Что должно быть на сайте, какие документы нужно разработать и разместить, перечень обязательных требований Роскомнадзора при проверке. Актуальный чек-лист, который поможет избежать штрафов до 18 млн рублей. Пользуйтесь, спасибо скажете потом)
? Сохраните у себя в закладках, чтобы не потерять! Используйте, как чек лист для проверки, чтобы случайно не прилетел штраф. Можно, поделиться с коллегами.
? Если вы, еще не подали уведомление в Роскомнадзор, рекомендую - сделать немедленно!
Не подавать, не получится! Сильно высокий риск получить штраф в будущем. Роскомнадзор, делает проверку сайтов автоматически!
Да, меня это не касается ...
Да, меня пронесет ...
Разочарую вас, касается всех владельцев сайтов без исключения, вас НЕ пронесет, Роскомнадзор сканирует сайты при помощи искусственного интеллекта (ИИ).
Я вас прекрасно понимаю, не хочется, дорого, нет денег, пустая трата денег, а не инвестиция, чтобы не закрылся бизнес и тд ...
Я все прекрасно понимаю и вижу, как мои клиенты пытаются самостоятельно подать уведомление, подготовить список документов и внедряют правки на сайт с ошибками.
Чтобы облегчить эту задачу, я подготовил чек-лист, используя который, вы сможете сделать все правильно и избежать штрафов.
Итак, поехали ...
Всем привет. Меня зовут Толстенко Александр. Я эксперт по Маркетингу и SEO-оптимизации сайтов. Ознакомиться с другими статьями и кейсами, можно в профиле habr.
Чек-лист для владельцев сайтов и бизнесов
✅ 1.) Подать уведомление в Роскомнадзор
? После подачи уведомления, в течении нескольких дней, на сайте должна появиться: "Политика конфиденциальности" и "Политика согласия на обработку персональных данных" + "внедрены правки на сайт" (о них ниже).
Как заполнить форму уведомления в Роскомнадзор
Подробная инструкция коллег по ссылке
https://getcourse.ru/blog/1030544
Также, нужно подать уведомление в РКН о трансграничной передаче персональных данных, если у вас на сайте стоят счетчик Google Analytics или ваша база данных находится не в РФ.
По ссылке ниже, коллеги подробно описали, что такое персональные данные, как избежать штрафов и что нужно знать о новых поправках в ФЗ, чтобы не нарушить закон.
https://tilda.education/articles-personal-data-law
? Рекомендую ознакомиться. Не вижу смысла на этом останавливаться подробно.
✅ 2.) Создать политику обработки персональных данных на сайте
Политика обработки персональных данных на сайте — это документ, который регламентирует:
Какие данные собираются (например, имя, email, телефон, cookie).
Цели обработки (регистрация, рассылки и т. д.).
Сроки хранения и меры защиты данных и т.д.
? За отсутствие, будет штраф и могут наложить блокировку на сайт
✅ 3.) Разработать согласие на обработку персональных данных
Согласие на обработку персональных данных — это разрешение пользователя на сбор и использование его личной информации (имя, email, телефон и др.) в соответствии с Политикой конфиденциальности сайта.
Требуется в случаях:
Регистрации на сайте / в приложении
Подписке на рассылку, оформлении заказа
В онлайн-чате, если сохраняются данные
Везде, где происходит сбор пользовательских данных.
✅ 4.) Подписать согласие на обработку персональных данных для сотрудников
Со всех сотрудников, которые имеют доступ к персональным данным, под роспись необходимо взять отдельное согласие (даже если в трудовом договоре есть условия об обработке данных).
✅ 5.) Подписать согласие на обработку персональных данных для пациентов
Для медицинских центров, клиник и т.д. с пациентов необходимо взять писенное согласие на обработку их персональных данных.
✅ 6.) Разместить сайт на Российском хостинге, запретить трансграничную передачу данных
Размещение сайтов на иностранных серверах и передачу данных за рубеж приравнивается к трансграничной передаче ПДн.
Если не подавали уведомление в Роскомнадзоре на передачу данных за рубеж:
1.) Разместите сайт на Российском хостинге
2.) Удалите с html кода скрипты собирающие персональные данные: Google Analytics (Google Tag Manager), Google Search Console, Facebook Pixel и другие.
? С 01.06.25 на российских сайтах без трансграничной передачи ПДн, Роскомнадзор запрещает передавать и хранить данные на серверах находящиеся не в РФ
А также, рекомендую:
3.) Не использовать иностранные облака (Google Drive, Dropbox, iCloud и др.).
4.) Не используйте ПО, базы данных, CRM и ERP системы без российской сертификации.
✅ 7.) Разместить в подвале (футере) ссылки на документы
1.1.) Кликабельную ссылку с текстом на документ: "Политика конфиденциальности"
1.2.) Кликабельную ссылку с текстом на документ: "Политика обработки персональных данных"
1.3.) Если на сайте принимаете онлайн оплату - кликабельную ссылку на "Оферту"
✅ 8.) Сделать пустые чек-боксы в формах
? Во всех формах обратной связи и если есть: формы комментариев на сайте и рекламной рассылки, где пользователи сайта оставляют: имя, телефон, email почту - должны быть пустые чек-боксы, а также добавлен текст и ссылки на следующие документы:
1.) Согласен на обработку персональных данных.
2.) Согласен с политикой обработки персональных данных.
Если отправляете клиентам информацию рекламного характера (акции, мероприятия и т.д.)
3.) Согласен на получение информации рекламного характера
? ВАЖНО: Каждый пункт должен быть отдельным чек-боксом, т.е. может быть до 3-х чекбоксов! Все они должны быть без галочек! Без проставления всех галочек - нельзя отправить сообщение!
✅ 9.) Сделать баннер Cookie-уведомления и добавить ссылки на политики
При первом заходе на сайт, пользователь должен увидеть всплывающее уведомление, что на сайте собираются cookie файлы, в котором должны быть ссылки на политики. Пример как должен выглядеть блок на фото.
?ВАЖНО: Проводите периодически профилактический аудит, так как сейчас законодательство активно меняется.
Что важно знать о проверках Роскомнадзора по защите персональных данных
Проверки Роскомнадзора (РКН) могут быть плановыми (по графику) и внеплановыми (по жалобе или утечке данных).
1. Кого проверяют
РКН проверяет всех операторов персональных данных, то есть любые компании, ИП и госорганы, которые собирают, хранят или обрабатывают ПДн через сайт, CRM и базы клиентов.
2. Как проходят проверки?
Плановые проверки
Проводится раз в 3 года (если компания в реестре рисков).
Уведомляют за 3 рабочих дня (по почте или через Госуслуги).
Проверяют:- Правильность хранения ПДн.- Наличие документов (политика конфиденциальности, согласия и тд.).- Защиту данных (шифрование, доступ сотрудников и т.д.).
Внеплановые проверки
Может начаться без предупреждения (по жалобе клиента или утечке данных).
Основания для проверки:- Жалоба гражданина (конкурента) за нарушение его прав.- Утечка данных (например, слив базы клиентов).- Запрос прокуратуры или ФСБ.
3. Что проверяют?
РКН запрашивает: Документы из чек листа выше, техническую защиту данных, места хранения данных (российские сервера, отказ от зарубежных облаков). Права граждан (возможность отозвать согласие, удалить данные).
4. Какие штрафы?
В зависимости от нарушений, штрафы могут быть от 300 000 до 18 миллионов рублей и блокировка сайта.
В качестве вывода
Думаю, это серьезный повод, привести все в порядок, чтобы не закрыть бизнес. Внедрите рекомендации из чек-листа и подайте заявление в электронном или бумажном виде, если этого еще не сделали, чтобы быть готовым к изменениям уже сегодня и ваши конкуренты не потопили ваш бизнес завтра (могут настучать специально).
На этом все, спасибо за внимание.
? Это важно: Не откладывайте!
? Если есть, чем дополнить или остались какие то вопросы, пишите в комментариях или в личные сообщения.
Сохраняйте у себя в закладках, чтобы не потерять! Используйте, как чек лист для проверки, чтобы случайно не прилетел штраф. Можно, поделиться с коллегами
Комментарии (18)
WinLin2
11.06.2025 10:10Какие данные собираются (например, имя, email, телефон, cookie).А если эти данные не собираются, а входят в общедоступные данные юридического лица (см. ЕГРЮЛ) или могут входить в обязательные требования по размещению информации?
Не используйте ПО, базы данных, CRM и ERP системы без российской сертификации.Это уже другие деньги. То есть можно использовать сертифицированную базу и обычную операционную систему или сразу пакетом влипнуть (ставить все отечественное)?
Разместил ФИО и контактный телефон руководителя и тебе счет прилетел на 50 000 руб.
badsynt
11.06.2025 10:10Если персональные данные не собираются (совсем никакие), можно ли (нужно ли?) разместить какой-нибудь баннер, который намекнет, что тут надзирать не над чем?
Lev3250
11.06.2025 10:10Уведомление о куки всё равно надо. И если есть метрики, то и их тоже.
nin-jin
11.06.2025 10:10Уведомление о куки всё равно надо.
Кука сама по себе не является ПД, пока вы не привязываете к ней ПД.
И если есть метрики, то и их тоже.
Только про эти трекеры и надо уведомлять, ибо для работы сайта они не нужны.
Lev3250
11.06.2025 10:10Я говорю это но основе опыта обращения с представителем ркн.
Есть техническая сторона вопроса, есть закон. А есть служащий, который читал всё это по диагонали. И даже если вам удастся доказать потом в суде, что блокировка или штраф были необоснованным, то всё равно, зачем рисковать? Докинуть плашку о куки дело 5 мин (если что, чатгпт в помощь), а сколько нервов сэкономит!
nin-jin
11.06.2025 10:10Я тоже общался с представителем ркн.
Зачем отстаивать свои права и удобство пользователей? Даже не знаю...
Zed-nsk
11.06.2025 10:10Чем политика конфиденциальности отличается от политики обработки Пдн? Обязательны обе ссылки как на скрине? Практически на каждом первом сайте под кнопкой Политики конфиденциальности торчит 100500 страничная политика обработки пдн с тонной воды внутри. Допустимо ли это, если нет, то пруф пж.
Newm
11.06.2025 10:10Представим ситуацию:
5.) Подписать согласие на обработку персональных данных для пациентов
Для медицинских центров, клиник и т.д. с пациентов необходимо взять писенное согласие на обработку их персональных данных.
Я прихожу и отказываюсь подписать согласие на обработку персональных данных в клинике. И что? Клиника МОЖЕТ отказаться меня принять?
По секрету скажу, что не может, так как я накатаю телегу в РКН, что меня вынуждают подписать согласие. Соответственно его нельзя назвать добровольным.
И таких НЕЗАКОННЫХ пунктов в статье примерно половина. Поэтому просьба авторам - не надо хайповать. Ну изучите сначала законодательство. Ну прочитайте внимательно комментарии к GDPR (где-то на хабре перевод лежит). Ну вникните вы в систему. И уже только после этого пытайтесь давать советы, да и то не выставляйте их как истину в последней инстанции.
Ну и одно из основных надо понять, что брать согласие на обработку персональных данных в тех случаях, когда это согласие не нужно НЕЗАКОННО!!!
Denis-KD
11.06.2025 10:10Если взялись, то
добавьте требования к логированию действий пользователя и хранение согласий. Потребуется подтверждать если будет запрос от РКН.
Требование к безопасному хранению перс. данных.
Назначение ответственных лиц
-
Должен быть определен и документально оформлен владелец сайта (не путать с владельцем домена)
По памяти ещё 10-15 пунктов могу написать, но зачем? )
Задача надзорных органов, надзирать. Задача бизнеса, оценивать риски, наращивать прибыль и уметь находить решения.
0vZ
11.06.2025 10:10А можно цитату из нормативного правового акта, что галочек должно быть обязательно две? Что пользователь вообще должен соглашаться с политикой обработки ПД?
Lev3250
Такой чек лист нужен. Но оформление намекает на использование чатгпт. Поэтому доверять ему я бы не стал
tolstenkoaa Автор
Понимаю, щас много непроверенной инфорамции, доверять моей или нет вы решаете сами
Чеклистом поделилися, т.к. сегодня буду делать рассылку своим клиентам с сылкой на эту статью.
В двух словах тут не рассказать, что нужно сделать на сайте и какие документы нужны. В идеале, список документов должен подготовить юрист, какие документы нужно подготовить, написал.