Официальный партнер портала klerk.ru по работе с персональными данными
  • 8 (800) 301-76-89 Бесплатно по России
  • с 9:00-19:00 пн-пт
    График работы
8 (800) 301-76-89

Бесплатно по России

8 (939) 113-88-45

Бесплатно по России

info@roskom.online

Почта

Сегодня практически любой бизнес так или иначе работает с персональными данными:

  • Интернет-магазин собирает адреса доставки и телефоны,
  • Кафе ведёт базу лояльности,
  • Компания хранит резюме кандидатов,
  • И даже маленький сайт с формой «Оставить заявку» уже обрабатывает персональные данные.

Вопрос в том, понимаете ли вы, какие данные относятся к персональным, кто несёт ответственность за их обработку и когда ваша компания становится оператором персональных данных?

Этот блок поможет разобраться в базовых понятиях закона № 152-ФЗ «О персональных данных» и применить их к своей реальной практике.

Блок 1/6

🔹 1. Что такое персональные данные

Определение по 152-ФЗ «О персональных данных»:

Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу.

📌 Ключевой критерий — возможность идентифицировать человека.

Примеры персональных данных:

  • Общие: ФИО, дата рождения, паспортные данные, адрес, телефон, e-mail.
  • Иные: IP-адрес, геолокация, история покупок, записи с камер видеонаблюдения.
  • Специальные: сведения о здоровье, национальности, религии, политических взглядах, интимной жизни.
  • Биометрические: отпечатки пальцев, фото, видео, голос, ДНК.
ВАЖНО:
💡 Даже e-mail клиента в вашей рассылке — это уже персональные данные.
Вопросы для самопроверки
Мини-тест по базовым понятиям
✅ Вопрос для самопроверки Можно допустить не более двух ошибок
1. Можно ли считать IP-адрес персональными данными?
2. Являются ли обезличенные данные («30% сотрудников компании — женщины») персональными?
Отличный результат!

Вы можете переходить к следующему блоку.

Есть над чем поработать

Вы допустили несколько ошибок. Можно вернуться к теории или пройти тест ещё раз.

Блок 2/6

🔹 2. Виды персональных данных

Закон выделяет несколько категорий:

  1. Общие — ФИО, сведения об образовании, СНИЛС, дата рождения, информация о месте работе, адрес и тд
  2. Специальные категории — данные о здоровье, расовой принадлежности, религии, политических взглядах, интимной жизни.
  3. Биометрические — уникальные физические и биологические характеристики (фото, отпечатки, голос, ДНК).
  4. Обезличенные и иные — данные, которые уже не позволяют определить конкретного человека.

✅ Мини-задание

Разбейте данные на категории: перетащите карточки в нужную колонку.
Данные:
Паспорт гражданина
Запись разговора по телефону
Статистика «40% клиентов — мужчины»
Информация о прививках сотрудника
Общие
Специальные
Биометрические
Иные (обезличенные)
Блок 3/6

🔹 3. Кто такой оператор персональных данных

Оператор ПДн — это государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных.

Иными словами это организация или индивидуальный предприниматель, которые:

  • определяют цели обработки данных,
  • определяют состав данных,
  • определяют действия с ними.

📌 Простыми словами: если вы собираете, храните, используете или передаёте персональные данные — вы оператор.

Примеры операторов:

  • интернет-магазин с базой клиентов,
  • салон красоты, ведущий запись клиентов,
  • IT-компания, хранящая аккаунты пользователей,
  • Медицинское учреждение, хранящее информацию о пациентах и тд.
  • HR-отдел, собирающий резюме кандидатов.
ВАЖНО:
⚖️ Оператор несёт юридическую ответственность за соблюдение закона.
Вопрос для самопроверки
Мини-тест: оператор персональных данных
✅ Вопросы для самопроверки Ответьте на вопросы, чтобы перейти дальше
1. Кто несёт ответственность за обработку персональных данных: оператор или подрядчик, которому он поручил обработку?
2. Может ли ИП быть оператором персональных данных?
Отличный результат!

Можно двигаться дальше по теме.

Есть над чем поработать

Вы допустили несколько ошибок. Можно вернуться к теории или пройти тест ещё раз.

Блок 4/6

🔹 4. Как понять, обрабатываете ли вы персональные данные

Используйте чек-лист:
  • Вы собираете телефоны, e-mail или соцсети клиентов?
  • У вас есть база сотрудников (личные дела, медкнижки)?
  • Вы используете видеонаблюдение или СКУД?
  • У вас есть сайт с формами заявок или подпиской?
  • Вы проводите маркетинговые кампании и сохраняете историю покупок?
Если хотя бы один ответ «Да» — значит, вы обрабатываете ПДн и являетесь оператором.
✅ Задание

Возьмите свой бизнес/компанию и ответьте на вопросы:

  1. Какие персональные данные вы собираете?
  2. Для чего они вам нужны?
  3. Где и как они хранятся?
Блок 5/6

🔹 5. Примеры из практики

Кейс 1.

Компания продаёт онлайн-курсы и собирает только e-mail для отправки доступов.

➡ Это обработка персональных данных.

Кейс 2.

Кофейня ведёт карту лояльности с именем клиента и количеством покупок.

➡ Это персональные данные.

Кейс 3.

Фирма хранит статистику «50% клиентов — мужчины, 50% — женщины».

➡ Это НЕ персональные данные (нет связи с конкретным человеком).

Блок 6/6

🔹 6. Практические задания

Задание 1.

Определите, обрабатывает ли ваша компания персональные данные.

  • Какие данные о клиентах, сотрудниках или партнёрах вы собираете?
  • Можно ли по этим данным идентифицировать человека?
  • Для чего вы их используете?
Задание 2.

Классифицируйте данные, которые есть в вашей компании (например: телефон сотрудника, запись с камеры, история покупок клиента).

  • К какой категории они относятся (обычные, специальные, биометрические)?
  • Законны ли способы их сбора и хранения?
Итоговый тест по теме «Основы персональных данных»
Итоговый тест по теме «Основы персональных данных»
1. Что такое персональные данные по 152-ФЗ?
2. Будет ли адрес электронной почты персональными данными?
3. К какой категории относятся сведения о национальности?
4. Что относится к биометрическим персональным данным?
5. Что значит «обезличенные данные»?
6. Кто такой оператор персональных данных?
7. Кто является оператором, если компания передала обработку подрядчику?
8. Сайт собирает только имя и телефон через форму. Это персональные данные?
9. Что будет считаться обработкой персональных данных?
10. Является ли IP-адрес персональными данными?
11. Сотрудник HR хранит резюме кандидатов. Это обработка ПДн?
12. Что обязательно должно быть на сайте, если есть форма обратной связи?
13. Какие данные относятся к специальным?
14. Какие данные относятся к общим ПДн?
15. Можно ли использовать обезличенные данные без согласия субъекта?
16. Кофейня хранит имена клиентов и количество покупок. Это ПДн?
17. Является ли статистика «30% сотрудников — женщины» персональными данными?
18. Кто отвечает за законность обработки ПДн в компании?
19. Сайт собирает только обезличенные данные (статистику посещений). Нужно ли согласие?
20. Мини-кейс: компания собирает e-mail клиентов для рассылки. Какие шаги обязательны?
Поздравляем! Вы успешно прошли тест

Итоговый тест по теме «Основы персональных данных» завершён.

Есть над чем поработать

Вы допустили несколько ошибок. Можно вернуться к теории или пройти тест ещё раз.

Обратная связь и консультация

Нужна помощь с персональными данными в вашей компании?

Если после прохождения обучения у вас остались вопросы или вы хотите оценить риски по ПДн в вашей организации, оставьте заявку — специалисты сервиса «Роском Онлайн» помогут:

  • разобраться, какие процессы у вас уже подпадают под закон о ПДн;
  • оценить риски и потенциальные штрафы;
  • подготовить необходимый набор документов и инструкций;
  • настроить сбор согласий и корректную работу форм на сайте.
Задайте вопрос или опишите вашу ситуацию
Мы разберём вашу ситуацию и предложим понятный план действий по персональным данным.
Лонгрид
Обязательно отметьте поля ниже

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, уничтожение, удаление.

Блок 1/4

🔹 1. Основные принципы работы с персональными данными

Перед тем как компания или ИП начнут собирать и хранить данные клиентов, сотрудников или партнёров, важно понимать, по каким принципам строится работа:

  • Законность – обработка персональных данных должна осуществляться согласно требованиям законодательства, с соблюдением прав, свобод человека и гражданина в равной степени на всей территории РФ, а также предполагает недопустимость осуществления тех или иных незаконных действий, операций, незаконной обработки;

  • Справедливость – действия по обработке персональных данных должны учитывать интересы субъектов персональных данных, не допускается нарушение прав, свобод и законных интересов субъекта персональных данных, а также необходимо учитывать количественные и качественные характеристики обрабатываемых персональных данных (например, если ПД были получены в большем объеме, чем необходимо, путем введения лица в заблуждение при даче им согласия, то, несмотря на законность обработки она очевидно несправедлива);

  • Целевая обработка ПДн – данные собираются только для определенных, явных и законных целей и в дальнейшем не должны обрабатываться несовместимым с этими целями способами;

  • Минимизация – обработке подлежат только персональные данные, которые отвечают целям их обработки;

  • Точность, достаточность и актуальность – при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. (например, в некоторых случаях копия паспорта не может обеспечить точность и актуальность персональных данных, в отличии от самого паспорта);

  • Ограничение хранения – хранить данные дольше, чем это необходимо для цели обработки, запрещено;

  • Безопасность (принцип целостности и конфиденциальности персональных данных) – оператор обязан защитить данные от утечек и несанкционированного доступа.
ПРИМЕР:
Если вам необходимо собрать ФИО, e-mail или номер телефона для рассылки новостей, в целях продвижения товаров, работ и услуг, вы не имеете права требовать паспортные данные.

🔹 Мини-задача:

Подумайте, какие данные вы собираете у своих клиентов/сотрудников. Есть ли среди них лишние или избыточные?

Блок 2/4

🔹 2. Документы, которые нужно подготовить до начала обработки

Любая организация или ИП, работающие с ПДн, должны иметь пакет документов, который регулирует работу с данными:

Документ Основание
1 Акт о выявлении нарушений в сфере защиты персональных данных ч. 6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.
2 Акт об уничтожении машинных носителей персональных данных ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.
3 Акт об уничтожении персональных данных п.2 Приказа Роскомнадзора № 179 от 28.10.22 г.
4 Акт определения необходимого уровня защищенности информационной системы персональных данных ч. 9 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.
5 Акт оценки вреда, который может быть причинен субъекту персональных данных ч. 5 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.
6 Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных п. 2 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.; п. 9 Приказа ФСБ РФ № 378 от 10.07.14 г.
7 Журнал сдачи и приема под охрану помещений п. 2 приложения к Постановлению Правительства РФ № 1119, п. 8.12 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 6 Приказа ФСБ РФ № 378 от 10.07.14 г.
8 Журнал учета лиц, допущенных к работе с персональными данными в информационных системах ч. «в» п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12г.; п. 13 Постановления Правительства РФ № 687 от 08.09.08 г.
9 Журнал учета машинных носителей персональных данных ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.
10 Журнал учета мероприятий по контролю выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.
11 Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания АРМ выполнения профилактических работ п. 6 Приказа ФСБ РФ № 378 от 10.07.14 г.
12 Журнал учета обращений субъектов ПДн п. 1 ст. 14 и ч. 3 п. 2 ст. 22.1. ФЗ № 152-ФЗ от 27.07.06 г.
13 Журнал учета процедур резервного копирования 8.5 Приказа ФСТЭК России № 21 от 18.02.13 г.
14 Журнал учета средств защиты информации п. 4 Приказа ФСБ РФ № 378 от 10.07.14 г.
15 Журнал учета прохождения первичного инструктажа работниками, допущенными к работе с персональными данными ч. 6 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.
16 Заявление о предоставлении выписки из реестра операторов Приказ Роскомнадзора № 94 от 30.05.17 г.
17 Инструкция администратора информационной безопасности п. 14 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.
18 Инструкция ответственного за организацию обработки персональных данных ч. 1 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.
19 Инструкция по применению антивирусных средств защиты п. 8.6 Приказа ФСТЭК России № 21 от 18.02.13 г.;
20 Инструкция по работе с машинными носителями, содержащими персональные данные ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.
21 Инструкция по учету лиц, допущенных к работе с персональными данными ч. «в» п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12г.; п. 13 Постановления Правительства РФ № 687 от 08.09.08 г.
22 Инструкция по физической охране и контролю доступа в помещения п. 8.2 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 13 Постановления Правительства РФ № 687 от 08.09.08 г.
23 Инструкция работников, обслуживающих информационные системы персональных данных ч. 2 и 6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.
24 Инструкция по проведению инструктажа работников, допущенных к работе с персональными данными 6 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.
25 Лист ознакомления ст. 22 ТК РФ
26 Матрица доступа к ИСПДн п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.2 Приказа ФСТЭК России № 21 от 18.02.13 г.
27 Обязательство о неразглашении персональных данных работников ст. 7 ФЗ № 152-ФЗ от 27.07.06 г.
28 Отзыв согласия на обработку персональных данных п. 2 ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.
29 Отказ от согласия на обработку персональных данных п. 1 ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.;
30 План контроля выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн п. 3 ст. 18.1 и п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.
31 Политика конфиденциальности персональных данных пользователей сайта ст. 7 и п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.
32 Политика оператора в отношении обработки персональных данных п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.
33 Положение о комиссии по обеспечению безопасности персональных данных п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 Постановления Правительства РФ № 687 от 08.09.08 г.
34 Положение о парольной защите при обработке персональных данных п. 8.1 и 8.11 Приказа ФСТЭК России № 21 от 18.02.13 г.
35 Положение о порядке уничтожения персональных данных ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г., п.2 Приказа Роскомнадзора № 179 от 28.10.22 г.
36 Положение об обработке персональных данных ч. 3 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.
37 Положение об организации видеонаблюдения п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.
38 Положение об ответственности работников, допущенных к обработке персональных данных ст. 90 ТК РФ
39 Правила выявления инцидентов информационной безопасности информационных систем персональных данных п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.
40 Правила оборудования помещений, используемых для обработки персональных данных ч. 8 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.12 Приказа ФСТЭК России № 21 от 18.02.13 г., п. 6 Приказа ФСБ РФ № 378 от 10.07.14 г.
41 Правила оценки вреда, который может быть причинен субъекту персональных данных ч. 5 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.
42 Правила рассмотрения обращений субъектов персональных данных п. 1 ст. 14 и ч. 3 п. 2 ст. 22.1. ФЗ № 152-ФЗ от 27.07.06 г.
43 Приказ о назначении администратора информационной безопасности п. 14 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г.
44 Приказ о назначении ответственного за организацию обработки персональных данных ч. 1 п. 1 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.
45 Приказ о создании комиссии по уничтожению персональных данных ч. 5 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г. п. 8.14 Приказа ФСТЭК России № 21 от 18.02.13 г.; п. 5 Приказа ФСБ РФ № 378 от 10.07.14 г.; п. 13 приложения к Постановлению Правительства РФ № 1119 от 01.11.12 г., п.2 Приказа Роскомнадзора № 179 от 28.10.22 г. ч. 3 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.
46 Приказ об утверждении комиссии по обеспечению безопасности персональных данных п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 Постановления Правительства РФ № 687 от 08.09.08 г.
47 Приказ об утверждении локальных нормативных актов п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.
48 Приказ об утверждении перечня должностей работников, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения трудовых обязанностей п. 1 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.2 Приказа ФСТЭК России № 21 от 18.02.13 г.
49 Приказ об утверждении политики оператора в отношении обработки персональных данных п. 2 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.
50 Приказ об утверждении списка помещений, предназначенных для обработки персональных данных ч. 8 п. 2 ст. 19 ФЗ № 152-ФЗ от 27.07.06 г.; п. 8.12 Приказа ФСТЭК России № 21 от 18.02.13 г., п. 6 Приказа ФСБ РФ № 378 от 10.07.14 г.
51 Протокол заседания комиссии по обеспечению безопасности персональных данных п. 3 ст. 18.1 ФЗ № 152-ФЗ от 27.07.06 г.; п. 2 Постановления Правительства РФ № 687 от 08.09.08 г.
52 Регламент резервного копирования и восстановления информации в ИСПДн 8.5 Приказа ФСТЭК России № 21 от 18.02.13 г.
53 Согласие на обработку персональных данных ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.
54 Согласие на обработку персональных данных несовершеннолетнего ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.
55 Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения ст. 9 и 10.1 ФЗ № 152-ФЗ от 27.07.06 г.
56 Согласие на передачу персональных данных работника третьей стороне ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.
57 Согласие на получение персональных данных от третьих лиц ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.
58 Согласие сотрудника на осуществление видеонаблюдения на рабочем месте ст. 9 ФЗ № 152-ФЗ от 27.07.06 г.
59 Уведомление о намерении осуществлять обработку персональных данных Приказ Роскомнадзора № 180 от 28.10.22
60 Уведомление о прекращении обработки персональных данных Приказ Роскомнадзора № 180 от 28.10.22
61 Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных Приказ Роскомнадзора № 180 от 28.10.22
Блок 3/4

Разберем частые случаи при работе с персональными данными далее:

Блок 3/4

🔹 Приём на работу и увольнение сотрудников

Какие данные обрабатываются:

  • Паспортные данные
  • Трудовая книжка (сведения о трудовой деятельности)
  • СНИЛС, ИНН
  • Документы воинского учёта
  • Данные о семье (для соцгарантий)
  • Банковские реквизиты (для зарплаты)
  • Сведения об образовании (дипломы, сертификаты, подтверждения квалификации)
  • Сведения о состоянии здоровья (медицинские справки, заключения, если требуются по закону)
  • Водительское удостоверение или другие документы, подтверждающие специальное право

Нормы закона

📌 Ст. 65 ТК РФ устанавливает, какие документы работодатель обязан запросить у соискателя до подписания трудового договора:

  • Документ, удостоверяющий личность (паспорт, свидетельство о рождении для несовершеннолетних и др.)
  • СНИЛС (форма АДИ-РЕГ)
  • Документ воинского учёта
  • Документы об образовании и квалификации (диплом, сертификат, справка)
  • Трудовая книжка или сведения о трудовой деятельности (СТД-Р, СТД-СФР)
  • Медицинские заключения, справки или документы, подтверждающие отсутствие ограничений для работы — если работа связана с рисками или требуется по закону
⚠️ Важно:

запрещается требовать документы, не предусмотренные трудовым законодательством. Дополнительные документы можно собирать только при изменении закона.

Какие документы нужны (152-ФЗ + Трудовой кодекс)

  • Политика оператора в отношении обработки персональных данных
  • Приказы о назначении ответственного и перечень лиц, допущенных к обработке ПДн
  • Локальные акты (Положение об обработке и защите ПДн работников)
  • Согласия на обработку ПДн (например, на получение данных от третьих лиц)
  • Журналы учёта, предусмотренные законодательством
  • Порядок уничтожения ПДн + акты об уничтожении

Порядок работы с данными

  1. Работодатель запрашивает только документы, установленные ст. 65 ТК РФ.
  2. Собранные данные используются только для целей трудовых отношений.
  3. Доступ к документам имеют только уполномоченные сотрудники (кадровая служба).
  4. При увольнении сотрудника данные уничтожаются или передаются в архив — согласно требованиям закона.

Пример

Фото сотрудника на сайте компании можно разместить только при наличии отдельного согласия.

Блок 3/4

2. Обработка персональных данных клиентов (например, оставивших контакты на сайте)

Какие данные обычно собираются:

  • ФИО
  • телефон
  • адрес электронной почты
  • адрес доставки (если есть)
  • данные платёжных карт (при онлайн-оплате)

Нормы закона

📌 Ст. 6, 9, 18, 22 ФЗ-152 регулируют работу с данными клиентов.

  • Обработка допускается только с согласия субъекта данных или если это необходимо для исполнения договора (например, доставки товара).
  • Оператор обязан заранее уведомить Роскомнадзор о начале обработки (ст. 22), если не подпадает под исключения.
  • Оператор обязан определить цели, объём и порядок обработки данных (ст. 6, 9, 18).

Какие документы нужны по 152-ФЗ

  • Согласие на обработку персональных данных (электронное — через чекбокс на сайте или бумажное);
  • Документ, определяющий политику оператора в отношении обработки персональных данных (публичный документ, например Политика конфиденциальности, которая размещается на сайте);
  • Приказы о назначении ответственного за обработку персональных данных, а также перечень лиц, допущенных к обработке персональных данных;
  • Локально-нормативные акты, устанавливающие порядок обработки персональных данных работников, способы, сроки их обработки и хранения, а также защиты персональных данных работника от неправомерного их использования или утраты (например, Положение об обработке и защите персональных данных субъектов персональных данных);
  • Журналы учёта;
  • Порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также акты об уничтожении;

Порядок работы с данными

  1. При сборе контактов на сайте:

    • клиент должен ознакомиться с согласием на обработку ПДн с указанием целей и перечня конкретных персональных данных, которые отвечают этим целям (например: в целях подготовки, заключения и исполнения гражданско-правового договора);
    • клиент подтверждает согласие (галочка/подпись).
  2. Все данные заносятся в клиентскую базу (CRM/Excel) с ограниченным доступом.
  3. Доступ к базе получают только сотрудники, которые допущены к обработке в связи с трудовыми обязанностями (менеджеры, маркетинг).
  4. При передаче данных подрядчикам (например, курьерам) заключается договор поручения или оформляется отдельное согласие на передачу персональных данных третьей стороне.
  5. При удалении аккаунта или отписке от рассылки данные уничтожаются (или обезличиваются).
Примеры
Пример 1

Если клиент оставил телефон на сайте для обратного звонка — необходимо поучить согласие.

Пример 2

Если клиент оформляет заказ на доставку — согласие можно не брать отдельно, так как обработка нужна для исполнения договора.

Пример 3

Если вы хотите отправлять рекламные SMS или email-рассылки — нужно отдельное согласие на маркетинговую рассылку.

Мини-задача на закрепление

Компания собирает на сайте: имя, телефон, email и дату рождения для рассылки скидок.

  • Какие документы нужно подготовить?
  • Нужно ли уведомлять Роскомнадзор?
  • Когда клиент имеет право отозвать своё согласие?

Если затрудняетесь с ответом, специалисты сервиса «Роском Онлайн» помогут вам

Дальше — тест на закрепление
материала.
Тест: Документы для работы с персональными данными
✅ Вопросы для самопроверки
Ответьте на вопросы, чтобы перейти дальше
1. Какой документ является публичным и должен быть размещён на сайте компании?
2. Какой документ определяет цели, состав и способы обработки персональных данных внутри организации?
3. Кто и каким образом назначает ответственного за организацию обработки персональных данных?
4. Какой документ подтверждает, что субъект дал согласие на обработку его персональных данных?
5. В каком документе фиксируется порядок реагирования на утечку персональных данных?
6. Что должно быть оформлено при передаче ПДн подрядчику (курьерской службе, бухгалтерии и т.д.)?
7. Какой документ обязательно должен храниться для каждой базы персональных данных?
8. Что закрепляется в должностных инструкциях сотрудников, работающих с ПДн?
9. Что оформляется при приёме нового сотрудника, если он будет работать с ПДн?
10. Какой документ нужно разработать для регламентации технических мер защиты (пароли, резервные копии, антивирус)?
11. Какой документ регламентирует порядок хранения машинных носителей с ПДн?
12. Какой документ необходимо подать в Роскомнадзор до начала обработки ПДн?
13. Какой документ оформляется при уничтожении персональных данных?
14. Какой документ помогает субъекту ПДн узнать, какие его данные обрабатываются?
15. Какие документы входят в базовый пакет для оператора ПДн?
Отличный результат!

Можно двигаться дальше по теме.

Есть над чем поработать

Вы допустили несколько ошибок. Можно вернуться к теории или пройти тест ещё раз.

Обратная связь и консультация

Нужна помощь с персональными данными в вашей компании?

Если после прохождения обучения у вас остались вопросы или вы хотите оценить риски по ПДн в вашей организации, оставьте заявку — специалисты сервиса «Роском Онлайн» помогут:

  • разобраться, какие процессы у вас уже подпадают под закон о ПДн;
  • оценить риски и потенциальные штрафы;
  • подготовить необходимый набор документов и инструкций;
  • настроить сбор согласий и корректную работу форм на сайте.
Задайте вопрос или опишите вашу ситуацию
Мы разберём вашу ситуацию и предложим понятный план действий по персональным данным.
Лонгрид
Обязательно отметьте поля ниже
Блок 1/6

🔹 1. Зачем нужна регистрация в Роскомнадзоре?

Согласно 152-ФЗ, любой оператор персональных данных обязан уведомить Роскомнадзор о начале обработки ПДн. Уведомление не требуется только в трёх исключительных случаях:

  • Обработка данных в государственных информационных системах, созданных для защиты безопасности государства и общественного порядка.
  • Обработка данных исключительно без использования средств автоматизации (т.е. вручную, на бумажных носителях).
  • Обработка в целях обеспечения транспортной безопасности для защиты от актов незаконного вмешательства.

Таким образом, подавляющему большинству компаний, обрабатывающих персональные данные с помощью компьютеров (в информационных системах), уведомлять Роскомнадзор обязательно.

Цель регистрации:

  • обеспечить прозрачность обработки персональных данных;
  • снизить риски штрафов и блокировки сайта;
  • доказать, что оператор соблюдает законодательство.
📌 ПРИМЕР:
Интернет-магазин принимает заявки через сайт. До запуска рекламы и продаж он обязан зарегистрироваться как оператор ПДн.
Блок 2/6

🔹 2. Порядок регистрации в Роскомнадзоре

Шаг 1. Подготовка Политики обработки персональных данных

Политика — главный документ оператора. В ней указывают:

  • цели обработки (например: «для заключения договоров с клиентами»),
  • категории ПДн (ФИО, телефон, email, адрес доставки),
  • способы обработки (сбор через сайт, хранение в CRM, передача курьерской службе),
  • меры безопасности,
  • срок хранения данных,
  • контакты ответственного лица.

📌 Мини-задача: составьте список категорий ПДн, которые вы реально собираете в бизнесе.

Блок 2/6

Шаг 2. Разработка локальных нормативных актов

Количество документов зависит от деятельности и масштаба компании. Обычно это 30–70 документов, включая:

  • приказы о назначении ответственных,
  • регламенты обработки ПДн,
  • журналы учета обращений,
  • договоры с подрядчиками,
  • акты проверок.

Полный список документов вы можете посмотреть на сайте Консалтинг Онлайн.

📌 ПРИМЕР:
Если вы используете подрядчиков для email-рассылки, должен быть договор с ними о защите ПДн.
Блок 2/6

Шаг 3. Подготовка уведомления в Роскомнадзор

Уведомление формируется путем заполнения онлайн-формы на портале Роскомнадзора. При формировании Уведомления, необходимо отразить сведения, содержащиеся в разработанных локально-нормативных актах, так как информация, содержащаяся в Реестре, должна достоверно отражать принципы работы оператора с персональными данными.

Уведомление должно содержать:
  • реквизиты оператора,
  • цели и категории ПДн,
  • способы обработки,
  • меры защиты,
  • сведения о трансграничной передаче (например, использование Google Analytics, WhatsApp),
  • данные о сайте.

Скачать пример уведомления вы можете по ссылкам:

Блок 2/6

Шаг 4. Подача уведомления

Направить в Роскомнадзор сформированное уведомление необходимо в подписанном виде, одним из трех способов:

  1. На бумажном носителе
  2. В электронном виде с использованием усиленной квалифицированной электронной подписи
  3. В электронном виде с использованием средств аутентификации ЕСИА

📌 Мини-задача: найдите официальный сайт Роскомнадзора и изучите форму уведомления.

Блок 2/6

Шаг 5. Поддержание актуальности документов

  • регулярно обновляйте документы;
  • проверяйте, если поменялся сайт, CRM или добавились новые сервисы;
  • храните журналы учета и акты проверок.

Шаг 6. Обучение сотрудников

Каждое подразделение должно знать свои обязанности:

  • HR — как брать согласие у сотрудников,
  • маркетинг — как использовать email и cookies,
  • IT — как обеспечивать защиту,
  • продажи — как работать с клиентской базой.

Шаг 7. Проверка сайта

Роскомнадзор проверяет сайты автоматически (ботами и ИИ). На сайте должны быть:

  • Политика обработки ПДн,
  • Политика конфиденциальности,
  • уведомление о cookie,
  • согласие на сбор данных (чек-боксы) с активной ссылкой на форму согласия на обработку ПДн,
  • информация о трансграничной передаче (при использовании зарубежных сервисов).
📌 ПРИМЕР:
Если у вас форма обратной связи без согласия на обработку ПДн, сайт может быть признан нарушающим требования.
Блок 3/6

🔹 3. Типичные ошибки

Неполное указание категорий ПДн

❌ Указали только «ФИО и телефон», а фактически собираете email и адрес доставки.

Общие формулировки мер защиты

❌ «Применяются стандартные меры безопасности» вместо конкретных: «данные хранятся на сервере в РФ, используется антивирус, резервное копирование».

Игнорирование трансграничной передачи

❌ В уведомлении написано, что иностранные сервисы не используются, но компания подключает Google Analytics.
👉 Штраф может достигать 18 млн руб.

Необновленные документы

❌ Политика не менялась 3 года, хотя компания добавила новые формы и сервисы.

Блок 4/6

🔹 4. Мини-задачи для закрепления

  1. Составьте список сервисов (CRM, почта, мессенджеры), которые вы используете. Укажите, какие из них иностранные.
  2. Найдите на сайте свою Политику ПДн. Проверьте, есть ли в ней номер уведомления Роскомнадзора.
  3. Напишите хотя бы одну конкретную меру безопасности, применяемую у вас в компании.
Блок 5/6

Чек-лист для самопроверки по регистрации оператора персональных данных в Роскомнадзоре

1. Подготовка документов
1.1 Разработана Политика обработки персональных данных (цели, категории, способы обработки, меры защиты, сроки хранения).
1.2 Утверждены локальные нормативные акты (приказы, регламенты, инструкции).
1.3 Назначено ответственное лицо за обработку ПДн.
1.4 Подготовлены договоры с подрядчиками/субоператорами (с прописанными условиями обработки ПДн).
1.5 Создан журнал учета обращений субъектов ПДн.
2. Подготовка уведомления
2.1 Указано полное наименование и реквизиты организации/ИП.
2.2 Определены и прописаны цели обработки (например: кадровый учет, исполнение договоров, маркетинг).
2.3 Перечислены все категории ПДн (ФИО, телефон, email, паспортные данные и др.).
2.4 Указаны способы обработки (сбор, хранение, передача, удаление).
2.5 Описаны конкретные меры защиты данных (антивирус, пароли, ограничение доступа, резервное копирование).
2.6 Указана информация о трансграничной передаче (наличие или отсутствие, перечень сервисов).
2.7 Если есть сайт — указаны сведения о его функционале.
3. Подача уведомления
3.1 Войти в личный кабинет на портале Роскомнадзора.
3.2 Заполнить электронное уведомление, прикрепив необходимые сведения.
3.3 Отправить уведомление через портал.
3.4 Получить подтверждение о присвоении регистрационного номера.
4. После регистрации
4.1 Проверить сайт на соответствие требованиям:
• Политика обработки ПДн.
• Политика конфиденциальности.
• Политика использования cookie.
• Уведомление о сборе данных (чекбокс/форма согласия).
• Согласие на обработку ПДн.
• Информация о трансграничной передаче (при использовании зарубежных сервисов).
4.2 Обучить сотрудников работе с персональными данными.
4.3 Обеспечить регулярную актуализацию документов (не реже 1 раза в год).
Блок 6/6
Тест: Регистрация в Роскомнадзоре
Вопрос 1. Что является основным документом оператора персональных данных?
Вопрос 2. Какие сведения обязательно должны быть в Политике обработки персональных данных?
Вопрос 3. Сколько локальных нормативных актов обычно разрабатывают для организации?
Вопрос 4. Что обязательно включается в уведомление в Роскомнадзор?
Вопрос 5. Через какой сервис подается уведомление?
Вопрос 6. Что оператор получает после регистрации уведомления?
Вопрос 7. Что делает Роскомнадзор после регистрации уведомления?
Вопрос 8. Какая ошибка считается одной из самых распространённых?
Вопрос 9. Что неправильно писать в уведомлении про меры защиты?
Вопрос 10. Какие иностранные сервисы необходимо указывать в уведомлении?
Вопрос 11. Какой штраф грозит за умышленное сокрытие трансграничной передачи?
Вопрос 12. Как часто нужно обновлять документы по персональным данным?
Вопрос 13. Кто обязан пройти обучение по работе с ПДн?
Вопрос 14. Что проверяет Роскомнадзор на сайте компании?
Вопрос 15. Что может произойти, если документы не будут актуализированы?
Отличный результат!

Вы успешно прошли тест по регистрации в Роскомнадзоре и можете переходить к следующему этапу работы с персональными данными.

Есть над чем поработать

Вы допустили несколько ошибок. Можно вернуться к теории или пройти тест ещё раз.

Обратная связь и консультация

Нужна помощь с персональными данными в вашей компании?

Если после прохождения обучения у вас остались вопросы или вы хотите оценить риски по ПДн в вашей организации, оставьте заявку — специалисты сервиса «Роском Онлайн» помогут:

  • разобраться, какие процессы у вас уже подпадают под закон о ПДн;
  • оценить риски и потенциальные штрафы;
  • подготовить необходимый набор документов и инструкций;
  • настроить сбор согласий и корректную работу форм на сайте.
Задайте вопрос или опишите вашу ситуацию
Мы разберём вашу ситуацию и предложим понятный план действий по персональным данным.
Лонгрид
Обязательно отметьте поля ниже

🎯 Цели обучения

После прохождения модуля вы сможете:

  • Перечислить обязательные документы по работе с персональными данными;
  • Объяснить их назначение;
  • Выявить недостающие документы в своей компании;
  • Избежать типичных ошибок при их подготовке.
Блок 1/4

Блок 1. Обязательные документы

Документ 1
Политика обработки ПДн

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.

  • размещается на сайте (обычно в футере) и/или на стенде оператора;
  • содержит: цели сбора персональных данных, правовые основания обработки персональных данных, порядок и условия обработки, перечень обрабатываемых данных, меры защиты, порядок актуализации, исправления, удаления и уничтожения ПДн, порядок ответов на запросы субъектов на доступ к персональным данным.

Пример (фрагмент):
ООО «Ромашка» обрабатывает ФИО, телефон, e-mail в целях оформления заказов и их доставки.

Частая ошибка:
Скопировать чужой шаблон → не отражает реальные процессы → штраф при проверке.

Документ 2
Локальные нормативные акты по вопросам обработки ПДн

Внутренние документы организации, которые определяют:

  • способы, сроки обработки и хранения;
  • порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований;
  • процедуры, направленные на предотвращение и выявление нарушений законодательства РФ и устранение их последствий;
  • меры по обеспечению безопасности персональных данных;
  • требования к защищённости ПДн при их обработке в информационной системе;
  • организацию обработки ПДн без использования средств автоматизации.

Кейс:
Маркетолог выгрузил базу клиентов в Excel и переслал на личную почту. Если локальные акты не регулируют такие действия — это риск утечки.

Документ 3
Согласия на обработку ПДн

Отдельно для сотрудников, клиентов, кандидатов.

Важно прописать цели и перечень данных, срок действия.

Согласие на обработку персональных данных необходимо оформлять отдельно от другой информации, других документов, которые подтверждает или подписывает субъект персональных данных, такое согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.

✅ Правильно:
«Я, Иванов И.И., даю согласие ООО „Ромашка“ на обработку, хранение, уточнение, использование моих ФИО, телефона, e-mail в целях доставки товара. Согласие действует до 31.12.2026 г.»

❌ Неправильно:
«Согласен со всем, что компания захочет делать с моими данными».

Документ 4
Приказ о назначении ответственного за ПДн

В каждой организации должен быть работник, ответственный за организацию обработки персональных данных

Какие-либо требования к квалификации или образованию ответственного работника законодательно не установлены, поэтому подойдет любой сотрудник: специалист отдела кадров, бухгалтер, секретарь.

Приказ подписывается руководителем.

Нужен при любой проверке.

Документ 5
Журналы учёта

Инструктажи сотрудников.

Обращения и запросы клиентов (например, обращением субъект персональных данных отзывает своё согласие на обработку ПДн и одновременно требует уничтожить отозванные ПДн).

Учёт съемных носителей с данными.

Учет средств защиты информации.

Лиц, допущенных к работе с персональными данными в ИСПДн.

Учёт нештатных ситуаций.

Учёт процедур резервного копирования

Мероприятий по контролю выполнения требований по обеспечению безопасности ПДн при их обработке в ИСПДн

📌 Практическое задание №1

Скачайте шаблон чек-листа (будет во вложении курса).

Отметьте:

  • Какие документы у вас уже есть;
  • Каких не хватает;
Блок 2/4

Блок 2. Дополнительные документы

Не все документы обязательны для каждой компании, но часто проверяются.

  • Договоры с подрядчиками, которые имеют доступ к данным (CRM, курьерские службы, бухгалтеры), согласия субъектов передачи ПДн на передачу данных третьей стороне.
  • Акты уничтожения данных (при увольнении, списании старых носителей).
  • План реагирования на утечку (кого уведомить, что делать, чтобы снизить ущерб).
  • Документы в трудовых отношениях: согласие на обработку ПДн при приёме на работу, согласие на использование фото/видео.
📌 Практическое задание №2

Откройте последний договор с подрядчиком (например, с IT-провайдером).

Посмотрите: есть ли там пункт про защиту ПДн, есть ли согласие от субъектов на передачу данных?

Если нет — запишите этот пробел в чек-лист.

Блок 3/4

Блок 3. Типичные ошибки бизнеса

  • ❌ Скачали «универсальную политику» из интернета.
  • ❌ Используют одно согласие «на всё».
  • ❌ Ответственный за ПДн назначен «на бумаге», но реально не выполняет функций.
  • ❌ Документы не обновлялись несколько лет.

✅ Лучше иметь документы, отвечающие требованиям законодательства и фактической деятельности оператора, чем «для галочки».

📌 Практическое задание №3

Проанализируйте один документ вашей компании.

  • Когда он был обновлён?
  • Отражает ли он реальные процессы?
  • Понятен ли его текст сотрудникам или клиентам?
Блок 4/4

Блок 4. Как правильно составить документы

  1. Проанализировать требования законодательства.
  2. Использовать актуальные формулировки (с учётом изменений 2025 года).
  3. Прописывать реальные процессы, а не чужие шаблоны «для вида».
  4. Делать тексты понятными для человека (без перегруза юр. терминами).
  5. Утверждать документы приказами.
  6. Обновлять минимум раз в год.

📌 Контрольные вопросы

  1. Какая разница между Политикой обработки и иными локально-нормативными актами по ПДн?
  2. Для каких категорий субъектов нужны согласия?
  3. Почему нельзя использовать «универсальное согласие»?
  4. Кто несёт ответственность за работу с ПДн в компании?

Итоговый вывод

  • 📌 Без документов компания рискует: штрафы, блокировки, потеря доверия.
  • 📌 Документы — это «правила игры», которые защищают и бизнес, и клиентов.
  • 📌 Начать стоит с минимального пакета документов (Политика, ЛНА, Согласия, Приказы, Журналы).
Тест: Документы по персональным данным
✅ Вопросы для самопроверки
Ответьте на вопросы, чтобы перейти к финальному шагу
1. Какая разница между Политикой обработки ПДн и иными локально-нормативными актами в части ПДн?
2. Кто несёт ответственность за организацию обработки ПДн в компании?
3. Какой документ обязателен для публикации на сайте компании?
4. Какой риск возникает при копировании чужого шаблона Политики без изменений?
5. Каким требованиям должно отвечать согласие на обработку ПДн? (допустимы несколько вариантов ответов)
6. Как часто рекомендуется обновлять документы по ПДн?
7. Какие журналы учёта относятся к документам по ПДн?
8. Компания использует подрядчиков (CRM, курьерские службы). Какой документ нужен для правомерной работы с ПДн?
9. Какая ошибка часто встречается при назначении ответственного за ПДн?
10. Почему важно составлять документы по ПДн в «понятной форме», а не только юридическим языком?
Обратная связь и консультация

Нужна помощь с документами по персональным данным?

Если после прохождения части 4 у вас остались вопросы или вы хотите оценить риски по ПДн в вашей организации, оставьте заявку — специалисты сервиса «Роском Онлайн» помогут:

  • разобраться, какие процессы у вас уже подпадают под закон о ПДн;
  • оценить риски и потенциальные штрафы;
  • подготовить необходимый набор документов и инструкций;
  • настроить сбор согласий и корректную работу форм на сайте.
Задайте вопрос или опишите вашу ситуацию
Мы разберём вашу ситуацию и предложим понятный план действий по персональным данным.
Лонгрид
Обязательно отметьте поля ниже
Блок 1/4

Введение

В каждой компании, где обрабатываются персональные данные сотрудников, клиентов или партнёров, по закону должен быть назначен ответственный за организацию работы с персональными данными.

Зачем это нужно:

  • У компании есть «единая точка ответственности» за все вопросы, связанные с персональными данными.
  • Контролирующие органы (Роскомнадзор) знают, к кому обращаться в случае проверки.
  • Снижается риск ошибок и штрафов, потому что есть человек, который системно следит за процессами.

Назначение оформляется Приказом руководителя, а сведения о назначении включаются в пакет документов для Роскомнадзора.

Блок 2/4

Кто может быть назначен?

Это может быть:

  • директор компании (часто в малом бизнесе);
  • юрист или кадровик (в организациях со штатом);
  • IT-специалист (если компания работает с базами данных или онлайн-сервисами);
  • любой другой сотрудник, которому доверяют и дают полномочия.
ГЛАВНОЕ:
Назначение должно быть закреплено приказом, а обязанности — прописаны в должностной инструкции.

Основные обязанности ответственного:

  • Организация документооборота.
  • Подготовка и ведение локальных актов: положения, инструкции, приказы, журналы.
  • Актуализация этих документов при изменениях в законе.
  • Контроль обработки ПДн.
  • Проверка правильности получения согласий.
  • Обучение сотрудников.
  • Разъяснение правил обработки данных.
  • Проведение инструктажей.
  • Взаимодействие с регуляторами.
  • Ответы на запросы Роскомнадзора.
  • Подготовка документов к проверкам.
  • Реагирование на инциденты.
  • Фиксация утечек или нарушений.
  • Уведомление руководства и принятие мер.
Блок 3/4

Практика

Представим, что вы назначены ответственным.

С чего начать?

Шаг 1. Изучить, какие персональные данные есть в компании
  • Данные сотрудников (паспорт, СНИЛС, трудовые договоры).
  • Данные клиентов (ФИО, телефон, e-mail).
  • Данные партнёров и подрядчиков (ИНН, банковские реквизиты).
Шаг 2. Подготовить документы
  • Положение о защите ПДн, Политика обработки ПДн, Приказ о назначении ответственного.
  • Инструкции для работников («как хранить бумажные анкеты», «как пользоваться CRM»).
  • Журналы (учёт согласий, учёт инцидентов), акты (например, об уничтожении ПДн), формы согласий.
Шаг 3. Организовать обучение сотрудников

Пример: объяснить HR, что согласие у кандидата нужно брать письменно и до передачи данных руководителю.

Шаг 4. Проверить сайт компании
  • Политика обработки ПДн в «подвале».
  • Согласие в формах обратной связи.
  • Баннер о cookie.
  • Проверка кода на запрещённые иностранные сервисы (Google Analytics, WhatsApp и др.).
Шаг 5. Создать систему реагирования
  • Журнал инцидентов (фиксировать даже рутинные проверки).
  • План действий на случай утечки: кого уведомить, как ограничить ущерб.
Блок 4/4

4. Кейсы и примеры из практики

Кейс 1
Формальное назначение

Компания назначила ответственного, но не объяснила ему обязанности. При проверке Роскомнадзор задал вопросы — сотрудник не смог ответить. Итог: штраф за отсутствие контроля.

Правильно: выдавать инструкции и проводить обучение.

Кейс 2
Автоматическая галочка в форме согласия

На сайте стояла галочка «согласен на обработку ПДн» по умолчанию. Это нарушение — согласие должно быть осознанным и добровольным.

Правильно: чтобы сотрудник или клиент сам ставил галочку.

Кейс 3
Утечка из-за IT

Ответственный не проверил работу IT. В базе оказались лишние открытые доступы, через которые данные сотрудников «утекли».

Правильно: назначить ответственного, но при этом создать систему внутреннего контроля — проверки доступа, ограничение прав, пароли.

Кейс 4
Согласие «на всё»

HR сделал форму согласия, где сотрудник «соглашается на любую обработку любых данных». Роскомнадзор признал такое согласие недействительным.

Правильно: согласие должно быть конкретным, информированным и предметным.

5. Итоговый тест
✅ Итоговый тест
Ответьте на вопросы, чтобы перейти к финальному шагу
1. Кто назначает ответственного за ПДн?
2. Может ли ответственным быть сотрудник бухгалтерии?
3. Что обязан делать ответственный?
4. Верно или неверно: «Согласие на обработку ПДн можно заранее проставить галочкой на сайте.»
5. Ситуация: Компания назначила ответственного, но не утвердила локальные акты. Пришла проверка Роскомнадзора. Каков риск?
Обратная связь и консультация

Нужна помощь по организации работы с персональными данными?

Если после прохождения части 5 у вас остались вопросы по назначению и обучению ответственного за организацию работы с персональными данными, оставьте заявку.

Задайте вопрос или опишите вашу ситуацию
Мы разберём вашу ситуацию и предложим план действий по персональным данным.
Лонгрид
Обязательно отметьте поля ниже
Блок 1/4

🔹 Вступление

Работа с персональными данными строго регулируется законом (ФЗ-152, КоАП РФ, УК РФ). Нарушения приводят к штрафам, искам и даже уголовным делам.

❗ ВАЖНО:
Ответственность несут как компании, так и конкретные сотрудники (директор, ответственный за ПДн, HR, бухгалтер, маркетолог).
Блок 2/4

🔹 Административная ответственность

📌 Основание: ст. 13.11–13.14 КоАП РФ

Основные случаи и размеры штрафов:

Случай нарушения
Штрафы
Обработка ПДн вне целей или оснований, предусмотренных законом (ч. 1)
10 000–15 000 ₽ — граждане
50 000–100 000 ₽ — должностные
150 000–300 000 ₽ — юрлица
Обработка без письменного согласия или с нарушением его требований (ч. 2)
10 000–15 000 ₽ — граждане
100 000–300 000 ₽ — должностные
300 000–700 000 ₽ — юрлица
Неопубликование Политики обработки ПДн (ч. 3)
1 500–3 000 ₽ — граждане
6 000–12 000 ₽ — должностные
30 000–60 000 ₽ — юрлица
Нарушение правил хранения ПДн, повлекшее утечку (ч. 6)
1 500–4 000 ₽ — граждане
8 000–20 000 ₽ — должностные
50 000–100 000 ₽ — юрлица
Невыполнение обязанности хранить базы ПДн в РФ (ч. 8)
30 000–50 000 ₽ — граждане
100 000–200 000 ₽ — должностные
1 000 000–6 000 000 ₽ — юрлица

👉 Штрафы часто суммируются, если нарушений несколько.

📌 ПРИМЕР:
Компания собирала персональные данные через сайт, но не разместила политику по ПДн. Проверка Роскомнадзора: штраф 60 000 ₽ + требование опубликовать политику.
Блок 3/4

🔹 Гражданская ответственность

📌 Основание: Гражданский кодекс РФ, ст. 151, 1099–1101

Основные случаи:

  • Нарушение права на защиту персональных данных.
  • Распространение данных без согласия, повлёкшее моральный вред.

👉 Субъект ПДн имеет право подать в суд и требовать компенсацию морального вреда.

ПРИМЕРЫ:

Сотрудник уволился, а компания не удалила его данные и передала их подрядчику. Суд присудил 30 000 ₽ компенсации.

Клиент обнаружил утечку своих данных в интернет. Суд обязал компанию выплатить 50 000 ₽ морального вреда.

Блок 4/4

🔹 Уголовная ответственность

📌 Основание: ст. 137 УК РФ «Нарушение неприкосновенности частной жизни»

Основные случаи:

  • Незаконный сбор сведений о частной жизни без согласия.
  • Незаконное распространение сведений, составляющих личную или семейную тайну.

Наказания:

  • штраф до 300 000 ₽ или в размере зарплаты до 2 лет,
  • обязательные работы до 480 часов,
  • принудительные работы до 2 лет,
  • арест до 4 месяцев,
  • лишение свободы до 2 лет.
📌 ПРИМЕР:
Руководитель компании незаконно передал паспортные данные сотрудников третьим лицам. Уголовное дело: приговор — штраф 300 000 ₽ и запрет занимать руководящие должности 2 года.

🔹 Заключение

Ответственность за нарушения в работе с ПДн бывает четырёх видов:

  • административная (штрафы до 6 000 000 ₽ и более для юрлиц),
  • гражданская (компенсация морального вреда),
  • уголовная (штрафы и лишение свободы до 2 лет),
  • дисциплинарная (выговор, увольнение).

👉 Итог: компания должна не просто назначить ответственного и собрать документы, но и реально соблюдать порядок работы с ПДн. Это снижает риски штрафов и защищает репутацию бизнеса.

Итоговый тест по ответственности
✅ Вопросы для закрепления
Ответьте на вопросы, чтобы перейти к финальному шагу
Какой максимальный штраф для юрлица за незаконную публикацию ПДн?
Можно ли назначить штраф сразу за несколько нарушений?
Может ли гражданин требовать компенсацию морального вреда за разглашение его данных?
Какой размер компенсации фиксирован?
Какая статья УК РФ применяется при незаконном распространении данных о частной жизни?
Может ли наказанием быть лишение свободы?
Обратная связь и консультация

Нужна помощь в оценке рисков и ответственности по ПДн?

Если после прохождения части 6 у вас остались вопросы по ответственности за нарушения в работе с персональными данными, оставьте заявку.

Задайте вопрос или опишите вашу ситуацию
Мы поможем оценить риски, подобрать необходимые меры и выстроить безопасную работу с персональными данными.
Лонгрид
Обязательно отметьте поля ниже
❗ ВАЖНО:
Представление Роскомнадзора — это не просто бумага, а официальный документ, обязательный к исполнению. Игнорировать его нельзя: это приведёт к новым штрафам, административным делам и даже блокировке сайта.

👉 Правильная реакция на предписание — шанс не только избежать санкций, но и выстроить конструктивное взаимодействие с регулятором.

Блок 1/4

🔹 1. Что такое предписание и в каких случаях оно выдается

Предписание — это официальный документ Роскомнадзора, содержащий:

  • перечень выявленных нарушений;
  • сроки их устранения (обычно от 1 до 6 месяцев).

Оно выдается по итогам плановой или внеплановой проверки.

Представление — документ для руководителя компании с требованием устранить причины и условия нарушений.

Невыполнение предписания в срок — отдельное правонарушение, которое ведёт к новому штрафу и протоколу.

Роскомнадзор запрашивает документы и локальные акты, подтверждающие следующие организационные меры по защите ПДн:

  • Назначение ответственного. Документ о назначении сотрудника, ответственного за организацию обработки персональных данных.
  • Разработка внутренней документации. Локальные акты, определяющие:
    • Политику в отношении обработки ПДн;
    • конкретные цели, перечни данных, категории субъектов, сроки и способы обработки для каждой цели;
    • порядок уничтожения данных;
    • процедуры по выявлению и устранению нарушений.
  • Реализация мер безопасности. Документы, подтверждающие применение правовых, организационных и технических мер для защиты данных в соответствии со ст. 19 152-ФЗ.
  • Внутренний контроль и аудит. Документы, подтверждающие проведение внутренних проверок на соответствие обработки требованиям закона и внутренним политикам компании.
  • Оценка возможного вреда. Документированный порядок оценки потенциального вреда субъектам ПДн при нарушении закона и соразмерности принимаемых мер защиты.
  • Обучение сотрудников. Документы, подтверждающие ознакомление или обучение работников, работающих с ПДн, требованиям законодательства и внутренним правилам компании.

Ключевые условия:

  • Ответ должен быть предоставлен в установленный законом срок (согласно ч. 4 ст. 20 152-ФЗ).
  • Непредставление информации или представление её с нарушениями влечёт административную ответственность по ст. 19.7 КоАП РФ.
📌 ПРИМЕР:
Компания не уведомила Роскомнадзор о начале обработки персональных данных. По итогам проверки выдано предписание: подать уведомление в течение 30 дней.
Блок 2/4

🔹 2. Порядок действий после получения представления

  1. Изучите документ — разберите все пункты нарушений.
  2. Назначьте ответственного (обычно — специалист по ПДн, юрист или руководитель).
  3. Составьте план устранения нарушений: что исправляем, кто отвечает, в какие сроки.
  4. Соберите доказательства:
    • приказы;
    • обновлённые локальные акты;
    • скриншоты сайта;
    • копии согласий сотрудников.
  5. Подготовьте официальный ответ в Роскомнадзор и направьте его в срок.
❗ ВАЖНО:
Если часть нарушений устранить невозможно, это нужно честно указать в ответе и пояснить, почему (например, требуется время на закупку ПО или согласование).
📌 ПРИМЕР:
В предписании указано: «Нет политики конфиденциальности на сайте». Компания разработала документ, разместила его, сделала скриншоты и отправила в Роскомнадзор вместе с копией приказа об утверждении политики.
Блок 3/4

🔹 3. Как правильно выстраивать коммуникацию

  1. Переписка — только в официально-деловом стиле.
  2. Документы направляйте заказным письмом с уведомлением или через электронные сервисы Роскомнадзора.
  3. Если устранить нарушения в срок невозможно, направьте ходатайство о продлении сроков с обоснованием.
  4. Никогда не игнорируйте письма РКН: отсутствие ответа = невыполнение предписания.
📌 ПРИМЕР:
Срок устранения нарушений был 10 рабочих дней. Компания понимала, что реально нужно больше времени. Руководитель направил ходатайство с календарным планом. Роскомнадзор продлил срок до 1 месяца.
Блок 4/4

🔹 4. Возможные последствия при невыполнении предписания

  1. Если компания не выполнит требования:
    • Составляется протокол об административном правонарушении;
    • Назначается штраф (для юрлиц до 20 000 ₽, для должностного лица — дисквалификация на срок до трёх лет);
    • Возможна блокировка сайта или сервиса.
  2. При повторных нарушениях — риск увеличения размера штрафов.
📌 ПРИМЕР:
Компания проигнорировала предписание и не назначила ответственного за ПДн. Через месяц Роскомнадзор составил протокол, суд назначил штраф 300 000 ₽.

🔹 Заключение

Предписание или представление Роскомнадзора — это не катастрофа, а шанс исправить ошибки до серьёзных санкций.

Главное:

  • Внимательно изучить документ;
  • Назначить ответственного;
  • Устранить нарушения и собрать доказательства;
  • Своевременно и грамотно ответить регулятору.

👉 Своевременное реагирование показывает Роскомнадзору, что компания готова к диалогу и стремится соблюдать закон. Это снижает риски штрафов и укрепляет доверие к бизнесу.

Итоговый тест: коммуникация с Роскомнадзором
✅ Вопросы для закрепления
Ответьте на вопросы, чтобы перейти к финальному шагу
Что указывает Роскомнадзор в представлении?
Что обязательно должно содержаться в ответе на предписание?
Что делать, если компания не успевает устранить нарушения в срок?
Какое основное последствие невыполнения предписания?
Обратная связь и консультация

Нужна помощь с ответом на предписание Роскомнадзора?

Если вы получили представление или предписание и не уверены, как корректно на него ответить, оставьте заявку.

Мы поможем разобрать документ, подготовить необходимые меры и выстроить безопасную работу с персональными данными.

Опишите вашу ситуацию
Ответим на вопросы по взаимодействию с Роскомнадзором и поможем снизить риски для бизнеса.
Лонгрид
Обязательно отметьте поля ниже

С 30 мая 2025 года вступили в силу масштабные изменения в законодательстве РФ о персональных данных, установленные Федеральным законом от 30.11.2024 № 420-ФЗ.

Основной акцент поправок — ужесточение ответственности за нарушения, связанные с утечкой персональных данных. Ключевое нововведение — введение в КоАП РФ новых составов административных правонарушений (части 10–18 статьи 13.11), которые устанавливают градуированные и значительно увеличенные штрафы в зависимости от масштаба утечки и категории данных, подвергшихся компрометации. Также с 11 декабря 2024 года действуют поправки в Уголовный кодекс.

Блок 1/4

🔹 Введение и новые основания для блокировки сайтов

1. Новые основания для блокировки сайтов и запрет иностранных сервисов

Что изменилось

Поправки напрямую не вводят новые требования к содержимому сайтов (политикам, формам согласия), но устанавливают жёсткую ответственность за использование неразрешённых иностранных сервисов для обработки данных. Это является основанием для блокировки сайта Роскомнадзором.

💡 ВАЖНО:
Использование зарубежных сервисов аналитики, форм обратной связи и мессенджеров (Google Analytics, WhatsApp, Telegram, Facebook и др.) для обработки данных россиян без надлежащего оформления трансграничной передачи теперь приравнивается к нарушению, влекущему блокировку ресурса.
ПРИМЕР:
Компания использует на сайте форму обратной связи, которая отправляет данные заявок (ФИО, телефон) на сервер в США. Это признаётся трансграничной передачей данных с нарушением законодательства. Последствие — блокировка сайта.
📌 Вопросы для самопроверки
  • Проверяли ли вы, не использует ли ваш сайт иностранные сервисы для сбора или обработки данных?
  • Все ли ваши онлайн-инструменты, работающие с ПДн, используют серверы в РФ или прошли процедуру уведомления о трансграничной передаче?
Блок 2/4

🔹 2. Новые требования к уведомлению Роскомнадзора

Суть изменений

Закон чётко прописывает обязанности оператора по информированию регулятора. Несоблюдение сроков уведомления теперь карается крупными штрафами.

Основные обязанности:

  • Уведомление о намерении обрабатывать ПДн (ч. 10 ст. 13.11 КоАП РФ).
    Подача уведомления с опозданием или его непредставление — штраф для юрлиц до 300 000 руб.
  • Уведомление о факте утечки данных (ч. 11 ст. 13.11 КоАП РФ).
    Неуведомление Роскомнадзора о произошедшем инциденте — штраф для юрлиц от 1 000 000 до 3 000 000 руб.
ПРИМЕР:
В компании произошла утечка базы данных клиентов. Руководство решило не разглашать инцидент, чтобы не портить репутацию. При обнаружении факта утечки Роскомнадзором компания будет оштрафована не только за сам инцидент, но и дополнительно до 3 млн рублей за сокрытие.
📌 Вопросы для самопроверки
  • Знакомо ли вашей организации новое требование об обязательном уведомлении Роскомнадзора о факте утечки?
  • Разработан ли у вас внутренний регламент по действиям при инциденте, включающий уведомление регулятора?
Блок 3/4

🔹 3. Новое в правах субъектов ПДн и соглашениях

Что изменилось

Поправки защищают право гражданина на отказ от использования его биометрических данных.

Нельзя:

  • отказывать в заключении или исполнении договора с потребителем из-за его отказа предоставить биометрические данные для идентификации/аутентификации.

Нарушение этого запрета (ч. 19 ст. 14.8 КоАП РФ) влечёт штраф для юрлиц от 200 000 до 500 000 рублей.

ПРИМЕР:
Банк отказывает клиенту в открытии счёта дистанционно, потому что тот не хочет проходить сканирование лица. Такой отказ является прямым нарушением — штраф для банка до 500 000 руб.
📌 Вопросы для самопроверки
  • Требует ли ваша процедура оказания услуг обязательного предоставления биометрии?
  • Может ли клиент получить вашу услугу, отказавшись от биометрической идентификации?
Блок 4/4

🔹 4. Ответственность и санкции

Новые штрафы

С 30 мая 2025 года введена градация штрафов в зависимости от масштаба утечки.

За утечку «обычных» персональных данных (ч. 12–14 ст. 13.11 КоАП РФ):

  • От 1 000 до 10 000 субъектов — штраф для юрлиц от 3 000 000 до 5 000 000 руб.
  • От 10 000 до 100 000 субъектов — штраф для юрлиц от 5 000 000 до 10 000 000 руб.
  • Свыше 100 000 субъектов — штраф для юрлиц от 10 000 000 до 15 000 000 руб.

За утечку специальных или биометрических данных (ч. 16, 17 ст. 13.11 КоАП РФ):

  • Специальные данные (о здоровье, расе, религии и т.д.) — штраф для юрлиц от 10 000 000 до 15 000 000 руб.
  • Биометрические данные — штраф для юрлиц от 15 000 000 до 20 000 000 руб.

За повторные нарушения (ч. 15, 18 ст. 13.11 КоАП РФ) — штраф для юрлиц до 3% годовой выручки (но не менее 20–25 млн рублей).

ПРИМЕР:
Интернет-магазин, имеющий базу в 50 000 клиентов, пострадал от хакерской атаки, и данные утекли. По новым правилам (ч. 13 ст. 13.11 КоАП РФ) штраф составит от 5 до 10 млн рублей.
📌 Вопросы для самопроверки
  • Готовы ли вы к новым, многократно возросшим штрафам за утечку данных?
  • Оценили ли вы риски утечки именно специальных или биометрических данных?
  • Где хранятся ваши данные — на российских или зарубежных серверах?

🔹 Заключение

Изменения, вступившие в силу с 30 мая 2025 года, — это переход от общих формулировок к строгой, измеримой и чрезвычайно дорогостоящей ответственности.

Теперь каждая организация должна обеспечить:

  • ✅ Реальное применение мер защиты от утечек.
  • ✅ Исключение использования неразрешённых иностранных инструментов.
  • ✅ Чёткий регламент уведомления регулятора об инцидентах.
  • ✅ Соблюдение прав субъектов на отказ от биометрии.

Соблюдение этих требований не только защитит компанию от гигантских штрафов и блокировок, но и укрепит доверие клиентов.

Итоговый тест: изменения законодательства с 30 мая 2025 года
✅ Вопросы для закрепления
Ответьте на вопросы, чтобы перейти к финальному шагу
Почему использование неразрешённых иностранных сервисов для обработки ПДн стало особенно рискованным?
Каков диапазон штрафа для юрлица за неуведомление Роскомнадзора о факте утечки персональных данных?
Что именно запрещают поправки в части использования биометрических данных?
Каков диапазон штрафов для юрлиц за утечку биометрических данных?
Обратная связь и консультация

Нужна помощь с оценкой рисков по новым требованиям?

Если вы хотите оценить влияние изменений законодательства на вашу компанию и снизить риски утечек и штрафов, оставьте заявку.

Мы поможем разобрать ваши процессы, проверить используемые сервисы и подготовить понятный план действий.

Опишите вашу ситуацию
Ответим на вопросы по изменениям законодательства, утечкам данных и требованиям Роскомнадзора.
Лонгрид
Обязательно отметьте поля ниже
Блок 1/5

🔹 Введение

С 1 июля 2025 года в законодательство о персональных данных были внесены важные дополнения и уточнения, которые существенно изменили подход к локализации обработки персональных данных. Главная цель — установить прямой запрет на использование зарубежных баз данных при обработке ПДн граждан РФ.

Особое внимание уделяется пункту 5 статьи 18 Федерального закона № 152-ФЗ «О персональных данных». Поменялось сама концепция регулирования: с императивной нормы («обязан обеспечивать») на запретительную («не допускается»).

Также с этой даты начинает действовать особый порядок обработки данных сотрудников спецслужб и других защищаемых законом категорий лиц.

Блок 2/5

🔹 1. Строгая локализация обработки данных граждан РФ

Ключевое изменение — новая редакция пункта 5 статьи 18 закона 152-ФЗ:

Период
Штрафы
До 01.07.2025
Оператор обязан был обеспечивать обработку ПДн с использованием баз данных на территории России
После 01.07.2025
Установлен прямой запрет на обработку ПДн с использованием баз данных за пределами РФ

Суть изменений:

  • До 1 июля 2025: оператор имел обязанность использовать российские базы данных
  • С 1 июля 2025: установлен прямой запрет на использование зарубежных баз данных

Запрет распространяется на все операции с персональными данными: запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение.

Исключения из этого запрета строго ограничены случаями, указанными в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона.

📌 ПРИМЕР:
Рассмотрим практическую ситуацию: компания использует иностранный сервис онлайн-форм, данные из которого автоматически поступают в базу, расположенную за рубежом. До 1 июля 2025 года оператор мог пытаться обосновать такую обработку, но после этой даты любое использование зарубежных баз данных для операций с персональными данными граждан РФ становится прямым нарушением установленного запрета.
📌 Вопросы для самопроверки
  • Используете ли вы зарубежные сервисы для обработки ПДн граждан РФ?
  • Осуществляется ли какая-либо обработка ПДн с использованием инфраструктуры за пределами России?
  • Проведена ли инвентаризация всех процессов обработки ПДн на предмет использования зарубежных баз данных?
Блок 3/5

🔹 2. Особый порядок обработки данных сотрудников спецслужб

С 1 июля 2025 года вводится особый порядок обработки персональных данных сотрудников спецслужб и других защищаемых категорий лиц, включая:

  • Сотрудников ФСБ, органов внешней разведки, государственной охраны
  • Лиц, оказывающих содействие указанным органам
  • Судей, должностных лиц правоохранительных органов
  • Участников уголовного судопроизводства под защитой государства

Практические последствия:

  • Необходимость получения специальных разрешений
  • Обеспечение повышенных мер защиты данных
  • Ведение специальных журналов учета доступа
  • Выполнение обязательных предписаний уполномоченных органов
📌 ПРИМЕР:
Организация, осуществляющая транспортные перевозки для государственных органов, получает списки сотрудников спецслужб. С 1 июля 2025 года обработка этих данных должна осуществляться в соответствии с особым порядком, установленным профильным законодательством.
📌 Вопросы для самопроверки
  • Обрабатываете ли вы персональные данные защищаемых категорий лиц?
  • Разработаны ли специальные процедуры для работы с такими данными?
  • Назначены ли ответственные за соблюдение особого режима обработки?
Блок 4/5

🔹 3. Уточнение обязанностей оператора и усиление контроля

С 1 июля 2025 года меняется характер обязанностей оператора:

  • Устраняется возможность различного толкования требований к локализации
  • Устанавливается однозначный запрет на использование зарубежной инфраструктуры
  • Усиливается контроль со стороны Роскомнадзора
  • Упрощается процедура привлечения к ответственности за нарушения
📌 ПРИМЕР:
До 1 июля 2025 года оператор мог доказывать, что он «обеспечивает» обработку в России, даже при использовании некоторых зарубежных сервисов. После 1 июля 2025 года любое использование зарубежных баз данных будет прямым нарушением закона.
📌 Вопросы для самопроверки
  • Проведена ли полная инвентаризация используемых IT-систем?
  • Исключено ли использование любых зарубежных баз данных для обработки ПДн?
  • Готовы ли вы предоставить Роскомнадзору доказательства полной локализации обработки?
Блок 5/5

🔹 4. Последствия нарушений и санкции

С 1 июля 2025 года нарушение требований локализации обработки персональных данных будет квалифицироваться как несанкционированная трансграничная передача данных и повлечет применение следующих санкций:

Нарушение
Размер штрафов
Несанкционированная трансграничная передача персональных данных — штрафы по ч. 8 ст. 13.11 КоАП РФ
  • для граждан: 30 000 - 50 000 рублей
  • для должностных лиц: 50 000 - 100 000 рублей
  • для юридических лиц: 1 000 000 - 6 000 000 рублей
Повторное нарушение правил трансграничной передачи (ч. 9 ст. 13.11 КоАП РФ)
  • для граждан: 50 000 - 100 000 рублей
  • для должностных лиц: 100 000 - 200 000 рублей
  • для юридических лиц: 6 000 000 - 18 000 000 рублей
Нарушение требований локализации обработки ПДн, приравненное к утечке данных
  • 3-5 млн руб. при передаче данных о ≥1 000 физических лиц
  • 5-10 млн руб. при передаче данных о ≥10 000 физических лиц
  • 10-15 млн руб. при передаче данных о ≥100 000 физических лиц
📌 Вопросы для самопроверки
  • Проведена ли оценка рисков использования текущих IT-систем?
  • Разработан ли план перехода на полностью локализованные решения?
  • Оценены ли потенциальные финансовые последствия нарушений?

🔹 Заключение и рекомендации

С 1 июля 2025 года вводятся фундаментальные изменения в регулировании обработки ПДн: от обязанности использовать российские базы данных к прямому запрету на использование зарубежных.

Чтобы соответствовать требованиям:

  • Проведите технический аудит — выясните, какие части ваших систем работают за рубежом.
  • Перенесите или замените те сервисы и модули, которые обрабатывают персональные данные граждан РФ за рубежом.
  • Убедитесь в наличии доказательств (журналов, договоров, актов) локальности обработки данных.
  • Уточните в договорах с внешними сервисами обязательство по обработке данных на территории РФ.
  • Обновите внутренние документы, включите новые требования к контролю и локализации.
  • Проверьте готовность к проверкам Роскомнадзора — наличие отчётов, журналов, документов.
Обратная связь и консультация

Нужна помощь с переходом на локализованные решения по ПДн?

Если вы хотите проверить свои процессы обработки персональных данных на соответствие требованиям с 1 июля 2025 года, оставьте заявку.

Мы поможем провести аудит, подготовить план перехода на российскую инфраструктуру и снизить риски штрафов и претензий регулятора.

Опишите вашу ситуацию
Разберём ваши процессы обработки ПДн и подскажем, какие шаги нужны для полной локализации и соблюдения новых требований.
Лонгрид
Обязательно отметьте поля ниже
Блок 1/5

🔹 Введение

С 1 сентября 2025 года вступил в силу очередной пакет поправок к Федеральному закону № 152-ФЗ «О персональных данных» и сопутствующим нормативным актам Роскомнадзора, ФСТЭК и ФСБ.

Эти изменения направлены на повышение прозрачности и ответственности операторов персональных данных, обновление подходов к получению согласий, обезличиванию и технической защите.

Главная цель реформы — перейти от формального выполнения требований к доказательному обеспечению защиты персональных данных.

«Недостаточно заявить о соответствии — нужно подтвердить его документами, логами и техническими мерами».

Блок 2/5

🔹 1. Новый порядок получения согласия на обработку

Поправки (Федеральный закон № 156-ФЗ от 24.06.2025) ввели новый формат согласия — отдельный и однозначный документ, не входящий в договор, оферту или пользовательское соглашение.

Обязательные требования к согласию:

  • Оформляется отдельно от иных документов;
  • Должно содержать все обязательные сведения согласно ч. 4 ст. 9 152-ФЗ;
  • Не может содержать «скрытых» или недопустимых целей (например, «для улучшения сервиса»);
  • Должно быть предметным и однозначным — субъект должен понимать, зачем он его даёт.

Важно: Согласия, полученные до 1 сентября 2025 года, остаются действительными.

📎 За использование «встроенных» или неопределённых согласий предусмотрен штраф в размере до 700 000 ₽ (ч. 2 ст. 13.11 КоАП РФ).

Примеры

❌ Как нельзя:
В пользовательском соглашении есть фраза: «предоставляю согласие на обработку персональных данных, указанных мной в формах обратной связи на сайте rina.pro в сети «Интернет», владельцем которого является Оператор».

Такое согласие недействительно — оно не является отдельным документом и не уточняет цели обработки данных.

✅ Как надо:
На сайте или в анкете появляется отдельный документ «Согласие на обработку персональных данных» с подробным описанием цели, перечня данных, срока и подписью (или электронным маркером). Пользователь ставит галочку только после ознакомления.

📌 Вопросы
  • Входит ли согласие в текст договора или оферты (если да, то его нужно переделать)?
  • Указаны ли в форме все обязательные поля: цель, срок, третьи лица, порядок отзыва?
  • Существует ли реестр выданных согласий (для подтверждения в случае проверки)?
Блок 3/5

🔹 2. Новые требования к обезличиванию персональных данных

С 1 сентября 2025 года введены обязательные правила по обезличиванию ПДн и передаче обезличенных наборов данных (датасетов) в государственные информационные системы (ГИС) по запросу Минцифры или Роскомнадзора.

Основные положения:

  • Правовой статус. Обезличенные данные могут обрабатываться без согласия субъекта, если исключена возможность их идентификации;
  • Гарантии защиты. Операторы обязаны обеспечивать невозможность восстановления персональных данных из обезличенных массивов;
  • Взаимодействие с государством. Установлен порядок передачи обезличенных данных в ГИС по запросу уполномоченных органов;
  • Методология. Определены допустимые методы обезличивания (псевдонимизация, агрегация, удаление идентификаторов и др.);
  • Документирование. Обязательность утверждения методик обезличивания внутренними документами оператора.

Примеры

✅ Пример:
Страховая компания передает в Минцифры обезличенные статистические данные о возрасте и регионах проживания клиентов. Методика обезличивания утверждена внутренним приказом, и данные не позволяют установить личность.

❌ Ошибка:
Организация передала обезличенные данные, но в них остались уникальные идентификаторы (номера заявок), по которым можно установить личность клиента. Роскомнадзор признал обезличивание некорректным и вынес предписание.

📌 Вопросы для самопроверки
  • Есть ли у вас утвержденная методика обезличивания данных (приказ, описание алгоритмов)?
  • Проверяли ли вы, что по обезличенным данным невозможно восстановить личность?
  • Готова ли компания передать обезличенные массивы данных в ГИС по запросу Роскомнадзора или Минцифры?
Блок 4/5

🔹 3. Требования к сайтам и онлайн-формам

С 1 сентября 2025 года ужесточаются требования ко всем онлайн-ресурсам, осуществляющим сбор персональных данных. Ключевое изменение — запрет на включение согласия в состав других документов, таких как пользовательское соглашение или оферта.

Ключевые требования к формам сбора данных:

  • Отдельное согласие. Необходимо предусмотреть отдельный чекбокс (галочку) для получения согласия на обработку персональных данных. Чекбокс не должен быть проставлен по умолчанию — пользователь должен сделать это явно и осознанно.
  • Доступ к тексту согласия. Рядом с чекбоксом должна быть активная ссылка на сам текст согласия, оформленного как отдельный документ. Это позволяет пользователю ознакомиться с условиями до момента принятия решения.
  • Политики конфиденциальности и обработки ПДн. Общедоступная ссылка на обе Политики в отношении обработки персональных данных должна быть размещена на сайте (как правило, в футере).
  • Уведомление о cookie. Обязательное уведомление и получение согласия на использование файлов cookie, если они собирают технические данные, позволяющие идентифицировать пользователя.
  • Ограничение иностранных сервисов. Использование скриптов аналитики (Google Analytics, Meta и т.п.), передающих данные за рубеж, требует оформления уведомления о трансграничной передаче и получения отдельного согласия пользователя на такую передачу, либо замены на российские аналоги.

📍 Отсутствие актуальной Политики оператора или согласия в форме — основание для ограничения доступа к ресурсу.

Примеры

❌ Ошибка:
На сайте компании в форме обратной связи была предустановлена галочка согласия и встроен Telegram-бот. Данные отправлялись на иностранный сервер — Роскомнадзор заблокировал ресурс.

✅ Правильно:
Форма обратной связи содержит отдельное поле для согласия, которое пользователь отмечает вручную, а также активную ссылку на текст согласия. Сайт размещен на российском хостинге и не использует внешние скрипты.

📌 Вопросы для самопроверки
  • Есть ли на всех формах согласие на обработку данных и активная ссылка на текст согласия?
  • Используете ли вы на сайте иностранные сервисы (виджеты, аналитику)?
  • Соответствуют ли домен и хостинг данным владельца, указанным в Политике?
Блок 5/5

🔹 4. Усиление контроля и ужесточение санкций

С 1 сентября 2025 года вводятся повышенные штрафы и новые механизмы проверки.

  • За неправильно оформленные согласия — до 700 000 ₽.
  • За повторные или грубые нарушения (утечки, использование иностранных скриптов, отказ от обезличивания) — до 1,5 млн ₽.

Регуляторы могут потребовать:

  • Копии согласий;
  • Логи и отчеты об обезличивании;
  • Журналы учета ключей СКЗИ;
  • Актуальные модели угроз.

При уклонении от исполнения предписания — блокировка сайта или ограничение деятельности.

Примеры

✅ Готовая компания:
ООО «Безопасные решения» ведет журнал учета согласий, имеет приказ о методике обезличивания данных и актуальные лог-файлы СКЗИ. При проверке Роскомнадзор не выявил нарушений.

❌ Нарушитель:
Компания не смогла предоставить копии согласий и журнал обработки данных. Регулятор наложил штраф в размере 400 000 ₽ и предписание об устранении нарушений в течение 30 дней.

📌 Вопросы для самопроверки
  • Есть ли у вас журналы учёта согласий, ключей и инцидентов?
  • Назначен ли ответственный за взаимодействие с Роскомнадзором?
  • Сможете ли вы в любой момент предоставить копии всех согласий и журналов обезличивания данных?

Заключение

Изменения с 1 сентября 2025 года — не косметические, а системные.

Теперь оператор должен не только иметь документы и политику безопасности, но и подтверждать реальную защиту данных.

  • Согласие — это отдельный и полный документ.
  • Обезличивание — по утвержденной методике, с журналами и отчетами.
  • Сайт — без сторонних скриптов, с явными уведомлениями.
  • Контроль осуществляется с помощью журналов, СКЗИ и ответственных лиц.
📌 Ключевой принцип нового этапа:
«Без доказательств соблюдения требований — нет и самого соблюдения».
Обратная связь и консультация

Нужна помощь с адаптацией под новые требования по персональным данным?

Если после изучения части 10 у вас остались вопросы по согласиям, обезличиванию, сайтам или взаимодействию с регуляторами, оставьте заявку.

Мы поможем оценить текущий уровень соответствия, выявить риски и подготовить план по приведению процессов в порядок.

Опишите вашу ситуацию
Ответим на вопросы по новым требованиям 2025 года и подскажем, с чего начать.
Лонгрид
Обязательно отметьте поля ниже
Навигация по частям: