Что считается персональными данными на сайте
Закон трактует ПДн широко: имя, телефон, e-mail, данные документов (паспорт/ИНН), технические сведения (IP, cookies, история действий), а также сведения о детях и специальные категории (здоровье, биометрия). Даже форма «перезвоните мне» с полями «имя + телефон» — уже обработка ПДн, на которую распространяются все правила.
Главные изменения с 1 сентября 2025
- Согласие — отдельный документ. Больше нельзя «прятать» его в договоре/оферте.
- Разные цели — разные галочки. Отдельно для заказа, рассылки, звонков.
- Cookie-баннер = выбор. Пользователь должен принять или отказать, простого уведомления недостаточно.
- Фиксация доказательств. Сохраняйте IP, дату/время, источник (страница/форма) и текст согласия.
- Право на отзыв. Инструмент для отзыва согласия обязателен.
- Штрафы и блокировка базы. Недействительное согласие = риск штрафа до ~700 тыс. ₽ и запрет на работу с массивом ПДн.
Без чего согласие признают недействительным
Документ должен содержать конкретику — иначе обработка считается незаконной:
- данные субъекта (и представителя, если он действует по доверенности) + реквизиты доверенности;
- сведения об операторе (наименование/ФИО ИП, адрес);
- точная цель, перечень данных, действия и способы обработки;
- перечень третьих лиц-получателей;
- срок хранения и порядок отзыва;
- подпись / электронная подпись (для e-согласия).
Электронное согласие: как правильно оформить и хранить доказательства
Важно: если согласие собрано, но подтверждений нет — считается, что согласия не было.
Обезличивание и ГИС Минцифры: новая обязанность
Операторы должны передавать обезличенные наборы данных в государственную информационную систему Минцифры. В ГИС запрещено передавать биометрию/спецкатегории; обработка ведётся лишь внутри закрытого контура, выгрузки «наружу» и трансграничная передача результатов иностранным лицам запрещены. Методики обезличивания утвердят Правительство и ФСБ.
Регламент обезличивания и ИБ: что потребуется внутри компании
- раздельное хранение исходных и обезличенных массивов с разграничением доступа;
- локальный акт с описанием методов, сроков, ответственных;
- назначение ответственного сотрудника;
- журнал учёта всех операций (дата, метод, основание, ответственный).
Категории риска и частота проверок
Категория А — крупные операторы с обработкой сотен тысяч записей; плановые проверки раз в 2 года/профилактические визиты ежегодно. Категория Б — с 5 сентября 2025 порог снижен с 20 000 до 10 000 записей; под контроль попадают даже небольшие сервисы, а также обработка детских данных и неуведомлённая трансграничная передача.
Чек-листы внедрения: сайт, формы, политика
- Разделяйте согласия по целям (заказ/рассылка/звонки); никаких «галочек по умолчанию».
- Текст согласия простым языком, рядом — ссылка на Политику.
- Для рассылок — double opt-in.
- Баннер даёт выбор «Принять/Отказать», а не просто информирует.
- Отдельный раздел «Политика cookies» — желателен.
- Сохраняйте IP, дату/время, источник (страница/форма), текст согласия.
- Хранение — в CRM/сервисе рассылок/отдельной БД; обеспечьте выгрузку «на проверку».
- Все формы по HTTPS; защита личного кабинета (anti-brute-force, капча при множественных ошибках).
- Минимизация прав доступа; контроль сторонних интеграций (аналитика/пиксели).
Итог: готовиться нужно до запуска кампаний
Новые правила не только про «бумаги», но и про технологию: отдельные согласия, opt-in-cookie, доказательства, регламенты обезличивания и готовность к проверкам. Настройте формы и логи согласий, обновите Политику, проверьте HTTPS, пропишите регламенты и назначьте ответственных — это убережёт от штрафов и блокировок баз.