Самое главное:
При работе с ПДн клиентов бизнес должен подать уведомление в Роскомнадзор и попасть в реестр операторов. Требование относится к интернет-магазинам, медучреждениям, образовательным организациям, банкам, курьерским службам, маркетинговым агентствам, ЖКХ, консалтинговым компаниям и др.
Перед подачей уведомления в РКН нужно провести аудит бизнес-процессов, подготовить политику обработки ПДн и ЛНА.
Обработка данных возможна только с согласия клиентов. Получить согласие можно в письменной или электронной форме. Рассмотрели, как реализовать получение согласия на сайте.
При наличии сайта бизнес должен ограничить использование зарубежных сервисов, IT-решений или заменить их на отечественные аналоги.
В 2026 году Роскомнадзор проводит более активные проверки. На сайте ведомства опубликован план проведения плановых мероприятий. Рассказали, как подготовиться к визитам РКН.
1. Определение роли оператора персональных данных
За последние 15–20 лет многие виды бизнеса перешли в онлайн (e-commerce): продажа товаров, оказание услуг, доставка, поддержка и т. д. В интернете можно быстро получить данные клиентов, реализовать продукт и принять оплату. Другие компании собирают данные клиентов без помощи сайтов и хранят их в Excel-таблицах, CRM или на бумаге.
Сбор данных требует от бизнеса соблюдения строгих мер — обрабатывать персональные данные клиентов в соответствии с законом от 27.07.2006 № 152-ФЗ и требованиями Роскомнадзора.
В таблице собрали некоторые компании, которые собирают и обрабатывают персональные данные клиентов:
Вид бизнеса | Примеры компаний | Какие данные обрабатывают |
Онлайн-торговля | интернет-магазины, маркетплейсы | ФИО, телефон, e-mail, адрес доставки, данные заказов, история покупок |
Медицинские учреждения | клиники, частные врачи, лаборатории | ФИО, контакты, данные о здоровье, результаты анализов |
Образовательные организации | онлайн-школы, курсы, тренинги, вузы | ФИО, контакты, данные об обучении, документы об образовании |
Финансовые и кредитные организации | банки, МФО, страховые компании | паспортные данные, контакты, финансовая информация, история платежей |
Курьерские и логистические компании | службы доставки, перевозчики | ФИО, телефон, адрес доставки, данные получателя |
IT-компании и онлайн-сервисы | SaaS-сервисы, мобильные приложения, платформы | регистрационные данные, IP-адреса, e-mail, логины, пользовательская активность |
Маркетинговые и рекламные агентства | digital-агентства, колл-центры | контактные данные клиентов, данные заявок, записи звонков |
ЖКХ и управляющие компании | ТСЖ, ресурсоснабжающие организации | ФИО, адрес проживания, контактные данные, платежная информация |
Юридические и консалтинговые компании | юридические фирмы, аутсорс бухгалтерских услуг | ФИО, контакты, документы клиентов, данные по делам и договорам |
Вывод: если компания принимает заявки от физических лиц, ведет клиентскую базу, использует CRM, сайт, мессенджеры, e-mail, хранит контакты клиентов и историю заказов, она уже работает с персональными данными и обязана соблюдать требования закона № 152-ФЗ (независимо от масштаба бизнеса и сферы деятельности).
Услуги в области персональных данных
Закажите полный комплекс услуг по защите персональных данных «под ключ». Мы проведем работы в кратчайший срок и по оптимальной цене
2. Аудит бизнес-процессов и подготовка документов
Аудит бизнес-процессов помогает правильно организовать обработку персональных данных. Бизнес (оператор персональных данных) собирает информацию о своей деятельности и составляет реестр с перечнем процессов: о типах ПДн, сборе и хранении, сроках и порядке уничтожения.
Подготовка полного пакета документов в соответствии с требованиями Роскомнадзора — это следующий обязательный этап. Оператор оформляет локальные нормативные акты (ЛНА).
1. Политика обработки ПДн — это основной документ оператора (ИП, компании) (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). В ней указывают ключевые сведения о деятельности:
данные оператора — наименование, адрес, контактные данные;
типы персональных данных — общие, специальные, биометрические (ст. 10, 11 закона № 152-ФЗ);
категории субъектов ПДн — клиенты (при необходимости указывают другие категории — сотрудники, контрагенты);
информация об ответственном за организацию обработки ПДн;
меры по защите персональных данных от утечек (соблюдение информационной безопасности);
правовое основание обработки — согласие физлица, условия договора;
форма и сроки хранения персональных данных.
2. Подготовка пакета ЛНА — самая объемная часть работы: всего насчитывается 100+ разных приказов, положений, инструкций и актов, которые определяют законность действий компаний при работе с ПДН. У ИП пакет может состоять из 20–30 документов. Это зависит от конкретной деятельности и целей бизнеса. Вот лишь часть локальных (внутренних) документов:
Приказы — об ответственном, о местах хранения материальных носителей ПДн, о допущенных к обработке лицах.
Положения — о комиссии по защите ПДн, об ответственности работников, о порядке уничтожения данных.
Согласия — на обработку ПДн, на распространение данных, на рекламную рассылку.
Инструкции, журналы, акты.
Политика обработки ПДн и ЛНА — это фундамент для законной работы с персональными данными, без штрафов и предписаний. Специалисты «Центра безопасности данных» проведут аудит текущих процессов на соблюдение норм закона № 152-ФЗ и помогут составить полный пакет внутренних документов (с учетом специфики бизнеса и требований РКН).
3. Регистрация в реестре операторов
Роскомнадзор — это уполномоченный орган, который присваивает статус оператора и ведет специальный реестр (учет компаний, ИП, бизнеса). После подготовки комплекта документов бизнес подает уведомление в РКН одним из способов:
Заполнить уведомление на сайте Роскомнадзора. Потребуется настроенный плагин КриптоПро ЭЦП Browser plug-in.
С помощью профиля на «Госуслугах». У организации должен быть подтвержденный профиль. У сотрудника — привязанная запись к профилю компании (если уведомление подает доверенное лицо).
Направить бумажное уведомление по Почте России. Перед этим нужно заполнить и скачать документ на сайте Роскомнадзора.
По закону у Роскомнадзора есть 30 дней на рассмотрение заявления и включение оператора в реестр (ч. 4 ст. 22 закона № 152-ФЗ). На практике ответ приходит быстрее. Важно — ведомство может отказать в присвоении статуса оператора, если обнаружит в уведомлении ошибки. В этом случае нужно исправить недочет и отправить повторно.
Примечание: с 2025 года штрафы в области персональных данных выросли в кратном размере. Отсутствие уведомления влечет штрафы на организации и ИП до 300 тыс. руб. (ч. 10 ст. 13.11 КоАП). При проверках Роскомнадзор первым делом сверяет фактические процессы компании с указанными в уведомлении, поэтому при подготовке документа следует отражать реальную деятельность.
Перечень необходимых сведений указан в ч. 3 ст. 22 закона № 152-ФЗ. Удобнее всего заполнить документ на сайте Роскомнадзора, пройдя авторизацию на «Госуслугах». Часть информации подтянется автоматически, на остальную часть потребуется проставить «галочки» и заполнить поля минимальными данными. Ознакомьтесь с примером заполненного документа.
Нужна помощь по регистрации в реестре Роскомнадзора? Специалисты «Центра безопасности данных» подготовят уведомление с учетом специфики бизнеса и подадут сведения на включение в реестр операторов.
4. Согласия от клиентов на обработку их данных
Бизнес вправе обрабатывать персональные данные клиентов в отсутствие иных законных оснований только с их согласия (п. 1 ч. 1 ст. 6 закона № 152-ФЗ). Получить согласие можно в письменной или электронной форме на усмотрение бизнеса. При продаже товаров или оказании услуг через интернет онлайн-форма согласия — наиболее оптимальная.
Как правильно реализовать сбор согласий:
Чекбокс на сайте. Клиент собственноручно ставит «галочку», соглашаясь на передачу своих данных. Форма согласия должна быть оформлена отдельно (как самостоятельный документ): по ссылке клиент может перейти и ознакомиться с документом.
СМС-код или звонок. Например, клиент передает свои данные бизнесу по телефону для подключения к программе лояльности. Система направляет клиенту сообщение с кодом или совершает звонок, клиент подтверждает передачу данных. Важно — клиент должен быть уверен в надежности оператора, чтобы данные не попали в руки мошенников.
Двойное подтверждение (double opt-in). Например, клиент заполняет форму на сайте (оставляет свой адрес email или номер телефона), а затем подтверждает согласие по электронной почте или ответном СМС.
Ключевое требование: согласие оформляется как самостоятельный документ, клиент должен явно дать разрешение на обработку (нажать на кнопку, поставить «галочку» в чекбоксе и т. д.). На сайте форме подтверждения согласия отводится видное место (например, всплывает окно при входе на сайт).
5. Оптимизация сайта
Современный бизнес уже давно переводит отношения с клиентами в онлайн-пространство. Компании собирают cookie-файлы, email-адреса, IP, контактные данные и адреса для доставки.
Сайт — это мощный инструмент для работы с клиентами, но вместе с тем он может подвести бизнес под миллионные штрафы. Например, через сайт может произойти утечка данных: за это штрафы на организации и ИП доходят до 500 млн руб. или бизнес уплачивает 1–3% от годовой выручки (ч. 18 ст. 13.11 КоАП).
С 2025 года ужесточены правила локализации данных: бизнес должен отказаться от зарубежных сервисов (ПО, форм, виджетов и т. д.), которые нарушают российское законодательство, или использовать отечественные аналоги.
На что обратить внимание на сайте:
Сервисы Google (Google Analytics, Google Forms, reCaptcha и др.). При входе на сайт метрические системы «считывают» данные посетителей (IP, браузер, геолокацию). Избежать нарушения закона можно с помощью установки Яндекс.Метрики, Smart Captcha.
Виджеты WhatsApp1 / Телеграм. При заполнении форм обратной связи данные пользователей уходят на серверы США, Европы. Часть зарубежных стран отказывается соблюдать российские законы, поэтому правительство РФ ограничивает использование виджетов с прямой передачей данных за границу.
Формы обратной связи, онлайн-чаты — которые собраны с помощью иностранных конструкторов или интегрированы с иностранными платформами. Например, нельзя применять сервисы для общения с клиентами — Zendesk, Tawk.to, конструкторы форм и анкет — Jotform, Typeform.
Другие разработки IT, использующие внешние JS-библиотеки и зарубежные сервисы.
Примечание: законодательство не запрещает использовать зарубежные ПО и решения, если они не нарушают правила локализации. Ключевое требование — первичная обработка персональных данных должна происходить в России. Бизнес может использовать иностранные сервисы, если направит в Роскомнадзор соответствующее уведомление и получит разрешение. Операторы-новички должны сразу сообщить в РКН об использовании иностранных сервисов.
Услуги в области персональных данных
Закажите полный комплекс услуг по защите персональных данных «под ключ». Мы проведем работы в кратчайший срок и по оптимальной цене
6. Защита персональных данных
Создание надежной системы защиты (СЗПДн) — это одна из первостепенных задач бизнеса. Она включает:
правильный сбор, хранение и уничтожение персональных данных;
обеспечение мест хранения материальных носителей ПДн;
работа с обращениями граждан (ведение журнала учета, ответы на вопросы);
подготовка документов, в частности Модели угроз безопасности;
уведомление Роскомнадзора в случае утечек данных, компьютерных атак, несанкционированного доступа;
создание рабочей группы по расследованию происшествий;
применение российского ПО и баз данных.
Информирование Роскомнадзора в случае утечек. В случае происшествий, повлекших утечку персональных данных клиентов, оператор должен уведомить Роскомнадзор в течение 24 часов. А затем провести внутреннее расследование в течение 72 часов и отчитаться в ведомство о результатах (ч. 3.1 ст. 21 закона № 152-ФЗ).
Способы хранения материальных носителей персональных данных. Для хранения используют сейфы, закрытые комнаты, помещения с видеонаблюдением. Доступ к носителям должен быть только у уполномоченных сотрудников.
Правило локализации. При работе с персональными данными (клиентов, сотрудников, пациентов и других категорий физлиц) нужно использовать базы данных, которые располагаются на территории РФ (ч. 5 ст. 18 закона № 152-ФЗ).
В нашем Центре вам помогут создать надежную СЗПДн, которая обеспечит безопасность данных, защитит базы данных от вредоносного ПО, сформирует положительный образ бизнеса для госорганов и партнеров.
7. Подготовка к проверкам Роскомнадзора
Роскомнадзор проводит плановые и внеплановые проверки бизнеса:
Плановые проверки — это визиты ведомства по заранее сформированному графику. В 2025 году таких проверок запланировано не было, но уже в 2026 году Роскомнадзор опубликовал план проверок.
Внеплановые проверки — поводом для них могут стать жалобы клиентов или обращения «бдительных» конкурентов.
Внеплановые проверки — самые неожиданные для бизнеса, поэтому всегда нужно держать руку на пульсе: привести в порядок документы, проверить актуальность сведений в реестре операторов, исправить недочеты на сайте.
РКН вправе проводить выездные онлайн-проверки — без физического посещения места ведения бизнеса. Для этого ведомство использует приложение «Инспектор» или другие технические средства фото- и видеофиксации. В рамках выездной проверки Роскомнадзор может запрашивать сведения и документы.
Сайты — самое уязвимое место бизнеса. Для их мониторинга Роскомнадзор применяет ИИ-технологии: умные алгоритмы выявляют нарушения на веб-ресурсах, а сами проверки проходят без предупреждения бизнеса.
Примечание: в 2025 году Роскомнадзор нарабатывал практику взаимодействия с бизнесом. Компании получали предписания об исправлении нарушений. Но уже в 2026 году ведомство переходит к активным действиям, возрастет количество проверок бизнеса и штрафов.
В «Центре безопасности данных» вам помогут подготовиться к проверкам РКН и не довести дело до штрафов. Специалисты проведут консультации, составят план действий, подготовят ответы на письма Роскомнадзора. Вы получите рабочие стратегии и рекомендации.
Подведем итоги
В рамках одной статьи невозможно охватить все требования к операторам при работе с данными клиентов. Если у вас остались вопросы, то обратитесь в «Центр безопасности данных»: специалисты проведут консультацию и ответят на ваши вопросы.
Перечислим, что нужно сделать бизнесу:
Подготовьте политику обработки ПДн и ЛНА.
Зарегистрируйтесь в реестре Роскомнадзора (подайте уведомление в РКН). Проверить наличие записи в реестре можно на сайте РКН.
Действующим операторам: проверьте актуальность сведений в реестре и внесите изменения (при необходимости). Подать уведомление о внесении изменений нужно до 15 числа следующего месяца после появления изменения.
Приказом назначьте ответственного за организацию обработки персональных данных. Это может быть уполномоченный сотрудник или сам руководитель.
Проверьте сайт на соблюдение требований о трансграничной передаче данных. Избавьтесь от запрещенных сервисов, ПО, форм, виджетов и др.
Всегда будьте готовы к проверкам Роскомнадзора, чтобы даже профилактический визит не застал вас врасплох. Если есть сомнения в корректности бизнес-процессов, то готовы проконсультировать вас по всем вопросам.
Читайте также:
10 самых важных документов, которые должны быть у каждого оператора персональных данных в 2026 году.
Как подготовить сайт к проверке Роскомнадзора в 2026 году: с учетом новых требований.
Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFH4YGkZ
- Деятельность компании Meta Platforms Inc. (Facebook и Instagram) на территории РФ запрещена
Начать дискуссию