Требования Роскомнадзора к сайтам в 2025 году
Почему требования ужесточили?
С 2025 года правила игры в сфере персональных данных ужесточились. Роскомнадзор усилил контроль, штрафы выросли, а автоматические проверки сайтов стали обычным делом. Если у компании есть сайт хоть с одной формой обратной связи, она считается оператором персональных данных, и это уже вопрос юридической безопасности компании.
Поправки к закону о персональных данных вступают в силу поэтапно, самые значимые — с 30 мая и 1 сентября 2025 года. Они затрагивают согласие на обработку, правила обезличивания данных, порядок работы с cookie и требования к инфраструктуре. Роскомнадзор официально получил больше полномочий и право применять свои методики, а значит, проверки стали строже.
Ниже — разбор ключевых требований:
- Политика обработки персональных данных
- Согласие на обработку данных
- Уведомление Роскомнадзора об обработке данных
- Cookie-баннер и политика cookie
- Юридические данные в подвале сайта
- Российский хостинг и запрет на трансграничную передачу
- Автоматические проверки Роскомнадзора
- Жалобы конкурентов как инструмент давления
Ключевые требования 2025 года
Ниже — разбор ключевых требований, которые бизнес обязан учитывать в 2025 году, и пояснение, что будет, если этого не сделать.
1. Политика обработки персональных данных
Политика персональных данных должна быть на сайте, открыта и актуальна, это документ, который показывает пользователю: какие данные вы собираете, зачем вы их собираете, кому передаете, как их храните, как человек может отозвать свое согласие.
В 2025 году политика обязана соответствовать реальной работе сайта. Если у вас стоит Яндекс Метрика, CRM или формы на сторонних сервисах — все это должно быть упомянуто.
Чем грозит несоблюдение?
Роскомнадзор считает отсутствие политики нарушением. Штраф может прилететь даже за «типовой шаблон, который не соответствует реальности».
2. Согласие на обработку данных
Это один из ключевых изменений закона. С 1 сентября 2025 года согласие должно быть отдельным документом или действием, подтвержденным таким образом, чтобы оператор мог доказать факт его получения.
Фраза «нажимая кнопку, вы соглашаетесь» больше не считается полноценным согласием. Теперь нужна отдельная галочка, которую пользователь ставит осознанно. Плюс сайт должен хранить доказательства: логи, время, IP-адрес, текст согласия на момент получения.
Если вы передаете данные третьим лицам — например, CRM, сервисам рассылки, коллтрекингу — нужно отдельное согласие именно на передачу.
Чем грозит несоблюдение?
В случае жалобы или проверки оператор должен доказать, что согласие действительно было. Если логов нет, РКН трактует ситуацию как отсутствие законного основания обработки. Это прямое нарушение ст. 9 закона 152-ФЗ.
3. Уведомление Роскомнадзора об обработке данных
Если вы обрабатываете персональные данные, вы обязаны уведомить РКН об этом до начала работы. Это касается всех: ИП, самозанятых, малого бизнеса, сайтов-визиток.
В уведомлении указывают: цели обработки, методы обработки, описания информационных систем, передачу третьим лицам, трансграничную передачу (если используете иностранные сервисы).
Чем грозит несоблюдение?
Штраф за отсутствие уведомления плюс риск получить дополнительные санкции, если одновременно выявят нарушения в согласиях или политике.
4. Cookie-баннер и политика cookie
Если сайт использует какие-либо скрипты аналитики, ретаргетинга, виджеты, то должен быть: баннер при первом входе, возможность выбора типа cookie (минимум базовые/аналитические/маркетинговые), политика cookie или раздел в политике ПДн.
РКН теперь проверяет не только текст сайта, но и его код.
Чем грозит несоблюдение?
Штраф за непрозрачную обработку данных и нарушение прав пользователя.
5. Юридические данные в подвале сайта
В подвале должны быть: полное наименование юрлица или ИП, адрес, контактная информация. Не бренд, не торговая марка — а владелец сайта.
Чем грозит несоблюдение:
Нарушение закона об информации и законодательства о рекламе — а это отдельные штрафы.
6. Российский хостинг и запрет на трансграничную передачу
Обработка и хранение персональных данных должны происходить на серверах, физически расположенных в России. Это требование закона о локализации данных.
Нельзя хранить персональные данные в Google Drive, Notion, Dropbox и других зарубежных облаках. Нельзя использовать хостинг, сервер которого физически стоит в ЕС или США, даже если провайдер российский.
Чем грозит несоблюдение?
Это считается трансграничной передачей данных без оснований — одно из самых серьезных нарушений. Возможна блокировка сайта и крупные штрафы.
7. Автоматические проверки Роскомнадзора
Роскомнадзор начал использовать автоматизированные алгоритмы, которые анализируют: html-код, js-скрипты, скрытые пиксели, cookie, формы, интеграции.
Такая проверка не требует предупреждения. Нарушение фиксируется автоматически.
Чем грозит несоблюдение?
Может прийти предписание, штраф или блокировка сайта без длительной переписки. Ошибки в коде, которые пользователь не видит, робот видит отлично.
8. Жалобы конкурентов как инструмент давления
Сейчас это реальная практика. Любой конкурент может отправить жалобу в РКН, даже анонимно. Инспекция обязана реагировать. Нарушений не нужно много — достаточно одного, чтобы запустить проверку.
Чем грозит несоблюдение:
Даже мелкая ошибка может стать поводом для проверки и штрафа. Фактически, несоответствие требованиям — открытая дверь для атак.
Полный перечень документов и требований по 152-ФЗ для веб-ресурса
В таблице ниже систематизированы все необходимые документы, элементы интерфейса и технические требования, актуальные на ноябрь 2025 года.
| Категория | Наименование | Назначение и ключевые требования | Нормативное основание |
|---|---|---|---|
| Публичные документы (на сайте) | Политика обработки персональных данных | Публичный документ, определяющий, какие данные, с какой целью и как обрабатываются. Должен содержать сведения об используемых cookie-файлах. Ссылка размещается в футере сайта. | Ст. 18.1 152-ФЗ |
| Пользовательское соглашение | Регулирует правовые отношения с пользователем. Не может заменять отдельное согласие на обработку ПДн. | Гражданский кодекс РФ | |
| Политика использования cookie | Отдельный документ, детально описывающий работу с cookie-файлами. Ссылка на него должна быть в cookie-баннере. | Требование Роскомнадзора, вытекающее из ст. 9 152-ФЗ | |
| Элементы интерфейса | Отдельное согласие на обработку ПДн | С 01.09.2025 должно быть оформлено отдельным документом (чекбоксом), его нельзя включать в пользовательское соглашение или политику конфиденциальности. Должно быть конкретным, информированным и с непроставленной по умолчанию галочкой. | Ст. 9 152-ФЗ |
| Cookie-баннер | Всплывающее окно при первом посещении, запрашивающее согласие на использование cookie. Должен блокировать аналитические скрипты до согласия, давать выбор типов cookie и содержать ссылку на Политику cookie. | Требование Роскомнадзора, вытекающее из ст. 9 152-ФЗ | |
| Технические требования | Локализация хранения данных | Базы данных с ПДн граждан РФ должны находиться на территории России. Первичная запись данных должна осуществляться на российских серверах. | Ст. 18 152-ФЗ |
| Блокировка метрик до согласия | Скрипты аналитических систем (Яндекс.Метрика) и рекламные инструменты должны быть технически заблокированы и активироваться только после получения явного согласия пользователя. | Ст. 9 152-ФЗ | |
| Логирование согласий | Система должна фиксировать и хранить факт, время и условия получения каждого согласия пользователя. Критически важно для доказательства перед РКН. | Ст. 18.1 152-ФЗ (Обязанность оператора) | |
| Меры по обеспечению безопасности ПДн | Реализация организационных и технических мер для защиты данных от неправомерного доступа, уничтожения, изменения. | Ст. 19 152-ФЗ | |
| Внутренние организационные документы | Уведомление в Роскомнадзор | Подается в Роскомнадзор до начала обработки данных. Обязательно для большинства операторов. | Ст. 22 152-ФЗ |
| Приказ о назначении ответственного | Назначает сотрудника, отвечающего за организацию обработки и безопасность ПДн в компании. | Ст. 22.1 152-ФЗ | |
| Положение об обработке ПДн | Внутренний регламент, подробно описывающий все процессы обработки и меры защиты данных внутри компании. | Ст. 18.1, 19 152-ФЗ | |
| Ответственность | Нарушение порядка получения согласия | Обработка ПДн без согласия или с нарушением новых требований (отдельный документ). Штраф для ЮЛ/ИП: 300–700 тыс. руб. | Ст. 13.11 КоАП РФ |
| Неуведомление Роскомнадзора об утечке | Штраф для ЮЛ: 1–3 млн руб. | Ст. 13.11 КоАП РФ | |
| Утечка биометрических данных | Штраф для ЮЛ: до 20 млн руб. | Ст. 13.11 КоАП РФ |
Штрафы за нарушения в сфере персональных данных
Полная таблица штрафов за несоблюдение требований Роскомнадзора по ФЗ-152, актуальная на ноябрь 2025 года. С 30 мая 2025 года штрафы были существенно увеличены, а для ИП теперь установлен такой же размер штрафов, как и для юридических лиц.
| Нарушение (состав по КоАП РФ) | Штраф для ООО и ИП | Штраф для НКО |
|---|---|---|
| Отсутствие или неверное оформление документов | ||
| Отсутствие Политики конфиденциальности (ч. 3 ст. 13.11 КоАП РФ): Необеспечение доступа к документу, определяющему политику оператора в отношении обработки ПДн. | От 30 000 до 60 000 руб. | От 30 000 до 60 000 руб. |
| Непредоставление информации субъекту ПДн (ч. 4 ст. 13.11 КоАП РФ): Невыполнение обязанности по предоставлению субъекту информации об обработке его данных. | От 30 000 до 50 000 руб. | От 30 000 до 50 000 руб. |
| Обработка без согласия или с нарушением его требований (ч. 2 ст. 13.11 КоАП РФ): Включает отсутствие отдельной "плашки согласия", несоблюдение требований к его содержанию, работу метрики до получения согласия. | От 150 000 до 300 000 руб. | От 150 000 до 300 000 руб. |
| Невыполнение законного требования субъекта ПДн (ч. 5 ст. 13.11 КоАП РФ): Неуточнение, неблокирование или неуничтожение данных по запросу субъекта. | От 30 000 до 50 000 руб. | От 30 000 до 50 000 руб. |
| Неуведомление Роскомнадзора о обработке ПДн (ч. 10 ст. 13.11 КоАП РФ): Неподача уведомления о намерении осуществлять обработку персональных данных. | От 100 000 до 300 000 руб. | От 100 000 до 300 000 руб. |
| Нарушения при работе с Cookie и метрикой | ||
| Ненастройка категорий cookie и отсутствие фиксации согласий рассматриваются как Обработка без надлежащего согласия (ч. 2 ст. 13.11 КоАП РФ). | От 150 000 до 300 000 руб. | От 150 000 до 300 000 руб. |
| Запуск метрики до получения согласия пользователя также подпадает под состав ч. 2 ст. 13.11 КоАП РФ, так как сбор данных (включая cookie, IP-адрес) начинается без правового основания. | От 150 000 до 300 000 руб. | От 150 000 до 300 000 руб. |
| Иные грубые нарушения | ||
| Нелокализация данных (ч. 8 ст. 13.11 КоАП РФ): Запись, хранение и уточнение ПДн граждан РФ с использованием баз данных за пределами России. | От 1 000 000 до 6 000 000 руб. | От 1 000 000 до 6 000 000 руб. |
| Неуведомление об утечке ПДн (ч. 11 ст. 13.11 КоАП РФ): Невыполнение обязанности по уведомлению Роскомнадзора о факте утечки. | От 1 000 000 до 3 000 000 руб. | От 1 000 000 до 3 000 000 руб. |
| Утечка ПДн (ч. 12-14 ст. 13.11 КоАП РФ): Действия (бездействие), повлекшие неправомерную передачу данных. Штраф зависит от масштаба утечки. | От 3 000 000 до 15 000 000 руб. | От 3 000 000 до 15 000 000 руб. |
Важные уточнения по новым правилам:
- Ответственность ИП: С 30 мая 2025 года штрафы для индивидуальных предпринимателей приравнены к штрафам для юридических лиц.
- Отдельное согласие: С 1 сентября 2025 года согласие на обработку персональных данных должно быть оформлено отдельным документом. Его нельзя включать в пользовательское соглашение или оферту. Запрещены заранее проставленные галочки.
- Cookie — это персональные данные: Роскомнадзор рассматривает файлы cookie и данные, собираемые метриками, как персональные данные. На их обработку также необходимо получать информированное согласие пользователя до начала любой обработки.
- Повторные нарушения: За повторное совершение большинства административных правонарушений, указанных в таблице, предусмотрены значительно увеличенные штрафы. Например, штраф за обработку без согласия при повторном нарушении может составить до 500 000 рублей, а за неуведомление об обработке — до 500 000 рублей.
- Автоматические проверки Роскомнадзора: С 1 июля 2025 года Роскомнадзор проводит автоматическую проверку сайтов с помощью ИИ на наличие запрещенных элементов, таких как Google Analytics и виджеты зарубежных мессенджеров.
Что бизнесу стоит сделать прямо сейчас
Это не бюрократия ради бюрократии. Это минимальный набор мер, которые помогут избежать штрафов, блокировок и неприятных сюрпризов со стороны «доброжелателей».Провести аудит сайта
Необходимо провести комплексный аудит сайта: юридический и технический. Проверить все формы, скрипты, интеграции, документы и соответствие требованиям 152-ФЗ.
Обновить политику персональных данных
Политика должна соответствовать реальной работе сайта. Упомянуть все используемые сервисы: Яндекс Метрику, CRM, формы на сторонних сервисах. Убедиться, что документ актуален и доступен.
Пересобрать согласия
С 1 сентября 2025 года согласие должно быть отдельным документом с отдельной галочкой. Настроить логирование всех согласий: время, IP-адрес, текст согласия. Это критически важно для доказательства перед РКН.
Привести cookie-уведомления в порядок
Настроить cookie-баннер с выбором типов cookie (базовые/аналитические/маркетинговые). Блокировать аналитические скрипты до получения согласия. Добавить ссылку на Политику cookie. Убедиться, что все работает корректно.
Проверить хостинг и убрать слабые места
Убедиться, что хостинг российский и серверы физически расположены в России. Убрать лишние зарубежные сервисы или оформить передачу корректно. Проверить, что персональные данные не хранятся в зарубежных облаках.
Профессиональная помощь
Если хочется наконец выдохнуть и перестать жить с мыслью «а вдруг РКН завтра что-нибудь найдёт», передайте эту часть работы тем, кто умеет закрывать риски под ключ.
Code-X проведёт комплексную работу
Code-X проведёт аудит сайта, приведёт документы в порядок, настроит согласия и cookie, проверит хостинг и уберёт слабые места ещё до того, как их заметит проверка.
