Введение: что изменилось и зачем всё это нужно?
С 01 сентября 2022 года и особенно с 30 мая 2025 года сфера персональных данных в России изменилась кардинально. Прежнего подхода — «у нас на сайте есть политика, и этого достаточно» — больше не существует. Роскомнадзор теперь проверяет не только наличие нужных документов, но и то, как именно вы обрабатываете персональные данные (ПД): где хранятся базы, какие галочки стоят на формах, используете ли иностранные сервисы, ведёте ли учёт согласий и кто назначен ответственным за ПД.
Если вы ИП, юридическое лицо, компания с сайтом, формами обратной связи, чат-ботами, рассылками или хотя бы с 1С — вы, скорее всего, оператор персональных данных. И нужно выполнить ряд шагов, чтобы не попасть под штраф от 100 000 до 6 000 000 рублей. Да, такие суммы — уже не теория, а практика. И проверок становится больше: Роскомнадзор получает жалобы от пользователей и в автоматическом режиме запускает аудит компаний, указавших трансграничную передачу данных.
Ниже — пошаговая инструкция, что нужно сделать, чтобы соответствовать требованиям законодательства и избежать проблем.
Этап 1. Уведомляем Роскомнадзор: как подать заявление?
1. Кто должен подавать?
Если вы храните или обрабатываете ПД с помощью автоматизированных систем (CRM, 1С, сайт, формы заявок, квизы, чат-боты, email-рассылки) — вы обязаны подать уведомление в Роскомнадзор. Даже если у вас нет сайта, но есть 1С — это уже автоматизация. Не попадают под обязательное уведомление только те, кто ведёт учёт в бумажных тетрадях (бумага без оцифровки).
❗ Но если вы используете Google Таблицы — это уже трансграничная передача данных. Такие случаи требуют уведомления и могут повлечь штраф до 6 млн рублей.
2. Где подавать?
Подать уведомление можно через личный кабинет на сайте Роскомнадзора:
- https://pd.rkn.gov.ru/operators-registry/notification/
Можно сделать это самостоятельно — интерфейс понятный, разберётся любой бухгалтер или офис-менеджер. Но важно знать, что именно указывать.
3. Что нужно указать в уведомлении?
Цели обработки ПД — выбирайте из предложенного списка. Например:
- Кадровый учёт
- Выполнение договора
- Маркетинг
- Продажа товаров и услуг
- Обработка заявок через сайт и т. д.
Внимание: цели, указанные в уведомлении, должны точно совпадать с тем, что вы потом напишете в политике обработки ПД. РКН это проверяет.
Места хранения баз данных (ЦОД):
- Указываются адреса серверов — точные, с улицей, домом и помещением, а также договор поручения с облачными провайдерами.
- Если используете облачные сервисы (Тильда, Юнисендер, Яндекс Метрика), добавляйте их юр. адрес, ИНН и ОГРН — найти это можно на сайте провайдера или запросить в техподдержке.
Пример:
- сайт — сервер «4ROME» в РФ
- лендинг — Тильда
- рассылки — Юнисендер
- CRM — арендованный сервер
- метрика — Яндекс
- лид-формы — Марквиз
- коллтрекинг — UIS
Трансграничная передача ПД:
Если вы используете Google Analytics, Google Tag Manager, облачные Google Таблицы и все другие иностранные сервисы — это трансграничная передача.
- Либо отказывайтесь от таких сервисов и переходите на отечественные (предпочтительный вариант),
- Либо уведомляйте РКН, иначе — штраф.
Но даже если уведомите, к вам могут прийти с проверкой: посмотрят документы, процессы, где утечка, кто ответственный. Это не обязательно, но всё чаще случается.
Этап 2. Приводим сайт и формы в порядок
Здесь ошибки чаще всего и случаются. Большинство компаний уже подали уведомления в РКН, но при этом забыли про оформление форм и cookie-баннеров. А за это тоже штрафуют.
1. Убираем иностранные трекеры
Удалите с сайта:
- Google Analytics
- GTM (Google Tag Manager)
- любые Google Forms
- Hotjar, HubSpot, Sendinblue — всё, что отправляет ПД за границу
2. Размещаем нужные документы
В подвале сайта разместите Политику обработки ПД и Согласие на обработку ПД. Они должны быть согласованы между собой:
- Согласие должно ссылаться на Политику
- Тексты согласий в форме и в документе — идентичны
- Все ссылки — кликабельные
Если у вас есть регистрация пользователей или приём оплаты — используйте также Оферту или Пользовательское соглашение. Тогда текст согласия будет другим (см. ниже).
3. Оформляем лид-формы
У каждой формы, где вы собираете имя, телефон, почту — должно быть две галочки:
- «Согласие на обработку ПД»
- «Согласие на рассылку»
Рекомендуемые формулировки:
⬜ Я даю согласие на обработку персональных данных на условиях Политики
⬜ Я согласен получать рекламные и информационные материалы
В чат-ботах и квизах вместо галочек используйте текст над кнопкой:
«Нажимая “Отправить”, я даю согласие на обработку персональных данных на условиях Политики обработки персональных данных»
Если у вас есть регистрация или приём платежей:
⬜ Я принимаю условия Оферты и даю согласие на обработку персональных данных
Все слова «Политика», «Согласие», «Оферта» — обязательно с активными ссылками.
4. Настраиваем cookie-баннер
РКН требует уведомлять пользователей о cookie. Поэтому:
- Установите баннер с текстом:
«Продолжая пользоваться сайтом, вы соглашаетесь с политикой обработки cookies. Подробнее — в Политике обработки ПД.»
- Добавьте в политику отдельный раздел про cookie: какие вы собираете, зачем, как отключить.
Это обязательно, даже если вы не используете трекеры — сам факт использования CMS или хостинга уже может задействовать cookies.
Этап 3. Внутренняя документация компании
Обязательно нужно сделать — особенно если вы уже сообщили о трансграничной передаче ПД. В случае проверки вас спросят:
- Кто назначен ответственным за обработку ПД
- Где журнал регистрации согласий
- Кто имеет доступ к базам
- Какие меры защиты используются
- Какой срок хранения ПД
- Как оформлено удаление данных по запросу субъекта
Что нужно подготовить?
Вот минимальный набор документов:
- Политика обработки ПД
- Согласие на обработку ПД
- Журнал учёта согласий
- Положение об обработке и защите ПД
- Приказ о назначении ответственного за ПД
- Риски утечки и план реагирования
- Соглашение о конфиденциальности с сотрудниками и подрядчиками
- Договоры с сервисами, если они обрабатывают ПД как операторы по поручению
В идеале всё это должно быть оформлено и храниться в электронном и бумажном виде. Если у вас нет штатного юриста, возьмите шаблоны у коллег или проконсультируйтесь с экспертами.
Что будет, если не выполнять требования?
Проверки Роскомнадзора — реальность. Сегодня их инициируют автоматически при поступлении жалоб или при указании трансграничной передачи ПД в уведомлении. И если что-то не в порядке — будут санкции.
Размеры штрафов (ст. 13.11 КоАП РФ):
- Отсутствие уведомления — до 150 000 ₽
- Неправильное оформление согласия — до 500 000 ₽
- Незаконная трансграничная передача — до 6 000 000 ₽
- Нарушение сроков хранения или утечка — ещё дороже
Наказание могут наложить не только на юрлицо, но и на директора лично. ИП рискует тоже, вплоть до блокировки сайта.
Заключение
Всё, что связано с персональными данными, уже не формальность. Закон стал жёстче, а практика проверок — регулярной. И речь не только о крупных компаниях: наказывают ИП, фрилансеров, веб-студии и даже тех, у кого «ничего кроме Excel нет» (если этот Excel вдруг оказался Google Таблицами).
Поэтому:
- Подайте уведомление в РКН
- Проверьте сайт и все формы
- Подготовьте документы
- Откажитесь от иностранных сервисов
- Не храните ПД в облаках без уведомления
Это неделя работы, которая избавит от штрафов и спасёт репутацию. Лучше сделать сейчас, чем объясняться с проверкой.
Резюмируем главные практические рекомендации
- Удаляйте Google Analytics и другие сервисы Google с сайта
- Если у вас есть доступ к данным клиентов вашего клиента — действуйте осторожно
- Не отправляйте рассылки без согласия
- Проводите проверки и отчитывайтесь в Роскомнадзор
- Записывайте входящие звонки и предупреждайте о согласии
- Использование квизов и марквизов
