Мы на Workspace
Наверх
8(863)303-51-41
Заказать звонок
phone phone phone phone
Gendalf Gendalf
Главная  →  Новости  →  Маркетинг 
Заполните форму
666

Как правильно запрашивать персональные данные на сайте с сентября 2025?

С 01.09.2025 согласие на обработку персональных данных на сайте стало отдельным документом. Узнайте, как правильно настроить обработку персональных данных на сайте и избежать претензий со стороны Роскомнадзора

Содержание

С 1 сентября 2025 года правила работы с персональными данными становятся заметно строже. Для бизнеса это значит, что привычные формы заявок, чекбоксы на сайте или старые политики могут оказаться недействительными. И тогда весь собранный массив клиентских данных официально считается полученным без согласия.

Особенно под прицел попадают:

  • интернет-магазины и компании с онлайн-заказами;
  • сайты, где есть регистрация, личные кабинеты или формы обратной связи;
  • сервисы, собирающие контакты для рассылок и обзвонов;
  • проекты, использующие аналитику и маркетинговые сервисы для сегментации и рекламы.

Контроль усиливаетя: Роскомнадзор снижает пороги риска, ФСБ получает право проверять безопасность данных и у коммерческих операторов. То, что раньше считалось малозначительным, теперь может стать поводом для внеплановой проверки.

И главный риск здесь не только штрафы в сотни тысяч рублей, но и блокировка работы с собранной базой клиентов. В один день привычный поток заявок может просто остановиться.

Что считается персональными данными

Многие уверены, что персональные данные на сайте и в целом – это только паспорт или СНИЛС. На практике все гораздо шире. Закон считает персональными данными любую информацию, которая позволяет прямо или косвенно идентифицировать человека.

К персональным данным относятся

  • привычные сведения вроде ФИО, адреса, номера телефона, e-mail;
  • данные из документов – паспорт, ИНН, реквизиты доверенности;
  • техническая информация, которую сайт собирает автоматически: IP-адрес, Cookie, история действий на сайте;
  • сведения о детях, биометрические и специальные категории данных (например, о здоровье) – с ними закон обращается особенно строго.

Важно понимать: даже если сайт собирает только имя и телефон для обратного звонка, это уже работа с персональными данными. А значит – действуют все правила, прописанные в законе.

Было Стало
Согласие можно включить в договор или пользовательское соглашение Согласие оформляется только отдельным документом, с четкими реквизитами
Галочка для всех целей одна, часто отмечена заранее Для разных целей – отдельные галочки: заказ, рассылка, звонки
Cookie-уведомление выглядело как формальная надпись внизу страницы Cookie-баннер обязателен и должен давать выбор: согласиться или отказаться
Отзыв согласия нигде не предусмотрен Пользователь получает возможность отозвать согласие в любой момент
Никто не фиксировал факт согласия: ни IP, ни дату, ни источник Каждое согласие фиксируется и хранится: IP, дата, текст, источник
Процедура обезличивания данных формально прописана или отсутствовала вовсе Утвержден регламент обезличивания, назначен ответственный и ведется журнал учета операций

Согласие как отдельный документ

До сих пор бизнес мог спрятать согласие на обработку персональных данных внутри договора или пользовательского соглашения. С 1 сентября 2025 года такая практика больше не работает. Закон требует, чтобы согласие оформлялось только отдельным документом – с понятным текстом и без двусмысленностей.

Важно: все согласия, собранные до этой даты, останутся действительными. Но новые – если они будут встроены в договор или «зашиты» в кнопку без отдельного чекбокса – автоматически считаются недействительными.

Цена ошибки высокая: согласие признают неполученным, а это уже штраф до 700 тысяч рублей и риск блокировки всей базы данных.

И еще одна деталь. Теперь в ряде случаев потребуется несколько разных согласий – например, одно для оформления заказа, другое для рассылки, третье для звонков. Одна галочка «Согласен на все» больше не спасает.

Что должно быть в согласии

Форма согласия теперь под строгим контролем. Любая неточность превращает его в обычную бумажку.

Закон требует, чтобы в документе были перечислены конкретные пункты:

  • данные человека – ФИО, адрес, паспортные реквизиты;
  • если действует представитель – его данные и доверенность;
  • сведения об операторе – полное название компании или ФИО ИП, адрес;
  • цель обработки – четко и конкретно, без формулировок вроде «для улучшения сервиса»;
  • перечень данных – например, имя, телефон, e-mail;
  • третьи лица, которым передаются данные (например, подрядчик по доставке);
  • действия с данными – сбор, хранение, передача и так далее;
  • способы обработки – автоматизированный или смешанный;
  • срок и порядок отзыва;
  • подпись или электронная подпись.

Если в согласии не хватает хотя бы одного из этих пунктов, оно считается недействительным. В таком случае обработка персональных данных на сайте приравнивается к незаконной.

Электронное согласие и хранение доказательств

Сегодня большинство данных бизнес получает онлайн, поэтому вопрос электронного согласия выходит на первый план. Закон приравнивает его к бумажному, но только если выполнены все условия.

Что нужно предусмотреть

  • корректный текст рядом с галочкой и ссылка на политику конфиденциальности;
  • фиксация факта согласия – сохраняются IP-адрес, дата и время, источник (какая форма и на какой странице), сам текст согласия, на который кликнул пользователь;
  • для рассылок и звонков рекомендуется double opt-in – подтверждение подписки через письм;
  • все это должно храниться в CRM или почтовом сервисе так, чтобы при проверке можно было показать доказательства.

Важно: чекбокс рядом с формой должен быть всегда пустой по умолчанию. Галочки не должны быть проставлены.

Персональные данные на сайте: штрафы и новые правила для бизнеса

Верно

Персональные данные на сайте: как оформить согласие правильно

Неверно

Если согласие собрано, но компания не может подтвердить его получение, закон считает, что его нет. А это снова риск штрафов и претензий регулятора.

Обезличивание и передача данных в ГИС Минцифры

С 1 сентября 2025 года у операторов появляется новая обязанность – передавать обезличенные персональные данные в государственную информационную систему Минцифры.

Что это значит на практике

  • в ГИС будут попадать только обезличенные наборы данных, где невозможно определить конкретного человека;
  • биометрические и специальные категории данных туда передавать нельзя – только общие;
  • данные разрешено обрабатывать только внутри закрытого контура ГИС, любые выгрузки «наружу» запрещены;
  • иностранным компаниям и гражданам результаты такой обработки передавать нельзя;
  • требования к методикам обезличивания разработает Правительство совместно с ФСБ, и ошибки здесь будут стоить дорого – некорректное обезличивание считается нарушением.

Для бизнеса это означает не только новые технические процессы, но и рост внимания проверяющих органов. Проверять будут все: от политики обработки до того, как именно устроен алгоритм обезличивания в вашей системе.

Регламент обезличивания и внутренние меры безопасности

Сентябрь 2025 года приносит еще одно серьезное нововведение – новые правила обезличивания персональных данных. Теперь это не формальность, а четко прописанный процесс, за который отвечает компания.

Что придется внедрить

  • раздельное хранение – исходные массивы персональных данных и их обезличенные версии должны находиться в разных хранилищах, с разграничением доступа;
  • локальные акты – внутренняя инструкция или положение, где подробно описан порядок обезличивания: методы, сроки, кто отвечает;
  • назначенный ответственный – сотрудник, официально закрепленный приказом, который контролирует весь процесс;
  • журнал учета – документ или электронная таблица, где фиксируются все операции: дата, основание, метод и ответственный.

Теперь каждая компания обязана показать не только результат, но и доказать, что процедура проведена по всем правилам. Если регламент отсутствует или хранение данных организовано неправильно, это считается нарушением.

Категории риска и проверки

Новые правила меняют систему оценки рисков. Теперь компании и ИП делятся на категории, и от этого зависит, как часто к ним будут приходить проверяющие.

Категория А – это организации, которые обрабатывают данные сотен тысяч человек. Даже если согласие не обязательно по закону, но компания все равно собирает его для работы, она автоматически попадает в группу высокого риска. Для таких операторов предусмотрены плановые проверки раз в два года или обязательные профилактические визиты ежегодно.

Категория Б – раньше сюда относились компании с базами более 20 тысяч записей. С 5 сентября 2025 года порог снижен до 10 тысяч. Теперь под контроль попадут даже небольшие сервисы, которые работают с клиентскими базами. Также сюда относят обработку данных о детях, трансграничную передачу без уведомления, работу с зарубежными базами.

Для остальных категорий плановые проверки убрали, но риски вырасти в «Б» остаются.

Для бизнеса это значит: те, кто раньше считал себя «слишком маленькими для проверок», теперь оказываются в поле зрения Роскомнадзора. А вместе с этим растут и шансы получить штрафы или обязательные предписания.

Практика для веб-разработчиков: как внедрить без потерь

Изменения в законе кажутся сложными, но на самом деле речь идет о том, чтобы настроить сайт так, чтобы каждый шаг был прозрачным и понятным. Главное – не пугать клиентов лишними барьерами и при этом уложиться в требования.

Что важно сделать

  1. Формы и чекбоксы
    • Разделяйте согласия. Для оформления заказа одно, для рассылки другое, для звонков – отдельное.
    • Никаких «галочек по умолчанию» – пользователь сам должен подтвердить каждое действие.
    • Текст согласия пишется простым языком, рядом обязательно ссылка на политику.
  2. Cookie-баннер
    • Надпись «мы используем Cookies» больше не работает.
    • Уведомление должно давать выбор: согласиться или отказаться.
    • Желательно добавить ссылку на отдельный раздел с политикой по Cookies.
  3. Право на отзыв
    • У человека должен быть инструмент, чтобы забрать согласие назад.
    • Это может быть отдельная форма на сайте или e-mail, указанный в политике.
    • Если отзыва нет – это прямое нарушение.
  4. Фиксация согласий
    • Каждое согласие должно оставлять «след»: IP, дата и время, источник (страница и форма), сам текст согласия.
    • Хранить это можно в CRM, сервисе рассылок или в отдельной базе.
  5. Техническая защита
    • Все формы должны работать по HTTPS.
    • В личных кабинетах – защита от подбора паролей и капча при множественных ошибках.
    • Доступ к данным ограничен, особенно если подключены сторонние сервисы аналитики.

Пример реализации

Допустим, интернет-магазин хочет собирать контакты для обратного звонка и рассылки. В форме будет два чекбокса: один на согласие с обработкой данных для заявки, второй – на получение маркетинговых сообщений. Человек может поставить обе галочки или только одну. Это законно и удобно: клиент контролирует, что именно он разрешает.

Таким образом, правильно выстроенный сайт не только проходит проверку, но и вызывает больше доверия у пользователей.

Как поможет аудит от ГЭНДАЛЬФ

Проверки Роскомнадзора, новые полномочия ФСБ и снижение порога риска означают одно – ждать больше нельзя. Даже мелкие сайты теперь под контролем.

Этап 1 – Аудит документарного сопровождения

  1. Политика в отношении обработки ПДн

    2. Что проверить: документ размещен в открытом доступе (обычно в подвале сайта или в отдельном разделе).

    На что обратить внимание:

    • цели сбора данных;
    • состав собираемых данных;
    • условия передачи третьим лицам и трансграничной передачи;
    • сведения о реализованных требованиях к защите данных.
  2. Согласие на обработку персональных данных на сайте

    3. Что проверить: по каждой форме сбора данных (подписка, обратный звонок, регистрация, заказ) получено валидное согласие.

    Критически важные пункты:

    • отдельное поле – чекбокс не проставлен по умолчанию, пользователь отмечает его сам;
    • ссылка на Политику рядом с чекбоксом;
    • текст согласия по целям – для разных целей (рассылка, обработка заказа и т. п.)
    • разные формы согласия.
  3. Согласие на использование Cookies

    4. Что проверить: реализовано всплывающее окно (pop-up) с запросом согласия на использование Cookies и сбор метаданных.

    На что обратить внимание: у пользователя есть возможность явно принять или отклонить использование Cookies. Простое уведомление без отказа – нарушение.

Этап 2 – Аудит форм и точек сбора данных

  1. Инвентаризация всех форм:
    1. формы обратной связи;
    2. формы подписки на новости;
    3. формы регистрации и авторизации;
    4. формы оформления заказа;
    5. формы заказа обратного звонка;
    6. формы отправки резюме.
  2. Проверка необходимости: для каждой формы ответить на вопрос – все ли запрашиваемые данные действительно нужны для заявленной цели. Пример: для обратного звонка достаточно имени и телефона, дата рождения не требуется.
  3. Проверка шифрования (HTTPS): убедиться, что передача данных из форм идет по HTTPS. Иначе растет риск утечки.

Этап 3 – Аудит технической защиты

  1. Защита от утечек: проверить отсутствие в открытом доступе (в коде страницы, в robots.txt и др.) служебных файлов, баз данных, личных кабинетов сотрудников.
  2. Безопасность личных кабинетов: должна быть защита от подбора паролей (brute-force), CAPTCHA при множественных неудачных попытках входа.
  3. Доступ третьих лиц: проанализировать, каким сторонним сервисам (например, Google Analytics, Яндекс.Метрика, рекламные пиксели) передаются данные пользователей. Это должно быть явно отражено в Политике конфиденциальности.

Этап 4 – Аудит внутренних процессов

  1. Регламент удаления данных и отзыв согласия: проверить наличие на сайте и техническую реализацию механизма отзыва согласия (право на «забвение»). Оценить, как быстро компания исполняет такие запросы.
  2. Регламент обработки обращений: назначены ли ответственные за обработку запросов субъектов по правам доступа к данным (предоставление, уточнение, удаление), и как это задокументировано.

Итак, правила игры для всех, кто работает с персональными данными на сайте, становятся жестче. Больше не получится закрывать глаза на формы без чекбоксов или некорректные формулировки. Теперь любое нарушение – это не только штрафы, но и риск потерять право работать с уже собранной клиентской базой.

Выход один – вовремя подготовиться. Обновить формы, пересмотреть политику, настроить Cookie-баннер, прописать порядок отзыва согласия и документировать все процессы. И чем раньше это будет сделано, тем спокойнее пройдут проверки.

Хотите проверить сайт на соответствие требованиям? Наши специалисты проведут его для вашего сайта

Нужен аудит
Веб-разработка Битрикс Аудит сайта
Поделиться  

Рейтинг статьи:

4.9

(на основе 11 голосов)

Читайте также

Как синхронизация «1С» и Битрикс изменит вашу работу с данными

Интеграция Ozon Seller API: что делать после блокировки старого кабинета

Внедрение системы безопасности: архитектура, которая творит чудеса

Заполните форму