Ужесточение «штрафных санкций» с 30 мая 2025

или: Что «хорошего» и «нового» Роскомнадзор преподнесет владельцам сайтов с 30-го мая 2025 года

Когда в РФ звучит слово «санкции» воображение ассоциативно рисует козни «недружественных стран» и иную бяку из мира, где для РФ «все враги». Однако, санкции и неоспоримый вред гражданам этой страны несут, как правило, свои «родные» властители в лице «партии и правительства». В этой статье именно про них, про очередные «вкусняшки» от Роскомнадзора и законотворителей «для нашего блага», на деле — на очевидный вред. О чем речь?..

В последние месяцы, поводом для повышенного спроса на обсуждение темы про «защиту персональных данных пользователей Интернет» являет очередная редакция пресловутого Закона № 152-ФЗ «О персональных данных». А еще более конкретно, в ст. 13.11 КоАП РФ вводится 8 новых составов административных правонарушений, новые драконовские штрафные санкции за несоблюдение законодательства о персональных данных + штраф за отсутствие регистрации в Роскомнадзоре.

Обсуждать сам закон в этом материале не будем, закон «не молод» и «о нём всё сказано». Свое личное отношение я высказал в 2017-м году в статье Политика конфиденциальности для сайтов. Отношение было и осталось резко негативным (мягко говоря), но нет смысла повторять доводы о бесполезности (и/или вредности) этого «продукта» законотворительства законотворителей. Термин «вредительство» имеет однозначный корень: вред. Иной трактовки этот «документ» не заслуживает.

Вебмастерам и владельцам сайтов «закон» уже принёс — много проблем и прямых убытков, пользователям Сети — ничего, Рокомнадзору (и его хозяевам) — деньги в виде штрафов и поборов. Так что «кому это выгодно?» — вопрос риторический.

Поскольку перемен в этой стране (к лучшему) не предвидится, то имеет смысл обсудить «мартышкин труд» мероприятий по «минимизации рисков» на своих веб-проектах. Авось обойдется?.. Блажен, кто верует.

Просмотрев достаточно много мнений и заметок недавнего времени на предмет профилактических мер минимизации рисков «стихийного бедствия», отметил несколько «тонких моментов», на которые стоит обратить внимание при реализации «требований» т. н. закона на своих сайтах (реализация которых и корректирование — неизбежны).

Обозначим/напомним, для начала, основные «исходные данные» для документальных правок, их цели и задачи.

Основная задача: «не попасть» на штраф за обработку персональных данных без уведомления от Роскомнадзора владельцу любого/каждого интернет-ресурса (сайта), который находится «под ударом» (потенциально, но с высокой степенью вероятности).

Владелец сайта (физлицо, самозанятый, ип, юрлицо) — оператор персональных данных.

— Как так, «оператор»?

— А так, элементарно, оператор Ватсон. Если на вашем проекте имеют место быть:

• форма обратной связи;
• форма регистрации пользователя и его личный кабинет;
• сервис обратного звонка;
• сервисы CRM и иные чаты, онлайн-консультанты;
• форма подписки;
• возможность заполнить анкету, бриф, пр.;
• возможность купить товар или заказать услугу;
• есть возможность оставлять комментарии и отзывы;
• сбор, хранение и обработка cookie посетителей;
• использование иностранных сервисов для сбора и обработки пользовательской информации (например, Google Forms, Google Analytics);
• «другое» с функционалом отправки на сервер (свой или сторонний) любой персональной информации (например, Яндекс Метрика).

Физическое или юридическое лицо, владеющее современным сайтом, априори, оператор персональных данных. Поскольку у сайта есть посетители, то они (активно или пассивно) взаимодействуют с веб-проектом, оставляя (вольно или невольно) свои персональные данные, «визитные карточки». Как минимум cookie.

В 90% случаев, «следы» взаимодействия посетителя с сайтом, эти самые пресловутые «персональные данные» (в виде одноразовый email + вымышленный логин), не нужны никому (даже владельцу сайта, не говоря уж про злоумышленников).

Тем не менее, вы — оператор персональных данных и обязаны уведомить про этот свой «почетный статус» Роскомнадзор.

О «нужности» этого мероприятия (тем паче о «целесообразности») — сказано выше. Но, прав всегда тот, у кого больше прав. А право сильного, в данной ситуации, у РКН, так что спорить не о чем/бесполезно.

Рекомендации по необходимым к представлению в РКН данным/материалам

Много чего необходимо для удовлетворения «вкусовых сосочков» РКН, обозначим основные.

Теоретически, минимально-необходимое было сделано вебмастерами давно, сразу после принятия пресловутой статьи 13.11 КоАП РФ в далеком (уже) годе 2017. Штрафы были уже тогда, как и возможности блокировки «строптивых». Но, как ныне говорится, «есть нюансы». На любом веб-проекте, «согласно регламента», стоило (тогда или сейчас) реализовать/опубликовать:

• Политика обработки персональных данных. Она же: Политика конфиденциальности (надеюсь, что это одно и тоже?Но это не точно.).
  Этот документ требуется размещать на сайте на основании статьи 18.1 ФЗ-152 «О персональных данных». Оформить Политику лучше всего на базе рекомендаций Роскомнадзора по оформлению политики (Приказ № 996 от 17.07.2020).
  Перечень необходимых к указанию данных длинный (в примере по ссылке выше можно подсмотреть). Это, например, какие персональные данные (далее по тексту ПД) собирает сайт, как и зачем использует ПД, как хранит и обрабатывает, кому ПД передает и зачем (например, в Яндекс Метрику), пр. и др.
  Не очевидные нюансы:
  • Нужно указать ответственное лицо за обработку ПД (ФИО), т. е. данные фактического владельца сайта (владетель сайта физлицо-одиночка — указывает себя, любимого) или назначенного ответственного (для юрлица). Оператор ПД — это физическое или юридическое лицо, которое собирает, обрабатывает или хранит персональные данные. Не сайт является оператором ПД, оператор — конкретный персонаж, человек.
  • Необходимо указать сведения о местонахождении — адрес фактического/физического нахождения сервера (компьютера), где хранятся базы данных информации, содержащей ПД граждан РФ, пользователей сайта. Это место называется: Центр обработки данных и адрес оного сообщается в Роскомнадзор (при отправки заявки на регистрацию в реестре). Это «место» — обычное помещение, где стоит обычный компьютер (сервер в дата-центре вашего хостера). Указание его адреса обязательно. Узнать местоположение/адрес сервера можно путем запроса хостеру.
    Хранение ПД должно быть строго на территории РФ, если Ваш провайдер в Бельгии — это проблема (потому что реализуется трансграничная передача данных и соблюдение правил хранения ПД под сомнением, данные уходят в другую страну без контроля Роскомнадзора).
    Ошибочно думать, что Центр обработки данных — это место, где самозанятый или ИП (например) осуществляют свою деятельность, это мифология.
  • При конкретизации аспекта Трансграничная передача персональных данных стоит задуматься и сделать выводы относительно иностранных сервисов (например, Google, который не имеет серверов В РФ и, соответственно, ПД хранятся вне РФ). Есть и иные «подводные камни», например, в отношении ПД из соцсетей, запрещенных или нежелательных в РФ.
    — А что это у вас на сайте делает гугловская капча?.. А почему это сайт использует шрифты, «подтягивая» их с импортных серверов?.. А почему у вас такое странное название cms — Joomla (ModX, Wordpress, Drupal)?..А с чьих серверов «качается» обновление скриптов сайта?..
    
    «О сколько нам открытий чудных...»
    Готовит в мае РПН.
    Ведь штрафов-блокировок толпы —
    Вполне законный беспредел.
• Соглашение на обработку персональных данных. Оно же: Согласие на обработку персональных данных.
  Согласие на обработку ПД на сайте требуется на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
  Опять-таки, образец Соглашения (без претензий на истину в последней инстанции) по ссылке выше с базовым содержимым.
  Согласие должно быть:
  • информированным (пользователь понимает, какие данные и для чего собираются);
  • конкретным (четко указаны цели обработки ПД);
  • сознательным (нельзя получить посетителя согласие обманным/не очевидным путем);
  • документально оформленным (в электронном виде).
• Политика обработки cookie. Пример по ссылке (все примеры материалов по ссылкам корректируются, исправляются и дополняются. Разумеется, все сайты — разные и «под копирку» материалы копипастить не стоит. Буквально: себе дороже выйдет. По-возможности, юристы вам в помощь, камрады по несчастью.) Что есть cookie подробнее прояснять не станем. Упомянем, однако, что: Cookie, которые позволяют идентифицировать пользователя (включая аналитические, такие как IP-адрес ), считаются ПД и требуют явного согласия пользователя. Особенно это касается случаев передачи данных третьим лицам, «упертым», как Google.
  В Политике обработки cookie имеет смысл указать ссылки на Политику в отношении ПД и Согласие в отношении ПД.
• Уведомление об использовании на сайте cookie, их хранением/обработкой, с получением однозначного/активного соласия пользователя с этим условием.
  
  Пользователь должен обязательно нажать кнопку «Принять» или отказаться от дальнейшего пользования сайтом (т. е. просто покинуть страницу/сайт). Согласие пользователя необходимо однократно при первом посещение веб-проекта и в дальнейшем не показывается. В теории, посетитель может перенастроить свой браузер в нужный ему режим перед выдачей своего «одобрямса» (на скриншоте этого сайта при нажатии на кнопку «Отклонить» посетитель попадет на страницу, которая cookie не принимает, не хранит и не обрабатывает. Это прикол, от непонимания смыслов «танцев с бубном».). Кнопки (Принять/Отклонить) должны быть одного размера и цвета, дабы не оказывать влияния на осознанный выбор пользователя(Жаль, что сарказм не отменяет необходимости творить маразм и тратить на процесс маразмоварения свое время).
• В каждой форме, которую пользователь отправляет с сайта должна быть кнопка «ознакомления и согласия» с Политикой конфиденциальности и Соглашением об обработке персональных данных.
  
  Согласие должно быть явным и сознательным: пользователь должен нажать на кнопку/поставить «галочку» — сам-сам, по своей воле и собственоручно (а не по-умолчанию). Обязательно — нажать. «Галка» не должна быть проставлена заранее, а форма для заполнения должна содержать обязательный элемент проставление чекбокса. Без нее кнопка не должна нажиматься. Нет «галочки» — нет отправления, однозначный алгоритм процесса.
  Подобным образом «согласие» необходимо получить в каждой форме (обратная связь, комментарий, регистрация на сайте, отзыв, покупка, пр.) перед ее отправкой на сервер.
• Сайт не должен нарушать требования к трансграничной передаче данных. Необходимо провести технический аудит своего сайта: в коде могут быть «потерянные хвосты» от google и/или иные «пасхальные яйца» импортных сервисов с доступом к ПД, о которых вы даже не подозреваете/не контролируете, но алгоритм инспекции Роскомнадзора может увидеть, трактовать по своему усмотрению и «принять меры» (блокировать сайт или/и оштрафовать владельца).
  Не факт, что поможет. РКН пояснял (например), что cloudflare нарушает российское законодательство, потому что технология Encrypted Client Hello используется для обхода блокировок. И?..
  Вся инфраструктура для сбора, хранения и обработки ПД должна размещаться в РФ.
  Этот аспект — «тонкий лёд», однозначных и четко прописанных рекомендаций/указаний — нет: «милый мой хороший догадайся сам». Проще всего: окончательно/однозначно закрыть сайт и покинуть Рунет, как место исключительно токсичное. Но, мы же любим «помучиться»? конечно. Тогда продолжим.
  А тем временем, Роскомнадзор теперь (помимо регистрации и документации) проверяет сайты на нарушения (прописанные выше) посредством ИИ и алгоритмов автоматизированной системы «Ревизор» (которые ведомы ему одному). Она отслеживает местоположение серверов и анализирует трафик.
• Организация защиты ПД на сайте. Например, надежные пароли, антивирусы, ограничения доступа, резервные копии. Обязательный протокол https, сертификаты SSL, пр.
• Подать уведомление в Роскомнадзор. В котором необходимо указать информацию, как минимум:
  • Какие ПД собираем? (например, ФИО, телефон, email, адрес, пр. и др.).
  • Зачем собираем ПД? (оформление заказов/заявок, маркетинг/статистика, иное).
  • Как обрабатываем , что «делаем» с ПД? (хранение, передача, использование).
  • Сколько храним ПД? (сроки обработки).
  • Есть ли передача ПД за границу? (например, через иностранные сервисы).
  
  После получения уведомления Роскомнадзор в течение 30 дней вносит сведения об операторе ПД в реестр.
  Уведомление Роскомнадзора об обработке персональных данных является обязательным. Не предоставление данных в Роскомнадзор грозит большими штрафами, с чем я вас/себя и поздравляю.

На этом и закончим стенания и нытьё. Засучим рукав?.. Вам решать.

Cтатья не претендует на юридически «шибко грамотную» истину в последней инстанции, выражает только личное мнение и опыты автора. Однако, с перечислением резонов и мотивов, причин и следствий. И возможных последствий.

Надеюсь у Роскомнадзора не хватит сил/средств/времени (хоть чего-то, помимо здравого смысла, чего нет — того не будет) окончательно угробить Рунет в погоне за сверходоходами своекорыстия. Однако, есть у него стремление к реализации — «чем хуже — тем лучше» и это печально. Кому — хуже, а кому — лучше следует из вышеизложенного, однозначно и очевидно. Будем пытаться выживать, за неимением альтернативы. Новые требования людоедов начнут действовать с 30 мая.

Оставьте свой комментарий, при желании. Вопросы, если возникнут, задавайте, при наличии времени/возможности/свободы — ответимУдачи!