Как правильно собирать персональные данные на сайте, чтобы не попасть на штрафы

2025-11-01 14:39:57 Время чтения 20 мин 1062

Привет, на связи Adlook!

С мая 2025 года ужесточились штрафы за утечку персональных данных и несвоевременное уведомление Роскомнадзора о начале их обработки или факте утечки. Теперь штрафы стартуют от 10 тысяч рублей и могут достигать 500 (!) миллионов. И это не просто суммы, взятые с потолка — за последнее время уже набралось немало судебных дел, где владельцы сайтов (и компании, и физлица) получили многомиллионные штрафы.

При этом многие до сих пор не понимают, за что именно наступает ответственность и какие действия нужно предпринять, чтобы обезопасить себя. В этой статье мы заглянем в самую суть проблемы и предложим чек-лист правил, соблюдение которых поможет защитить ваш сайт от штрафов по ст. 13.11 КоАП РФ.

Как понять, что ваш сайт собирает персональные данные

Персональные данные — это информация, которая позволяет идентифицировать конкретного человека. Перечислять все составляющие не будем, но по сути к ним относятся любые личные сведения — от имени, геолокации и номера телефона до биометрии. Чтобы понять, собирает ли ваш сайт персональные данные, нужно посмотреть, какую информацию он запрашивает у посетителей.

Сбор и обработка ПДн происходят, например, если:

  1. интернет-ресурс получает технические сведения о пользователях — IP-адреса, параметры браузера, файлы cookie;
  2. на сайте есть формы, в которых пользователи вводят ФИО, телефон, адрес электронной почты — например, при подписке на рассылку, регистрации, оформлении заказа или оставлении комментариев;
  3. в интернет-магазине требуется ввести реквизиты банковской карты и контакты плательщика при оплате товаров или услуг.

Юридически понятие обработки ПДн включает любое действие с личной информацией — в том числе сбор, накопление, хранение, передачу, обезличивание, уничтожение (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Даже если полученные сведения не передаются третьим лицам, не выходят за пределы вашего ресурса и не публикуются открыто, это всё равно считается обработкой. Следовательно, владелец сайта — он же оператор персональных данных — обязан соблюдать требования законодательства: подавать уведомления в Роскомнадзор, размещать политику конфиденциальности и обеспечивать защиту информации.

Кейс из практики. Директор детской школы искусств в Магадане была привлечена к ответственности по ч. 3 ст. 13.11 КоАП РФ: на официальной странице в сети Интернет, где осуществлялся сбор информации об учениках через форму обратной связи, отсутствовала политика обработки ПДн (постановление Хасынского районного суда Магаданской области от 22.03.2024 по делу № 5-28/2024). В этом деле виновнику штрафа удалось избежать, суд вынес только предупреждение, но обратите внимание – события происходили до 30 мая 2025 года, сейчас наказания за те же самые проступки стали суровее.

Что будет, если нарушить закон?

За нарушение правил обработки предусмотрена как административная, так и уголовная ответственность — с крупными штрафами и вплоть до лишения свободы. С 30 мая 2025 года вступили в силу новые, значительно ужесточенные требования к операторам ПДн, согласно Федеральному закону от 30.11.2024 № 420-ФЗ.

Что изменилось:

  1. санкции для юрлиц теперь могут достигать 500 миллионов рублей;
  2. размер штрафа за утечку зависит от масштаба инцидента — иными словами, чем больше утекло идентификаторов или пострадало людей, тем внушительнее будет сумма ответственности;
  3. особое внимание теперь уделено утечке специальных категорий данных (например, о здоровье, религиозных убеждениях) и биометрии — штрафы за их неправомерное использование и распространение самые высокие.

В таблице ниже мы привели размеры штрафов за наиболее частые правонарушения, с которыми сталкиваются вебмастера, и по которым уже есть реальные кейсы.

На практике составов правонарушений гораздо больше, но с ними вы можете ознакомиться самостоятельно в статье 13.11 КоАП РФ. А мы перейдем к тому, как защитить свой интернет-ресурс от претензий Роскомнадзора и избежать вышеуказанных негативных последствий.

Чек-лист: главные правила для тех, кто собирает персональные данные

Чтобы максимально охватить тему, разберем 3 распространенные ситуации: 

  1. вы только планируете запустить ресурс, который будет собирать ПДн;
  2. ваш сайт в настоящее время занимается сбором ПДн;
  3. на сайте уже произошла утечка.

Рассмотрим каждый сценарий пошагово.

Ситуация 1. Запуск ресурса, который будет собирать личную информацию

Представим, что вы открываете интернет-магазин, где посетители смогут оформлять заказы с доставкой, подписываться на рассылку, а сайт при этом будет собирать cookie. Вот что потребуется сделать на старте.

Подготовьте ключевые документы

В первую очередь РКН всегда обращает внимание на наличие определенных документов на сайте и их доступное для посетителей размещение — за это проще всего оштрафовать и доказать вину владельца. Обязательными являются: политика обработки персональных данных, форма согласия на обработку, уведомление о сборе cookie при входе на ресурс, а также (согласно закону «Об информации» от 27 июля 2006 г. № 149-ФЗ) контактная информация владельца ресурса — название, местонахождение, адрес электронной почты (обычно ее располагают в футере страницы).

1. Политика обработки персональных данных.

Это обязательный документ для всех операторов, которые работают с личной информацией о пользователях. В нем нужно четко указать категории собираемой информации, цели и способы работы с ней, меры по защите конфиденциальности, а также способы, которыми юзер может изменить или удалить свои сведения, если захочет. Такой документ должен быть в открытом доступе для юзеров, отвечать требованиям закона № 152-ФЗ и рекомендациям Роскомнадзора.

Обычно политику конфиденциальности публикуют в футере, пример страницы Adlook
Обычно политику конфиденциальности публикуют в футере, пример страницы Adlook

2. Форма согласия

Оптимальный способ — использовать чек-бокс с текстом вроде «Согласен на обработку персональных данных в соответствии с политикой конфиденциальности» или «Регистрируясь, вы принимаете пользовательское соглашение». Сразу же в форму стоит добавить гиперссылки на политику обработки ПДн и пользовательское соглашение — для удобства пользователя, чтобы он не искал важные документы в футере.

Как форма согласия для клиента реализована на нашем сайте
Как форма согласия для клиента реализована на нашем сайте

Важное требование — пользователь должен лично поставить галочку в пустом чек-боксе, а его личность должна быть идентифицируема (через регистрацию, логирование IP и т.д.). Иначе суд может признать такое согласие недействительным, такие кейсы в судебной практике уже были (решение Московского УФАС от 6 ноября 2019 г. по делу № 077/05/18-11501/2019). Оператор в качестве доказательства предоставил Ф.И.О. и номер телефона пользователя, но суд указал, что для признания согласия действительным требуется техническая идентификация: логирование действия, двухфакторная проверка, подтверждение через SMS-код. Без таких мер доказать, что согласие дал конкретный пользователь, нельзя.

3. Уведомление о сборе cookie.

Куки-файлы тоже считаются персональной информацией в соответствии с ч. 1 ст. 3 закона № 152-ФЗ, так как они позволяют косвенно идентифицировать пользователя, отслеживая действия в интернете. Обычно уведомление оформляется как всплывающий баннер с краткой информацией и ссылкой на политику конфиденциальности.

Пример уведомления на платформе для бухгалтеров biznesinalogi.ru
Пример уведомления на платформе для бухгалтеров biznesinalogi.ru

4. Следующий блок обязательных документов — это внутренние акты оператора ПДн. Рекомендуем оформить их даже если ваш сайт зарегистрирован на ИП, вы относитесь к субъектам малого предпринимательства и локальные акты вообще не ведёте. Если у Роскомнадзора возникнут вопросы, лучше, чтобы эти документы были в наличии — оформлены и подписаны надлежащим образом. К ним относятся:

  1. Обязательство (Положение) о неразглашении для сотрудников — внутренний документ, запрещающий раскрытие клиентской информации.
  2. Приказ о назначении ответственного — фиксирует лицо, ответственное за организацию работы с ПНд и безопасность полученных сведений.

Примите технические меры

Здесь важны два ключевых момента, на которые в первую очередь обращает внимание РКН.

  1. Установите SSL-сертификат для безопасного обмена сведениями и защиты от перехвата.
  2. Проверьте, что хостинг и сервера расположены в России, если вы обрабатываете сведения о гражданах РФ. В случае утечки личной информации физлиц на зарубежные сервера вам грозят многомиллионные штрафы.

Пример из практики. В августе 2025 года одно digital-агентство из Новосибирска получило внушительный штраф — 3,2 миллиона рублей за то, что собирало заявки на свои услуги через Google Forms. Роскомнадзор выявил два нарушения: несоблюдение правила локализации (сведения о физлицах должны храниться на серверах в России) и отсутствие обязательного уведомления надзорному органу.

Пройдите регистрацию в Роскомнадзоре

РКН является надзорным органом, который ведет реестр всех операторов ПДн, и о начале сбора его обязательно нужно уведомить. Технически это сделать несложно, просто заполните форму на официальном сайте Роскомнадзора, отправьте заявление через Госуслуги или передайте его на бумажном носителе — какой способ удобней, выбирает сам оператор.

Форма уведомления на официальном портале РКН
Форма уведомления на официальном портале РКН

Если такое уведомление не отправить вовремя, то вебмастеру грозит ответственность по ч.10 ст.13.11 КоАП РФ. В зависимости от правового статуса: для физлица штраф составит до 10 000 руб., а для ИП или компаний — до 300 000 руб.

Что будет после отправки? Выждите 10 рабочих дней: Роскомнадзору нужно время, чтобы внести ваш сайт в реестр операторов ПДн. Если спустя указанный срок никаких ответов не поступит, значит можно начинать сбор и обработку. РКН пришлет ответное письмо только в случае, если в отношении вашего ресурса есть ограничения или запреты.

Ситуация 2. Сайт уже работает и собирает персональные данные пользователей

Если ваш ресурс действующий, необходимо проверить корректность его работы и соответствие требованиям закона №152-ФЗ. Давайте пройдёмся по главным пунктам:

  1. политика обработки персональных данных должна быть доступна на каждой странице, обычно ссылку размещают в подвале;
  2. все формы, которые посетитель заполняет на вашем ресурсе, должны содержать ссылки на пользовательское соглашение;
  3. при входе на сайт должно появляться уведомление о сборе cookie;
  4. о любых изменениях в политике или других документах сообщайте в надзорный орган не позднее 15-го числа следующего месяца;
  5. собирайте только необходимую для конкретных целей информацию (например, если пользователь оформляет доставку товара, вы вправе запросить контакты и адрес, но не сведения о семейном положении, уровне дохода или месте его работы) и каждый раз получайте явное согласие на обработку;
  6. если на сайте установлена система Google Analytics, которая собирает данные о пользователях в РФ, необходимо убрать их отслеживающие пиксели и использовать только такие аналитические инструменты, как Яндекс Метрика и Вебмастер.

Ситуация 3. На сайте произошла утечка данных

Разберем теперь самую неблагоприятную, но вполне возможную ситуацию, когда информация о пользователях утекла в руки посторонних лиц. Никто от этого не застрахован на 100 %, а штрафы владельцу ресурса в таком случае грозят гигантские и, в зависимости от масштаба происшествия, могут доходить до нескольких миллионов рублей.

В такой ситуации действовать нужно быстро, чтобы остановить дальнейшее распространение и минимизировать негативные последствия.

1. Остановите утечку

Необходимо незамедлительно отключить серверы, заблокировать небезопасные учетные записи и закрыть внешние порты, а также отключить подозрительные каналы передачи информации.

2. Зафиксируйте и проанализируйте объем потери

Проведите сбор и фиксацию всех фактов: какие именно сведения «ушли на сторону», когда и как произошел инцидент, кто его выявил, сохраните все доказательства — они пригодятся для диалога с РКН. Если у вас не хватает опыта для ликвидации последствий, привлеките сторонних специалистов по кибербезопасности для выявления уязвимостей, устранения нарушений и разработки мер по предотвращению повторных утечек.

3. Уведомьте Роскомнадзор

По закону оператор обязан в течение 24 часов с момента обнаружения инцидента уведомить РКН, подав специальное заявление через официальный портал. В уведомлении раскрывают детали инцидента, предполагаемые причины, объем ущерба, меры по устранению и контактное лицо. Несвоевременное извещение грозит штрафами до 3 млн рублей.

4. Проведите внутреннее расследование и предоставьте в РКН расширенный отчет

В течение 72 часов после утечки необходимо провести детальное расследование, выявить точные причины, ответственных и обстоятельства произошедшего. Итоги и планы по устранению уязвимостей также направляют в Роскомнадзор.

5. Оповестите пострадавших

Если дорожите репутацией своего интернет-ресурса, не замалчивайте проблему. Важно своевременно уведомить пользователей о происшествии, чтобы помочь им защитить себя — сменить пароли, быть внимательными к возможному фишингу. Для поддержки можно также организовать контактный центр или горячую линию.

Как предотвратить незаконное распространение данных

Можно ли предотвратить утечку и обезопасить себя от негативного сценария? Да, и вот, что для этого нужно сделать.

  1. Предлагайте пользователям использовать сложные пароли — не просто qwerty или 12345678, а пароли, состоящие из букв, цифр, специальных символов и знаков разного регистра, расположенных в неочевидном порядке — а лучше всего в хаотичном.
  2. Настройте двухфакторную аутентификацию –  дополнительный код при входе, который приходит на телефон или генерируется приложением. На случай, если пароль украдут, доступ к аккаунту будет защищён. 
  3. Проинформируйте пользователей о рисках передачи аккаунта в руки третьих лиц, даже если они являются близкими людьми.
  4. Дополнительно: регулярно обновляйте программное обеспечение и следите за безопасностью своего хостинга.

Важный момент: тот факт, что сайт подвергся кибератаке извне, не освобождает владельца ресурса от ответственности. Суд не будет разбираться, по чьей вине произошла утечка данных — ответственность всё равно лежит на владельце сайта, поскольку он не обеспечил надёжную защиту информации.

Кейс из практики. Хакеры получили доступ к корпоративному сайту медицинской лаборатории, внедрили вредоносный скрипт, который позволил получить несанкционированный доступ к базе пациентов. Информация о клиентах (Ф.И.О., даты рождения, СНИЛС, адреса, номера телефонов и т.д.) была «слита» и размещена на стороннем сервисе в открытом доступе. В результате лабораторию привлекли к ответственности по ч. 1 ст. 13.11 КоАП РФ и назначили штраф в размере 60 тыс. руб. (Решение Перовского районного суда г. Москвы от 08.09.2022 по делу № 12-2741/2022). Этот кейс наглядно показывает, как важно не только правильно хранить данные, но и эффективно защищать их от кибератак.

Полезные ресурсы для отслеживания информации

С одной стороны операторам ПДн становится всё сложнее собирать личные данные, а с другой стороны – появляются новые возможности для удобного взаимодействия с надзорными органами. Чтобы всегда владеть актуальной информацией, не беспокоиться о возможных нарушениях по незнанию и спать спокойно, рекомендуем отслеживать основные изменения на официальных ресурсах. Вам пригодятся:

  1. Портал Роскомнадзора;
  2. Реестр операторов персональных данных;
  3. Справочно-правовые системы: КонсультантПлюс, ГАРАНТ, Актион — для разъяснений юристов и анализа судебной практики.
  4. Ресурсы, специализирующиеся на кибербезопасности и защите данных — Habr, Selectel и другие.

Наша статья — это только базовое руководство по теме. Для полной уверенности важно сверяться с официальными текстами законов, однако самым надежным решением будет доверить всю юридическую работу профессиональному юристу.

Если тема работы с персональными данными заинтересовала вас, рекомендуем заглянуть в наш блог.  Мы пишем о том, как:

  1. собирать и обрабатывать ПДн паблишерам,
  2. составить политику конфиденциальности,
  3. какие еще документы обычно размещают в футере (подвале) сайта и о многом другом.

Это был Adlook! Мы, как и всегда, на связи.

Категории: Digital (web-дизайн, интернет-реклама и продвижение, интернет-сообщества и блоги, интернет-коммуникации, мобильный маркетинг, реклама на цифровых экранах)
Теги: персональные данныеadlookкукиличные данные пользователейформы на сайте
Другие материалы блога
Как выбрать нишу для заработка на инфосайте
2025-11-28 06:02:18 236
3% отчисления на рекламу в 2025 году: как не попасть на штрафы
2025-09-16 16:27:11 2282
ChatGPT как новый канал трафика: как попасть в ответы и рекомендации нейросети
2025-09-01 07:21:16 1605
VAST, VPAID: объясняем на пальцах, как работает современная видеореклама
2025-07-28 09:00:28 1232
Как распознать текст, написанный нейросетью: 5 сервисов для проверки
2025-05-28 07:17:15 3804
Как менялся продакт-плейсмент: от упоминаний в книгах до интеграций в видеоиграх
2025-02-27 07:56:06 4461 1
Еще материалы
Вице-президент АБКР Алексей Андреев — Председатель жюри блока BRANDING фестиваля SM Awards
2025-12-04 20:33:14 99
«Вместе Медиа. Контент» открывает приём заявок на конкурс для журналистов и пиарщиков
2025-12-04 14:07:09 96
Как агентство IQ усилило позиционирование банного комплекса «Огниво» для премиум-аудитории Москвы
2025-12-04 11:28:26 180
Тот самый трогательный момент в титрах, который вы наверняка пропускали
2025-12-03 18:24:56 225
Kantar 2026: где деньги, а где хайп
2025-12-03 18:07:50 131
Состоялась церемония награждения победителей MedMen Awards 2025
2025-12-03 14:40:05 219