Топ-5 типичных ошибок на сайтах по 152-ФЗ (с примерами и рекомендациями)

Привет, герой бизнеса!

С момента вступления изменений в закон 152-ФЗ мы начали получать больше запросов на проверку сайтов. При анализе стало ясно, что у многих компаний повторяются одни и те же ошибки.

Мы собрали топ-5 наиболее частых проблем и подготовили рекомендации по их исправлению.  

Новые требования 152-ФЗ (с 30 мая и с 1 сентября 2025)

Перед анализом ошибок важно вспомнить о последних изменениях в законе № 152-ФЗ. Мы уже подробно писали о них ранее, но сочли необходимым напомнить основные положения, так как они напрямую связаны с типичными проблемами на сайтах.

1. С 30 мая 2025 года вступили в силу поправки, усилившие контроль и ответственность операторов персональных данных: теперь уведомление Роскомнадзора подаётся до начала обработки, а штрафы за нарушения значительно выросли (ст. 22).

1. С 1 сентября 2025 года действуют новые правила по согласиям и обезличиванию данных: вводится отдельная статья об обработке обезличенных ПДн (ст. 13.1), уточняются требования к содержанию согласий (ст. 9) и вводятся дополнительные ограничения при работе с биометрией и специальными категориями данных.

Ошибка № 1. Некорректная формулировка согласия (универсальность, отсутствие детализации)

Что часто делают неправильно:

1. Согласие формулируется слишком абстрактно, «под всё и сразу», без разбивки по целям (обработка, маркетинг, трансграничная передача и др.).
2. Не указано, что в случаях, когда закон требует письменного/усиленного квалифицированного ЭЦП, согласие должно быть именно в такой форме.
3. Скрытое согласие: автозаполняемые чекбоксы, согласие «по умолчанию», согласие вложено в общий договор или текст без чёткого выделения.

Почему это проблема:

1. Новые нормы требуют, чтобы согласие было осознанным, конкретным и выраженным явно. Универсальные формулы считаются недостаточными.
2. Если предусматривается передача данных третьим лицам или обработка особых категорий (например, биометрических), требуется письменное согласие. С 30 мая в ряде случаев оно должно быть заверено усиленной квалифицированной ЭЦП.

Как исправить:

1. Разделить согласия на отдельные чекбоксы, каждый — с конкретной целью: обработка ПДн, маркетинговые сообщения, трансграничная передача, использование cookie/идентификаторов и др.
2. Убедиться, что чекбоксы не проставлены по умолчанию.
3. В тексте согласия указать: на какие данные, в каких целях, кто оператор, сроки хранения, способ отзыва.
4. Если предусмотрена усиленная ЭЦП — прописать, что при необходимости согласие должно быть в письменной или электронной форме, подписанной усиленной квалифицированной электронной подписью.

Ошибка № 2. Отсутствие или слабое описание порядка отзыва согласия

Что часто упускают:

1. Нет отдельного пункта «Порядок отзыва согласия».
2. Не указан контакт (email, физический адрес), по которому субъект может отозвать согласие.
3. Не указаны сроки, в течение которых обработка прекращается.

Почему это важно:

1. Согласно изменениям в законе субъект персональных данных имеет право в любой момент отозвать своё согласие. Важно, чтобы порядок отзыва был описан максимально понятно.
2. Если нет четкого описания, юридически это может быть основанием для штрафа или признания согласия недействительным.

Рекомендации:

1. Добавить отдельный пункт в Политику конфиденциальности: «Порядок отзыва согласия».
2. Указать все способы отзыва: письмо по почте, email, форма на сайте, возможно через личный кабинет и др.
3. Указать операторский адрес и email, а также срок (например, до 30 календарных дней с момента получения отзыва), за исключением случаев, предусмотренных законодательством.

Ошибка № 3. Отсутствие логирования и фиксации действий с персональными данными

Что часто не сделано:

1. Не фиксируются такие данные, как IP-адрес, дата/время отправки формы, URL, откуда пришёл пользователь, название формы и т.п.
2. Нет записи о трансграничной передаче, изменениях в целях обработки.
3. Нет системы логов, либо она формальна, не защищена от изменения.

Почему это критично:

1. Новые требования 152-ФЗ и сопутствующих норм требуют, чтобы оператор обеспечивал учёт действий, совершаемых с персональными данными. Это одно из ключевых требований при проверках.
2. При утечках, жалобах, спорных ситуациях логи являются доказательством.

Практические меры:

1. Для форм на сайте предусмотреть логирование (IP-адрес, время отправки, URL, наименование формы, при наличии — идентификатор пользователя)
2. Обеспечить хранение логов в защищённой системе (с доступом только по ролям и контролем изменений), а также установление периода хранения (не менее 1 года, если нет иных нормативных требований).

Ошибка № 4. Cookie-баннеры, идентификаторы и использование сторонних скриптов без отдельного согласия / уведомления

Что часто наблюдаем:

1. Баннер отсутствует или есть только уведомление без возможности отказа.
2. Обработка cookie, IP-адресов, идентификаторов устройств включена в общую политику, но без отдельного, явного согласия.
3. В Политике нет указания на сторонние скрипты/сервисы, которые могут передавать данные за рубеж или собирать информацию о пользователях (аналитика, соцсети, API).

Почему это важно:

1. Закон требует, что сбор cookie и идентификаторов устройств, IP-адресов, когда они идентифицируют пользователя, должны осуществляться только при наличии отдельного согласия.
2. Сторонние сервисы, особенно зарубежные, могут означать трансграничную передачу данных, что накладывает дополнительные требования.

Что делать:

1. На сайте должен быть реализован cookie-баннер, предоставляющий пользователю выбор: дать согласие или отказаться от обработки cookie.
2. В политике необходимо отдельно указать порядок обработки cookie-файлов, идентификаторов и IP-адресов.
3. Провести аудит всех сторонних скриптов, виджетов, счетчиков, сервисов аналитики и прописать, какие из них используются, куда передают данные, есть ли передача за границу.
4. В cookie-баннере указать возможность отказа от использования cookie (с допустимой частичной деградацией интерфейса, если это необходимо), а также предусмотреть способы управления настройками.

Ошибка № 5. Политика конфиденциальности / публичное размещение / актуализация

Слабые места:

1. Нет данных о дате вступления политики в силу и о дате её последнего обновления.
2. Политика опубликована, но не обеспечен её постоянный доступ с каждой страницы сайта (например, через ссылку в футере).
3. Не прописана процедура и частота актуализации.
4. Нет раздела о передаче данных третьим лицам / трансграничной передаче, либо сделано очень уклончиво.

Почему это важно:

1. Закон требует прозрачности, и при проверках важно, чтобы политика была актуальной и отражала все текущие практики оператора. Новые требования устанавливают обязательства в части трансграничной передачи данных, ведения логов и уведомления пользователя.
2. Политика должна быть доступна пользователю для ознакомления до отправки данных.

Как улучшить:

1. Всегда указывать дату начала действия политики и дату последнего обновления.
2. Разместить ссылку на политику в футере сайта и в местах сбора данных (формы, чекбоксы).
3. Включить раздел «Передача третьим лицам и трансграничная передача», с уточнением стран/сервисов, целей.
4. Описать, как часто пересматривается политика, кто ответственен за изменения, как пользователь узнаёт об изменениях (например, уведомление на сайте или email).

Ещё одна ошибка: не уведомлён РКН / не обновлены уведомления

Хотя этот вопрос в первую очередь относится к юридическому процессу, но часто сайты работают с формами и собирают данные, не имея надлежащего уведомления в реестре операторов ПДн. С 30 мая 2025 это важно.

1. Оператор должен до начала обработки подать уведомление о намерении обработки ПДн в Роскомнадзор.
2. При изменении целей, контактных данных и др. — обновлять уведомление в установленные сроки.

Итоги и рекомендации

Хорошая новость в том, что для приведения сайта в соответствие с 152-ФЗ чаще всего не нужны радикальные переделки. Достаточно внести несколько точечных, но важных изменений:

1. Проверить все формы на сайте — заявки, подписки, онлайн-чаты. У каждого согласия должны быть отдельные чекбоксы и понятные формулировки.
2. Актуализировать политику конфиденциальности: чётко описать цели, сроки, категории данных, контакты для связи и порядок отзыва согласия.
3. Внедрить корректный cookie-баннер с возможностью отказа и понятным объяснением, какие данные собираются.
4. Организовать логирование действий пользователей: фиксировать IP, время, URL и название формы, а также хранить эти данные в защищённом виде.

Таким образом, даже небольшая ревизия сайта позволяет не только избежать штрафов и претензий регулятора, но и повысить доверие клиентов, которые видят, что компания заботится о защите их данных.

Нужна помощь? Напишите нам — проконсультируем, проведём аудит и всё настроим правильно. Быстро, понятно, по закону.