Персональные данные — 2025 без паники!

1. Что действительно изменилось после 30 мая 2025 г.

Главное: закон ужесточил наказание за масштабные утечки и «чёрный» сбор телефонных номеров, они рискуют попасть под спец-состав «незаконная передача ≥ 1 000 чел.» ⇒ 3–5 млн ₽ с первого раза, а при рецидиве — 1–3 % оборота. Открутиться «письмом-объяснением» уже не получится. Сайт, настроенный по чек‑листу ниже, останется в «белой зоне».

2. Обязательный минимум на любом сайте в 2025 году

1. Политика обработки ПД

Название юрлица + ИНН/ОГРН, адрес, e‑mail, номер в реестре операторов.

Полный список счетчиков, пикселей.

Категории данных: IP, Cookie‑ID, Device‑ID, e‑mail, телефон и т. д.

Срок хранения: "36 мес. после последнего взаимодействия" - а не "бессрочно".

Регион обработки: RU для серверов и сервисов типа Яндекс Метрики в РФ, Google Analytics = трансграничная передача - либо уведомляем РКН, либо снимаем счётчик (лучше 2 вариант, если для вас это не критично важно).

2. Cookie‑баннер (до прокрутки/клика): "Принять" / "Отклонить" / "Настройки". Только тех‑cookie активны по умолчанию.

3. Форма согласия под любым lead‑форматом: чек‑бокс + ссылка на Политику + пункт о рассылке, если делаем e‑mail/SMS.

4. Ответственный за персональные данные в оргструктуре, который ограничен соответствующими правами доступа в админке сайта.

3. Как не облажаться при регистрации как оператора

Если сайта нет в реестре — штраф до 300 000 ₽. Процесс занимает 30 минут, но 80 % ошибок — в выборе целей.

Шаг‑за‑шагом

1. Соберите инвентаризацию: какие данные, где собираются (какие формы), для чего
2. Выберите цели исходя из пункта 1 (ниже минимальный набор).
3. Заполните уведомление здесь или Госуслугах.
4. Загрузите актуальную Политику обработки персональныъ данных на сайте.
5. Сверьтесь: статус «Опубликовано» должен появиться в реестре.

Минимальный набор целей для интернет‑проекта

Форма РКН предлагает 37 типовых целей. Для сайта обычно достаточно 3-4:

Ну и, конечно, «Ведение кадрового и бухгалтерского учета» тоже нужно указывать, но это обычно по умолчанию делается бухгалтером.

Не ставьте лишнего. Широкий список целей = риск «избыточной обработки» и визита инспектора.

4. Как сформировать Политику обработки персональных данных — структура, которую я использую

1. Общие положения: ссылки на 152‑ФЗ, 149‑ФЗ, 426‑ФЗ.
2. Оператор: реквизиты (теперь обязательно!), № реестра.
3. Категории и источники данных: формы сайта, CRM, чат‑боты, 1С.
4. Цели и правовое основание:«цель → основание → срок хранения».
5. Список сторонних обработчиков: хостинг‑провайдер, облако, подрядчики.
6. Счётчики и cookies: полный перечень + назначение.
7. Права субъектов и порядок запросов (e‑mail, ЛК, почтовый адрес).

Есть спец сервисы для этого, но лучше консультироваться с вашим юристом.

Главное — держать политику актуальной при каждом релизе и обновлении сайта.

5. Итог в одном абзаце

Штрафы выросли, но бьют они по массовым утечкам и злостным «чёрным сборщикам» данных. Законопослушному бизнесу нужно: зарегистрироваться как оператор, привести политику и cookie-баннер в порядок, перечислить счётчики, назначить ответственного и держать готовый план «24 ч / 72 ч». На практике это пара рабочих дней и минимальный бюджет — зато защита от миллионов штрафа, блокировок и репутационных потерь.