Как соблюсти все требования РКН к метрикам и формам на сайтах?

Вы уже оператор персональных данных. Что с этим делать?

Если у вас есть сайт, и на нём установлена Яндекс.Метрика, поздравляем: вы уже оператор персональных данных. А значит, обязаны уведомить об этом Роскомнадзор. Причём независимо от того, собираете ли вы формы, подписки или просто отслеживаете поведение пользователей.

Для компаний, у которых есть сайт, CRM и чат-бот, требования становятся ещё жёстче: с 30 мая 2025 года за нарушения в сфере персональных данных грозит штраф до 300 000 ₽. Чтобы его избежать, нужно привести свои цифровые продукты в соответствие с законом.

Основные требования Роскомнадзора к сайтам

1. Уведомление РКН

Если вы обрабатываете персональные данные (а вы почти наверняка обрабатываете), вы обязаны уведомить об этом Роскомнадзор. Даже если вы просто поставили Яндекс.Метрику.

Как уведомить Роскомнадзор?

1. Заполните уведомление об обработке персональных данных через портал Роскомнадзора (pd.rkn.gov.ru).
2. Укажите, какие категории данных вы обрабатываете и в каких целях.
3. Назначьте ответственное лицо за работу с персональными данными.
4. Укажите используемые средства защиты.
5. Отправьте уведомление и дождитесь включения в реестр.

2. Политика конфиденциальности

На сайте должна быть размещена актуальная политика конфиденциальности. В ней нужно подробно описать:

• Какие данные собираются. Например: ФИО, email, номер телефона, IP-адрес, cookie, история посещений.
• Цель обработки. Например: для связи с пользователем, выполнения договора, анализа поведения на сайте.
• Правовое основание. Указывается, на каком основании данные обрабатываются (например, согласие пользователя).
• Срок хранения данных. Нужно указать, как долго вы храните персональные данные и когда удаляете.
• Кто обрабатывает данные. Указать компанию и ответственного за обработку ПДн.
• Передаются ли данные третьим лицам. В том числе – об использовании подрядчиков, сервисов аналитики, CRM, хостинга и пр.
• Трансграничная передача данных. Указать, передаются ли данные за пределы РФ (например, при использовании зарубежных сервисов).
• Права пользователя. Право на отзыв согласия, на запрос информации о своих данных, на их удаление, исправление и пр.
• Контакты. Адрес и e-mail для связи по вопросам персональных данных.

Политика должна быть доступна с любой страницы сайта и легко читаема. Недопустимо прятать её в футере без возможности быстро найти.

3. Локализация данных

Все персональные данные российских граждан должны обрабатываться и храниться на территории РФ. Если вы используете зарубежные сервисы — возможна трансграничная передача данных, о которой также нужно уведомить РКН.

4. Безопасность данных

Обеспечьте защиту данных от несанкционированного доступа. Это может включать шифрование, двухфакторную аутентификацию для админов, безопасный протокол HTTPS и регулярные аудиты.

5. Согласие на обработку

Перед сбором персональных данных вы обязаны получить у пользователя явное и осознанное согласие. Это касается любых форм на сайте, включая заявки, обратную связь и подписки на рассылку. Сотрудники вашей компании должны подписать согласие на обработку ПДн вместе с трудовым договором.

6. Ответственный сотрудник за обработку ПДн

Внутри компании нужно официально назначить ответственного за соблюдение требований закона о персональных данных. Это должно быть зафиксировано документально.

7. Уведомление об использовании Cookie и согласие на них

Сегодня мало просто разместить баннер о cookie. Необходимо давать пользователю возможность выбора: принимать все, только необходимые или отказаться. Это тоже относится к защите персональных данных.

---

Если не хотите разбираться во всех тонкостях — поручите эту задачу специалистам. Подготовить пакет документов и отправить уведомление в РКН вы должны сделать самостоятельно или с помощью юриста. А мы можем провести аудит вашего сайта, и привести его в соответствие с последними техниескими и правовыми требованиями.

| 2Dit