Закон о персональных данных с 30 мая 2025: пошаговая инструкция, что нужно сделать на сайте, чтобы не получить штраф
Если у тебя есть сайт — ты уже подпадаешь под закон о персональных данных. Неважно, ты ИП, самозанятый, владелец бизнеса или студии. Даже простая форма заявки или кнопка «перейти в Telegram» считается передачей данных. Роскомнадзор автоматически сканирует сайты 24/7 — без предупреждения. Проверяются не только тексты, но и код, формы, cookie, скрытые скрипты. Нарушения фиксируются и караются штрафами — для юрлиц до 300 тыс. ₽ только за отсутствие уведомления, а за более серьёзные нарушения суммы кратно выше (подробности ниже).
Закон работает давно, но именно 30 мая 2025 года вступили в силу жёсткие поправки — Федеральный закон № 420-ФЗ от 30.11.2024, который увеличил штрафы по статье 13.11 КоАП. Теперь штрафы — это уже не миф.
Как работает проверка Роскомнадзора (РКН) — и почему вас не предупредят
- Сайты сканируются автоматически, круглосуточно и без уведомлений.
- Анализируется не только текст, но и код, формы, cookie, скрытые скрипты.
- Предупреждения не будет — если найдут нарушение, зафиксируют и вынесут предписание или штраф.
Что считается обработкой персональных данных
- Имя, email, телефон — в любой форме
- Кнопка перехода в мессенджер
- Метрики (Google Analytics, Яндекс.Метрика)
- Рассылки, квизы, чат-боты
- CRM, Tilda CRM, Notion, Google Таблицы и пр.
Любой сбор данных от пользователя = обработка персональных данных.
Какие могут быть штрафы
Согласно Федеральному закону №420-ФЗ от 30.11.2024 (вступил в силу 30 мая 2025), который изменил статью 13.11 КоАП РФ — суммы зависят от вида нарушения:
За отсутствие уведомления о начале обработки данных:
- до 10 000 ₽ — для физлиц;
- до 50 000–100 000 ₽ — для должностных лиц и ИП;
- до 300 000 ₽ — для юрлиц.
За утечку персональных данных — отдельные, гораздо более высокие штрафы: от 3 млн ₽ и выше в зависимости от масштаба утечки.
При повторных нарушениях, связанных с утечкой данных — оборотный штраф 1–3% от годовой выручки(минимум 20 млн ₽).
5 обязательных действий на сайте, чтобы не получить штраф
1. Сделай страницу политики конфиденциальности
Создай отдельную страницу. Добавь ссылку в футер и под формами. Если используешь сторонние сервисы (Google Analytics, почта Gmail, Tilda CRM, iCloud и др.) — обязательно включи пункт о трансграничной передаче данных.
2. Добавь согласие под кнопками с формой
Под каждой формой или кнопкой на сайте должен быть текст: «Нажимая на кнопку, вы соглашаетесь с политикой конфиденциальности» — с активной ссылкой.
Также добавь обязательный чекбокс, который пользователь отмечает сам. Автоматически включённая галочка запрещена.
3. Установи cookie-баннер для каждой страницы сайта
Текст баннера:
«Мы используем cookie для работы сайта, аналитики и персонализации. Продолжая пользоваться сайтом, вы соглашаетесь с нашей Политикой конфиденциальности»
Рядом должна быть кнопка «Согласен» или «Принять».
4. Укажи юридическую информацию в подвале
Укажи:
- полное наименование владельца сайта;
- адрес местонахождения;
- актуальные контактные данные.
Не допускай распространённую ошибку — указывать только название бренда. Это может повлечь административную ответственность (ст. 14.4 КоАП) и гражданско-правовые последствия.
5. Подготовься к трансграничной передаче данных
Если используешь зарубежные сервисы (Gmail, Google Docs, Telegram и др.):
- Укажи это в политике конфиденциальности
- Включи в форму чекбокс дополнение «Я согласен с политикой конфиденциальности и на трансграничную передачу персональных данных»
Если хочешь избежать — используй российские сервисы: Почта Mail.ru, Яндекс.Почта, Яндекс.Метрика, VK-формы и др.
Важно: Tilda попадает под трансграничную передачу данных (ниже в статье описали подробнее)
Подать уведомление в роскомнадзор — не страшно
Заполнить уведомление можно несколькими способами:
- Через сайт Роскомнадзора — https://pd.rkn.gov.ru/operators-registry/notification/form/
- Через Госуслуги — https://www.gosuslugi.ru/10048/1/form
Указать нужно:
- ИНН, домен сайта;
- цель обработки данных (например, маркетинг, продажи);
- какие данные собираешь (имя, email, телефон и др.);
- через какие сервисы идёт обработка (Tilda, Telegram, Notion, Google и т.д.).
После отправки сразу формируются номер и ключ доступа — их нужно сохранить. PDF-версия тоже появляется сразу. Статус «Принято» может появиться не сразу — как только появится, можно внести изменения, если что-то упустили.
Если допустил ошибку — не страшно. Подожди, когда примут заявление и сможешь по ссылке https://pd.rkn.gov.ru/operators-registry/notification/updateform/ поменять или дополнить данные.
Если сайт роскомнадзора не открывается
Находишься за границей и сайт не загружается?
👉 Установи VPN с российским IP. Обычно у VPN есть бесплатный тариф до 40 минут в день — этого хватает, чтобы подать уведомление.
Почему не работает? Сайт Роскомнадзора доступен только из России. Иностранные IP часто блокируются.
Отправляешь заявки на gmail? Значит, передаёшь данные за границу
Если ты получаешь заявки с сайта на почту Gmail, сохраняешь данные посетителей в Google Таблицах, смотришь аналитику через Google Analytics, общаешься с клиентами через Telegram или используешь для работы с сайтом Notion и iCloud — это считается трансграничной передачей персональных данных. Потому что информация с сайта передаётся на серверы, расположенные за пределами России.
Почему Tilda подпадает под закон о трансграничной передаче
Tilda хранит и передаёт данные через сервера по всему миру — в том числе за пределами России. Поэтому сайт на Tilda автоматически считается участником трансграничной передачи. Это важно указать в политике конфиденциальности и уведомлении в Роскомнадзор.
Что с этим делать?
- Укажи в политике конфиденциальности, что передаёшь данные за границу;
- Пропиши, какие сервисы используешь (например, Google LLC, Telegram и т.д.);
- Добавь в форму чекбокс: «Я соглашаюсь на обработку и трансграничную передачу моих персональных данных в соответствии с политикой конфиденциальности». Это формулировка, которую можно использовать, если ты точно понимаешь, что используешь зарубежные облачные сервисы.
Если хочешь избежать этого — используй российские сервисы (например, Яндекс, VK и др.).
Если сайт уже работает, а уведомления нет?
Подавай сейчас. Даже если сайт был запущен до 30 мая 2025 года — это не освобождает от ответственности.
Нужно ли делать публичную оферту?
Если принимаешь оплату — да, обязательно.
Если на сайте можно оплатить курс, консультацию, продукт — оферта заменяет бумажный договор.
Если только заявки (без онлайн-оплаты) — достаточно политики и согласия.
Тип сайта не важен
Лендинг, блог, портфолио — если собираешь данные, закон 152-ФЗ действует.
Уже есть сайт и хочешь быстро понять, всё ли сделано правильно?
Я подготовила чек-лист из 18 пунктов, который поможет проверить сайт на соответствие требованиям Роскомнадзора за 5 минут. Забрать чек-лист можно в Telegram: t.me/kowebica
Больше примеров работ, а так же особенностей подхода, смотрите на сайте Kowebica
👉 Ставьте лайки и подписывайтесь на блог! У нас много интересных дизайн-проектов, кейсов и экспертного материала по разработке веб-проектов любой сложности!