Если раньше можно было «спрятать» согласие в пользовательском соглашении, то теперь за это можно получить штраф. Разбираем на простом языке, какие правила обработки персональных данных действуют сейчас и как навести порядок на сайте без бюрократии и паники.
Кому важно обновить формы и политику
Под особый контроль Роскомнадзора попали интернет-магазины, сайты с личными кабинетами, сервисы рассылок и аналитики. Даже форма с именем и телефоном теперь считается обработкой персональных данных.
Что считается персональными данными
Любая информация, позволяющая определить человека: имя, телефон, адрес, паспорт, IP-адрес, cookie, поведение на сайте, а также чувствительные категории — биометрия, сведения о здоровье, дети.
Главное изменение: согласие как отдельный документ
Раньше бизнес мог включать согласие в пользовательское соглашение или договор. Теперь требуется отдельный документ с чёткой структурой и понятным текстом. Для каждой цели обработки — заказ, рассылка, звонки — нужно собственное согласие.
Как изменились правила обработки персональных данных
| Было | Стало |
| Обезличивание данных проводилось формально или вообще не описывалось в документах | Введён обязательный регламент: прописаны методы, назначен ответственный, ведётся журнал учёта операций |
| Пользователь не имел возможности самостоятельно отозвать согласие | На сайте должна быть форма или адрес e-mail, через который можно отозвать согласие в любой момент |
| Cookie-уведомления выглядели формально — в виде короткой надписи внизу страницы | Cookie-баннер теперь обязан предоставлять выбор: принять, отклонить или настроить использование файлов |
| Факт согласия не фиксировался: не сохранялись IP, дата и источник | Каждое согласие подлежит регистрации — фиксируются IP-адрес, дата, время, страница и текст согласия |
| Одна галочка использовалась сразу для всех целей: заказа, звонков и рассылки | Для каждой цели требуется отдельное согласие — пользователь выбирает, с чем именно он согласен |
| Согласие часто «прятали» в пользовательском соглашении или договоре | С 2025 года оно должно быть оформлено отдельным документом с понятной структурой и реквизитами компании |
Что теперь обязательно должно быть в согласии
Документ должен содержать данные пользователя, сведения об операторе, цели обработки, перечень собираемых данных, третьих лиц, действия с данными, способы обработки, срок и порядок отзыва, подпись или электронную фиксацию.
Электронное согласие: фиксация факта обязательна
Онлайн-согласие приравнивается к бумажному, если компания может доказать факт получения. Необходимо сохранять IP, дату, время и текст согласия, использовать double opt-in для рассылок, а чекбоксы должны быть пустыми по умолчанию.
Передача обезличенных данных в ГИС Минцифры
Операторы обязаны передавать обезличенные наборы данных в систему Минцифры. Биометрия и чувствительные категории не включаются, обработка разрешена только в защищённом контуре.
Внутренние регламенты и безопасность
Компании должны документировать процесс обработки и обезличивания данных, назначить ответственного и вести журнал учёта операций.
Категории риска и проверки
Роскомнадзор делит компании на категории А, Б и В по числу записей в базах данных. Даже небольшие сайты теперь под контролем, проверки проходят чаще.
Как адаптировать сайт
Разделяйте согласия по целям, не используйте галочки по умолчанию, размещайте ссылку на политику, добавляйте cookie-баннер с выбором, обеспечьте возможность отзыва согласия и фиксируйте все действия.
Что это значит для владельцев сайтов
Новые правила делают персональные данные не формальностью, а частью доверия между бизнесом и пользователем. Компании, которые уже обновили формы и документы, работают спокойно. Остальным стоит поторопиться — проверки уже начались.
