Заявка

Что изменилось в законе об обработке персональных данных: необходимо знать SEO-командам и ecom

• 18  мин.

30 мая 2025 года вступили в силу изменения в законодательстве о персональных данных. Это касается всех, кто работает с клиентской или пользовательской информацией. Изменения вызвали большой резонанс среди digital-команд, особенно в e-commerce и SEO-направлениях.

SEOWORK пригласил юристов из компании Runetlex обсудить ключевые нововведения, риски для бизнеса и практические шаги по соблюдению требований. Что изменилось в законодательстве? Какие риски появились? Что делать, если вы не успели выполнить требования вовремя? Читайте ниже.

Зачем вообще понадобились изменения

Толчком к законодательным изменениям послужили крупные утечки данных, вызвавшие общественный резонанс. Государство решило действовать простым, но эффективным способом — увеличить штрафы и усилить контроль.

Что изменилось?

  • Увеличение штрафов: Теперь штрафы за нарушения стали кратно выше, особенно за утечки данных. Например, штрафы могут достигать 6 млн рублей за несоблюдение локализации данных.
  • Появились оборотные штрафы, как в случае с алкогольной продукцией.
  • Добавлена уголовная ответственность — пока она не применялась, но статья 272.1 уже появилась в УК РФ.
  • Новые обязанности: Компании должны уведомлять Роскомнадзор о начале обработки данных, размещать политики конфиденциальности на сайтах, получать согласия пользователей на обработку их данных.
  • Технологический контроль: Роскомнадзор использует автоматические системы для проверки сайтов на наличие нарушений, таких как отсутствие куки-баннеров или использование запрещённых сервисов (например, Google Analytics).

Как понять, попадает ли ваш бизнес в зону риска?

Риски попасть под горячую руку Роскомнадзора зависят от:

  • Чувствительности обрабатываемых данных: биометрия, медицинская информация, паспортные данные.
  • Массивности базы данных: объём базы и информации.
  • Заметности бизнеса: например, у популярных интернет-магазинов и брендов вероятность попасть под проверку в первую очередь — выше.

Оцените эти 3 фактора. К примеру, 4 ситуации:

  1. У вас рекрутинговое агентство, а значит высокий риск из-за чувствительных данных резюме (ФИО, телефон, почта и др – ниже в статье будет чёткое определение персональных данных).
  2. Если у вас интернет-магазин, то многое зависит от типа (B2B или B2C) и используемой инфраструктуры. Часто сайты онлайн-магазинов обрабатывают адреса, платёжные данные и контакты клиентов – это чувствительная информация.
  3. Маркетплейсы и банки имеют большие объёмы данных, и критичность их утечек высока. Соответственно, их Роскомнадзор будет тщательно проверять.
  4. Если же вы фрилансер — риск минимален, при условии, что нет автоматизированной обработки ПД (CRM, сайт и тд). Например, для SEO-специалиста без автоматизированных клиентских записей вне чатов Telegram риски минимальны.

 

Нужно ли подавать уведомление, если вы опоздали?

Да. Несмотря на просрочку, подача уведомления, даже с опозданием, снижает риск штрафа. Роскомнадзор заинтересован не в том, чтобы всех наказать, а в том, чтобы вы появились в их реестре.

Однако важно:

  • Не указывать недостоверные данные.
  • Понимать, что любые противоречия между вашими действиями и поданным уведомлением могут привести к штрафу.

Как устранить нарушения и стать «пушистыми»

Что считается персональными данными?

Персональные данные — это не только ФИО и паспортные данные, но и любая информация, позволяющая идентифицировать человека:

  • ФИО + контакты (телефон, email)
  • Номер телефона в сочетании с другими данными (один номер без доп. информации не всегда считается персональными данными, но практика может измениться).
  • История заказов в интернет-магазине.
  • Cookie и IP-адреса пользователей сайта.

Как Роскомнадзор выявляет нарушения

  1. РКН сканирует сайты на наличие запрещённых или неподтвержденных аналитических сервисов.
  2. Обрабатывает жалобы пользователей.
  3. Сопоставляет поданные вами данные с публичной информацией (учредители, сайт и т.д.).

Как устранить нарушения: пошаговый чек-лист

Начинаем с Фронтенда – всё, что видно снаружи

  • Разместите на сайте:

 политику,

 куки-баннер,

 чек-боксы и согласия там, где они необходимы.

  • Обеспечьте прием и обработку обращений субъектов.
  • Решите вопрос с Google Analytics – удалите счётчик или уведомите о трансграничной передаче, если она есть.
  • Подайте или обновите уведомление РКН.

В случае, если вы фрилансер или самозанятый, подавать уведомление в РКН нужно только если вы:

  • Используете автоматизированные системы (сайт, CRM).
  • Обрабатываете данные клиентов в электронном виде.

Если вы как фрилансер работаете только через WhatsApp или бумажные записи, уведомление не требуется.

 

Как правильно оформлять формы сбора данных на сайте? Юристы из Runetlex подготовили для вас инструкцию

Подробнее про оформление форм

 

Переходим к Бэкенду – внутренним процессам

  • Назначьте ответственного за обработку персональных данных.
  • Утвердите в компании локальные акты:

о порядке обработки ПД

инструкции о предотвращении и выявлении нарушений

  • Храните данные на территории РФ (если есть такая возможность).
  • Заключайте договоры с клиентами о передаче/поручении

Нужно ли заключать договор с подрядчиком, если он обрабатывает персональные данные?

Да. Это называется договор поручения на обработку персональных данных. Его нужно заключать с:

  • CRM-системами;

  • бухгалтерией;

  • маркетинговыми агентствами;

  • любыми подрядчиками, получающими доступ к ПД.

Что снижает риски и смягчает наказание

  • наличие ежегодных аудитов
  • документальные подтверждения трат на информационную безопасность.
  • отсутствие других нарушений
  • своевременное устранение претензий

Всё это поможет избежать серьёзных обвинений со стороны Роскомнадзора.

Трансграничная передача данных — как быть с Google Analytics и Яндекс Метрикой

Большинство зарубежных сервисов (Google Analytics, Trello, Jira и др) попадают под трансграничную передачу данных. Что важно предпринять, чтобы оставаться в законе:

  • Локализация данных. Первичное хранение данных должно происходить на серверах в России.
  • Уведомление Роскомнадзора. Если данные передаются за границу, компания обязана уведомить регулятора. Для стран без адекватной защиты данных (например, США) требуется дополнительное подтверждение.

Учитывайте риски – использование Google Analytics без локализации может привести к штрафу до 6 млн рублей

Самые заметные риски для РКН:

  • Google Analytics и пиксели Facebook — эти сервисы легко обнаруживаются в коде сайта.

  • Использование Google Forms, если в них собираются персональные данные, также сканируются в первых рядах.

Что делать:

  • Удалить сервисы или подать уведомление о трансграничной передаче.

  • Перенести бэкенд на российские сервера — особенно для чувствительных данных.

 

Подробнее о трансграничной передаче читайте в статье Рунетлекс

Читать в блоге Runetlex

 

Что делать с Google Analytics и Яндекс.Метрикой

Использование Яндекс.Метрики полностью удовлетворяет требованиям законодательства РФ.

Google Analytics нарушает требования локализации — данные должны сначала оседать в РФ. Всякие промежуточные «хитрости» вроде задержки загрузки не решают проблему, если данные уходят напрямую за границу

Что делать с Google Analytics:

  • Если вы не можете полностью отказаться от GA, удалите его следы из кода сайта и готовьтесь к запросу от Роскомнадзора.
  • Если продолжаете использовать, подавайте уведомление о трансграничной передаче. Но имейте в виду, что это не отменяет возможного нарушения по локализации. Штраф за нелокализацию (до 6 млн рублей) возможен, даже если уведомление подано. Пока Роскомнадзор редко штрафует за это, но риски остаются.
  • «Поставить на паузу» тоже недостаточно — данные всё равно могут утекать. Самый надёжный способ – удалить сервис из кода сайта.

Можно ли соблюсти требования локализации, если данные собираются Яндекс.Метрикой и Google Analytics одновременно?

Нет. Требование локализации — сначала данные должны попасть на российский сервер, а затем — передаваться за рубеж. Просто параллельная сборка GA и Метрикой не решает проблему.

 

Подробнее о правилах локализации читайте в статье Рунетлекса

Читать в блоге Runetlex

 

Чем грозит использование Google Tag Manager и Search Console?

  • Google Tag Manager — передаёт данные за рубеж и подход к нему аналогичен GA. Если он интегрирован с сервисами, которые собирают персональные данные (например, Google Analytics), это может считаться нарушением. Рекомендуется проверить настройки и при необходимости уведомить Роскомнадзор.

  • Search Console — не обрабатывает персональные данные, поэтому его использование не нарушает закон.

Что делать, если данные хранятся на зарубежных серверах (Trello, Google Docs)?

  1. Подать уведомление о трансграничной передаче.
  2. По возможности перенести данные на российские серверы.

А если вы не можете отказаться от зарубежных сервисов, тогда:

  • Скройте все внешние проявления (боты, пиксели, ссылки на сервисы).

  • Удалите следы GA с сайта.

  • Не показывайте трансграничную передачу в уведомлении.

  • Будьте готовы оперативно ответить Роскомнадзору при запросе.

Как правильно использовать WhatsApp или Telegram на сайте?

Если пользователь первый обращается к вам в мессенджере — это не трансграничная передача, так как данные обрабатывает сам мессенджер.

Если для коммуникаций вы используете Telegram-бот, то важно проверить, где хранятся данные.

  • Если в РФ — всё в порядке.
  • Если за границей — нужно уведомлять о трансграничной передаче и учитывать риски локализации.

Попадает ли WhatsApp или Telegram под трансграничную передачу?

Если пользователь сам инициирует общение — нет. Если вы используете ботов и храните данные на зарубежных серверах — да.

Я получаю от пользователей только номера телефонов — это персональные данные?

В одиночку номер телефона может считаться не ПД, но если он используется с другими данными (IP, куки, имя) — это уже точно персональные данные.

Заключение

Последние изменения затрагивают практически все digital-компании, включая e-commerce команды. Даже если компания не успела подать уведомление вовремя – сделайте это сейчас, чтобы снизить риски попасть на штраф от Роскомнадзора. Главное — оценить свои процессы, устранить явные нарушения и следить за обновлениями законодательства.

* * *

Отдельным списком оставили ссылки на полезные материалы:

 

card image

SEO-отчетность в 2 клика для себя и заказчика: как это делается при помощи BI-систем

• 8  мин.

card image

Как и куда расти в e-commerce? Кейс «Детского мира»

• 12  мин.

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами.