Информационная безопасность сайта: самый полный гайд по новым требованиям РКН к сайтам и бизнесу
Для чего это нужно
Если вы собираете и храните персональные данные (ФИО, телефон, email, данные сотрудников, клиентов и даже подрядчиков) — вы уже оператор персональных данных. Это значит:
Это значит:
даже если у вас нет сайта, но есть CRM или 1С — вы попадаете под действие закона;
Excel на компьютере — еще ничего, а вот Google-таблицы - это нарушение и штраф до 6 млн. рублей;
любая форма на сайте (обратный звонок, квиз, чат-бот) = персональные данные.
Мы разобрались вместе с юристами и собрали пошаговый чек-лист: что нужно сделать, чтобы не получить предписание от РКН.
Три этапа для легализации бизнеса
Этап 1. Подать заявку в Роскомнадзор
Сделать это можно на сайте РКН.
Ключевые моменты:
- Регион обработки — лучше указать всю РФ.
- Цели обработки — минимум: кадровый учет и исполнение договора. Если есть сайт, квиз, рассылки — добавляйте все по списку (их около 30).
- Адреса ЦОДов — нужно указывать юридические данные сервиса, где реально лежат ваши базы (хостинг, облачная 1С, рассыльщик).
- Трансграничная передача — забудьте про Google Analytics, формы и GTM. Если данные уходят за границу без уведомления — штраф 1–6 млн.
Этап 2. Привести сайты и сервисы в порядок
Это то, что проверяют в первую очередь.
- Удалите иностранные сервисы сбора данных (Google Analytics, формы, GTM). Search Console можно оставить.
- Политика конфиденциальности и Согласие — ссылки на документы должны быть в подвале сайта и в каждой форме. Формулировки внутри документов и на сайте должны совпадать.
- Лид-формы:
✔ минимум две галочки: согласие на обработку ПД и согласие на рассылку;
✔ для e-commerce: «Я принимаю условия Оферты и даю согласие…»;
✔ в чат-ботах согласие прописывается прямо под кнопкой. Cookies — добавьте уведомление («Мы используем cookie для улучшения работы сайта»).
Регулярный аудит — раз в полгода проверяйте все сайты, формы и сервисы. Если меняется телефон или ответственный за ПД, нужно подавать уточненные данные в РКН.
Этап 3. Внутренние документы
Даже если сайт и формы в порядке, при проверке РКН запросит у вас пачку документов. Базовый пакет включает:
политику обработки персональных данных;
приказы о назначении ответственных;
регламенты по защите и уничтожению данных;
журналы учета запросов и инцидентов;
инструкции для сотрудников и администраторов.
Если у вас есть своя ИТ-система — готовьте еще модель угроз, методику защиты, акты оценки защищенности.
Важно: если вы маркетинговое агентство и работаете с данными клиентов, нужны доп. соглашения о передаче ПД. Без этого — риск утечек и многомиллионных штрафов.
Что еще учесть
- Записываете звонки? Нужно предупреждать абонента и хранить запись.
Ведете рассылку? Для нее отдельное согласие.
- Работаете с подрядчиками? Все доступы и права нужно фиксировать документально.
Итог
Роскомнадзор не шутит: в 2025 году проверок станет больше, а штрафы — выше. Но если пройти три этапа (заявка → сайты → документы), вы сведете риски к минимуму.