В России только что вступили в силу обновления федерального закона №152-ФЗ «О персональных данных». Изменения, по мнению тысяч предпринимателей, оказались не просто неожиданными — они парализуют работу малого и среднего бизнеса. Предприниматели массово признаются: им трудно выполнить требования Роскомнадзора, чтобы не попасть под штрафы в сотни тысяч и миллионы рублей.
«С 1 июня требования к сайтам ужесточились, и к нам начали поступать типовые запросы, — объясняет Владимир Кривов, эксперт в сфере веб-разработки и руководитель РОСТСАЙТ. — В первую очередь приходится настраивать логику обработки согласий: обязательные чекбоксы, сбор IP-адресов, дата-временные метки, блокировка кнопки отправки до получения согласия. Вторая часть — фильтрация внешнего кода: удаляем скрипты Google Fonts, YouTube, аналитики. Также отдельный блок — уведомление о cookie с активным подтверждением и логированием. Многие недооценивают, что даже одна недоработка в логике сайта может трактоваться как нарушение, особенно в части трансграничной передачи».
Регистрация оператора: запутанная?
Главный удар пришёлся по тем, кто собирает хоть какие-либо данные — телефон, e-mail, даже внутренние переписки сотрудников. Любой сайт, где есть форма обратной связи, стал «оператором персональных данных». А это значит: обязан зарегистрироваться в реестре Роскомнадзора.
Но как? Официальный путь — с помощью электронной подписи и криптографической защиты. Нужно иметь ЭДО, КриптоПРО, пройти сложную процедуру подписания и загрузки документов. Для многих это стало первым барьером. Сайт Роскомнадзора перегружен, ошибки вылетают при каждой попытке авторизации.
Штрафы за неактуальную обработку персональных данных
За отсутствие регистрации — до 300 тысяч рублей.
За утечку данных — от 3 до 15 миллионов рублей.
За трансграничную передачу — до 18 миллионов рублей.
Санкции предусмотрены не только для компаний, но и для ИП и самозанятых. При этом в законе не сказано, как трактовать многие технические нюансы: что считать безопасным, какие сервисы запрещены, и какие галочки нужно собрать с пользователей, чтобы считаться «законопослушным».
Настройка сайта по 152-ФЗ либо мина замедленного действия
Каждый элемент сайта теперь может стать причиной штрафа. Предприниматели в шоке: формально почти все сайты в Рунете нарушают что-то из новых правил.
Вот что теперь обязательно:
Размещение актуальной политики обработки персональных данных.
Галочка согласия при каждой отправке формы на сайте.
Обязательное уведомление о cookie с подтверждением от пользователя.
Документы о согласии на обработку и хранение этих галочек (IP-адреса, даты).
Указание юрлица, ИНН, ОКВЭД и юридического адреса на сайте.
Раскрытие всех серверов и облачных сервисов, где хранятся данные.
Но как соблюсти всё это — не объяснил никто. Некоторые ИТ-специалисты с иронией говорят: «Проще закрыть сайт, чем соответствовать всему списку».
От владельцев сайтов требуют невозможного?
Пожалуй, самая тревожная новелла закона — запрет на трансграничную передачу данных. Под него попадают не только явные иностранные сервисы вроде Google Analytics или YouTube, но даже Google Fonts, встроенный в 99% сайтов в мире.
Именно это вызывает у предпринимателей откровенную панику:
«Мы не знали, что использование шрифта — это уже трансграничная передача! Получили письмо от Роскомнадзора, где об этом прямо сказано. Теперь нужно вычищать весь код. Но чем заменить эти шрифты? Где официальные рекомендации? Никто ничего не объясняет».
Более того, нейросеть Роскомнадзора уже запущена и в автоматическом режиме анализирует весь Рунет на соответствие закону. Любой «след» иностранного кода может быть поводом для проверки или блокировки.
Форма обратной связи как источник риска
Даже простая форма обратной связи теперь становится юридическим объектом. Если на вашем сайте нет принудительной галочки с согласием на обработку ПДн — вы нарушаете закон. Если нет хранимых доказательств этих согласий — тоже нарушение. А если кнопка «отправить» активна до проставления галочки — ждите проверку.
«Мы внедрили форму с галочкой, но теперь не знаем, где и как хранить IP-адреса и подтверждения, — признаются владельцы сайтов. — Поставить галочку — легко, а вот доказать, что пользователь поставил её сознательно — уже проблема».
А если вы смените подрядчика?
При регистрации в реестре операторов нужно указать, где физически хранятся данные пользователей. Сюда входят:
Внутренние серверы
Облачные хранилища (Яндекс, Google, Bitrix24)
CMS-платформы (Tilda, WordPress и др.)
Но что делать, если через месяц вы смените подрядчика? Закон молчит. Многие бизнесмены задаются вопросом: «Каждую смену сервиса теперь регистрировать заново?»
«Чаще всего вопросы касаются не интерфейса, а серверной части, — поясняет Владимир Кривов, владелец агентства по адаптации сайтов под 152-ФЗ. — Нужно указать, где именно хранятся персональные данные: на каких серверах, в каких облачных системах. В ряде случаев это требует пересмотра хостинга — особенно если используется иностранный провайдер. Также сайт должен передавать данные строго по HTTPS, иметь валидный SSL-сертификат, а политика обработки персональных данных должна быть не просто размещена, а встроена в логику работы — например, связана с формами, cookie-уведомлениями и техническими логами. Многие забывают и про требование хранить копии согласий — это должен быть отдельный механизм, с экспортируемыми записями».
Почтовый путь регистрации оператора сбора данных: спасение?
Второй способ регистрации в реестре — отправка бумажного письма. Да, на дворе 2025 год, а официальная альтернатива онлайн-порталу — «эпистолярная форма». Это выглядит абсурдно, учитывая срочность и тяжесть последствий.
«Мы не понимаем, сколько будет идти письмо, и засчитается ли дата отправки как день регистрации. Пока ждем ответа — нас могут уже оштрафовать?» — возмущаются предприниматели.
Будет ли массовая зачистка сайтов с персональными данными?
Владельцы бизнес-порталов всерьёз опасаются: сайт с нарушениями может быть заблокирован без предупреждения. И если на нём нет ИНН, ОКВЭД и юрадреса — он уже попадает в «зону риска».
«Мы не знаем, что будет: отключат сайт, закроют бизнес или просто обложат штрафами. Одно ясно — самостоятельно разобраться с этим невозможно. Каждый пункт закона вызывает новые вопросы, а ответов нет».
Выход есть?
Пока единственный реальный путь — это обращение к профильным веб-агентствам и юристам, которые адаптируют сайт под закон. Но даже они не всегда уверены, что через неделю не появится новая трактовка от Роскомнадзора.
Многие в онлайн-бизнесе сейчас в растерянности. Закон 152-ФЗ в 2025 году превратился из формального документа в реальный инструмент давления. Вопрос стоит ребром: либо срочно адаптироваться, либо готовиться к санкциям.
Иллюстрации: генерация нейросети
