Новые требования по работе с персональными данными

С 30 мая 2025 года правила работы с персональными данными в России стали строже. Для владельцев сайтов, интернет-магазинов, Telegram-ботов и небольших онлайн-сервисов это не формальность «где-то для крупных компаний», а вполне практическая история: собираете имя, телефон, email, cookie или заявки — значит, уже работаете с персональными данными.

В этой статье разберём, что изменилось, кто считается оператором персональных данных и что стоит проверить у себя на сайте или в боте, чтобы не попасть на штрафы из-за базовых ошибок.

Поправки к законам № 420‑ФЗ и № 421‑ФЗ усилили ответственность за нарушения при обработке персональных данных. Если коротко, государство стало внимательнее смотреть не только на утечки, но и на то, как бизнес получает согласия, хранит данные и уведомляет пользователей.

Вот на что стоит обратить внимание в первую очередь:

• Штрафы от 100 000 до 300 000 ₽ — за отсутствие регистрации в Роскомнадзоре как оператора персональных данных.
• Оборотные штрафы от 1 до 3 млн ₽ — за утечку данных, даже если технически ошибся подрядчик.
• Уголовная ответственность — при умышленных или массовых нарушениях, например при продаже баз.
• Штрафы для юрлиц и ИП — до 5 млн ₽ за отсутствие согласия, нарушение правил хранения или несоблюдение сроков обработки.

Главный вывод простой: если раньше многие относились к политике конфиденциальности и чекбоксам как к «бумажке для галочки», теперь лучше привести всё в порядок заранее.

Оператор персональных данных — это не обязательно большая компания с юридическим отделом. В большинстве случаев оператором становится тот, кто сам решает, какие данные собирать, зачем они нужны и как потом будут использоваться.

Например, вы попадаете в эту категорию, если:

• принимаете заявки через форму на сайте;
• собираете комментарии, отзывы или регистрации;
• принимаете оплату онлайн;
• ведёте email- или мессенджер-рассылку;
• подключили CRM, чат-бота или сервис аналитики.

То есть под требования попадают не только интернет-магазины и сервисы, но и ИП, самозанятые, эксперты, авторы ботов, владельцы лендингов и небольших корпоративных сайтов.

Даже если вы собираете «только email для связи», это всё равно персональные данные. А значит, нужны понятные правила: где пользователь дал согласие, на что именно он согласился и как вы можете подтвердить этот факт.

1. Уведомить Роскомнадзор

Если сайт собирает имя, телефон, email, cookies или другие данные пользователя, обычно нужно уведомить Роскомнадзор и зарегистрироваться как оператор ПДн.

Это не тот пункт, который стоит откладывать «до первого серьёзного проекта». Даже простая форма обратной связи может считаться обработкой персональных данных.

2. Разместить политику конфиденциальности

На сайте должна быть понятная и доступная политика обработки персональных данных. Лучше не прятать её в глубине сайта: ссылка обычно размещается в футере, рядом с формами и в местах, где пользователь оставляет данные.

В политике стоит описать:

• кто является оператором и как с ним связаться;
• какие данные собираются;
• зачем они нужны;
• как и где они обрабатываются;
• сколько времени хранятся;
• какие права есть у пользователя;
• как отозвать согласие.

Хорошая политика — это не набор сложных юридических фраз, а документ, по которому обычный человек понимает, что происходит с его данными.

3. Получить согласие до отправки формы

Согласие нужно получать до того, как пользователь отправил данные. То есть сначала человек должен увидеть текст согласия или ссылку на него, а уже потом нажать кнопку отправки.

На практике это обычно выглядит так:

• рядом с формой есть чекбокс или кнопка подтверждения;
• без согласия форма не отправляется;
• фиксируется дата, IP и версия текста, с которым согласился пользователь.

Важно, чтобы согласие было свободным, конкретным, информированным и осознанным. Проще говоря: пользователь должен понимать, кому, какие данные и для чего он передаёт.

4. Настроить уведомление о cookie и сторонних скриптах

Если на сайте стоит Яндекс.Метрика, Google Analytics, пиксели рекламных систем или другие сторонние скрипты, это тоже зона внимания.

Пользователя нужно уведомить, что сайт использует cookies и похожие технологии, а также дать ему возможность принять или отклонить такие файлы.

Минимальный набор:

• баннер при первом посещении сайта;
• понятный текст о целях использования cookies;
• кнопки выбора, а не только «ОК, закрыть»;
• ссылка на политику или отдельное описание cookie.

С чат-ботами ситуация часто выглядит неочевидно. Кажется, что пользователь сам написал в Telegram или WhatsApp, значит, всё нормально. Но если бот просит имя, телефон, email, город, должность или принимает заявку — это тоже обработка персональных данных.

Если используете бота для заявок, консультаций, рассылок или поддержки, проверьте несколько вещей.

1. Зарегистрируйтесь как оператор ПДн

Если бот собирает данные пользователей, одного факта «это просто Telegram» недостаточно. Владелец бота всё равно определяет цели обработки и отвечает за то, как данные используются дальше.

2. Получите явное согласие

Перед тем как просить телефон, имя или другие данные, дайте пользователю понятное действие для согласия. Это может быть кнопка «Согласен», команда вроде /agree или отдельный шаг в сценарии бота.

Главное — не собирать данные молча и не прятать согласие в длинный текст, который пользователь не видит.

3. Дайте ссылку на политику

Политика конфиденциальности должна быть доступна прямо из бота: через кнопку, команду, автоответ или сообщение перед сбором данных.

Пользователь должен иметь возможность открыть документ до того, как передаст информацию.

4. Фиксируйте факт согласия

Согласие лучше сохранять так, чтобы его можно было подтвердить позже. Обычно фиксируют:

• дату и время;
• ID пользователя;
• текст согласия или его версию;
• действие, которым пользователь подтвердил согласие.

Это особенно важно, если бот связан с CRM, рассылкой, оплатой или передаёт данные в сторонние сервисы.

Юридические документы важны, но одних документов недостаточно. Нужно ещё организовать нормальную защиту данных на практике.

Базовые правила такие:

• Собирайте только то, что действительно нужно. Если для заявки достаточно имени и телефона, не стоит спрашивать паспортные данные или дату рождения.
• Храните данные безопасно. Используйте шифрование, сложные пароли, двухфакторную аутентификацию и защищённые каналы доступа.
• Ограничьте доступ. Данные должны видеть только те сотрудники или подрядчики, которым они реально нужны для работы.
• Удаляйте лишнее и устаревшее. Если срок обработки прошёл или данные больше не нужны, их не стоит хранить «на всякий случай».
• Оформляйте отношения с подрядчиками. Если подрядчик получает доступ к данным пользователей, это должно быть закреплено в договоре.

Отдельно стоит проверить, куда физически уходят данные: в российскую CRM, зарубежное облако, Telegram, Google Таблицы или другой сервис. От этого могут зависеть дополнительные уведомления и ограничения.

Если упростить всё до практических шагов, владельцу сайта или бота нужно ответить на несколько вопросов:

1. Какие данные я собираю?
2. Зачем они мне нужны?
3. Где пользователь даёт согласие?
4. Где это согласие хранится?
5. Кто имеет доступ к данным?
6. Куда данные передаются дальше?

После этого уже проще навести порядок: зарегистрироваться как оператор, обновить политику, добавить согласия к формам, настроить cookie-баннер и проверить подрядчиков.

Персональные данные — это не только про юристов и крупный бизнес. Это часть нормальной цифровой гигиены любого проекта, который принимает заявки, ведёт рассылки, подключает аналитику или использует чат-ботов.

Лучше один раз спокойно настроить сайт и бота, чем потом разбираться с претензиями, утечками и штрафами.

На этом всё. Спасибо за внимание!