11.06.2025 06:30
zarlaw 10 1800 Источник

В эпоху «больших данных» даже небольшая форма обратной связи на сайте — риск для владельца бизнеса. Любая digital‑компания, собирающая пользовательские данные, автоматически попадает в зону интереса Роскомнадзора (РКН). О том, как проходят проверки, что вызывает вопросы у инспекторов и что делать, чтобы минимизировать риски — этот разбор.

РКН проверяет сайты — Вас могут даже не уведомить

Проверки РКН часто проходят незаметно для самих владельцев сайтов. Вы можете даже не догадываться, что сайт уже посетил сотрудник РКН — до момента, когда на корпоративную почту «прилетает» официальный запрос.

Типичный запрос от РКН может содержать:

  • вопрос, почему Ваша компания не включена в реестр операторов персональных данных (ПДн);

  • просьбу предоставить перечень реализованных мер по защите ПДн;

  • требования привести внутренние локальные акты по обработке персональных данных;

  • запрос на контактные данные ответственного за обработку ПДн.

После получения этих документов РКН оценивает, соответствует ли деятельность закону, и при необходимости инициирует административную процедуру.

Кого проверяют чаще всего

В приоритете для инспекторов — сайты, на которых собираются личные данные: имя, адрес, e‑mail, телефоны и, конечно, cookie‑файлы. Причём даже если Вы используете только стандартные средства аналитики (Google Analytics, Яндекс.Метрика), Вы уже в группе риска.

Например: если проект использует cookie, но не уведомляет об этом пользователя — шанс получить внимание РКН повышается. Нарушение может стоить Вашему бизнесу от 500 000 до 1,5 млн рублей в зависимости от тяжести проступка.

На что смотрит РКН: типовые нарушения

Соблюдение требований по локализации данных (размещение серверов на территории РФ)
Порядок использования и раскрытие информации о cookie‑файлах
Корректная политика обработки персональных данных (ПДн)
Получение согласий на обработку данных (принцип «1 цель — 1 согласие»)
Внесение организации в реестр операторов ПДн
Исключительно важна синхронизация всех юридических и публичных документов: если в реестре указывается ограниченный список собираемых данных — а на сайте запрашивается больше информации, это автоматически трактуется как нарушение.

Пример: в реестре указали — телефон и почта, а форма регистрации на сайте дополнительно требует дату рождения. Получается несоответствие — есть повод для штрафа.

Как избежать претензий РКН

  1. Проведите аудит сайта. Проверьте, какие персональные данные собираются через формы, куки и плагины.

  2. Синхронизируйте документы. Политика обработки ПДн, пользовательское соглашение и записи в реестре операторов должны быть идентичны и актуальны.

  3. Проверьте наличие согласий. Убедитесь, что согласия на обработку персональных данных получаются корректно: отдельная галочка под каждую цель.

  4. Назначьте ответственного. Это обязательное требование — без лица, отвечающего за ПДн, велика вероятность штрафа.

  5. Если уже получили запрос от РКН — не тяните. Готовьте ответы совместно с юристами и ИТ‑специалистами, собирайте все доказательства соблюдения требований.

Комментарии (10)


  1. TsarS
    11.06.2025 06:36
    #28424412

    Ну как-то "делайте хорошо и хорошо будет". Привели бы примеры политики "политика обработки персональных данных", согласия, а где хранятся эти персональные данные, а что делать, если пользователь хочет отозвать согласие, а как будете уничтожать, а есть ли журнал уничтожения, а что будет, если добавляются третьи лица, которые должны получить доступ к ПС, надо ли оповещать пользователей или это можно юридически прописать изначально в политике, пример ответа РКН и т.д. и т.п.


    1. zarlaw Автор
      11.06.2025 06:36
      #28424452

      вопросы правильные, но в таком случае у нас получилась бы книга) про отзыв согласий и хранение обязательно сделаем отдельные статьи.
      В этой статье наша задача была подчеркнуть одну важную вещь- РКН рандомно роверяет сайты и даже если никакой проверки в отношении организации нет это ничего не значит.

      Журналы уничтожения, хранение и прочие вопросы это "внутрянка" работы с ПДн.

      Но выдает вас внешний фасад:

      • нет в реестре;

      • нет политики на видном месте;

      • нет согласий или они не совпадают с формой сбора и политикой


  1. ky0
    11.06.2025 06:36
    #28424544

    Поскольку плюс-минус известны диапазоны, откуда это непотребство ходит, можно сделать финт ушами: https://github.com/freemedia-tech/nginx-rugov-block


  1. Newm
    11.06.2025 06:36
    #28424692

    Опишите обоснование со стороны РКН "типичного запроса"... С какого перепугу у них появилось право по своей инициативе давать такие запросы:

    Типичный запрос от РКН может содержать:

    • вопрос, почему Ваша компания не включена в реестр операторов персональных данных (ПДн);

    • просьбу предоставить перечень реализованных мер по защите ПДн;

    • требования привести внутренние локальные акты по обработке персональных данных;

    • запрос на контактные данные ответственного за обработку ПДн.

    Меня интересует именно норма законодательства, которая такое право дает РКН.


    1. zarlaw Автор
      11.06.2025 06:36
      #28424718

      вот вам выдержка из реального запроса РКН (с некоторыми сокращениями):

      • ст. 23 152 ФЗ определяет, что РКН уполномоченный орган по защите прав субъектов ПДн;

      • ч 1 ст 18 152ФЗ возлагает на операторов ряд обязанностей;

      • на основании ч 4 ст 18.1, п 1 части 3 ст 23 и п 10.1 Положения об управлении Федеральной службы по надзору в сфере связи, информ технологий и массовых коммуникаций по Центральному федеральному округу утв приказом РКН № 38 от 25.01.2016 направляем запрос о предоставлении документов и локальных актов, подтверждающих принятие мер, а также просим ответить на вопросы


      1. Newm
        11.06.2025 06:36
        #28425218

        Спасибо... Мда... О наличии ч 4 ст 18.1 152-ФЗ я как-то не знал:(. Кроме как ни ... себе мне сказать нечего.

        4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.

        ИП с одним по дурости официально устроенным работником влетает в обязанность поддерживать актуальными под 100 страниц серьезной юридической байды:(.


  1. StasTukalo
    11.06.2025 06:36
    #28424846

    Какой кабздец. А никак нельзя небыть оператором пд? А то какой-то дурдом на ровном месте- например ипэшник сделал инетмагаз и торгует в одно лицо- а к нему требования как к большой корпорации- ответственных назначьте, процедуры-протоколы и весь вышеописанный бред.. Неговоря уже про то, что форма комментирования в бложике теперь тоже может за уши быть притянута..

    Что-то явно перемудрили товарищи законодатели..


    1. zarlaw Автор
      11.06.2025 06:36
      #28425060

      к сожалению не быть опертором можно только если не работать с ПДн

      что собственно практически невозможно, если у тебя есть работники и клиенты (сайт)

      на самом деле все не так страшно - звучит сложно, но чтобы накрасить "фасад" и не привлекать какое - то время внимание санитаров (РКН) можно огбойтись малой кровью


  1. c0r3dump
    11.06.2025 06:36
    #28424854

    Это касается только юридических лиц? Если, например, у меня личный некоммерческий форум где нужна почта для регистрации, то тоже нужно предупреждение и все остальное?


    1. zarlaw Автор
      11.06.2025 06:36
      #28425068

      а эти данные вам как физику попадают?