Что делать при конфликте с Windows Defender →
Русский RU

Связаться с нами:

+7 (495) 777-54-58 sales@kickidler.io
Бесплатное тестирование Демо

Оператор персональных данных 2025: изменения закона, новые требования и чек-лист

Оператор персональных данных 2025: изменения закона, новые требования и чек-лист

Ещё несколько лет назад тема персональных данных казалась большинству – и особенно малому бизнесу – всего лишь "ещё формальностью". С наступлением и развитием эры ИИ ситуация изменилась: сайты начинают сканировать на нарушения автоматически, и любая форма обратной связи становится точкой риска, из-за которой вы рискуете получить штраф.

Разбираемся, что значит быть оператором персональных данных в 2025 году, какие теперь нужно оформлять документы, какие требования выполнять и как защититься от возможных штрафов и блокировок.

Кто является оператором персональных данных в 2025

Все, у кого есть сайт с любыми формами сбора информации. Заявка, подписка, чат, оформление покупки, даже обычная "обратная связь" или квиз – как только у вас появляется что-то из перечисленного, формально вы становитесь оператором ПДн по ФЗ-152. Это относится и к ООО, и к ИП, и к самозанятым.

Раньше мелкий бизнес в этом плане практически игнорировали, но теперь ситуация изменилась. В 2025 Роскомнадзор начинает с одинаковым вниманием проверять и одностраничные визитки, и крупные порталы. Проверки проходят автоматически, без предупреждений, и фиксируют всё:

  • отсутствие опубликованной политики обработки данных;
  • скрытые чекбоксы;
  • использование иностранного хостинга;
  • интеграцию сторонних сервисов и тд.

Даже если вы не попадёте под веер этих проверок, конкуренту достаточно подать жалобу на ваш сайт, и РКН незамедлительно отреагирует. Придётся разбираться с блокировками и штрафом до 18 миллионов рублей. Чтобы такого не произошло, нужно заранее позаботиться о соблюдении закона о персональных данных.

Чек лист для сайта оператора персональных данных

Есть 6 моментов, на которые нужно обратить особое внимание – именно с ними связано большинство нарушений.

1. Политика обработки персональных данных на сайте

Должна быть опубликована на сайте. Внутри этого документа должны быть:

  • перечислены данные, которые вы собираете (имя, email, телефон, cookie-файлы, IP-адрес и т.д.);
  • описаны цели их сбора (например, "для обработки заявки или обратной связи");
  • указаны всё юридически значимые сведения: ваши контакты, как можно отозвать согласие, ссылки на все формы.

Очень важно, чтобы политика соответствовала реальной структуре вашего бизнеса. Если вы просто скачаете шаблон из сети и зальёте его, не меняя, он наверняка не будет соответствовать именно вашим процессам.

Например, вы используете интеграцию формы обратной связи от стороннего провайдера. В шаблоне политики точно не будет указано, что вы передаёте ему собранные данные, а это – нарушение.

2. Согласие пользователя на обработку персональных данных

Согласие должно быть отдельным, осознанным и недвусмысленно подтверждённым действием пользователя. Его необходимо указывать: во всех формах (заявки, подписка, покупка, обратная связь) – везде отдельный чекбокс.

Рядом с чекбоксом должен быть текст – или ссылка на него – в котором чётко расписаны:

  • цели сбора данных;
  • срок их хранения;
  • перечень собираемых данных.

Если вы планируете передавать информацию третьим лицам – например, провайдеру CRM-системы – это необходимо указать отдельно.

3. Уведомление Роскомнадзора о начале обработки персональных данных

Любой, кто принимает персональные данные (даже если у вас на сайте единственная форма "Оставьте номер телефона, мы вам перезвоним"), сейчас обязан уведомлять об этом РКН. Для этого на портале Роскомнадзора предусмотрена электронная форма, в которой нужно указать:

  • цели и способы обработки персональных данных;
  • все используемые вами информационные системы (например, CRM, почтовые сервисы);
  • факт трансграничной передачи, если используете иностранные сервисы или храните данные за пределами РФ.

4. Политика и уведомление о Cookie

Отдельное уведомление о cookie при первом заходе на сайт тоже обязательно. Должны быть:

  • всплывающее окно или баннер, где коротко описано, что вы используете cookie, а также есть ссылка на подробную политику;
  • возможность отказаться от определённых видов cookie (например, не позволить вашему сервису собирать аналитические или маркетинговые данные);

Особенно важно, чтобы уведомления о cookies были, если вы пользуетесь интеграциями: Яндекс.Метрикой, решениями от Google или других компаний.

5. Корректная юридическая информация

Согласно 149-ФЗ, на сайте должны быть размещены полное юридическое название, адрес и актуальные контактные данные собственника (ООО, ИП или самозанятого). Если вы укажете только торговую марку или маркетинговое название, это будет причиной для штрафа.

6. Российский хостинг

Особое внимание теперь уделяется физическому расположению серверов:

  • данные должны храниться на серверах, находящихся физически в России;
  • загружать обработанные ПДн на Google Drive, Notion, веб-диски и международные облака типа DropBox – это нарушение;
  • если вы используете иностранные скрипты (например, Google Analytics), это указывается в политике и требует отдельного согласия пользователя.

Даже если пользуетесь российскими хостингами, обязательно уточняйте, где находится конкретно ваш сервер. Физически он может находиться в Европе, и это будет нарушением.

Что в связи с этим сделать операторам персональных данных

Рекомендуем вам:

  1. Провести технический и юридический аудит сайта, чётко определить, где и какие данные вы собираете.
  2. Проверить наличие и содержание нужных документов: политика ПДн, политика cookie.
  3. Убедиться, что вы подали уведомление об обработке персональных данных в Роскомнадзор и они его приняли.
  4. Проверить, где физически размещён сервер и какова политика хостинга.
  5. Пересмотреть использование сторонних сервисов и скриптов, по возможности отказаться от них.

Как правило, нарушения в сфере ПДн связаны не со злым умыслом, а с халатностью. Если регулярно проверять соответствие вашего сайта требованиям РКН и своевременно обновлять политики под реальные процессы, проблем не будет.

Нужно ли согласие на обработку персональных данных для Kickidler

Сам по себе Kickidler – это система учёта рабочего времени, которая не собирает персональные данные пользователя. Активность за рабочими компьютерами, снимки экрана и прочая информация, которой мы оперируем, это не ПДн: речь идёт о контроле над сотрудником при выполнении им своих трудовых обязанностей и борьбе с прокрастинацией. Поэтому дополнительного соглашения на предоставление персональных данных для Kickidler не нужно.

Тем не менее, важно понимать, что в поле зрения Kickidler могут случайно попасть личные переписки и данные. Такое происходит, если сотрудник в рабочее время использует компьютер для личных целей – например, общается в мессенджере или социальной сети.

Именно поэтому мы рекомендуем вам чётко донести до персонала все особенности использования систем учёта рабочего времени. Расскажите, как и зачем ведётся наблюдение, какие данные и как вы собираете, какие результаты это даёт. Особо уточните недопустимость использования рабочих устройств в личных целях, для этого есть персональные смартфоны и ноутбуки. В идеале рекомендуем ознакомить сотрудников с документом, содержащим все правила использования Kickidler, под роспись.

ЧаВо:

Нужно ли подавать уведомление в Роскомнадзор?

 Да. Если вы собираете ПДн онлайн — через формы, подписки, чаты — уведомление обязательно. Исключения — только ручная обработка без автоматизации или государственные системы (ч. 2 ст. 22 152‑ФЗ).

Какие данные россиян нужно хранить в России?

 Все, что позволяет идентифицировать гражданина РФ: ФИО, email, IP, cookie-файлы, логи и др. (§ 18 ч. 5 152‑ФЗ с поправками 242‑ФЗ и 23‑ФЗ).

Какие штрафы за отсутствие уведомления?

 Для компаний и ИП — от 100 000 до 300 000 ₽ (ч. 10 ст. 13.11 КоАП). При повторных нарушениях возможна блокировка или повышенные санкции. Подробнее.

Что будет, если произошла утечка, а уведомление не подано?

 Штраф — от 1 до 3 млн ₽ (ч. 11). При массовой утечке или повторных нарушениях — до 3 % от годовой выручки (≥ 20 млн ₽). Подробнее.

Нужен ли cookie‑баннер?

 Да, если cookie идентифицируют пользователя. Требуется явное согласие или отказ пользователя на сайте. Подробнее.

Обязательна ли политика конфиденциальности на сайте?

 Да. Если на сайте есть форма — публиковать политику обработки ПДн обязательно. Подробнее.

Можно ли хранить резервные копии ПДн за границей?

 Да, но только после размещения первичной базы россиян в РФ и уведомления о трансграничной передаче данных. Подробнее.

Нужен ли сотруднику письменный consent, если компания снимает его скриншоты?

 Да. Скриншоты рабочего стола требуют письменного согласия сотрудника. Подробнее.

Сколько даёт РКН на исправление нарушений?

 Выносится предупреждение, затем предписание. На устранение — до 6 месяцев, чаще — до 10 рабочих дней.

Как оформить согласие в форме регистрации?

 Добавьте отдельный чекбокс с указанием целей обработки, срока хранения и получателей. Предзаполненные галочки запрещены. Подробнее.

Что делать, если данные россиян сейчас хранятся в AWS?

 Перенесите базу в российское облако, закройте запись в AWS, уведомьте РКН и обновите политику конфиденциальности. Подробнее.
Author photo.
Нателла Богданова

Как техноэнтузиаст и старший автор в Kickidler, я создаю содержательный и полезный контент, который помогает бизнесу оптимизировать управление персоналом.

Система учёта рабочего времени Kickidler

Что умеет Kickidler?

Ещё интересные статьи: