О Сервисе
Контакты
Заказать звонок
+7 (495) 106-10-09
Меню
Услуги
Кейсы
Cookie-файлы
Мы используем cookie-файлы, чтобы запомнить ваши настройки, анализировать работу сайта и повышать его эффективность. Перед продолжением использования сайта, пожалуйста, ознакомьтесь с нашей политикой обработки файлов cookie. Вы можете настроить использование cookie-файлов по своему усмотрению:
Разрешить все
Настройки cookie
Cookie-файлы
Настройки cookie
Обязательные
необходимы для корректной работы сайта
Аналитические
Disabled
помогают нам улучшать функциональность и контент
Маркетинговые
Disabled
используются для персонализации рекламы и предложений
Подтверждаю
Правовые документы

Внимание! За вами уже наблюдает Роскомнадзор

2025-08-05 19:56
Приветствую вас, друзья!
Сегодня я хочу затронуть тему проверок Роскомнадзора, которые с учетом изменившейся политики в сфере обработки персональных данных (ПД), а именно вступивших в силу с 30.05.2025 года поправок в Федеральный закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», вполне могут участиться. Пора ли уже беспокоиться? Или вас это точно не затронет? Сейчас узнаем.

Вы под пристальным вниманием: 5 оснований для проверки

Если вы считаете, что Роскомнадзор «где-то там» и до вас ему уж точно не будет дела, то спешу огорчить – вы ошибаетесь! Ужесточение законодательных норм и увеличение штрафов (в среднем в диапазоне от 300 000 рублей до 15 млн рублей) вполне логично ведет к более пристальному наблюдению за всеми участниками процесса – как крупными, так и мелкими, включая посредников.
К тому же учитывайте, что Роскомнадзор не будет предупреждать о том, что вы уже «на карандаше». К вам просто придут и… А вот тут все зависит от того, насколько весомо правонарушение и первично ли оно. В любом случае наличие основания для проверки – это уже сигнал о том, что нарушения имеются и замечены РКН.
Как узнать, что вы уже в списке на проверку? Я собрал ТОП-5 оснований, которые однозначно приведут к визиту Роскомнадзора, если вы в кратчайшие сроки не исправите ситуацию.

Форма на сайте есть, а политики обработки ПД нет

Довольно типичная ситуация для небольших компаний и ИП, но и на сайтах крупных организаций можно встретить подобное нарушение:
  • информация собирается в виде заявок, номеров телефонов или электронных адресов;
  • политика обработки данных не отображена или существует для вида, не соответствуя современным требованиям;
  • отсутствует отдельное согласие на обработку персональных данных;
  • галочка в форме стоит заранее.
Необходимо учитывать, что технологии не стоят на месте и проверяющие органы продолжают внедрять в свою деятельность средства автоматического выявления нарушений. Так, уже в ноябре 2024 года РКН рассказывал об успехах выявления нарушений в сети, связанных с размещением рекламы без маркировки при помощи системы "Робот". Логично предположить, что и при выявлении нарушений в сфере персональных данных также будут использоваться средства автоматизации.
Что нужно сделать, чтобы решить проблему?
  1. Проверить формы сбора ПД и на каждый вид данных разработать, а потом и разместить на сайте отдельную форму со своим отдельным согласием на сбор данных. При этом важно обеспечить надлежащий способ сбора таких согласий.
  2. Проработать политику обработки ПД и выложить ее в свободном доступе на интернет-ресурсе.
  3. Уведомить РКН о сборе персональных данных.
Рекомендую дополнительно проверить 2 нюанса: факт наличия у клиента возможности отказаться от сбора информации + выделенной в форме графы с обязательной постановкой «галочки» при согласии на сбор данных.
Но все перечисленное – всего лишь общие рекомендации, так как в вашем конкретном случае могут обнаружиться и другие недочеты, способные привести к вам проверку.

Ведется активная email- или SMS-рассылка без согласия получателя

Здесь мне нечем вас обрадовать – подобные действия являются прямым нарушением законодательных норм (ст. 18 152-ФЗ + закон «О рекламе».). Исключений не предусмотрено! Поэтому любая жалоба от получателя вашей рассылки может обойтись вам минимум в 100 000 рублей штрафа.
Что делать? Немедленно остановить ведение всех рассылок и организовать сбор согласий.
Важно понимать, что согласия должны быть собраны способом, который позволит в будущем продемонстрировать проверяющему органу факт их получения.
Если вы собираете подписочную посредством соответствующей формы на сайте – не забудьте ознакомить клиента с отдельным согласием на рекламную или информационную рассылку.
Также не стоит забывать о необходимости предоставить получателю такой рассылки прозрачного возможности отписаться от нее в дальнейшем.

Получена жалоба на действия вашей компании/появились вопросы о ПД

Сразу скажу, что в подавляющем большинстве случаев именно с этого и начинается выездная проверка Роскомнадзора.
Предположим, вы получили просьбу на удаление персональных данных, но по какой-то причине ничего не сделали в отведенные 30 дней и не предоставили отчета о выполнении запроса. В этом случае достаточно жалобы в Роскомнадзор (и она будет рассмотрена в первую очередь!), чтобы была организована проверка.
Что делать? Соблюдать законодательство, своевременно отслеживать и реагировать на все запросы/жалобы от клиентов.
Для этого на сайте разместите информацию об адресе электронной почты, куда пользователь может направить претензии или отзыв согласия и осуществляйте ее мониторинг.

Ведение бизнеса в сфере повышенного риска

Да, такая градация по рискам существует, даже если вы о ней не знали. В фильтр попадают:
  • ИТ-компании;
  • онлайн-школы;
  • маркетинговые агентства и т.д.
Роскомнадзор классифицирует их как рискованные по причине обработки большого объема персональных данных с высокой вероятностью нарушений разного характера.
Но даже те, кто работают в другой отрасли, могут оказаться в сфере повышенного внимания. Вероятность проверок возрастает в 3 раза при:
  • использовании чат-ботов;
  • наличии личных кабинетов на сайте;
  • API-обмене с другими сервисами.
Большая часть современных компаний использует подобные инструменты в работе, а значит должна быть готова оказаться «под лупой».
Что делать? Провести правовой, технический и юридический аудит сайта + разработать пакет регламентирующих документов, а также назначить ответственного за соблюдение всех норм. Это позволит вам держать руку на пульсе и не проглядеть даже малейшую проблему.

Использование подрядчиков/внешние сервисы без заключения договора на обработку ПД

Еще одна типичная ситуация для онлайн-сегмента и не только для него! Нередко компании привлекают к текущим бизнес-процессам сторонние ресурсы (хостинг, облако) и посредников/подрядчиков (специалисты по маркетингу, CRM, веб-разработчики), которые в рамках своей работы могут обрабатывать данные ваших клиентов.
Без официального договора, надлежащего поручения на обработку персональных данных и получения согласия/уведомления субъекта ПД о факте передачи данных третьих лиц – можно попасть под и оповещения РКН нарушение законодательных норм (Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»), которые в равной степени распространяются на посредников и операторов ПД, но это не снимает ответственность и с вас!
Что делать? Как минимум не пренебрегать юридически грамотным оформлением отношений. Если размещаете данных на облаке или арендуете сервер – получите письмо от провайдера о принятых мерах в части защиты информации, аттестации ИСПДН.

Алгоритм правильных действий

Как видите, любая оплошность, которой вы можете и не придать значения, - для РКН уже повод присмотреться к вам попристальнее. И поверьте, если нарушение не будет устранено в десятидневный срок, то штрафов не миновать. А их размер начинается с 300 000 рублей, что для стартапов и небольших компаний станет серьезной статьей расходов.
Поэтому целесообразнее во всех смыслах этого слова все-таки соблюдать закон. А для полной уверенности в отсутствии нарушений с вашей стороны:
  • проведите аудит документации, в том числе и на актуальность последним изменениям;
  • разработайте и внедрите недостающие формы на сайт;
  • создайте систему контроля за актуальностью и исполнением всех мер;
  • оповестите Роскомнадзор об обработке ПД;
  • отслеживайте все нововведения в данном сегменте.
Также не забывайте, что помимо сугубо юридической стороны дела, при организации системы защиты ПД важно привлечь внутренних или внешних специалистов по информационной безопасности, без участия которых учесть все требования законодательства и адекватно подготовить ряд необходимых документов составить будет сложно (модель угроз и т.п.).
Но даже в этом случае остается риск выпустить что-то из зоны внимания. Поэтому самое целесообразное решение – привлечь ко всем процессам юристов, специализирующихся на работе в ИТ-сегменте и сопровождении бизнеса – пишите в ТГ @patrikeevofficial_bot. Они проведут комплексный анализ текущей ситуации в вашей компании, сделают оценку рисков при обработке ПД, а на основе этих данных уже сформируют персонифицированные рекомендации и смогут уберечь вас от проблем с РКН.