Не дадим РКН шансов: 16 технических шагов по защите персональных данных после 30 мая 2025

С 30 мая 2025 года вступают в силу новые нормы, усиливающие ответственность за работу с персональными данными: штрафы до 18 млн ₽ и блокировки сайтов. Если вы до сих пор используете старые формы, чекбоксы и сторонние скрипты без проработки согласий и безопасности — рискуете сотнями тысяч, а то и миллионами. В этой статье — 16 универсальных и технически подробных шагов, которые выведут ваши рассылки, обзвоны и лид-магниты в полную законность.

Кто под ударом

Риск фактически для любого сайта:

• Формы заявок. Заполняете формы — значит, обрабатываете ПД.
• Сторонние сервисы. Google Analytics, YouTube, Telegram-виджеты — передача данных за рубеж.
• Нет баннера о cookie. Отсутствие уведомления — штраф.
• Не подано уведомление в РКН. Тоже штраф.
• Реквизиты спрятаны в футере. Неполная информация об операторе ПД — ещё один штраф.

Что мы делаем для своих клиентов

Maximus Media — не просто студия, которая «делает сайты». Как партнёр Битрикс24 мы ежедневно работаем с ПД клиентов и отлично знаем все процессы их сбора и обработки в бизнесе.

Сейчас мы проводим тотальный аудит сайтов и внедряем требования Роскомнадзора: отвечаем за результат, а не «сдали проект и забыли».

Под ключ мы:

1. Актуализируем и согласуем политику обработки ПД — юридически корректно и с реальными целями.
2. Обновим все формы: добавим чек-боксы согласия, оформим тексты по закону.
3. Найдём и отключим иностранные скрипты (Google, Meta, YouTube, Telegram), заменив их российскими аналогами или настроив локальную загрузку.
4. Настроим pop-up-баннер о cookie с блокировкой до согласия пользователя.
5. Проверим отображение реквизитов, контактов и сведений об операторе ПД.
6. Подскажем, как уведомить Роскомнадзор.

Стоимость: от 15 000 до 30 000 ₽ — в зависимости от объёма и сложности сайта.

Почему мы в это вовлечены

Мы строим долгосрочные отношения с клиентами: на сопровождении более 40 активных компаний (сайты, реклама, SEO) и не можем допустить, чтобы кто-то пострадал из-за технической мелочи.

Большинство предпринимателей не вникает в юридические тонкости, и мы их понимаем. Поэтому берём всё на себя — от аудита до внедрения. Вы продолжаете работать спокойно, не опасаясь проверок и блокировок.

Кому стоит проверить сайт в первую очередь

• Сайты с любой формой обратной связи.
• Сайты с YouTube-роликами, картами Google или Telegram-виджетами.
• Ресурсы, созданные до 2024 года — почти все не соответствуют новым требованиям.
• Сайты-шаблоны и конструкторы — чаще всего вовсе не адаптированы.

Пошаговая инструкция

1. Провести технический и организационный аудит

Что делать:

• Инвентаризируйте все каналы сбора ПД: веб-формы, CRM, сторонние API, мобильные приложения.
• Составьте «карту данных» — граф потоков данных от формы до хранилища и бэкап-системы.
• Оцените реальные сценарии использования данных и сопоставьте их с целями, заявленными в политике.

Зачем: аудит выявит «тёмные зоны» — неучтённые трекеры, не задокументированные интеграции, устаревшие скрипты, через которые могут утека­ть данные.

2. Обновить и опубликовать политику обработки ПД

Что делать:

• Составьте «Политику в отношении обработки персональных данных» с чётким перечислением целей (ст. 6 ФЗ-152), категорий обрабатываемых данных и сроков хранения.
• Проверьте, чтобы фактические процессы совпадали с описанными в документе (исключите общие формулировки «для маркетинга»).
• Разместите политику в footer сайта и обеспечьте её доступность по прямой ссылке (п. 2 ст. 18.1 ФЗ-152).

<footer><a href="/privacy-policy" target="_blank" rel="noopener">Политика конфиденциальности</a></footer>

3. Создать и вести реестр обработки ПД

Что делать:

• Оформите реестр в виде таблицы: категории субъектов, виды данных, цели, правовые основания, сроки хранения, методы уничтожения и ответственные лица.
• Храните реестр в зашифрованном хранилище с версионированием (см. требования к локальным актам в ст. 18.1 ФЗ-152).

Зачем: реестр — обязательная основа для оценки рисков и подтверждения соответствия при проверках.

Используйте готовый шаблон (CSV/Excel) со столбцами:

subject_category,data_category,purpose,legal_basis,storage_period,storage_location,responsible

Для каждой записи указывайте:

• категорию субъекта (клиенты, подписчики, сотрудники),
• конкретные поля (email, телефон, IP),
• цели и основания (согласие, договор),
• сроки хранения (в днях/годах),
• место хранения (ЦОД, сервер),
• ответственное лицо.

Храните реестр в зашифрованном хранилище (например, в BitLocker или LUKS-томе) с версионированием.

4. Процедуры согласия: от фронта до бэка

• Фронт: каждый чекбокс — собственное поле, без pre-checked «галочек».
• Валидация: JavaScript/HTML5 не пропускает отправку без true.
• Бэкенд: в базе сохранять метку времени, IP и текст формулировки, на которую согласился пользователь.

Примеры кода и готовые шаблоны

Чтобы вы не начинали всё «с нуля», ниже — практические фрагменты и шаблоны, которые можно сразу адаптировать под свой сайт или внутренние процедуры.

Фронт-энд: для каждого типа согласия (ПД, маркетинг) используйте отдельный <input type=»checkbox»> с required.

Бэкенд: сохраняйте вместе с лидом JSON-поле consents, пример структуры:

{
“personal_data”: {“given”: true, “timestamp”: “…”, “ip”: “…”, “text”: “…”},
“marketing”: {“given”: true, “timestamp”: “…”, “ip”: “…”, “text”: “…”}
}

Отзыв согласия: создайте endpoint /revoke-consent, который по ссылке из письма позволит пользователю отозвать конкретное согласие.

Что здесь важно:

• Два отдельных поля consent_personal и consent_marketing.
• Атрибутrequired не даёт отправить форму без явного клика.
• Ссылку на политику оформляем как <a>, открывающую PDF или страницу документа.

5. Cookie-баннер с категоризацией и блокировкой

• CMP (Consent Management Platform): e.g. open-source решения или платные (OneTrust, Cookiebot).
• Категории: обязательные, функциональные, аналитические, маркетинговые.
• Техблокировка: через window.dataLayer и gtag(‘consent’, ‘update’,…) или кастомный запрет вставки <script> до разрешения.
• Реализуйте логическую загрузку скриптов:

CMP.on(‘consentGiven’, (category) => {
if (category===’analytics’) loadScript(‘ga.js’);
if (category===’marketing’) loadScript(‘fb-pixel.js’);

6. Отключение нежелательных внешних скриптов

Что делать:

1. Google Tag Assistant (Chrome-расширение):
   • Установите расширение Google Tag Assistant Legacy.
   • Перейдите на страницы сайта и активируйте запись сеанса. Расширение покажет все обнаруженные теги (GA, GTM, YouTube, Facebook Pixel и др.) и их статусы.
2. Lighthouse Audit (встроенный в DevTools):
   • Откройте DevTools (F12) → вкладка Lighthouse.
   • В настройках аудита включите категорию Privacy → запустите проверку.
   • Раздел “Third-Party Usage” покажет скрипты, влияющие на приватность и скорость, и укажет точные URL и инициативные точки загрузки Patterns.

Зачем:

• Выявить вендорские скрипты, которые автоматически загружают и передают ПД.
• Получить список «кандидатов» для отложенной загрузки или полной замены.

Блокировка загрузки до «marketing»-согласия

Что делать:

• Интеграция с CMP (Consent Management Platform):
• Выберите CMP (например, open-source klaro.js или коммерческие Cookiebot/OneTrust).
• Настройте категорию marketing и убедитесь, что ни один маркетинговый скрипт не подгружается без её активации.

Google Tag Manager (опционально):

• В GTM для каждого тега в Advanced Settings → Consent Settings укажите, что тег активируется только при наличии marketing-согласия.

Зачем:

• Перенос загрузки всех аналитических и медиатегов под явное управление согласием пользователя.
• Исключить автоматическую передачу ПД до момента, когда пользователь дал разрешение.

Альтернатива сторонним трекерам: Matomo на своём сервере

Что делать:

Установка Matomo On-Premise:

• Скачайте Matomo с официального сайта и разверните на российском сервере (Debian/Ubuntu):

wget https://builds.matomo.org/matomo.zip
unzip matomo.zip -d /var/www/matomo
chown -R www-data:www-data /var/www/matomo

Создайте базу данных MySQL/MariaDB (рекомендуется MySQL 8+ или MariaDB) и подключите её в файле config/config.ini.php.

Настройка JavaScript-трекера:

• После установки скопируйте код трекера:

var _paq = window._paq = window._paq || [];
_paq.push([‘trackPageView’]);
_paq.push([‘enableLinkTracking’]);
(function() {
var u=”//analytics.yourdomain.ru/”;
_paq.push([‘setTrackerUrl’, u+’matomo.php’]);
_paq.push([‘setSiteId’, ‘1’]);
var d=document, g=d.createElement(‘script’), s=d.getElementsByTagName(‘script’)[0];
g.async=true; g.src=u+’matomo.js’; s.parentNode.insertBefore(g,s);
})();

• Оберните загрузку точно так же через CMP-callback, чтобы _paq-трекер подгружался только при согласии категории analytics или marketing.

1. Преимущества Matomo:
   • Полный контроль над данными: всё хранится на ваших серверах, соответствие локализации ФЗ-152.
   • Отсутствие «бэкдора» третьих сторон и возможность донастройки безопасности и приватности.

Зачем:

• Избежать рисков, связанных с международными аналитическими сервисами (Google, Facebook и др.).
• Сохранить детальную аналитику без компромиссов по защите ПД.

Следуя этим трём шагам, вы полностью возьмёте под контроль загрузку всех сторонних скриптов, сведёте к нулю «автоматическое» их исполнение и предотвратите несанкционированную передачу персональных данных.

7. Двухфакторная аутентификация для админов

• TOTP: Google Authenticator, Authy.
• U2F-ключи: для топ-менеджеров, максимальная защита.
• Политика паролей: минимум 12 символов, спецсимволы, регулярная ротация раз в 90 дней.

8. Шифрование данных и каналов связи

• TLS 1.2+: сертификаты от Let’s Encrypt или коммерческих CA, HSTS, отключение слабых шифров.
• БД-шифрование: Transparent Data Encryption (TDE) в PostgreSQL/MySQL или на уровне ОС (LUKS).
• Ключи: хранить в секретном хранилище (HashiCorp Vault, AWS KMS).

9. Локализация баз данных в РФ

• Сервисы: аренда выделенных серверов или VPS в российских ЦОД.
• Контроль: провайдер должен иметь все необходимые сертификаты ФСТЭК.
• VPN-каналы: для соединения офисов через российские точки обмена трафиком.

10. Договоры с подрядчиками и суб-подрядчиками

• Процессор: каждый хостинг, подрядчик по email-рассылкам и кол-центру.
• Пункты: цели, сроки, ответственность, меры безопасности (п. 19.2–19.3 ФЗ-152).
• Контроль: годовой аудит подрядчиков, подтверждение соответствия.

11. Инструменты управления доступом (RBAC/ABAC)

• RBAC: роли «администратор», «маркетолог», «техподдержка» с чёткими разрешениями.
• ABAC: контроль по атрибутам (время доступа, IP офиса).
• Логи: сохранять все авторизации и операции CRUD над записями ПД.

12. Алгоритмы работы с запросами субъектов

• Шаблоны: уведомление о предоставлении копии, запрос на удаление и блокировку.
• Верификация: двухфакторная проверка личности по закрытым признакам.
• Автоматизация: интеграция с CRM/Helpdesk, SLA не более 30 дней.

13. Мониторинг, логирование и SIEM-системы

• Логирование: системные, прикладные, сетевые логи — минимум 90 дней.
• SIEM: ELK/Graylog/QRadar для корреляции событий и выявления подозрительных действий.
• Аналитика: предупреждения при аномальной активности, утечке или brute-force.

14. Инцидент-менеджмент и уведомления

• План реагирования: определение критичности, этапы расследования, коммуникации.
• Уведомления: РКН и субъекты данных — в течение 72 часов с момента обнаружения.
• Шаблоны: письма, пресс-релизы, внутренняя рассылка.

Шаблон уведомления в Роскомнадзор

В Роскомнадзор
От: ООО “Ваша Компания”
ИНН 1234567890, ОГРН 1091234567890
Адрес: 123456, г. Москва, ул. Примерная, д. 1
Уведомление о начале обработки персональных данных
Мы, ООО “Ваша Компания”, уведомляем о начале обработки
персональных данных следующих категорий субъектов:
– посетители сайта https://example.ru;
– клиенты, оставившие заявки через формы обратной связи;
– подписчики рассылки.
Перечень обрабатываемых данных: ФИО, e-mail, телефон, IP-адрес.
Цели обработки: выполнение договора, маркетинговые коммуникации.
Способ обработки: автоматизированная обработка средствами CRM.
Местонахождение баз: ЦОД “Название” (г. Москва).
Ответственное лицо: Иванов И.И., +7 (123) 456-78-90, email@example.ru.
Дата начала обработки: 30 мая 2025 г.
Приложение: копия политики конфиденциальности.

15. Обучение и внутренние проверки

• Регулярность: тренинги раз в полгода, онлайн-курсы по GDPR и ФЗ-152.
• Тестирование: фишинговые рассылки, «red team»-упражнения.
• Отчёты: акты проверок, планы корректирующих мер.

16. Интеграция в DevOps-процесс

• CI/CD-пайплайн: статический анализ кода (SAST), проверка отсутствия «жёстко прописанных» токенов.
• IaC-аудит: Terraform/Ansible проверяются на утечки секретов (тулзы типа tfsec).
• Контейнеры: сканирование образов (Clair, Trivy) на уязвимости.

Время идёт

У вас всего несколько недель до массовой автоматической проверки сайтов Роскомнадзором. Предупреждать никто не будет: сначала придёт штраф.

Не уверены в своём сайте? Проверьте его сегодня.

Напишите Елизавете: 📩 @ElizavetaZm_MM — она быстро оценит ваш ресурс и предложит решение.