8 (917) 226-33-42
Внешние факторы0 просмотров6 мин чтения

Как соблюдать требования по персональным данным после 30 мая 2025 года?

Как соблюдать требования по персональным данным после 30 мая 2025 года?. Информация JimmyNeuron Marketing. Свяжитесь с нами: 8 (917) 226-33-42, info@jimmyneuron.ru.

Как соблюдать требования по персональным данным после 30 мая 2025 года?

Введение: что изменилось и зачем всё это нужно?

С 01 сентября 2022 года и особенно с 30 мая 2025 года сфера персональных данных в России изменилась кардинально. Прежнего подхода — «у нас на сайте есть политика, и этого достаточно» — больше не существует. Роскомнадзор теперь проверяет не только наличие нужных документов, но и то, как именно вы обрабатываете персональные данные (ПД): где хранятся базы, какие галочки стоят на формах, используете ли иностранные сервисы, ведёте ли учёт согласий и кто назначен ответственным за ПД.

Если вы ИП, юридическое лицо, компания с сайтом, формами обратной связи, чат-ботами, рассылками или хотя бы с 1С — вы, скорее всего, оператор персональных данных. И нужно выполнить ряд шагов, чтобы не попасть под штраф от 100 000 до 6 000 000 рублей. Да, такие суммы — уже не теория, а практика. И проверок становится больше: Роскомнадзор получает жалобы от пользователей и в автоматическом режиме запускает аудит компаний, указавших трансграничную передачу данных.

Ниже — пошаговая инструкция, что нужно сделать, чтобы соответствовать требованиям законодательства и избежать проблем.

Этап 1. Уведомляем Роскомнадзор: как подать заявление?

1. Кто должен подавать?

Если вы храните или обрабатываете ПД с помощью автоматизированных систем (CRM, 1С, сайт, формы заявок, квизы, чат-боты, email-рассылки) — вы обязаны подать уведомление в Роскомнадзор. Даже если у вас нет сайта, но есть 1С — это уже автоматизация. Не попадают под обязательное уведомление только те, кто ведёт учёт в бумажных тетрадях (бумага без оцифровки).

❗ Но если вы используете Google Таблицы — это уже трансграничная передача данных. Такие случаи требуют уведомления и могут повлечь штраф до 6 млн рублей.

2. Где подавать?

Подать уведомление можно через личный кабинет на сайте Роскомнадзора:

  • https://pd.rkn.gov.ru/operators-registry/notification/

Можно сделать это самостоятельно — интерфейс понятный, разберётся любой бухгалтер или офис-менеджер. Но важно знать, что именно указывать.

3. Что нужно указать в уведомлении?

Цели обработки ПД — выбирайте из предложенного списка. Например:

  • Кадровый учёт
  • Выполнение договора
  • Маркетинг
  • Продажа товаров и услуг
  • Обработка заявок через сайт и т. д.

Внимание: цели, указанные в уведомлении, должны точно совпадать с тем, что вы потом напишете в политике обработки ПД. РКН это проверяет.

Места хранения баз данных (ЦОД):

  • Указываются адреса серверов — точные, с улицей, домом и помещением, а также договор поручения с облачными провайдерами.
  • Если используете облачные сервисы (Тильда, Юнисендер, Яндекс Метрика), добавляйте их юр. адрес, ИНН и ОГРН — найти это можно на сайте провайдера или запросить в техподдержке.

Пример:

  • сайт — сервер «4ROME» в РФ
  • лендинг — Тильда
  • рассылки — Юнисендер
  • CRM — арендованный сервер
  • метрика — Яндекс
  • лид-формы — Марквиз
  • коллтрекинг — UIS

Трансграничная передача ПД:

Если вы используете Google Analytics, Google Tag Manager, облачные Google Таблицы и все другие иностранные сервисы — это трансграничная передача.

  • Либо отказывайтесь от таких сервисов и переходите на отечественные (предпочтительный вариант),
  • Либо уведомляйте РКН, иначе — штраф.

Но даже если уведомите, к вам могут прийти с проверкой: посмотрят документы, процессы, где утечка, кто ответственный. Это не обязательно, но всё чаще случается.

Этап 2. Приводим сайт и формы в порядок

Здесь ошибки чаще всего и случаются. Большинство компаний уже подали уведомления в РКН, но при этом забыли про оформление форм и cookie-баннеров. А за это тоже штрафуют.

1. Убираем иностранные трекеры

Удалите с сайта:

  • Google Analytics
  • GTM (Google Tag Manager)
  • любые Google Forms
  • Hotjar, HubSpot, Sendinblue — всё, что отправляет ПД за границу

2. Размещаем нужные документы

В подвале сайта разместите Политику обработки ПД и Согласие на обработку ПД. Они должны быть согласованы между собой:

  • Согласие должно ссылаться на Политику
  • Тексты согласий в форме и в документе — идентичны
  • Все ссылки — кликабельные

Если у вас есть регистрация пользователей или приём оплаты — используйте также Оферту или Пользовательское соглашение. Тогда текст согласия будет другим (см. ниже).

3. Оформляем лид-формы

У каждой формы, где вы собираете имя, телефон, почту — должно быть две галочки:

  • «Согласие на обработку ПД»
  • «Согласие на рассылку»

Рекомендуемые формулировки:

⬜ Я даю согласие на обработку персональных данных на условиях Политики

⬜ Я согласен получать рекламные и информационные материалы

В чат-ботах и квизах вместо галочек используйте текст над кнопкой:

«Нажимая “Отправить”, я даю согласие на обработку персональных данных на условиях Политики обработки персональных данных»

Если у вас есть регистрация или приём платежей:

⬜ Я принимаю условия Оферты и даю согласие на обработку персональных данных

Все слова «Политика», «Согласие», «Оферта» — обязательно с активными ссылками.

РКН требует уведомлять пользователей о cookie. Поэтому:

  • Установите баннер с текстом:

«Продолжая пользоваться сайтом, вы соглашаетесь с политикой обработки cookies. Подробнее — в Политике обработки ПД.»

  • Добавьте в политику отдельный раздел про cookie: какие вы собираете, зачем, как отключить.

Это обязательно, даже если вы не используете трекеры — сам факт использования CMS или хостинга уже может задействовать cookies.

Этап 3. Внутренняя документация компании

Обязательно нужно сделать — особенно если вы уже сообщили о трансграничной передаче ПД. В случае проверки вас спросят:

  • Кто назначен ответственным за обработку ПД
  • Где журнал регистрации согласий
  • Кто имеет доступ к базам
  • Какие меры защиты используются
  • Какой срок хранения ПД
  • Как оформлено удаление данных по запросу субъекта

Что нужно подготовить?

Вот минимальный набор документов:

  • Политика обработки ПД
  • Согласие на обработку ПД
  • Журнал учёта согласий
  • Положение об обработке и защите ПД
  • Приказ о назначении ответственного за ПД
  • Риски утечки и план реагирования
  • Соглашение о конфиденциальности с сотрудниками и подрядчиками
  • Договоры с сервисами, если они обрабатывают ПД как операторы по поручению

В идеале всё это должно быть оформлено и храниться в электронном и бумажном виде. Если у вас нет штатного юриста, возьмите шаблоны у коллег или проконсультируйтесь с экспертами.

Что будет, если не выполнять требования?

Проверки Роскомнадзора — реальность. Сегодня их инициируют автоматически при поступлении жалоб или при указании трансграничной передачи ПД в уведомлении. И если что-то не в порядке — будут санкции.

Размеры штрафов (ст. 13.11 КоАП РФ):

  • Отсутствие уведомления — до 150 000 ₽
  • Неправильное оформление согласия — до 500 000 ₽
  • Незаконная трансграничная передача — до 6 000 000 ₽
  • Нарушение сроков хранения или утечка — ещё дороже

Наказание могут наложить не только на юрлицо, но и на директора лично. ИП рискует тоже, вплоть до блокировки сайта.

Заключение

Всё, что связано с персональными данными, уже не формальность. Закон стал жёстче, а практика проверок — регулярной. И речь не только о крупных компаниях: наказывают ИП, фрилансеров, веб-студии и даже тех, у кого «ничего кроме Excel нет» (если этот Excel вдруг оказался Google Таблицами).

Поэтому:

  1. Подайте уведомление в РКН
  2. Проверьте сайт и все формы
  3. Подготовьте документы
  4. Откажитесь от иностранных сервисов
  5. Не храните ПД в облаках без уведомления

Это неделя работы, которая избавит от штрафов и спасёт репутацию. Лучше сделать сейчас, чем объясняться с проверкой.

Резюмируем главные практические рекомендации

  1. Удаляйте Google Analytics и другие сервисы Google с сайта
  2. Если у вас есть доступ к данным клиентов вашего клиента — действуйте осторожно
  3. Не отправляйте рассылки без согласия
  4. Проводите проверки и отчитывайтесь в Роскомнадзор
  5. Записывайте входящие звонки и предупреждайте о согласии
  6. Использование квизов и марквизов