Как подготовить сайт к изменениям в законе о персональных данных 2025 года

С 30 мая и 1 июля 2025 года вступают в силу поправки к Федеральному закону №152-ФЗ «О персональных данных» (текст закона), которые затрагивают сайты, собирающие личную информацию пользователей. Нарушение требований может повлечь штрафы до 25 млн рублей для юридических лиц и ИП, а также репутационные риски (подробности о штрафах). В этом руководстве мы предлагаем рекомендации, которые помогут адаптировать ваш сайт к новым правилам, заменить зарубежные сервисы и снизить риски санкций Роскомнадзора. Все предложенные меры носят рекомендательный характер.

Основные изменения в 152-ФЗ

Поправки к закону (см. закон) усиливают контроль за обработкой персональных данных (ПД) граждан РФ. Основные нововведения:

• Увеличение штрафов: С 30 мая 2025 года за утечку данных штрафы для юридических лиц могут достигать 25 млн рублей в зависимости от масштаба нарушения (подробности).
• Запрет на зарубежное хранение: С 1 июля 2025 года первичный сбор ПД граждан РФ на иностранных серверах запрещен без уведомления Роскомнадзора. Это касается аналитики, форм, платежных систем и других инструментов.
• Явное согласие пользователей: Сайты должны получать четкое согласие на обработку ПД, указывая цели, сроки и способы использования данных.

Рекомендация: Рассмотрите возможность подготовки сайта к новым требованиям, чтобы минимизировать потенциальные риски.

Рекомендуемые сервисы для замены

Многие зарубежные инструменты хранят данные пользователей на серверах за пределами РФ, что может стать нарушением с 1 июля 2025 года. Мы рекомендуем провести аудит сайта и рассмотреть замену следующих сервисов на российские аналоги:

1. Аналитика

• Что можно заменить: Google Analytics, Google Tag Manager (собирают IP-адреса, поведение пользователей и хранят данные за рубежом).
• Рекомендуемая альтернатива: Яндекс Метрика — российский сервис аналитики с серверами в РФ, соответствующий требованиям 152-ФЗ.

2. Виджеты и чаты

• Что можно заменить: Intercom, Facebook Messenger, WhatsApp Business (собирают имя, телефон, email и могут хранить данные за границей).
• Рекомендуемая альтернатива: JivoSite или чаты в Битрикс24 с серверами в РФ.

3. Реклама

• Что можно заменить: Google Ads, Facebook Ads, TikTok Ads (передают данные для таргетинга за рубеж).
• Рекомендуемая альтернатива: Яндекс Директ, VK Реклама.

4. Формы обратной связи

• Что можно заменить: Google Forms, Typeform, JotForm (хранят ПД на зарубежных серверах).
• Рекомендуемая альтернатива: Встроенные формы вашей CMS (например, 1С-Битрикс) с хранением данных на российских серверах.

5. Дополнительные сервисы

• Почтовые сервисы: Рекомендуется заменить Gmail, Outlook, Yahoo Mail на Яндекс Почту или Mail.ru.
• Облачные хранилища: Рассмотрите переход с Google Drive и Dropbox на Яндекс Диск или Облако Mail.ru.
• Платежные системы: Рекомендуется использовать ЮKassa или Сбербанк Эквайринг вместо PayPal и Stripe.
• Карты: Рассмотрите замену Google Maps на Яндекс Карты или 2GIS.
• Календари: Рекомендуется использовать Яндекс Календарь вместо Google Календаря.

Рекомендации по техническим требованиям

Для соответствия новым требованиям 152-ФЗ мы предлагаем следующие шаги, которые носят рекомендательный характер:

• Хостинг и CDN: Рассмотрите использование российского хостинга, например, Beget, с серверами в РФ. Если ваш хостинг зарубежный, вы можете переместить сайт на российский хостинг или подать уведомление в Роскомнадзор о трансграничной передаче данных до 1 июля 2025 года через rkn.gov.ru.
• Сторонние скрипты: Рекомендуется проверить плагины CMS (WordPress, Joomla и др.) на наличие скриптов, отправляющих данные за рубеж, и заменить их на российские аналоги, если это необходимо.
• SSL-сертификат: Рекомендуется убедиться, что сайт работает по HTTPS, и проверить срок действия сертификата с помощью инструмента SSL Checker.

Рекомендательный чек-лист для соответствия 152-ФЗ

Мы предлагаем следующий перечень действий, которые могут помочь привести сайт в соответствие с законом (см. закон). Все пункты носят рекомендательный характер:

1. Обеспечение хранения данных в РФ:
   • Рассмотрите проверку, что все ПД (имя, email, телефон, IP-адреса) хранятся на российских серверах.
   • При использовании зарубежных сервисов вы можете подать уведомление о трансграничной передаче данных в Роскомнадзор до 1 июля 2025 года через rkn.gov.ru.
2. Создание политики конфиденциальности:
   • Рекомендуется разместить страницу /privacy-policy/ с информацией:
     • Цели обработки ПД (например, оформление заказа, консультации).
     • Категории данных (ФИО, email, телефон).
     • Способы обработки (сбор, хранение, передача).
     • Сроки хранения (например, 3 года или до отзыва согласия).
     • Сведения о передаче данных третьим лицам (если применимо).
3. Получение согласия на обработку ПД:
   • Рассмотрите создание страницы /consent/ с формой согласия, указав:
     • Цели обработки (например, обработка заявки).
     • Перечень собираемых данных.
     • Срок действия согласия (например, 5 лет).
     • Способ отзыва (например, через email).
   • Рекомендуется добавить ссылку на эту страницу во всех формах сбора данных.
4. Обновление форм сбора данных:
   • Рассмотрите включение в каждую форму (обратной связи, заказа, подписки) чекбокса: «Я согласен на обработку персональных данных» (без предустановленной галочки).
   • Рекомендуется добавить ссылки на /privacy-policy/ и /consent/.
   • Пример текста: «Отправляя форму, вы соглашаетесь с Политикой конфиденциальности и даете Согласие на обработку данных.»
5. Настройка баннера о cookie:
   • Рекомендуется разместить всплывающее окно с текстом:

     Наш сайт использует файлы cookie и Яндекс Метрика, чтобы улучшить работу сайта, повысить его эффективность и удобство. Продолжая использовать сайт, вы соглашаетесь на использование файлов cookie.

   • Рассмотрите добавление кнопок «Принять» и «Отклонить».
   • Вы можете использовать встроенные инструменты CMS или настроить баннер через JavaScript.
6. Регистрация в Роскомнадзоре:
   • Рекомендуется подать уведомление об обработке ПД в реестр операторов через rkn.gov.ru.
   • Рассмотрите указание категорий данных, целей обработки и мер защиты (например, шифрование, ограничение доступа).
7. Мониторинг почты:
   • Рекомендуется регулярно проверять email на уведомления от Роскомнадзора.
8. Защита сайта от кибератак:
   • Рассмотрите установку сложных паролей (8+ символов, буквы, цифры, символы, например: Kj#9mP$2).
   • Рекомендуется включить двухфакторную аутентификацию (2FA) для админ-панели.
   • Вы можете ограничить доступ к админ-панели по IP.
   • Рассмотрите настройку фильтрации спама в почте для защиты от фишинга.
   • Рекомендуется проверять журналы доступа на подозрительные входы и обновлять пароли.
   • Рассмотрите проведение инструктажа сотрудников: избегать подозрительных ссылок и файлов .exe.

Рекомендации по защите от киберугроз

Новые правила могут увеличить риски кибератак, так как хакеры могут использовать ужесточение законодательства для атак на сайты. Эксперты прогнозируют рост фишинга и попыток подбора паролей в 2025 году. Вот рекомендательные меры для защиты:

• Резервное копирование: Рассмотрите настройку ежедневного резервного копирования на российский сервер, например, Beget, для быстрого восстановления данных.
• Обновление CMS: Рекомендуется регулярно обновлять CMS (WordPress, 1С-Битрикс и др.) и плагины до последних версий.
• Мониторинг журналов: Вы можете проверять логи админ-панели на подозрительную активность (например, входы с незнакомых IP).
• Антивирусное ПО: Рассмотрите установку серверного антивирусного ПО, например, Kaspersky Endpoint Security.

Часто задаваемые вопросы

1. Обязателен ли чекбокс в формах обратной связи?

   С 30 мая 2025 года требуется явное согласие на обработку ПД (см. закон). Рекомендуется использовать чекбокс без предустановленной галочки для всех форм, собирающих данные (ФИО, email, телефон).

2. Увеличат ли поправки риски кибератак?

   Ужесточение закона может спровоцировать рост фишинга и подбора паролей. Рекомендуется использовать 2FA, сложные пароли и мониторинг логов.

3. Что делать, если хостинг зарубежный?

   Рекомендуется до 1 июля 2025 года переместить сайт на российский хостинг, например, Beget, или подать уведомление в Роскомнадзор о трансграничной передаче данных через rkn.gov.ru.

4. Сколько времени нужно на подготовку сайта?

   Рекомендуется начать аудит и доработки сейчас, чтобы успеть к 30 мая 2025 года и минимизировать риски штрафов (см. подробности).

Заключение

Изменения в 152-ФЗ (см. закон) требуют внимания к обработке персональных данных. Мы рекомендуем рассмотреть замену зарубежных сервисов на российские (Яндекс Метрика, ЮKassa, 2GIS), создание страниц /privacy-policy/ и /consent/, обновление форм и настройку баннера cookie. Также вы можете усилить защиту от кибератак с помощью сложных паролей, 2FA и резервного копирования на серверах, таких как Beget. Эти меры, носящие рекомендательный характер, могут помочь соответствовать законодательству, минимизировать риски штрафов и сохранить доверие пользователей.