Блог
  ·  
Craftum

152-ФЗ и обработка персональных данных: как соблюсти закон и не попасть на штраф

11 июня 2025 г.

Blog 10

Как соблюдать 152-ФЗ при обработке персональных данных на сайте

У владельцев бизнеса и фрилансеров возник новый повод для тревоги: с 30 мая 2025 года в федеральном законе №152 «О персональных данных» появились поправки, которые затрагивают практически всех, у кого есть сайт, интернет-магазин или кто оказывает онлайн-услуги.

До поправок за несообщение о сборе данных в Роскомнадзор штраф был до 5 тысяч рублей по статье 19.7 КоАП — за непредоставление информации. Теперь за неисполнение 152 закона применяется статья 13.11 КоАП РФ, и сумма штрафов может достигать от 15 тысяч до 20 миллионов рублей.

Далее в статье — как оформить свой сайт, что ещё изменилось и что делать, чтобы не нарушать закон.

Что такое персональные данные

Это любые сведения о личности, которые прямо или косвенно помогают идентифицировать человека. В законе нет чёткого перечня, что относится к персональным данным. Условно их можно разделить на два типа:

— личные: ФИО, паспортные данные, email, телефон, адрес, ИНН, биометрия, информация о религии, судимости и тому подобное.

— пользовательские: поведение на сайте — что смотрит, сколько времени проводит, технические характеристики — файлы cookie и IP-адрес.

Собирает и обрабатывает личные сведения оператор персональных данных. Это может быть ИП, самозанятый, юридическое и физическое лицо, то есть любой субъект права, который получает и обрабатывает какие-либо личные данные и использует их в своих целях: для обратной связи, рассылок, товарного взаимодействия и много другого.

Пример: блогер проводит онлайн-курсы. При регистрации на обучение люди оставляют свои контакты: имя, телефон и почту. Эти сведения создатель курса хранит (в CRM-системе, в таблице) и использует, чтобы отправлять материалы и напоминания. Всё это — обработка персональных данных на сайте, а блогер — оператор.

Как определить, что ваш сайт собирает персональные данные

Это понятно по двум признакам:

— на сайте есть форма для сбора контактов или других сведений, где посетитель оставляет собственные данные. При оформлении заказа, доставки, получения рассылки, анкетировании. Даже если там только одно поле для ввода, например, с номером телефона, это будет считаться сбором;

— если сайт использует «куки» (cookies). Этот тип файлов собирает информацию о предпочтениях пользователя: какие интернет-ресурсы он посещает и чем интересуется. Суды и Роскомнадзор относят эти сведения к личным. 

Оператор сам решает, зачем ему персональная информация клиента/контрагента и как он будет её использовать. По смыслу закона № 152, к обработке относится «любое действие», которое совершается с личными сведениями человека: сбор, систематизация, хранение, изменение, удаление. Даже если получить персональную информацию и сразу же удалить, это будет считаться обработкой.

Кто не попадает под 152-ФЗ

Если есть клиентская база, сайт с формой для заполнения, CRM-система или аналитика, то человек или организация становятся операторами. То есть ответственность за распространение персональных данных касается почти всех владельцев бизнеса и фрилансеров.

Как правильно хранить и обрабатывать персональные данные

В поправке к закону есть важное изменение: оператору грозят большие штрафы, если он использует иностранные сервисы для сбора персональных данных на сайте, их аналитики и хранения и не уведомляет об этом Роскомнадзор.

Если оператор подключил сайт к иностранному сервису, например, использует CloudFlare, Google forms и Google Analytics для анкетирования клиентов — это трансграничная передача данных. Сервер Google расположен в США, а значит, обработка проходит на территории этого государства, то есть за границей. Без уведомления Роскомнадзора такие действия могут рассматриваться как неправомерное предоставление персональных данных. А это уже другая категория штрафов — за «утечку» и неуведомление. 

В законе нет чёткой позиции о том, какие именно сервисы запрещены, а какими можно пользоваться. Всё проверяется только при подаче уведомления в Роскомнадзор. Чтобы не запутаться и действовать максимально легитимно, проще всего пользоваться отечественными ресурсами для обработки информации. Это касается CRM, email-рассылок, сервисов аналитики и платформ для управления бизнесом. Также важно, чтобы сведения хранились в сертифицированных центрах обработки данных (ЦОД).

Сайты, созданные на платформе Craftum, соответствуют обновлённым требованиям ФЗ 152 «о персональных данных». ЦОД располагается в России, а персональные сведения защищены: подключён SSL-сертификат, стоит антивирус, работает межсетевой экран.

Как скорректировать ваш сайт на Craftum, чтобы он соответствовал 152-ФЗ

Пользователь должен знать, что на интернет-ресурсе каким-то образом собирают его данные. Причины, цели и порядок сбора выносятся в отдельный документ. Чаще всего он называется «политика конфиденциальности». Также пользователь должен принять согласие на обработку персональных данных, то есть акцептовать соответствующий документ — поставить «галочку» в чекбоксе напротив ссылки на документ.

Ссылки на «политику» и «согласие» лучше разместить:

— в подвале сайта, чтобы пользователь легко мог их найти;

— рядом с чекбоксом (место для галочки) и предупреждающей надписью в форме для заполнения.

В Craftum это можно сделать следующим образом:

  1. При создании сайта нажимаете Добавить блок и выбираете нужную форму или редактируете уже существующую. Мы рекомендуем form-05.

Image2

  1. В настройках блока удаляем лишние поля и добавляем новое поле Флажки.

Image4

  1. В одном из Вариантов пишем Согласие на обработку персональных данных и вшиваем ссылку. Сюда же можно добавить Вариант с Политикой конфиденциальности

Image3

  1. Убираем текст в Названии поля. В Обязательно отмечаем Да. В этом случае пользователь не сможет отправить свои данные через форму без согласия на их обработку.

Image5

После отправки пользователем формы данные придут в таком виде.

Image1

«Политика» и «соглашение» должны быть адаптированы под конкретного оператора. При использовании шаблонов с других сайтов нужно менять данные под себя и желательно руководствоваться рекомендациями Роскомнадзора.

Чек-лист для владельца сайта

Действия для корректного сбора сведений:

  • Подумать, какую информацию о себе оставит пользователь. Для чего они нужны? Насколько целесообразны? Если предполагается email-рассылка при покупке курса, необходим ли телефон клиента? Сбор персональной информации должен быть обоснован.
  • Подготовить юридически грамотно оформленные соглашение об обработке персональных данных и политику конфиденциальности. Расположить на видных местах сайта.
  • Добавить к форме обратной связи ссылку на «согласие», «политику», чекбокс и предупреждающий текст о том, что пользователь принимает все условия. Желательно, чтобы «галочка» не была предустановлена заранее (проставлена автоматически).
  • Периодически проверять доступность документов. Роскомнадзор может принять неработающую ссылку за отсутствующую и посчитать это нарушением закона о персональных данных.
  • Проверить, подключены ли к сайту сервисы, имеющие доступ к личным сведениям пользователей. Соответствуют ли эти ресурсы требованиям Роскомнадзора, являются ли отечественными? Если нет, то перейти на российские аналоги. Это касается систем аналитики, сбора и хранения данных, инструментов для рассылок.
  • Подготовить внутреннюю документацию (правила и акты), если у вас есть сотрудники, которые взаимодействуют с личными данными. Нужно разъяснить коллегам их обязанности и ответственность.
  • Защитить информацию. Усилить пароли двухфакторной идентификацией, подключить SSL-сертификат к сайту, обеспечить устройства антивирусами.
  • Уведомить Роскомнадзор о данных, которые намереваетесь собирать, и о целях сбора. Сделать это можно одним из трёх способов:

— с помощью Госуслуг;

— заполнить электронную форму (для подписи нужна КЭП);

— распечатать заполненную электронную форму и отправить бумажным письмом в Роскомнадзор.

Важно! Серверы Craftum находятся в Российской Федерации и передача персональных данных в другие страны не происходит. Если вы не используете сторонние сервисы, а только сайт, который создали на Craftum, можете указать в графе «центр обработки данных» дата-центр АО «Селектел». Адрес ЦОД: г. Санкт-Петербург, ул. Цветочная, д. 21, лит. А

Даже небольшая форма на сайте или использование зарубежного сервиса может привлечь внимание Роскомнадзора. Чтобы законно составлять базы данных и взаимодействовать с клиентами и контрагентами, необходимо вникнуть и разобраться, что является персональными данными и их обработкой, как подготовить нужные документы и настроить сайт.

Что еще почитать по теме

Как сделать лендинг самому: от теории к практике
Craftum · 17.03
Как сделать лендинг самому: от теории к практике
Как перенести сайт на Craftum и сэкономить от 5000 рублей в год
Craftum · 03.11
Как перенести сайт на Craftum и сэкономить от 5000 рублей в год
Создаем на Craftum: сайт-визитка для бизнеса
Craftum · 21.10
Создаем на Craftum: сайт-визитка для бизнеса
Создаем на Craftum: сайт для мероприятия
Craftum · 10.10
Создаем на Craftum: сайт для мероприятия
Инструкция: как сделать сайт для бизнеса с минимальным бюджетом
Craftum · 04.10
Инструкция: как сделать сайт для бизнеса с минимальным бюджетом