Гайд для бизнеса: как навести порядок с персональными данными

08.08.2025

17 минут

Гайд для бизнеса: как навести порядок с персональными данными

#лучшие практики

#клиентская база

Содержание

Собираете заявки, проводите вебинары или поставили на сайт форму обратной связи? Рискуете получить штраф от РКН. Как этого избежать — в нашей инструкции.

С 30 мая 2025 года штрафы за нарушения при работе с персональными данными выросли в десятки раз и могут достигать 3% от годового оборота компаний. Уведомление Роскомнадзора теперь не просто формальность, а обязательство с реальными последствиями. Правила существовали давно, новые формы для подачи уведомлений утвердили ещё в 2022 году, но теперь наказывают действительно строго.

Чтобы разобраться в этом вопросе, мы собрали вебинар с топовыми экспертами и по его итогам написали эту статью. В ней разложили всё по полочкам, чтобы уберечь вас от проблем.

Шаг 1. Выяснить, являетесь ли вы оператором ПДн

Если вы собираете, храните или любым другим способом обрабатываете данные своих сотрудников, подрядчиков, поставщиков или клиентов — в глазах закона вы считаетесь оператором ПДн.

Вот несколько надёжных признаков оператора ПДн с точки зрения Роскомнадзора:

в штате есть хотя бы один сотрудник;
клиентские базы с ФИО хранятся в таблице;
для обработки лидов и клиентов используете CRM с большим объёмом данных;
собираете данные на сайтах, в Telegram-ботах, регистрационных формах, мобильных приложениях.

Все, кто имеет дело с чужими персональными данными, обязаны уведомить Роскомнадзор о своём намерении осуществлять обработку ПДн. То есть подать уведомление нужно до начала работы с ПДн. Это касается не только тех, кто собирает эти данные, но также тех, кому поручено их обрабатывать. И статус обработчика здесь неважен. Им может быть физлицо, юрлицо, ИП, самозанятый.

С 1 сентября 2022 года список тех, кто может не уведомлять РКН о намерении осуществлять обработку ПДн, сократился до трёх пунктов и теперь включает тех, кто обрабатывает ПДн:

В государственных информационных системах персональных данных, созданных в целях защиты безопасности государства и общественного порядка.
Исключительно без средств автоматизации.
В случаях, предусмотренных законодательством РФ о транспортной безопасности.

Разберём конкретные примеры из практики, когда человек или компания, имеющие дело с персональными данными, могут не подавать уведомление в Роскомнадзор:

Ситуация 1. Обычный человек, физлицо. В его телефоне 500 контактов — ФИО, номера телефонов, адреса электронной почты и данные о работе физических лиц.

Вывод: пока эти данные остаются внутри смартфона, то есть их не выгружают в электронные базы и не обрабатывают там, РКН уведомлять не нужно.

Ситуация 2. Самозанятый оказывает услуги физлицам без договора. Иногда для оказания услуги достаточно общения с клиентами в «ВКонтакте». Из информации о клиенте — только имя и профиль в «ВКонтакте», которые без указанной геолокации или других данных, позволяющих идентифицировать пользователя, даже не считаются ПДн. Если же в профиле содержится достаточно информации для идентификации клиента, но самозанятый никак не использует, то он не обрабатывает ПДн.

Вывод: если данные клиентов не выгружают из указанной соцсети в файлы или другие электронные базы, то факт автоматизированной обработки отсутствует, а значит, регистрироваться в РКН не нужно.

Ситуация 3. Если в размещённой на сайте форме обратной связи вместо персональных данных человека, например, ФИО спрашивают его должность, название компании и номер телефона — это не считается обработкой ПДн.

Вывод: номер телефона и должность без привязки к имени не относятся к персональным данным.

Больше реальных ситуаций из практики и ответов на вопросы смотрите в записи нашего вебинара «Как избежать оборотных штрафов по 152-ФЗ и не сломать маркетинг».

Шаг 2. Подготовиться к подаче уведомления в РКН

Если на первом шаге вы выясните, что являетесь оператором персональных данных и обязаны уведомить РКН о намерении обрабатывать ПДн, не торопитесь заполнять форму. Чтобы Роскомнадзор принял заявление и добавил вас или вашу компанию в свой реестр операторов, нужно хорошо подготовиться.

Понятно, что все хотят избежать штрафов и быстрее податься. Но лучше всего сначала подготовиться, разработать всю документацию, изучить все бизнес-процессы, провести аудит, а потом уже подавать уведомление.

Ангелина Балакина

Руководитель практики юридической компании Орлова\Ермоленко

Ниже перечислены основные этапы, необходимые для подачи уведомления в Роскомнадзор. Они применимы к малому и среднему бизнесу.

Этап 1. Проанализировать процесс и разработать документацию. Здесь важно определиться: какие ПДн вы обрабатываете и с какими целями. При этом для каждой категории персональных данных придётся перечислять свои цели и способы обработки. Самый простой вариант для начала — составить табличку и разделить на категории все персональные данные, с которыми вы имеете дело, например, ПДн сотрудников, поставщиков, подрядчиков, клиентов.

Этап 2. Выбрать ответственного за обработку ПДн. Теперь пора определить, кто будет отвечать за обработку ПДн, прописать его должностную инструкцию и назначить его приказом. На этом же этапе необходимо определить всех сотрудников, которые будут непосредственно обрабатывать ПДн. А также согласовать Положение о порядке обработки ПДн и их защите, утвердить все формы на получение согласия и так далее.

Этап 3. Упорядочить доступ к персональным данным. Нужно подготовить полный список сотрудников, которые будут заниматься обработкой ПДн, а также — прописать права и обязанности этих сотрудников и обеспечить своевременное обновление такого списка. Затем разграничить доступ к ПДн, назначить ответственных на местах хранения ПДн и обеспечить регистрацию всех действий с ПДн.

Этап 4. Продумать меры по защите персональных данных. На этом этапе необходимо сформировать перечень ПДн с истёкшим сроком хранения для последующего уничтожения. Построить модели угрозы безопасности и разместить политику конфиденциальности на сайте, в мобильном приложении и чат-боте.

Этап 5. Провести мониторинг контроля системы защиты. Утвердите правила доступа к ПДн и разместите на сайте уведомление о сборе файлов cookie. Расставьте галочки об ознакомлении с политикой обработки ПДн и галочки о согласии на обработку ПДн в формах обратной связи.

Этап 6. Заполнить уведомление в РКН. Только на этом этапе, выполнив всю необходимую подготовительную работу, вы готовы подать уведомление. Если вы уже состоите в реестре операторов ПДн, то подавать нужно уведомление об изменении сведений в поданном ранее уведомлении. В противном случае заполните уведомление о первичном входе в этот реестр.

Этап 7. При необходимости подать уведомление о трансграничной передаче. Подавать такое уведомление по форме нужно один раз для каждого отдельного государства, а не для каждой трансграничной передачи в это государство. При этом, как и в случае уведомления о намерении осуществлять обработку ПДн, подавать его нужно до осуществления этой трансграничной передачи.

Все эти этапы универсальны и подойдут практически для любой компании. Тем не менее в вопросе персональных данных лучше не ограничиваться собственными ресурсами, а найти юристов, которые специализируются на ФЗ-152. Они смогут проверить разработанные документы и правильное оформление форм и уведомлений на сайт, в мобильном приложении и Telegram-боте.

Специализация на ФЗ-152 крайне важна, потому что юристы широкого или любого другого профиля могут не увидеть каких-то ошибок, которые познаются только в ходе обширной практики. По этому же принципу мы пригласили в качестве эксперта для нашего вебинара Ангелину Балакину, руководителя практики юридической компании Орлова\Ермоленко.

Шаг 3. Назначить ответственного за обработку ПДн

Ответственного за работу с персональными данными назначает приказом руководитель организации. Это обязательное требование согласно статье 22.1 Закона о персональных данных. Без назначенного ответственного по ПДн компания не сможет подать уведомление в Роскомнадзор.

При этом закон не устанавливает конкретных требований к квалификации ответственного за обработку ПДн. Им может стать любой работник организации.

В небольших компаниях эту роль часто занимает генеральный директор. В среднем бизнесе это может быть руководитель отдела кадров, менеджер по продажам или руководитель IT-отдела. В крупном холдинге, как правило, назначают руководителя отдела обработки ПДн или сотрудника извне, если он работает в специализированной компании по ПДн.

Как правило, компании одновременно работают с разными данными: у отдела кадров — одни, у отдела закупок — другие, а у менеджера по продажам — третьи. Несмотря на это, на момент публикации статьи РКН считает, что в организации может быть только один ответственный за обработку ПДн.

Вот список основных обязанностей ответственного за обработку ПДн:

следить за актуальностью внутренних нормативных документов по персональным данным;
своевременно вносить изменения в локальные акты;
взаимодействовать с Роскомнадзором;
организовывать обучение сотрудников по теме ПДн.

Ответственный за обработку ПДн — это должностное лицо. Его могут привлечь к административной ответственности, если выяснится, что компания нарушает Закон о ПДн.

Шаг 4. Спланировать правильную передачу данных третьим лицам

Компании регулярно передают персональные данные третьим лицам — например, при аутсорсинге, использовании облачных сервисов или работе с банками. Чтобы такая передача была законной, нужно правильно оформить поручение на обработку ПДн.

Поручение можно оформить разными способами:

отдельным договором поручения;
в виде условия в основном договоре;
через дополнительное соглашение или приложение;
через иное соглашение, не противоречащее закону.

Форма поручения не важна. Главное, чтобы документ соответствовал требованиям статьи 19 Закона о персональных данных. Там указано, какую именно информацию должно содержать поручение.

Чек-лист поручения оператора ПДн

Перечень ПДн.
Перечень действий (операций) с ПДн, которые будет совершать лицо, осуществляющее обработку ПДн, цели их обработки.
Обязанность такого лица соблюдать конфиденциальность ПДн.
Требования, предусмотренные Законом о персональных данных (ст. 18.1 Закона, в частности, назначение ответственного за организацию обработки ПДн, опубликование политики по обработке ПДн).
Обязанность по запросу оператора ПДн в течение срока действия поручения оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных Законом о ПДн.
Обязанность обеспечивать безопасность ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии со ст. 19 Закона о ПДн, в том числе требование об уведомлении оператора об инцидентах в области ПДн.

Если поручение оформлено неправильно или вовсе отсутствует, компанию могут привлечь к административной ответственности за нарушение порядка обработки персональных данных.

Шаг 5. Устранить нарушения ФЗ-152 на сайте, в Telegram-боте или мобильном приложении

Сайт компании — один из основных каналов сбора персональных данных потенциальных и действующих клиентов. Обычно для этого используют формы обратной связи, личные кабинеты, возможность оформления онлайн-заказов и инструменты отслеживания поведения пользователей. Помимо сайтов, компании часто собирают данные через Telegram-ботов и собственные мобильные приложения.

Независимо от выбранного канала и способа, обрабатывать ПДн нужно в соответствии с ФЗ-152. Для этого обязательно разместить на сайте, в приложении или Telegram-боте следующие документы: политику обработки персональных данных и, если применимо, политику обработки cookie-файлов и cookie-баннер.

Политика обработки персональных данных — это не пустая формальность. Текст необходимо написать простым и понятным для пользователя языком — без лишней терминологии и двусмысленных формулировок. А ещё критически важно указать в документе все цели обработки.

Размещать политику обработки ПДн нужно на отдельной странице. А во все регистрационные формы на сайте следует добавить отдельный пункт с «галочкой» об ознакомлении пользователей с политикой обработки ПДн компании.

Политику обработки файлов cookie нужно разместить на сайте, если он использует этот тип файлов для аналитики и рекламы. Можно оформить как отдельный документ или как часть общей политики обработки персональных данных. Помимо самой политики, на сайте необходимо разместить cookie-баннер. Это важный элемент, который позволяет информировать пользователя о сборе данных и получить его согласие на обработку конкретных типов файлов cookie.

Слева — в баннере подробно прописано, для чего на сайте собирают файлы cookie. Справа просто уведомляют о факте их использования с расплывчатой формулировкой «для удобства пользователя»

Шаг 6. Обновить форму согласия на обработку ПДн

Общее правило для всех форм согласия на обработку ПДн — оно должно быть добровольным: если галочки в форме проставлены заранее — согласие не считается полученным. Кроме того, оно должно быть конкретным, информирующим, сознательным, однозначным и предметным.

Когда и как получить согласие на бумаге. Оно требуется при приёме работника, при обработке специальной категории или биометрических данных. При этом по закону на каждую цель обработки ПДн нужно получить своё отдельное согласие, а при приёме на работу цели могут включать в себя и проверку службой безопасности, и оформление ДМС, и командировки, и многое другое.

Если указать все эти цели в одном документе и получить одну подпись от сотрудника на всё и сразу, то согласие могут счесть недействительным. Поэтому часто для каждой цели предусматривают отдельный бокс с подписью внутри документа.

Кроме того, пока что сохраняется практика включать текст согласия в трудовой договор. Но с 1 сентября 2025 года вступают в силу поправки в Часть 1 Статьи 9 Закона о персональных данных о том, что согласие обязательно нужно оформлять отдельным документом. Это тоже важно предусмотреть.

Когда и как получить согласие на сайте. Как правило, согласие на обработку персональных данных требуется, когда на сайте компании клиент:

оставляет контактную информацию для обратной связи в целях получения услуг/товаров;
заполняет регистрационную форму на участие в мероприятии (например, ФИО, должность, организация, контактный телефон, свой email);
оставляет свои данные для получения рекламной или информационной рассылки;
оставляет свои данные в форме обратной связи;
оставляет свои персональные данные для регистрации в программе лояльности.

Форма согласия должна содержать не только галочку, но и ссылку, по которой можно перейти и ознакомиться с полным текстом согласия. Тогда у посетителя сайта будет возможность внимательно изучить, на что именно он соглашается. Примеры корректных формулировок для форм согласия и всплывающих баннеров можно посмотреть в записи вебинара.

Требования к согласию на обработку ПДн

Должно содержать цель обработки персональных данных. Закон запрещает собирать избыточные данные, ненужные для цели, заявленной в согласии.
Согласие не будет считаться свободным, если галочка в чекбоксе проставлена за пользователя, а также когда одно согласие получается для нескольких самостоятельных целей (например, для принятия участия в мероприятии и для получения рекламной рассылки).
Нельзя собирать согласия на обработку неограниченного перечня данных. Список собираемых ПДн должен быть чётко определён.
Согласие должно содержать информацию о компании, целях обработки данных, субъектах ПДн, сроке, на который даётся согласие, а также включать перечень данных, которые будут обрабатываться, и иную информацию.

За 2023–2024 годы выявлено пять основных нарушений на сайте, связанных с ПДн. Вот они:

В форме отсутствует пункт о согласии на обработку данных.
Галочка в чекбоксе на согласие проставлена заранее.
На сайте нет политики обработки ПДн.
На сайт установлены метрические программы (например, Яндекс Метрика), но не предусмотрен сбор согласия на обработку ПДн.
Несанкционированная трансграничная передача данных через сервис Google Analytics.

Шаг 7. Подать уведомление в Роскомнадзор

У компаний, которые подают в РКН уведомление о намерении осуществлять обработку персональных данных, как правило, возникают одни и те же вопросы:

в каком формате предоставлять информацию;
какую форму выбрать;
каким способом подавать;
когда подавать и куда.

На момент публикации статьи Роскомнадзор утвердил три формы подачи уведомлений: о намерении осуществлять обработку ПДн, об изменении сведений, содержащихся в уведомлении, и о прекращении обработки ПДн.

Форму о намерении осуществлять обработку ПДн необходимо подавать до начала обработки. Её стоит выбрать, если до этого вы не подавались в РКН как оператор. Форма об изменении нужна, чтобы сообщать в Роскомнадзор об изменениях в обработке ПДн в вашей компании, если вы уже состоите в реестре операторов ПДн. И, как можно догадаться из названия, форму о прекращении подают, если планируют прекратить работу с ПДн.

Заполнять эти формы несложно — достаточно отметить нужные галочки. При этом здесь также предусмотрены дополнительные поля, куда можно вручную дописать необходимую информацию.

В форме уведомления РКН для каждой цели обработки ПДн нужно отметить свои категории персональных данных

При первичной подаче уведомления необходимо указать: какие данные вы собираетесь обрабатывать, что будете с ними делать, как планируете хранить. Подробный перечень информации, которую необходимо включить в уведомление, закреплён в ч. 3 ст. 22 Закона о ПДн.

Полный перечень сведений для подачи уведомления о намерении начать обрабатывать ПДн:

Наименование, ОГРН, ИНН/ФИО, адрес оператора, email и др.
Цель обработки ПДн. Если целей несколько, то для каждой цели указываются: категории, категории субъектов, правовое основание обработки, перечень действий с ПДн, способы обработки.
Описание мер, предусмотренных ст. 18.1 и 19 Закона о ПДн.
Наименование/ФИО лица, ответственного за обработку ПДн, номер его телефона, почтовый адрес и email.
Дата начала обработки ПДн.
Срок или условие прекращения обработки ПДн.
Сведения о наличии или об отсутствии трансграничной передачи ПДн.
Сведения о месте нахождения базы данных информации, содержащей ПДн граждан РФ.
Сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством РФ.
ФИО физлица / наименование юрлица, имеющих доступ и (или) осуществляющих на основании договора обработку ПДн, содержащихся в государственных и муниципальных информационных системах.

Перед подачей уведомления проверьте заполненную форму на предмет самых распространённых ошибок:

отражены не все цели,
цели указаны обобщённо,
неполный перечень категорий ПДН,
избыточные сведения,
неверная дата начала обработки,
расхождение данных в уведомлении и в локальных актах.

Подавать форму уведомления можно в бумажном или электронном виде. Для бумажного варианта форму нужно заполнить на сайте РКН, распечатать и направить в управление Роскомнадзора по месту регистрации оператора.

Второй вариант — сформировать уведомление и направить в электронном виде с использованием УКЭП либо с использованием аутентификации ЕСИА. При этом если оператором является организация, то учётная запись на Госуслугах должна быть привязана к этой организации.

Если уведомление подано правильно, то через 30 дней после его подачи ищите себя в реестре операторов ПДн.

За правильной подачей уведомления стоит большая подготовительная работа. Но оно того стоит, ведь штрафы за нарушение Закона о ПДн выросли в десятки раз. При этом срок давности привлечения к административной ответственности увеличен до 1 года (ч. 1 ст. 4.5 КоАП РФ). А есть не только административная, но и другие виды ответственности, в том числе уголовная. Подробнее об этом поговорили на вебинаре.

Информация, которой мы поделились на вебинаре, подготовлена на основании актуального регулирования. Тем не менее ежедневно появляются новые разъяснения и практика. Это означает, что бизнесу, маркетологам и юристам нужно продолжать держать руку на пульсе и следить за всеми изменениями.

Ангелина Балакина

Руководитель практики юридической компании Орлова\Ермоленко

Чек-лист по работе с ПДн для маркетологов

В этом блоке коротко — всё, что нужно знать маркетологу о работе с персональными данными. Простые советы, которые помогут соблюсти закон.

Не путайте ФЗ-152 и Закон о рекламе. Первый требует от вас получить согласие пользователя на обработку его персональных данных. А второй — взять согласие на получение маркетинговых материалов. Это две разных цели и два разных согласия. Поэтому в формах сбора необходимо предусмотреть два отдельных чекбокса под каждое согласие.

Упростите себе и клиенту процедуру отзыва согласия. По правилам Роскомнадзора отзыв согласия должен происходить так же легко и теми же каналами, как его собрали. Если собираете согласие на сайте, то дайте пользователю возможность отзывать его на сайте.

Удаляйте из базы давно ушедших клиентов. РКН не уточняет конкретные сроки «давно ушедших». Но если клиент купил что-то два года назад и с тех пор не сделал ни одного заказа и не взаимодействовал с коммуникациями компании, а вы продолжаете хранить его ПДн — скорее всего, РКН это сочтёт нарушением.

Откажитесь от лишних сервисов. Когда разные персональные данные клиентов разбросаны по нескольким инструментам, например: в CRM, CMS, мобильном приложении, реферальной программе, сквозной аналитике и так далее, то за ними сложнее уследить. Решением может стать надёжная российская CDP Sendsay, которая позволяет объединить в одном месте все данные о клиенте, полученные из разных каналов. Так собранную информацию можно использовать более эффективно, а в случае отзыва согласия на обработку ПДн — сразу удалить все данные о клиенте, не боясь, что они сохранятся в одном из этих сервисов.

Тщательно выбирайте подрядчиков. Проверяйте их на наличие аттестата соответствия ФЗ-152 с уровнем секретности К2, сертификата проверки хранения ПДн от профильных ассоциаций, например, «Ассоциации компаний по защите и хранению ПДн», ищите их в реестре российского ПО. И не забывайте уточнить репутацию этого подрядчика на рынке.

Сокращайте человеческий фактор. Случается, что сотрудники сливают информацию из-за обиды на работодателя или корыстных побуждений. Но зачастую это происходит просто по ошибке. Бороться с этим помогают регулярные обучения по работе с ПДн, разграничение прав доступа, подписание с сотрудниками договоров о неразглашении (NDA) и использование маскировки данных.

Откажитесь от серых баз. К ним относятся базы, переданные партнёрами, базы с информацией, дополненной без согласия клиентов, например, через специальные сервисы. В том числе серыми считаются контакты, полученные из открытых источников, так как человек не давал на это согласия.

Дорожная карта подготовки к обработке ПДн

1. Провести аудит процессов обработки персональных данных. Его следует повторять раз в три года, чтобы обеспечить актуальность этих процессов и поданной в РКН информации.

2. Определить и внедрить надлежащие основания обработки данных.

3. Обеспечить обработку биометрических ПДн и специальных категорий ПДн надлежащим образом.

4. Оформить поручения обработки ПДн или договоры с третьими лицами.

5. Сформировать уведомления о начале (внесении изменений в реестр) обработки персональных данных.

6. Внедрить базовые меры защиты информации.

7. Осуществить проверку сайта: опубликовать на сайте компании Политику обработки ПДн, разместить на сайте всплывающее окно для получения согласия пользователей на сбор файлов cookie (если применимо).

8. При сборе ПДн обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.

9. Внедрить точки контроля, позволяющие поддерживать надлежащий уровень соблюдения закона.

10. На регулярной основе проводить обучение для работников компании в области ПДн в качестве эффективной меры по профилактике утечек.