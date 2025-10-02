Основные понятия и требования к операторам ПДн
Операторы персональных данных (ОПДн) — это компании, ИП, самозанятые и даже физлица, которые выполняют любые действия с персональными данными граждан (интернет-магазины, сайты, медучреждения, госорганы, работодатели).
Действия по обработке ПДн — сбор, хранение, систематизация, обработка, уничтожение. Например, на сайте службы доставки размещена форма заказа. Пользователь указывает свой адрес и номер телефона для оказания услуги. После окончания целей обработки данные физлица должны быть удалены.
Персональные данные — ФИО, адрес, сведения о здоровье, отпечатки пальцев, национальность. ПДн делятся на общие, биометрические и иные. Например, к иным персональным данным относятся сведения о зарплате и стаже сотрудника.
Трансграничная передача данных — отправка сведений на территорию иностранного государства, иностранному юридическому лицу. Например, при нажатии на сайте на кнопку «Написать в WhatsApp1 / Telegram» данные граждан переходят на серверы США.
С 1 июля 2025 года установлен запрет для владельцев сайтов на подобные виджеты, скрипты, чат-боты, онлайн-формы. То есть нельзя передавать данные на зарубежные серверы без первичного их размещения в России.
Роскомнадзор — контролирующий орган в сфере ПДн. Регулятор проверяет сайты на соблюдение закона о персданных, ведет реестр ОПДн, выносит предписания при наличии нарушений.
Что обязан сделать оператор?
Разработать пакет документов оператора ПДн (Политику обработки, приказ о назначении ответственного, регламент по работе с обращениями граждан, журнал учета паролей и доступов и другие ЛНА).
Зарегистрироваться в реестре Роскомнадзора до начала обработки ПДн.
Использовать российские базы, системы и ПО для действий в отношении данных физлиц (хранение, систематизация и т. д.).
Сообщать Роскомнадзору об утечках, происшествиях и мерах по их устранению.
Обрабатывать персональные данные только с согласия их владельцев.
Провести аудит и привести сайты в соответствие новым требованиям Роскомнадзора
2. Обязательные документы для оператора ПДн
Разработка документов — не формальный этап, к нему следует подходить ответственно. Отсутствие или неправильное оформление хотя бы одного документа грозит штрафами и предписаниями от Роскомнадзора. А учитывая, что РКН мониторит сайты в автоматическом режиме, особенно внимательными нужно быть владельцам веб-ресурсов.
Политика в отношении обработки персональных данных
Политика ПДн — публичный документ, который содержит основную информацию для законной работы с персданными (цели обработки, категории субъектов ПДн, категории данных, правовые основания, меры по защите сведений).
Основные действия:
Назначьте ответственного за организацию работы с данными, включая разработку Политики.
Утвердите документ — отдельным распоряжением или грифом «Утверждаю» на первой странице документа.
Ознакомьтесь с документом всех сотрудников под роспись.
Обеспечьте свободный доступ к Политике — опубликуйте в «подвале» сайта (п. 2 ст. 18.1 закона № 152-ФЗ). Если сайта нет, разместите документ в уголке потребителя.
Согласие на обработку персональных данных
Согласие на обработку — разрешение субъекта ПДн на выполнение действий в отношении его данных. Закон устанавливает четкие требования к документу — Согласие «должно быть конкретным, предметным, информированным, сознательным и однозначным» (ч. 1 ст. 9 закона № 152-ФЗ).
Не допускается размытых формулировок и скрытых смыслов в форме «Согласия». Субъект ПДн должен понимать, какие данные он передает и в каких целях их будет использовать оператор.
Структура Согласия на обработку ПДн:
Данные оператора — полное наименование юрлица или ИП.
Цели обработки — рассылка сообщений, доставка, консультация и др.
Перечень данных — ФИО, адрес, email, номер телефона.
Действия с персональными данными — сбор, хранение, передача, обработка, систематизация, удаление.
Срок хранения сведений о физлице.
Возможность и способ отозвать согласие.
Согласие оформляется как в письменной, так и электронной форме. Например, письменная форма применяется банками (при выдаче кредита). А электронная форма, как правило, встречается на сайтах — пользователь проставляет «галочку» в соответствующем окне.
Поправки в ст. 9 закона № 152-ФЗ. С 1 сентября 2025 года Согласие на обработку нужно будет оформлять как отдельный документ. То есть нельзя включать его в Политику обработки или Пользовательское соглашение. Раньше пользователь мог одним нажатием кнопки «Согласен» подтвердить сразу два документа. С начала осени это будет расцениваться как отсутствие согласия.
Рекомендация: владельцам сайтов следует пересмотреть алгоритмы на сайте, актуализировать формы Согласия и предусмотреть на сайте отдельную кнопку или чек-бокс для подписания отдельного Согласия.
Согласие на обработку персональных данных, разрешенных субъектом ПДн для распространения — это отдельный вид согласия, который регулируется нормами ст. 10.1 закона № 152-ФЗ. Также оформляется как самостоятельный документ, обособленно от иных форм. Требования к документу утверждены в приказе Роскомнадзора от 24.02.2021 № 18.
Приказ о назначении ответственного за организацию работы с ПДн
Приказ о назначении ответственного — внутренний документ компании с перечнем обязанностей уполномоченного сотрудника.
Структура документа:
Наименование компании.
ФИО ответственного сотрудника за организацию обработки ПДн. Также можно указать ФИО сотрудника, который будет замещать ответственного в случае его отсутствия.
Обязанности ответственного: контролировать исполнение норм закона № 152-ФЗ, информировать сотрудников о ЛНА и новых требованиях, организовывать работу с обращениями владельцев данных.
Дата и подписи. Приказ подписывает руководитель, ответственный и заместитель ответственного (при его указании).
Кроме того, обязанности уполномоченного лица прописываются в должностной инструкции. Он знакомится с ней под роспись.
Локальные нормативные документы
Список локальных документов (ЛНА) — обширный, в него входят различные приказы, положения, регламенты, инструкции, журналы.
Вот лишь небольшая часть ЛНА:
Приказ об утверждении перечня лиц, допущенных к обработке.
Приказ о проведении оценки вреда, который может быть причинен субъектам ПДн при нарушении требований законодательства.
Положение об ответственности сотрудников за нарушение режима конфиденциальности ПДн.
Приказ об утверждении перечня информационных систем и перечня персональных данных, содержащихся в этих системах.
Положение о порядке уничтожения персональных данных.
Регламент реагирования на запросы и обращения субъектов ПДн.
Акт о классификации информационных систем (ИСПДн).
Журнал учета обращений граждан.
Инструкция администратора информационной безопасности.
Правила оборудования помещений, используемых для обработки ПДн.
3. Требования к владельцам сайтов
С 1 июля 2025 года в закон № 152-ФЗ внесены поправки в отношении трансграничной передачи данных. Особенно эти изменения касаются владельцев сайтов, которые через разные онлайн-формы, скрипты, чат-боты, пиксели передают данные на зарубежные серверы.
Ключевое изменение: нельзя передавать данные пользователей без их первичного размещения в России.
Какие элементы на сайте попали под запрет:
Google Analytics, Google карты, Google reCAPTCHA, Google Tag Manager. Они передают данные на зарубежные серверы (IP-адрес, локацию, браузер и т.д.). Предварительно данные о пользователях должны быть размещены на российских серверах.
WhatsApp1 и Telegram. Когда пользователь нажимает на сайте «Написать в мессенджер» его данные улетают на американские серверы. Правительство накладывает ограничения на мессенджеры и ПО из недружественных стран.
Jatform, Typeforme и другие SaaS-сервисы, используемые для сборки онлайн-форм.
Gmail, Mailchimp, если доставляют данные на территорию иностранного государства.
Кастомные формы, передающие данные за границу посредством внешних JS-библиотек.
Важно! Роскомнадзор запустил автоматическую проверку сайтов на базе ИИ и выявляет нелегитимные элементы.
Что делать оператору ПДн:
Проверить сайт на наличие виджетов, сервисов, форм, пикселей, чат-ботов (WhatsApp1, Telegram, Google Forms, Facebook1 Pixel, Matomo Analytics, CRM, gmail, reCAPTCHA, Cloudflare и т. д.).
Отказаться от западных решений или найти им легитимную замену. Например, использовать Яндекс.Метрику вместо Google Analytics, Captcha от CloudPayments вместо reCAPTCHA. Использовать ссылку на виджеты мессенджеров без передачи данных.
Получить разрешение от Роскомнадзора на использование зарубежных сервисов (если бизнесу без них не обойтись). Для этого нужно отправить уведомление о трансграничной передаче ПДн.
Актуализировать документы: Политику обработки ПДн, Политику по cookies, Согласие на обработку ПДн. В случае профилактической проверки РКН вы сможете предоставить документы по запросу инспекторов.
4. Административная ответственность оператора ПДн
Слово «административная» не должно расслаблять оператора, потому как штрафы исчисляются сотнями тысяч и миллионами рублей. Основные из них собрали в таблице:
Нарушение
Штрафы, руб.
Ссылка на КоАП
на граждан
на должностных лиц
на ИП
на организации
Обработка ПДн без уведомления РКН
до 10 000
до 50 000
до 300 000
до 300 000
Отсутствие публичной Политики обработки ПДн
до 3 000
до 12 000
до 20 000
до 60 000
Любые действия с данными физлиц без из согласия (сбор, хранение, передача и т.д.)
до 15 000
до 300 000
___
до 700 000
Повторное нарушение (отсутствие Согласия на обработку ПДн)
до 30 000
до 500 000
до 1 млн
до 1,5 млн
Утечка ПДн
до 400 000
до 600 000
до 15 млн
до 15 млн
