Новые реалии
Согласно опросу представителей российского бизнеса, 70% компаний не соответствуют требованиям закона о защите персональных данных. Данные показали, что 31% предпринимателей пока не знают, что делать, чтобы соответствовать требованиям, или у них нет на это денег и времени.
При этом актуальность грамотного подхода к юридическому сопровождению онлайн-деятельности сложно переоценить. С 2025 года вступили в силу новые положения, которые обязали практически все компании, работающие с персональными данными, сообщать Роскомнадзору об их обработке. А главное — многократно выросли штрафы: теперь за нарушения в области обработки персональных данных юридическим лицам грозят штрафы до 5 миллионов рублей, при повторных нарушениях возможно приостановление деятельности до 90 суток.
Как работать с персональными данными
В первую очередь стоит начать с построения корректной работы с чувствительной информаций. Чтобы привести обработку персональных данных в соответствие с законодательными нормами, необходим комплексный подход. Упустив один элемент, например, не настроив безопасное хранение или не обучив сотрудников, компания рискует получить штраф, даже если все остальные процессы настроены правильно.
Вот что нужно сделать:
Провести аудит и анализ текущей ситуации
Самое важное — начать с анализа того, как данные реально хранятся и обрабатываются в компании. Составьте полную карту движения информации: от момента сбора (форма на сайте, договор) до хранения (базы данных, облака, CRM-системы) и уничтожения (удаление из всех систем). Это основа для всех дальнейших действий.
Для этого нужно ответить на эти вопросы:
Какие именно данные вы собираете (e-mail, телефоны, паспортные данные, биометрия)?
От кого (клиенты, сотрудники, партнеры) вы собираете данные?
Где и в каких системах они хранятся (локальные серверы, российские или зарубежные облачные сервисы, CRM-системы, почтовые рассылки, Excel-таблицы)?
Кто из сотрудников имеет к данным доступ, на каком основании и с какими правами (просмотр, редактирование, удаление)?
Кому и при каких условиях данные передаются (сторонние сервисы рассылок, бухгалтерия, call-центр, партнеры, аналитические системы)?
Как и когда данные уничтожаются, когда в них отпадает необходимость?
Анализ ответов на эти вопросы покажет ключевые расхождения между официальными документами и реальными процессами, а также выделит основные зоны риска.
Привести в порядок публичную информацию
Обратите внимание на наиболее заметные процессы, связанные с персональными данными — которые доступны для проверки как клиентам, так и контролирующим органам. Речь идет о документах и механизмах, которые должны быть открыто опубликованы:
Реестр операторов персональных данных Роскомнадзора. Если вы собираете персональные данные, необходимо подать уведомление об обработке персональных данных в ведомство. Если уведомление уже подано — важно убедиться, что его содержание соответствует реальным процессам. Однако подавать уведомление в Роскомнадзор нужно не всем. Закон освобождает от этой обязанности, если вы обрабатываете данные вручную без использования компьютера, либо работаете с государственными системами безопасности, либо ваша деятельность напрямую связана с транспортной безопасностью.
Сайт компании. Приведите в порядок основной публичный ресурс. Так, например, нужно разместить актуальную и полную политику конфиденциальности, настроить корректное уведомление об использовании cookie-файлов и получение согласия на их размещение. Также необходимо проверить все формы обратной связи, подписки и регистрации: согласие на обработку персональных данных должно собираться через галочку, которую пользователь ставит самостоятельно.
Настроить внутренние процессы
Те процессы, которые не видят ни клиенты, ни регуляторы, как раз и создают настоящую защиту данных. Если к ним отнестись формально или вообще проигнорировать, неизбежны утечки и системные сбои. Такие проблемы сложно найти и еще дороже исправить. Цифры это подтверждают: по статистике KT.Team, до 60% утечек происходят по вине самих сотрудников — из-за ошибок или целенаправленных действий.
Правовые меры. Нужно разработать пакет внутренних документов, описывающий реальные процессы работы с персональными данными в компании. Главным документом станет политика обработки персональных данных — в ней прописаны правила работы с данными. Важно, чтобы она полностью соответствовала результатам аудита — тогда то, что написано в документе, будет совпадать с реальными процессами в компании. Для сотрудников нужно создать четкие инструкции — это должны быть простые и понятные памятки для разных ролей (менеджера, бухгалтера, маркетолога), где пошагово расписаны повседневные действия с персональными данными: что можно, чего нельзя и как именно реагировать на запросы клиентов. Последний шаг — настроить права доступа к базам данных. Нужно закрепить за каждым сотрудником или отделом только те данные и права, которые им необходимы для работы (просмотр или редактирование).
Организационные меры. Безопасность данных зависит от грамотности сотрудников. Поэтому важно регулярно обучать команду, особенно новых специалистов, которые будут работать с персональными данными. Обучение должно быть практическим: разбирайте не только законы, но и реальные кейсы из работы компании. Нужно научить персонал основам безопасности — например, запрещать передачу паролей и объяснять риски работы в публичных сетях. Также важно, чтобы каждый сотрудник четко понимал, как действовать в случае инцидента.
Технические меры. Важно также защитить данные на уровне IT-инфраструктуры. Поручите системному администратору или IT-отделу настроить антивирусное ПО, средства защиты от несанкционированного доступа (межсетевые экраны, системы защиты информации) и системы аудита, которые фиксируют все действия с базами данных. Для проведения аудита и настройки сложных систем (например, разграничения прав доступа, шифрования каналов связи, внедрения систем аудита) лучше привлечь внешних IT-специалистов или компанию, специализирующуюся на информационной безопасности. Они проверят, как хранятся и обрабатываются данные, и дадут конкретные рекомендации.
Как работать с офертами и политиками конфиденциальности
Хорошо прописанные оферта и политика конфиденциальности защитят вас в спорных ситуациях. Они дают право не возвращать деньги, если клиент просто передумал, и помогают доказать, что он был со всем согласен при покупке товара. А еще с ними вы спокойно пройдете проверку по персональным данным без штрафов.
Сейчас рассмотрим, какие есть распространенные ошибки в оформлении документов и как их можно исправить.
Копирование чужих документов. Кажется быстрым решением, но приводит к принятию чужих условий работы. Например, если скопировать оферту из интернет-магазина для образовательной платформы, можно обязать вернуть деньги за пройденный курс. Чтобы избежать финансовых потерь и судебных споров, нужно прописывать в оферте именно ваши условия продаж, оплаты и возвратов, а в политике конфиденциальности — реальные процессы обработки данных.
Отсутствие ссылок на документы на сайте. Даже идеально составленные документы бесполезны, если их нельзя найти. Исправить ситуацию просто: добавьте в уведомление о данных прямые ссылки на документы и сделайте так, чтобы пользователь обязательно ставил галочку согласия перед тем, как что-либо сделать.
Противоречия между документами и рекламой. Это создает юридические ловушки для бизнеса. Например, когда реклама сообщает о возврате при неудовлетворенности услугой, а оферта разрешает возврат только при технических сбоях. В таких случаях суд будет на стороне клиента. Регулярную сверку текстов на сайте, в рекламных материалах и юридических документах лучше всего поручить ответственному менеджеру или юристу. Этот специалист будет следить, чтобы во всех документах и рекламе были одинаковые условия по ценам, срокам, оплате и возвратам, устраняя любые разночтения.
Несоответствие политики конфиденциальности в реальной практике. Часто в политике заявлено, что данные не передаются третьим лицам, хотя фактически используются CRM-системы, сервисы рассылок и другие инструменты. Нужно четко указывать всех операторов, обрабатывающих данные, и своевременно обновлять эти сведения при смене технологий.
Отсутствие реквизитов компании. Без полного наименования, ИНН, ОГРН и юридического адреса документы не соответствуют требованиям законодательства. Реквизиты должны быть указаны в конце как оферты, так и политики конфиденциальности.
Не указаны даты публикации документов. Без дат невозможно определить актуальную версию документов. Нужно обязательно указывать дату публикации и обновления, а также хранить архив предыдущих редакций.
Сайт, который не получит штраф
Сегодня сайт становится не просто витриной, а полноценным рабочим местом компании — местом, где заключаются сделки, обрабатываются данные и формируются правовые отношения. Именно поэтому его юридическая корректность не менее важна, чем дизайн и функциональность.
Свести риски к минимуму поможет регулярная проверка по базовым критериям. Ориентируйтесь на этот чек-лист:
Все юридические документы должны быть актуальными и соответствовать реальной деятельности компании.
Пользователь должен явно подтверждать согласие с офертой и политикой конфиденциальности перед любыми действиями.
Реквизиты компании должны быть полными и доступными в открытом доступе.
Все сообщения в рекламе должны полностью соответствовать условиям в юридических документах.
Используемый контент должен иметь подтвержденные права на публикацию.
Данные пользователей должны обрабатываться только с их явного согласия и храниться в соответствии с законом.
В 2025 году, когда 70% компаний всё еще не соответствуют требованиям по защите персональных данных, юридическая грамотность становится реальным конкурентным преимуществом — таким же важным, как качественный продукт или маркетинговая стратегия. Комплексный подход — от корректной работы с персональными данными до юридически безупречных документов и онлайн-витрины — не только защищает от штрафов и судебных разбирательств, но и формирует устойчивые отношения с клиентами.
Начать дискуссию