Персональные данные на сайте: что нужно было сделать ещё в 2025-м

8 июня 2026

Сергей Т. руководитель

10 мин.

Если на вашем сайте есть форма заявки, обратного звонка, бронирования или подписки — вы уже являетесь оператором персональных данных по российскому законодательству. Но форма — не единственный повод. Подключённый счётчик аналитики, сбор cookie, виджеты социальных сетей — всё это тоже обработка персональных данных. С 2022 по 2025 год требования существенно ужесточились, а штрафы выросли до нескольких миллионов рублей.

В этой статье мы разбираем техническую сторону вопроса: что именно нужно настроить и разместить на сайте. Юридическую часть — корректность формулировок в документах, оценку рисков для конкретного бизнеса — лучше согласовать с юристом, специализирующимся на персональных данных.

Персональные данные на сайте

Можно ли сделать сайт, который вообще не подпадает под закон?

Теоретически — да. Для этого сайт должен одновременно не иметь форм (ни обратной связи, ни подписки, ни заявок), не использовать счётчики аналитики и не собирать cookie, а также не публиковать персональные данные третьих лиц.

Последний пункт многие упускают. Страница «Команда» с фотографиями и именами сотрудников — это публикация персональных данных. Отзыв клиента с именем, фотографией или должностью — тоже. Причём фотография человека является персональными данными даже без подписи: она позволяет идентифицировать человека. По закону для любой такой публикации необходимо письменное согласие каждого человека, чьи данные размещены.

На практике сайт без форм, счётчиков и упоминания людей — редкость. Большинство коммерческих сайтов подпадают под закон уже на этапе подключения Яндекс.Метрики или добавления страницы «О нас».

Что считается персональными данными

По закону № 152-ФЗ персональные данные — это любая информация, по которой можно прямо или косвенно идентифицировать человека. Точного закрытого перечня в законе нет, но на практике к ним относятся:

имя, фамилия, отчество;
номер телефона и адрес электронной почты;
почтовый адрес;
дата рождения;
IP-адрес;
файлы cookie — если через них можно отследить поведение, местоположение или действия конкретного пользователя;
фотография человека.

Важный момент: даже если вы собрали данные и удалили их через несколько минут — по закону это всё равно считается обработкой персональных данных. Хранение, сбор, запись, передача — всё это обработка.

Политика обработки персональных данных

На каждом сайте, где собираются данные пользователей, должна быть опубликована Политика обработки персональных данных. Удобнее всего — отдельная страница сайта; допустим и PDF-документ по прямой ссылке, если он открывается без скачивания и читаем на мобильном устройстве.

Политика должна содержать:

название компании или ФИО ИП — кто является оператором данных;
перечень собираемых данных;
цели обработки — для чего именно вы собираете данные: оформление заявки, рассылка, аналитика;
способы и сроки хранения;
порядок удаления данных после достижения цели;
кому данные могут передаваться — подрядчики, CRM-системы, службы рассылки;
как пользователь может отозвать своё согласие.

Ссылка на политику должна быть доступна с каждой страницы сайта — стандартное место в подвале (футере).

Обратите внимание: политика обработки персональных данных и согласие на обработку персональных данных — это два разных документа. Некоторые компании объединяют их, но юридически надёжнее держать раздельно.

Штраф за отсутствие политики на сайте: от 30 000 до 60 000 рублей (ч. 3 ст. 13.11 КоАП РФ).

Чекбоксы в формах

Под каждой формой, где пользователь вводит свои данные, необходимо разместить незаполненный чекбокс, текст рядом с ним — «Я даю согласие на обработку персональных данных» — и кликабельную ссылку на политику или на отдельную страницу с текстом согласия.

Галочка не должна быть проставлена автоматически. Пользователь ставит её сам. Форма не должна отправляться без этого. Это реализуется на уровне валидации формы.

Нельзя объединять несколько согласий в одно. Если вы хотите получить согласие на рассылку отдельно от согласия на обработку данных для заявки — это два разных чекбокса.

Штраф за сбор данных без согласия: от 300 000 до 700 000 рублей при первом нарушении, от 1 000 000 до 1 500 000 рублей при повторном (ст. 13.11 КоАП РФ).

Cookie-баннер

Файлы cookie — данные, которые сайт сохраняет в браузере пользователя. Они могут фиксировать IP-адрес, действия на сайте, содержимое корзины, геолокацию. Роскомнадзор и российские суды квалифицируют обработку cookie как обработку персональных данных.

При первом посещении каждый новый пользователь должен видеть баннер с уведомлением о сборе cookie. В тексте баннера нужно сообщить, что сайт использует cookie, дать ссылку на политику обработки данных и предоставить возможность согласиться.

Баннер должен появляться один раз — при первом визите. Если он всплывает при каждом переходе между страницами — это ошибка в настройке, которая к тому же ухудшает поведенческие показатели сайта.

Некоторые компании идут дальше и делят cookie по категориям: технические (без которых сайт не работает), аналитические и рекламные — и запрашивают согласие на каждую категорию отдельно. Это не требование российского закона, но хорошая практика, особенно если сайт работает с европейской аудиторией или если вы хотите дать пользователям больше контроля.

Уведомление в Роскомнадзор

Большинство коммерческих сайтов обязаны подать уведомление об обработке персональных данных и войти в реестр операторов РКН. Исключения — только для случаев обработки данных исключительно на бумажных носителях.

Подать уведомление можно на портале персональных данных РКН: . С октября 2022 года действует новая форма (Приказ РКН № 180 от 28.10.2022). Если вы подавали уведомление раньше — его нужно подать повторно по новой форме.

Иностранные сервисы на сайте

Использование иностранных сервисов, серверы которых находятся за пределами России, может квалифицироваться как трансграничная передача персональных данных.

Можно использовать без ограничений:

Яндекс.Метрика — серверы в России, данные не покидают страну;
Google Search Console — не собирает персональные данные пользователей, под закон формально не подпадает.

Что создаёт риски:

Google Analytics — данные уходят на серверы в США. США не входит в список стран с «адекватной защитой» персональных данных по классификации РКН. Использование требует либо официального разрешения РКН на трансграничную передачу, либо отказа от сервиса;
Google Tag Manager — аналогичная ситуация;
Google Fonts — если шрифты подключены через серверы Google, при каждой загрузке страницы IP пользователя уходит на зарубежные серверы. Решение — скачать шрифты и подключить локально;
Виджеты социальных сетей — кнопки «Поделиться», счётчики лайков и встроенные виджеты собирают данные посетителей в момент загрузки страницы, даже если пользователь на них не нажимал;
reCAPTCHA от Google — также передаёт данные на серверы компании. Вопрос о том, считается ли это нарушением, остаётся дискуссионным — однозначной позиции РКН пока нет. Если хотите исключить риск — используйте российские аналоги, например Яндекс SmartCaptcha.

Для туристических сайтов особенно актуально: передача данных в системы управления турами (САМО-тур, Мастер-тур, U-ON), интеграции с CRM, рассылки по клиентской базе — всё это зоны риска, которые стоит проверить отдельно. Отдельного внимания требуют паспортные данные: при оформлении туров, виз и билетов они передаются авиакомпаниям, отелям и визовым центрам — это чувствительная категория данных, требующая особой осторожности при хранении и передаче.

Передача данных сторонним сервисам

Если ваш сайт передаёт данные пользователей в сторонние сервисы — CRM, системы рассылок, онлайн-чаты — вы несёте ответственность за то, что с этими данными происходит дальше.

Для каждого такого сервиса необходимо одно из двух: подписать соглашение о поручении обработки персональных данных, либо проверить оферту сервиса — крупные российские платформы как правило уже включают в стандартные условия пункты об обработке ПДн, и отдельное соглашение не требуется.

Все сервисы, которым передаются данные пользователей, должны быть перечислены в вашей политике обработки персональных данных.

Прежде чем решать вопрос с соглашением — оцените, можно ли передавать меньше данных. Если сервису рассылок достаточно только email без имени и телефона — не передавайте лишнего. Данные, из которых невозможно идентифицировать конкретного человека, под действие закона не подпадают. Это законный способ снизить риски, прямо предусмотренный 152-ФЗ. Правда, граница не всегда очевидна: адрес вида ivan@company.ru сам по себе может идентифицировать человека — в таких случаях лучше проконсультироваться с юристом.

Отдельная тема — передача персональных данных клиентов через мессенджеры и электронную почту. Если менеджер отправляет данные клиента — имя, телефон, паспортные данные — через WhatsApp или Telegram, это трансграничная передача: серверы этих сервисов находятся за рубежом. То же касается иностранных почтовых сервисов — Gmail, Outlook. Для деловой переписки, в которой фигурируют персональные данные клиентов, безопаснее использовать российские сервисы: Яндекс Почту или корпоративную почту на российском хостинге.

Ответы на запросы пользователей

По закону любой пользователь вправе запросить информацию о том, какие его данные вы храните, с какой целью и как долго. Он также вправе потребовать удалить свои данные.

Срок ответа — 10 рабочих дней. Практически это означает: в компании должен быть назначен ответственный человек и прописан порядок действий при таких запросах. Достаточно указать в политике конфиденциальности контактный email и следить за входящими.

Штраф за нарушение сроков ответа или немотивированный отказ: от 40 000 до 80 000 рублей.

Персональные данные на страницах сайта

Закон распространяется не только на сбор данных через формы, но и на публикацию персональных данных третьих лиц. Если на вашем сайте размещены фотографии и имена сотрудников, отзывы клиентов с именем или фотографией, упоминания конкретных людей в кейсах и статьях — для каждого случая необходимо письменное согласие человека на публикацию. Устной договорённости недостаточно.

Фотография является персональными данными даже без подписи — она позволяет идентифицировать человека.

Для отзывов есть несколько рабочих вариантов: получить письменное согласие клиента, анонимизировать отзыв до неидентифицируемого уровня (убрать имя или название компании), либо использовать только название юридического лица без упоминания конкретного человека — юридическое лицо персональными данными не является.

Исключение — лицензионные стоковые фотографии. Когда вы покупаете лицензию на фото в Shutterstock, Adobe Stock, Depositphotos и других агентствах, согласие модели на коммерческое использование изображения уже включено в эту лицензию — это называется model release. Агентство гарантирует его наличие, и отдельного согласия от человека на фото не требуется. Риски возникают при использовании фотографий неизвестного происхождения, скачанных без лицензии: наличие model release в таком случае не подтверждено.

Сроки хранения данных

Персональные данные нельзя хранить бесконечно. Как только цель обработки достигнута — данные нужно удалить. Это требование должно быть прописано в политике и реально исполняться.

На практике это означает: если человек оставил заявку, которая не привела к сделке, его данные не должны храниться годами. Если клиент отозвал согласие — данные удаляются в течение 10 рабочих дней. Удаление можно настроить автоматически на уровне CRM или базы данных.

Чек-лист: что проверить на своём сайте

Опубликована политика обработки персональных данных — отдельная страница или PDF по прямой ссылке.
Ссылка на политику стоит в футере и доступна с каждой страницы.
Под каждой формой — незаполненный чекбокс с согласием и ссылкой на документ; форма не отправляется без галочки.
При первом посещении появляется баннер с уведомлением о cookie.
Подано уведомление в РКН, компания внесена в реестр операторов (по форме 2022 года).
Проверены иностранные сервисы: аналитика, шрифты, виджеты соцсетей — нет ли среди них тех, что передают данные за рубеж без уведомления РКН.
Для каждого стороннего сервиса, которому передаются данные — подписано соглашение или проверена оферта.
Переписка с клиентами, в которой фигурируют персональные данные, ведётся через российские сервисы.
Есть ответственный за обработку данных и порядок ответа на запросы пользователей в течение 10 рабочих дней.
Прописаны и соблюдаются сроки хранения данных — устаревшие данные удаляются.
Получены письменные согласия сотрудников на публикацию их фото и имён на сайте.
Получены письменные согласия клиентов на публикацию отзывов с идентифицирующими данными.

Полезные ссылки

Официальные источники:

— consultant.ru
— pd.rkn.gov.ru

Для углублённого изучения:

— Tilda Education

Статья написана с технической точки зрения: что и как настроить на сайте. Мы не юристы. Формулировки в документах — политике обработки данных, тексте согласия — лучше проверить с юристом, специализирующимся на персональных данных. Особенно если у вас нестандартные интеграции, передача данных подрядчикам или иностранные сервисы.

Нужен сайт?

Отправьте запрос и мы сделаем предложение на разработку

Как вас зовут?

Телефон

Электронная почта

Принимаю Политику конфиденциальности и подтверждаю Согласие на обработку персональных данных

Отзывы клиентов

В процессе совместной разработки мы создали платформу для привлечения дополнительных пожертвований. Для фонда это крайне важно! С новым технологическим решением мы сняли с себя большой объем ручного труда и автоматизировали нашу работу.

Галина П.

координатор проектов благотворительного фонда «Линия жизни»

За долгие годы работы нам довелось попробовать сотрудничество и с другими разработчиками сайтов, но в конечном итоге мы всегда возвращались в Телемарк — нас подкупало вдумчивое отношение ко всем нашим проектам, редкое в этой отрасли (увы!) нерасхождение слов с делом и педантизм в соблюдении сроков и договоренностей.

Людмила С.

Генеральный менеджер Медассист

Разработка модуля визового сервиса позволила оптимизировать работу визового отдела, улучшила взаимодействие сотрудников компании с консульствами и партнерами.

Алексей К.

Заместитель генерального директора ПАКС

Я горжусь нашим долгим и плодотворным сотрудничеством с компанией Телемарк. За последние 10 лет мы не раз ставили перед ними самые невозможные и изощренные задачи.

Дмитрий С.

Руководитель студии звукозаписи Russian Digital Sound Records

Понравилось, что специалисты Телемарк не шли на поводу всех наших пожеланий, а мягко корректировали, не позволяя испортить красивый дизайн и усложнить навигацию.

Евгений Ц.

Председатель Подкомитета ТПП РФ по лизингу

Помимо разработки сайтов компания «Телемарк Ай Ти» занимается поисковым продвижением и рекламой наших продуктов и услуг, увеличивая количество наших клиентов.
Я рекомендую эту компанию всем и надеюсь на дальнейшее и продолжительное плодотворное сотрудничество.

Иван Ж.

Управляющий партнер компании «Дачный Альянс»

Сайт продолжает занимать лидерские позиции в нашем профессиональном интернет-сообществе, при этом его дизайн и техническая часть находятся в полном соответствии с теми высокими требованиями, которые предъявляются к лидерам.

Филипп Л.

Специалист по оперативной лапароскопии в гинекологии г. Москва

Выражаю благодарность за разработку исключительного сайта. Особо хочу отметить техническую реализацию: безупречно работает сложный фильтр по 20+ параметрам (площадь, участок, инфраструктура), который динамически формирует посадочные страницы под запрос клиента.

Анастасия Д.

(Отзыв на ЯндексКартах)

Если у Вас есть проект

или вы хотите задать нам какие-нибудь вопросы

Напишите нам: