности и согласие с куками. Предусмотрели даже такой пункт: «Если политика изменится — мы вас уведомим». Если у Роскомнадзора будут претензии, лог-файлы помогут доказать, что человек действительно оставил e-mail и подписался на рассылку. «Вот смотрите, Иванов Иван Иванович все прочитал и согласился именно с этой редакцией». Поэтому надо спокойно сделать политику обработки данных и повесить на все формы сбора данных согласие. Один раз делаешь и работаешь спокойно. Надо сказать, что большую часть работы мы сделали еще в мае, когда вступили в силу поправки к закону о персональных данных».
менеджер проектов «ЛюдиPeople»:
«Автоматически персональные данные посетителей сайта собираются при помощи cookie. Они фиксируют модель устройства, историю поисковых запросов, частоту посещения сайта и т. д. На сайтах наших заказчиков мы до 1 сентября обновили согласие с политикой конфиденциальности и согласие с куками. Предусмотрели даже такой пункт: «Если политика изменится — мы вас уведомим». Если у Роскомнадзора будут претензии, лог-файлы помогут доказать, что человек действительно оставил e-mail и подписался на рассылку. «Вот смотрите, Иванов Иван Иванович все прочитал и согласился именно с этой редакцией». Поэтому надо спокойно сделать политику обработки данных и повесить на все формы сбора данных согласие. Один раз делаешь и работаешь спокойно. Надо сказать, что большую часть работы мы сделали еще в мае, когда вступили в силу поправки к закону о персональных данных».
Вот как выглядят эти обновленные документы на сайтах наших клиентов:
Обратите внимание: согласие оформлено как отдельный, хорошо структурированный документ, с четкими целями и условиями.
- Онлайн-журнал «СИБУР Клиентам»
- «РЖД Цифровой»
Обратите внимание: согласие оформлено как отдельный, хорошо структурированный документ, с четкими целями и условиями.
Сила обезличенных данных
С 1 сентября 2025 года в ФЗ-152 появилась новая статья 13.1. Она обязывает операторов передавать обезличенные данные государству. Обезличенные данные — это набор персональных данных, сгруппированных по какому-нибудь признаку так, что невозможно установить их принадлежность конкретному человеку при последующей обработке.
«Если такой запрос вам поступит из Минцифры, нужно будет данные обезличить и передать, — объясняет Марс Насыров. — При этом доступ к составам данных и их обработка разрешены только в пределах ГИС — государственной информсистемы Минцифры. Под запретом любые действия с данными вне ГИС. Права на работу с персональными данными доступны только госорганам, муниципалитетам, внебюджетным фондам и их подведомственным организациям, а также гражданам и юридическим лицам при условии внесения их в реестр операторов РКН».
Ключевой момент, который обрадует маркетологов: должным образом обезличенные данные можно обрабатывать без согласия человека. Но обезличивание должно быть настоящим — по утвержденным Правительством РФ и ФСБ методам (псевдонимизация, удаление части данных), а не просто «убрали фамилию, оставили телефон». Это позволяет легально анализировать поведение пользователей в агрегированном виде и передавать обезличенные данные партнерам для маркетинговых исследований.
«Если такой запрос вам поступит из Минцифры, нужно будет данные обезличить и передать, — объясняет Марс Насыров. — При этом доступ к составам данных и их обработка разрешены только в пределах ГИС — государственной информсистемы Минцифры. Под запретом любые действия с данными вне ГИС. Права на работу с персональными данными доступны только госорганам, муниципалитетам, внебюджетным фондам и их подведомственным организациям, а также гражданам и юридическим лицам при условии внесения их в реестр операторов РКН».
Ключевой момент, который обрадует маркетологов: должным образом обезличенные данные можно обрабатывать без согласия человека. Но обезличивание должно быть настоящим — по утвержденным Правительством РФ и ФСБ методам (псевдонимизация, удаление части данных), а не просто «убрали фамилию, оставили телефон». Это позволяет легально анализировать поведение пользователей в агрегированном виде и передавать обезличенные данные партнерам для маркетинговых исследований.
Зачем мы вам это все рассказали
С Роскомнадзором шутки плохи, ведомство выписало штрафов на сотни миллионов рублей за нарушения в области персональных данных. Штрафы для юрлиц могут достигать 15 млн рублей, РКН вправе просто заблокировать ресурс. Так, к примеру было с сервисом «Яндекс Еда», на котором произошла утечка персональных данных.
Если не хотите столкнуться с такими рисками, проведите аудит своего сайта на соответствие новым требованиям.
Сделайте все по закону, чтобы спокойно заниматься бизнесом и развитием своего медиа, а не судами с регулятором.
Если хотите глубже погрузиться в тему, изучите ссылки на законы:
Если не хотите столкнуться с такими рисками, проведите аудит своего сайта на соответствие новым требованиям.
- Пересмотрите все формы сбора данных (обратная связь, подписка, регистрация).
- Обновите политику конфиденциальности и форму согласия на обработку ПДн.
- Обновите внутренние политики и инструкции, в том числе по работе с обезличиванием данных, закрепите методы обезличивания во внутренних актах.
Сделайте все по закону, чтобы спокойно заниматься бизнесом и развитием своего медиа, а не судами с регулятором.
Если хотите глубже погрузиться в тему, изучите ссылки на законы:
- Федеральный закон от 27.07.2006 № 152-ФЗ«О персональных данных». Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
- Федеральный закон от 24.06.2025 № 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации». Статья 5. О внесении изменения в Федеральный закон «О персональных данных»
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19.06.2025 № 140 «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
Читайте также