Новый закон о персональных данных РФ: ключевые изменения и действия для владельцев сайтов.

Что изменилось в 2025 году? Ужесточение штрафов

С 30 мая 2025 года административные штрафы за нарушения обработки данных увеличены:

Для юрлиц: до 1,5 млн рублей за утечки или незаконное распространение.

Для ИП: до 300 тыс. рублей.

Классификация данных и уровни защиты

Все персональные данные разделены на 4 категории (ФИО, паспортные данные, биометрия, специальные категории).

Для каждой категории установлен свой уровень защищённости (УЗ-1 — УЗ-4). Например, сбор биометрии требует УЗ-1 с обязательным использованием российского криптопрограммного обеспечения. Обезличенные данные Введён механизм формирования обезличенных составов данных. Это позволяет использовать информацию для аналитики без согласия пользователя, но при условии невозможности идентификации личности.

Обязательный аудит кода и проектов Для сайтов, обрабатывающих данные более 100 тыс. пользователей, требуется ежегодный аудит:

Проверка кода на уязвимости. Анализ соответствия инфраструктуры требованиям ФСТЭК.

Сертификация систем хранения (только аккредитованными организациями).

Что должен сделать владелец сайта?

Провести аудит текущей системы

Определите категории данных (имя, телефон, email относятся к базовым). Установите уровень защищённости (для большинства сайтов — УЗ-3 или УЗ-4). Обновить политику конфиденциальности

Добавьте раздел об обезличенных данных, если используете аналитику. Укажите, как передаёте информацию третьим лицам (например, в рекламные системы).

Внедрить российское ПО

Замените иностранные сервисы аналитики, CRM-системы и инструменты шифрования на аналоги из реестра Минцифры.

Примеры приведены для иллюстрации, не являются рекламой:

CMS: «1С-Битрикс» вместо Drupal. Шифрование: «КриптоПро» вместо OpenSSL.

Настроить сбор согласий

Для базовых данных (имя, телефон, email) достаточно общего согласия с чекбоксом. Для передачи данных за рубеж или обезличенной аналитики — отдельные пункты.

Заказать аудит кода и инфраструктуры

Проверьте уязвимости в формах ввода данных и API.

Убедитесь, что базы защищены от SQL-инъекций и DDoS-атак.

Услуги аудита: как это работает?

Этапы проверки:

Анализ кода на соответствие ФЗ-152 и ГОСТ Р 56939.

Стресс-тесты системы хранения данных.

Проверка журналов доступа и резервного копирования. Стоимость:

Для малых сайтов (до 1 тыс. пользователей): от 50 тыс. руб./нед.

Для крупных проектов: от 300 тыс. руб./нед.

Результат:

Заключение о состоянии.

Рекомендации по устранению нарушений.

Штрафы и риски в 2025 году

Блокировка сайта за использование иностранного ПО без разрешения ФСТЭК.

Уголовная ответственность за утечку биометрических данных (ст. 137 УК РФ). Запрет на обработку данных при повторных нарушениях.

Чек-лист на 2025 год

Пройдите аудит кода до 30 июня 2025 (срок для действующих проектов). Переведите базы данных на российские серверы (примеры приведены для иллюстрации, не являются рекламой: Reg.ru, Selectel). Оформите согласия пользователей по новому шаблону.

Замените иностранные сервисы аналитики (Google Analytics) на российские (примеры приведены для иллюстрации: Яндекс.Метрика с опцией обезличенных данных).

Важно! Даже если ваш сайт небольшой, Роскомнадзор может запросить отчётность в любой момент.

Подготовьтесь заранее — это дешевле, чем платить штрафы.

Примеры в тексте приведены для иллюстрации, не являются рекламой.

Бесплатные консультации: