Новые правила обработки персональных данных и cookies в России с 30 мая 2025 года

С 30 мая 2025 года в России вступили в силу важные изменения в законодательстве, регулирующем обработку персональных данных и использование cookies на сайтах. Поправки к Федеральному закону № 152-ФЗ «О персональных данных» и Кодексу об административных правонарушениях (ФЗ от 30.11.2024 № 420-ФЗ) ужесточают требования для всех, кто собирает и обрабатывает данные пользователей, включая владельцев сайтов и малый бизнес. В этой статье мы расскажем, что изменилось и как адаптировать ваш сайт к новым правилам.

Основные изменения

Явное согласие на обработку данных и cookies

Теперь для сбора персональных данных (ФИО, email, телефон и т.д.) и использования cookies (например, для аналитики или рекламы) требуется явное согласие пользователя. Это означает, что посетитель сайта должен сам поставить галочку в форме или баннере, подтверждая свое согласие. Заранее проставленные галочки или включение согласия в текст договора больше не допускаются.Для cookies, собирающих поведенческие данные (например, через Яндекс.Метрику), нужен отдельный баннер с возможностью выбора категорий (необходимые, аналитические, маркетинговые).

Увеличение штрафов за нарушения

Новые штрафы за несоблюдение закона стали значительно выше:

• Обработка данных без согласия: до 700 тыс. руб.
• Утечка данных: от 5 до 20 млн руб. в зависимости от масштаба, а при повторных нарушениях — до 3% годового оборота компании (от 25 до 500 млн руб.).
• Отсутствие уведомления об утечке в течение 24 часов: до 3 млн руб.
• Нарушение локализации данных (хранение за границей): до 6 млн руб.

Обязательная регистрация в Роскомнадзоре

Все, кто собирает персональные данные (включая данные из форм на сайте, CRM или программ лояльности), обязаны зарегистрироваться в реестре операторов персональных данных Роскомнадзора. Это касается даже небольших сайтов, собирающих контакты для обратной связи или доставки. Уведомление можно подать через «Госуслуги» или сайт Роскомнадзора.

Локализация данных в России

Персональные данные россиян должны храниться и обрабатываться на серверах в РФ. Использование зарубежных сервисов, таких как Google Analytics или Meta Pixel, без локализации данных теперь считается нарушением. Рекомендуется переходить на российские аналоги, например, Яндекс.Метрику, или получать разрешение Роскомнадзора для трансграничной передачи данных.

Обновленные требования к политике конфиденциальности

На каждом сайте должна быть размещена Политика обработки персональных данных, где четко прописаны цели сбора, категории данных, способы обработки и порядок отзыва согласия. Отсутствие такой политики или ее несоответствие новым требованиям влечет штрафы.

Что нужно сделать владельцам сайтов

Чтобы ваш сайт соответствовал новым требованиям, выполните следующие шаги:

• Зарегистрируйтесь в Роскомнадзоре как оператор персональных данных.
• Обновите Политику конфиденциальности на сайте, указав все необходимые детали.
• Добавьте баннер для cookies с возможностью выбора категорий и явным согласием.
• Настройте формы так, чтобы пользователи сами подтверждали согласие на обработку данных (например, через галочку).
• Проверьте сервисы аналитики и хостинг: убедитесь, что данные хранятся в России, и откажитесь от иностранных сервисов без разрешения Роскомнадзора.
• Обеспечьте безопасность данных: используйте шифрование и уведомляйте Роскомнадзор об утечках в течение 24 часов.
• Назначьте ответственного за обработку данных и подготовьте внутренние документы.

Почему это важно?

Новые правила направлены на повышение прозрачности и защиты данных пользователей. Несоблюдение требований может привести к крупным штрафам и репутационным потерям. Адаптация к изменениям не только поможет избежать санкций, но и повысит доверие ваших клиентов.

Если у вас есть вопросы или нужна помощь с настройкой сайта, обратитесь к юристам или специалистам по защите данных. Следите за обновлениями законодательства, так как с 1 июля и 1 сентября 2025 года вступят в силу дополнительные требования.