На официальном портале правовой информации появился приказ Минцифры от 2 июня 2025 г. № 511. Он устанавливает дополнительные требования к официальным сайтам российских организаций, работающих в сфере информационных технологий, желающим получить государственную аккредитацию. Согласно документу, сайт должен содержать следующую информацию: полное название организации, адрес компании, ИНН, основной код ОКВЭД, электронный адрес (если есть), телефон (если есть), коды видов деятельности в области ИТ, описание товаров, работ и услуг, которые компания предлагает, достоверную информацию о стоимости товаров, услуг или работ, информацию о языке программирования, а также информацию, позволяющую идентифицировать указанную программу в реестре российского ПО, включая способы предоставления прав использования такой программы.

Представитель пресс-службы Министерства цифрового развития, связи и массовых коммуникаций РФ (Минцифры) сообщил корреспонденту ComNews, что требование об отсутствии необходимости регистрации пользователей или предоставлении личных данных на сайте ИТ-компаний направлено на обеспечение свободного доступа пользователей к информации о деятельности таких компаний. Соответствие требованиям будет проверяться при рассмотрении поступающих заявлений на получение ИТ-аккредитации, а также в рамках подтверждения ИТ-аккредитации в 2026 г.", - подчеркнул представитель Минцифры.

Партнер юридической фирмы Lidings Дмитрий Кириллов отметил, что фактически регулятор хочет видеть на сайте ИТ-компании сведения, описывающие бизнес такой компании в сфере информационных технологий: "Этот набор сведений, по сути, выступает первичным идентификатором ИТ-компании в публичном интернет-пространстве. При этом приказ Минцифры требует, чтобы официальный сайт ИТ-компании функционировал круглосуточно и обеспечивал свободный доступ к содержащимся на нем документам и информации без необходимости регистрации или предоставления персональных данных".

Дмитрий Кириллов рассуждает: "С одной стороны, такой режим позволяет сайту выступать витриной ИТ-компании, в том числе для контроля за соблюдением правил ИТ-аккредитации, с другой - соответствует взятому государством курсу на сохранение цифровой неприкосновенности пользователей интернета от незаконного сбора персональных данных и холодных рекламных звонков. Этот курс выражается, в частности, в существенном повышении штрафов за нарушение законодательства о персональных данных и во введенной в 2024 г. административной ответственности за нарушение требований к рекламе по сетям электросвязи – за это подразделения ФАС России в этом году начали активно штрафовать любителей рекламных обзвонов".

Генеральный директор ООО "Нетрика Медицина" Игорь Башков сообщил, что на официальном сайте компании вся информация, необходимая для ознакомления с нашей деятельностью, продуктами, услугами и технологиями, находится в открытом доступе и не требует регистрации или предоставления каких-либо данных.

Он пояснил, что регистрация или указание контактных данных требуются исключительно в случаях целевого взаимодействия, когда пользователь инициирует запрос на получение персонализированной услуги. К таким случаям относятся:

- Запрос персональной демонстрации программного обеспечения.
- Оформление обращения в службу технической поддержки.
- Подача заявки на коммерческое предложение.

Игорь Башков отметил, что данная практика является отраслевым стандартом, который обеспечивает качественное и адресное обслуживание клиентов, а также защиту конфиденциальной информации. "Все операции с персональными данными осуществляются строго в соответствии с законодательством РФ № 152-ФЗ, исключительно с согласия субъекта и в рамках достижения заранее определенных и законных целей", - сказал он.

Руководитель продуктового направления ООО "Некстби" Евгений Сурков поведал, что ИТ-компании могут собирать данные в рамках политики "знай пользователя", для того чтобы формировать первичный список заинтересованных контактов, препятствовать доступу конкурентов к данным о важных свойствах продуктов: "Избыточный сбор пользовательских данных может быть направлен также на снижение нагрузки на персонал через отсеивание "праздно интересующихся". В целом за сбором идентифицирующих персональных данных стоит желание лучше контролировать входящий поток заказчиков и иметь возможность оказывать большее влияние на принятие ими решения о покупке".

https://www.comnews.ru/digital-economy/content/241730/2025-10-13/2025-w42/1016/granica-zamke-osobennosti-raboty-personalnymi-dannymi-rossii

Юрист веб-интегратора "Факт" Аделаида Сажнева рассказала про случаи, когда ИТ-компании могут необоснованно собирать персональные данные и требовать регистрации пользователей:

1) Избыточность собираемых данных
Если для обычной регистрации на сервисе достаточно минимального набора данных (например, адреса электронной почты и имени пользователя), то требование предоставления дополнительных сведений, таких как паспортные данные или адрес регистрации, может быть признано избыточным. Это нарушает принцип минимизации данных, согласно которому обрабатываются только те персональные данные, которые отвечают целям их обработки и не являются избыточными.

2) Принудительный сбор биометрических данных
Требование предоставления биометрических персональных данных (например, видеоизображения лица для верификации) как условия восстановления доступа к аккаунту является незаконным. Федеральный закон № 572-ФЗ запрещает принудительный сбор биометрических персональных данных.

3) Отсутствие явного согласия на обработку данных и рассылки
Для законного сбора персональных данных и отправки рассылок необходимо получить явное согласие пользователя. Это может быть реализовано через чекбокс (элемент пользовательского интерфейса, который позволяет пользователю выбрать один или несколько вариантов из предложенного списка) с четкой формулировкой, ссылкой на пользовательское соглашение. Отсутствие такого согласия или его некорректное оформление может привести к административной ответственности.

4) Неправомерное использование персональных данных
Использование персональных данных без разрешения (согласия) владельца, например, при создании аккаунта в социальной сети без его ведома, влечет за собой различные виды юридической ответственности, включая административную и гражданско-правовую.

5) Отказ в предоставлении услуг из-за непредоставления избыточных персональных данных
Продавец (исполнитель, агрегатор) не вправе отказывать потребителю в заключении, исполнении, изменении или расторжении договора в связи с отказом потребителя предоставить персональные данные, если обязанность предоставления таких данных не предусмотрена законодательством или не связана непосредственно с исполнением договора.

Руководитель практики правовых исследований и взаимодействия с органами государственной власти (GR) юридической компании "Инноправо" Сергей Афанасьев рассказал, что как для него, как для юриста, доказывание невиновности ИТ-компании в суде по делам, связанным с утечкой или необоснованным сбором персональных данных, крайне затруднено, и это подтверждается как законодательством, так и текущей судебной практикой: Это связано с тем, что бремя доказывания лежит полностью на операторе (ч.3 ст.9 Закона №152-ФЗ) - именно он обязан доказать, что получил согласие субъекта на обработку либо обработка осуществлялась на иных законных основаниях (например, для исполнения договора). Суды последовательно применяют это правило: достаточно того, что данные были собраны и (или) произошла утечка у конкретной компании - тогда компания должна подтвердить законность обработки документально".

https://www.comnews.ru/content/240525/2025-08-05/2025-w32/1008/roskomnadzor-oglasil-trebovaniya-k-obezlichivaniyu-personalnykh-dannykh