+7 (800) 600-85-81 +7 (495) 109-27-97 +7 (812)209-27-97

Чек-лист для проверки сайта на соответствие ФЗ №152 в июне 2025 года


С июня 2025 года начали действовать новые требования, регулирующие обращение с пользовательскими данными. Усилен контроль за тем, как компании получают согласие, оформляют внутренние документы и выстраивают работу с персональной информацией. Ниже — краткий перечень пунктов, по которым можно самостоятельно оценить, соответствует ли сайт действующим правилам.

Проверка пользовательских форм

Любая форма на сайте, в которой запрашиваются персональные данные (ПДн — имя, телефон, e-mail, адрес, IP и пр.), должна сопровождаться подтверждением согласия на их обработку.

Убедиться, что:

  • на всех формах — от подписки до заказа — есть отдельный чекбокс;

  • чекбокс не активен по умолчанию;

  • согласие оформлено как отдельный документ, а не спрятано в тексте оферты.

Важно: если пользователь отправляет несколько форм — самостоятельное согласие требуется выразить для каждой. Универсальные соглашения больше не работают.

Структура и содержание согласий

Формулировки в согласиях должны быть конкретными и однозначными. Теперь закон требует, чтобы пользователь четко понимал:

  • какие данные обрабатываются;

  • с какой целью;

  • кому они могут передаваться;

  • каков срок хранения.

Проверить, что:

  • указан перечень данных, подлежащих обработке;

  • обозначены сторонние операторы, которым данные могут быть переданы;

  • отражены сроки хранения и способы отзыва согласия.

Кроме того, следует обеспечить фиксацию факта получения согласия — с указанием даты, формы и содержания. Это не обязательное требование закона, но на практике позволяет подтвердить, что согласие действительно было получено в нужном объеме и с соблюдением всех условий.

Политика конфиденциальности

Обязательна публикация актуальной политики обработки ПДн. Документ должен быть публичен, доступен без регистрации и открываться с любой страницы сайта.

Проверить, что:

  • политика размещена в отдельном разделе, а не в составе пользовательского соглашения;

  • указаны контактные данные оператора и ответственного за работу с ПДн;

  • описаны права пользователя, в том числе возможность отозвать и потребовать удалить предоставленную им ранее информацию.

Документ необходимо регулярно обновлять при любых изменениях в процедуре.

Территориальные ограничения при работе с ПДн

Данные пользователей из России должны сначала попадать на серверы, находящиеся внутри страны, и не могут передаваться за рубеж до начала обработки.

Убедиться, что:

  • ПДн пользователей из России обрабатываются на серверах, размещенных в РФ;

  • все облачные инструменты (например, CRM-системы, email-сервисы, CMS) подключены через поставщиков, которые гарантируют физическое размещение данных в России;

  • в политике есть прямое указание, где именно происходит хранение и обработка информации.

Несоблюдение требований локализации данных может привести к административным мерам, включая ограничение доступа к сайту по решению Роскомнадзора.

Внутренняя документация

На каждого сотрудника, работающего с ПДн, должен быть издан приказ о допуске. Оператор обязан определить состав персональных данных, с которыми работает система, и описать применяемые механизмы защиты.

Проверить, что:

  • есть внутренний регламент обработки ПДн;

  • определено ответственное лицо, контролирующее безопасность персональных данных;

  • подписаны обязательства о неразглашении с каждым сотрудником, работающим с ПДн;

  • реализован контроль доступа к информации, включая разграничение прав и ведение логов.

Все эти меры должны быть документально подтверждены и регулярно актуализироваться — при смене персонала, обновлении ИТ-среды или изменении процессов обработки данных.

Обработка по поручению

Если сайт использует внешние платформы — например, CRM, рассылки, облачные хранилища, — необходимо заключить договор поручения на обработку ПДн.

Проверить, что:

  • заключены договоры с каждой сторонней компанией, получающей данные;

  • в договоре прописаны меры защиты и ответственность сторон.

Отсутствие такого договора при передаче данных третьей стороне — нарушение, которое квалифицируется как неправомерная передача.

Хранение и удаление данных

Сроки хранения данных должны быть ограничены и обоснованы. По окончании периода хранения оператор обязан удалить информацию, если нет оснований для ее дальнейшей обработки.

Проверить, что:

  • в политике конфиденциальности указаны конкретные сроки хранения;

  • реализована понятная процедура удаления данных по запросу;

  • есть автоматизированные или ручные процессы контроля актуальности и необходимости хранения.

Хранение данных без цели и оснований теперь может рассматриваться как избыточная обработка, что также наказывается.

Информирование Роскомнадзора и субъектов

Предварительное уведомление стало обязательным условием обработки персональных данных — его нужно подать до начала работы, независимо от типа или количества информации. При изменении целей обработки, добавлении новых категорий ПДн или начале трансграничной передачи необходимо внести соответствующие изменения в реестр.

Субъект персональных данных вправе запросить информацию о составе, целях и способах обработки своих данных, а также о месте их хранения. Оператор обязан предоставить полный и достоверный ответ не позднее 10 рабочих дней.

Проверить, что:

  • перед началом обработки персональных данных подано уведомление в Роскомнадзор через официальный портал;

  • на сайте указан адрес или реализована форма для обратной связи, в которой пользователь может направить запрос о своих данных;

  • установлен и соблюдается срок ответа на такие запросы — не более 10 рабочих дней.

Затягивание сроков ответа или уклонение от информирования — основание для жалобы со стороны пользователя.

Сбор cookies и онлайн-идентификаторов

Cookies, пиксели и аналогичные технологии могут передавать персонализированную информацию. Если такие данные используются для аналитики или рекламы, необходимо получить согласие.

Проверить, что:

  • на сайте реализовано окно с выбором типа cookies;

  • есть возможность отказа от необязательных файлов;

  • в политике конфиденциальности описан порядок обработки cookies.

С 2025 года cookie-баннеры должны не просто информировать, а обеспечивать реальную возможность управления согласием.

19 ключевых рекомендаций по обработке ПДн на сайте в 2025 году и краткие итоги

После майских изменений закон №152-ФЗ требует от бизнеса не только юридического соответствия, но и технологической доработки сайтов. Любая форма, обрабатывающая ПДн, должна быть прозрачной, каждый шаг — подтвержден согласиями, внутренние процессы — документированы. 


Чтобы избежать штрафов, важно пройти весь чек-лист и устранить слабые места:


  1. Проверьте регистрацию в реестре операторов ПДн: компания должна быть в базе регулятора, а сведения — актуальны.

  2. Утвердите ответственное лицо по вопросам ПДн (DPO) и оформите приказ.

  3. Обновите локальные акты: политику обработки, положение о ПДн, журнал обращений субъектов.

  4. Пропишите последовательность действий при утечке: уведомить Роскомнадзор в течение 24 часов и направить уточненные данные в течение 72 часов.

  5. Сформируйте карту данных: что собирается, где хранится, кто имеет доступ.

  6. Минимизируйте сбор: запрашивайте только те данные, которые действительно нужны для цели (например, email — без телефона и адреса).

  7. Разделяйте согласия по формам: каждый чекбокс — отдельный, без предустановки.

  8. Настройте подтверждение подписки и отписку: double opt-in перед рассылкой, ссылка на отказ — в каждом письме.

  9. Показывайте cookie-баннер до загрузки файлов, не устанавливайте маркетинговые cookie без согласия, фиксируйте выбор пользователя.

  10. Разместите политику конфиденциальности в открытом доступе, добавьте ссылку возле каждой формы и перечень трекеров.

  11. Опубликуйте отдельную страницу согласия на обработку ПДн с указанием целей, сроков и перечня данных.

  12. Обеспечьте локализацию: сбор и хранение — на серверах в РФ, для трансграничной передачи оформите соответствующие документы.

  13. Заключите договоры с обработчиками: пропишите меры защиты и условия хранения данных в РФ.

  14. Проверяйте каналы связи, через которые отправляются персональные данные: не передавайте ПДн через мессенджеры, не гарантирующие хранение и обработку информации в соответствии с ФЗ-152.

  15. Обеспечьте шифрование персональных данных при передаче через формы: сайт должен работать по HTTPS.

  16. Фиксируйте, кто и когда получал доступ к персональным данным, храните эту информацию не менее 3 лет.

  17. Обеспечьте контроль доступа к персональным данным: разграничьте права сотрудников и защитите доступ средствами аутентификации.

  18. Проводите ежегодный внутренний аудит и обучайте персонал правилам работы с ПДн.

  19. Документируйте факт получения согласий: сохраняйте информацию о содержании, времени и способе подтверждения.


В первую очередь исключите критичные нарушения: добавьте отдельные чекбоксы без предустановки, обновите публичную политику, настройте cookie-баннер с возможностью выбора, убедитесь, что данные российских пользователей не покидают территорию РФ без оснований.


Затем оформите внутренние документы: утвердите регламенты обработки, назначьте ответственного, пересмотрите договоры с внешними исполнителями и пропишите в них обязательства по защите и локализации данных.


После этого проверьте, как сайт и команда действуют при инциденте: смоделируйте утечку и отработайте процесс уведомления надзорного органа и пользователя в рамках 24 и 72 часов.


На постоянной основе планируйте технический аудит не реже одного раза в квартал, а пересмотр документов и обучение сотрудников проводите хотя бы раз в год.

Читайте также

Новый Битрикс24 Зефир: обновление интерфейса популярной CRM
Интеграция Битрикс24 и Microsoft Power BI для создания расширенных аналитических отчетов
Сравнение Yandex DataLens и Microsoft Power BI с точки зрения бизнеса
Оперативно и совершенно бесплатно ответим на Ваши вопросы!
*
*

Популярные услуги

#
Внедрение Битрикс24
#
Купить amoCRM
#
Настройка рекламы
#
Cквозная аналитика
#
Разработка личного кабинета
#
Коробочная версия Битрикс24
#
Миграция из зарубежных CRM
#
Разработка CRM-систем
0

Оставте заявку на товар

И наш менеджер свяжется с вами в кратчайшие сроки