Для тех, кто в танке, и еще не озаботился вопросом о правильном хранении и сборе Персональных данных, делюсь подробной инструкцией и документами, которые снимут у вас основную головную боль. Мы провели обсуждения с несколькими юристами, коллегами, получили платные консультации.
Делюсь с вами этим бесплатно. Просто пойдите и сделайте как написано
Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному физическому лицу: ФИО, адрес проживания, информация об образовании и трудоустройстве, контактный телефон и электронная почта, раса, пол, группа крови, рост, цвет глаз и пр. В базовом виде, если вы собираете ФИО+телефон или +почта, то вы уже собираете ПД.
Именно поэтому, операторами персональных данных являются все работодатели, которые собирают ПД с помощью автоматизированных систем. То есть даже те, у кого нет сайтов, но есть 1С или CRM, в которой вы храните данные работников или контрагентов, т.к. 1С и CRM — это автоматизированные системы. А если вы храните ПД в Экселе или в блокноте, то вы не пользуетесь автоматизированными системами для сбора ПД, и вам подавать заявление в РКН не надо — можно расслабиться.
⚠️ Нельзя расслабляться, если вы храните ПД в Google-таблицах, т.к. вы нарушаете закон о трансграничной передаче ПД, и вам грозит штраф от 1 до 6 млн рублей. Срочно переходите в эксель.
Есть 3 этапа, которые нужно пройти:
Первым делом нужно подать заявку в РКН, указав основные Цели сбора ПД и адреса ЦОД (дата-центров), где у вас хранятся данные пользователей (а их может быть много! Ниже приведу наш пример)
Привести в порядок сайт: формы, сообщение о сборе кукис, политику конфиденциальности и согласие на обработку ПД. Если у вас есть лендинги, квизы или другие сайты, приводить в порядок нужно их все.
Подготовить все внутренние документы организации, которые требует собрать Роскомнадзор.
Первые два этапа нужно сделать как можно скорее. Третий - в спокойном режиме.
Далее подробно по каждому этапу.
Этап №1. Подача заявки в РКН
Подача заявления начинается тут: https://pd.rkn.gov.ru/operators-registry/notification/
Инструкций по заполнению сейчас в сети уже довольно много. Справится любой бухгалтер.
? Скачать пример нашей заявки, сгенерированной в ЛК РКН
На что нужно обратить внимание:
1️⃣ Регион обработки: лучше указать "вся РФ". Но если есть офлайн-филиалы в регионах, то перечислите регионы в отдельности.
2️⃣ Цели обработки ПД:
Если у вас нет сайта, чат-бота, квиза и прочих ресурсов, на которых с помощью форм обратной связи вы собираете ПД, а только 1С, то укажите только 2 основные цели: 1) Кадровый учет и 2) Исполнение договора
Если в вашем случае больше вариантов, то выберите все подходящие вам цели (их около 30).
Перечень Целей в заявке должен быть строго таким же, как вы указываете в тексте "Политика обработки персональных данных" (РКН это проверит)
3️⃣ Места нахождения баз данных (ЦОД):
Указывается полный адрес ЦОДа: город, улица, дом, номер офиса или квартиры, где стоит сервер, на котором вы храните данные пользователей.
Если у вас ЦОД в аренде (или вы пользуетесь облачным сервисом рассылки, хостинг сайта или Яндекс.Диск), то нужно указать наименование юрлица организации, ИНН, ОГРН и адрес (тут не обязательно указывать адрес конкретного ЦОД, достаточно указать юридический адрес сервиса, его можно найти на сайте или спросить в техподдержке сервиса).
Если вы простой ИП-шник без сайта, рассылки, чат-бота, crm, но есть 1С, то хотя бы один ЦОД вы все-равно должны указать, т.к. с помощью 1С вы уже осуществляете автоматическую обработку данных сотрудников и/или контрагентов. Укажите адрес, где у вас находится 1С. Если это облачная 1С, укажите их юр.адрес.
Например, у нас оказалось 7 ЦОДов: 1) Сайт агентства 4rome.ru — собственный арендованный сервер в РФ 2) 2 лендинга ppc.4rome.ru и zavod.4rome.ru — сервера сервиса “Тильда” 3) CRM — собственный арендованный сервер в РФ 4) Рассылки — сервера сервиса Юнисендер 5) Колтрекинг — сервера сервиса UIS 6) Яндекс.Метрика — сервера Яндекс 7) Заявки через лид-формы — сервера сервиса "Марквиз"
4️⃣ Трансграничная передача ПД
Лучше бы, чтобы у вас ее не было.
Если у вас есть сервисы, которые передают данные сразу за границу (минуя РФ-сервера), например google-analytics, и вы не уведомили об этом РКН, то вам грозит штраф от 1 до 6 млн. рублей.
Если вы уведомите РКН, что у вас есть трансграничная передача данных, то штрафа не будет (пока!), но скорее всего они к вам придут для проверки, что у вас все правильно выстроено и лишние данные не утекают за границу (Проверят все документы, процессы, будут задавать много вопросов. Оно вам надо?)
Этап №2. Приводим все сайты в порядок
Привести в порядок нужно все свои сайты, лендинги и средства коммуникации: рассылки, чат-боты, сервисы для сбора заявок и пр. Везде, где вы собираете персональные данные.
1️⃣ Удалить с сайта Google Analytics, ГУГЛ-формы и Google Tag Manager (GTM) и все другие иностранные сервисы.
?Рискуете заплатить штраф более 1 миллиона за трансграничную передачу данных.
⚠️Google Search Console можно продолжать использовать, т.к. в ней не собираются ПД и кукис.
2️⃣ Если решили оставить Google Analytics, или у вас на сайте какой-то другой иностранный сервис собирает данные, который вам не хочется удалять, то в заявлении в РКН нужно указать, что Осуществляется трансграничная передача данных (но лучше от этого избавится - см. пункт №1)
3️⃣ Разместите в подвале вашего сайта ссылку на документы "Политика обработки Персональных данных" и "Согласие на обработку персональных данных"
При размещении Политики и Согласия — проверяйте, правильно ли внутри нее указаны ссылки на документы. Политика ссылается на Согласие, а Согласие на Политику
В тексте Согласия и Политики должны быть формулировки текстов, которые вы напишете на сайте рядом с галочками в лид-формах. Тексты должны быть одинаковыми везде
Пример наших документов. Пользуйтесь!
? Политика обработки персональных данных
? Согласие на обработку персональных данных
Если у вас на сайте нет лид-форм, либо есть только ссылки перехода в соц.сети по кнопкам «написать нам» или «связаться», то вы на этом сайте не обрабатываете персональные данные и Политику обработки данных размещать НЕ нужно.
4️⃣ Оформление лид-форм на сайтах.
Рядом с каждой формой, где собирается ПД (мейл/телефон + ФИО) поставьте 2 галочки: “Согласие на обработку ПД” и “Согласие на рассылку.” ?Цена вопроса — 500 000 за каждую жалобу на неправомерную рассылку
Рекомендуемые варианты текстов перед лид-формами:
? «Я даю согласие на обработку персональных данных на условиях Политики обработки персональных данных» ? Я согласен получать рекламные и информационные материалы
Если это не форма, а чат-бот, то вместо галочки под кнопкой подтверждения напишите:
«Нажимая на кнопку “Название кнопки”, я даю согласие на обработку персональных данных на условиях Политики обработки персональных данных»
⚠️ Слово «согласие» и слова «политика обработки» кликабельны и ведут на соответствующие тексты.
Если на сайте есть возможность оплаты и/или регистрация пользователей то вместо Согласия вы размещаете Оферту или Пользовательское соглашение. В этом случае, текст первой галочки должен быть другим:
? «Я принимаю условия Оферты, а также даю согласие на обработку персональных данных на условиях Политики обработки персональных данных»
а в чат-боте:
«Нажимая на кнопку “Название кнопки”, я принимаю условия Оферты, а также даю согласие на обработку персональных данных на условиях Политики обработки персональных данных»
⚠️ Слово «оферта» и слова «политика обработки» кликабельны и ведут на соответствующие тексты.
Для форм вида "Подписка на новости", где берется только телефон и/или email для рассылок и звонков (без сбора ФИО) может быть только одна галочка:
? Я согласен получать рекламные и информационные материалы
⚠️НО! Если для рассылок берется еще и имя, то должно быть 2 галочки: "Согласие на обработку" и "Согласие на рассылку".
5️⃣ Согласие на сбор cookies (куки)
Если на сайте установлена Яндекс.метрика, какие-то счетчики и сайт собирает cookies (куки), то рекомендуем делать незаметные всплывающие окна на сайте с текстом:
“Мы используем файлы cookie, чтобы улучшить работу сайта”
и дальше это окно либо пропадает само, либо можно добавить кнопки «согласен» / «понятно»
6️⃣ Нужно раз в полгода или в год делать аудиты своих сайтов и способов коммуникации (чат-боты, лендинги, квизы, рассылки) на соответствие законодательству о защите персональных данных каждый год. У вас могут появиться новые сайты, новые формы, новые маркетинговые сервисы. Может измениться телефон или ответственное лицо за ПД и пр.
После проведение аудита, нужно подавать уточненные отчеты в РКН. Сделайте эту процедуру рутинной, чтобы в РКН данные были обновлены, и они видели, что вы следите за этим. Так вероятность того, что они к вам придут очень низкая.
Этап №3. Внутренние процессы и документы
Если к вам придет РКН с проверкой, то он запросит у вас большое количество документов. Именно поэтому важно срочно правильно подать заявку и привести в порядок свои средства коммуникации и сайты, чтобы у РКН не возникло желания вас проверять.
Что нужно подготовить обязательно:
1️⃣ Если вы имеете доступ к данным контрагентов вашего клиента — телефоны, потребности, имена, email (актуально для маркетинговых агентств), и используете их во внутренних отчетах, рекламных кампаниях, доработках сайта, автоворонках, то вам стоит в ближайшее время подписать дополнительные соглашения (Поручения на передачу ПД) со всеми клиентами, которые вам такие данные передают.
Если этого не сделать, при проверке вы рискуете неправомерным использованием данных, а ваш заказчик — утечки персональных данных ?Цена вопроса — несколько миллионов рублей
2️⃣ Входящие звонки в компанию
Если вы их записываете, то нужно обязательно озвучивать звонящему, что "продолжая разговор вы даёте согласие на обработку персональных данных". Запись такого разговора нужно хранить как зеницу ока.
3️⃣ Чек-лист документов, которые вам нужно иметь для предоставления в РКН
Все эти документы организация может подготовить самостоятельно, используя базовые шаблоны кадровых систем или даже ChatGPT.
⚠️ Обязательно нужно учитывать специфику своей деятельности, а не слепо копировать шаблоны.
Базовый пакет документов. Его РКН требует при проверке со всех
Политика обработки персональных данных
Приказ о назначении лиц, ответственных за организацию обработки ПДн и обеспечение безопасности ПДн
Приказ о мерах по обеспечению исполнения требований законодательства РФ о персональных данных
Положение об обработке и обеспечении безопасности персональных данных (внутренний ЛНА)
Инструкция ответственного за организацию обработки персональных данных Заказчика
Инструкция ответственного за обеспечение безопасности персональных данных Заказчика
Инструкция по реализации процедур, направленных на выявление и предотвращение нарушений обработки ПДн
Регламент реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов
Журнал регистрации запросов и обращений субъектов ПДн
Перечень процессов обработки ПДн
Перечень мест хранения ПДн
Перечень процессов передачи ПДн третьим лицам
Перечень информационных систем персональных данных (ИСПДн)
Акт оценки возможного вреда субъектам персональных данных
Порядок уничтожения ПДн, формы актов об уничтожении ПДн
Порядок обезличивания ПДн
Дополнительные документы для организаций с сотрудниками
Перечень работников и других лиц, имеющих доступ к ПДн
Согласие на обработку персональных данных работников
Согласие на обработку персональных данных, разрешенных субъектом для распространения по работникам и контрагентам
Инструкция работника, допущенного к обработке персональных данных Заказчика
Дополнительные документы, если у вас есть свои ИТ-системы
Приказ о системе разграничения доступа к ИСПДн
Методика определения актуальных угроз безопасности ИСПДн
Методика определения уровня защищенности ИСПДн
Методика по выбору и обеспечению мер защиты ИСПДн
Модель угроз безопасности ПДн в ИСПДн
Приказ о назначении комиссии по защите персональных данных
Положение о комиссии по защите персональных данных, технические регламенты и инструкции
Регламент работы подразделения по защите информации
Инструкции пользователей АРМ (автоматизированное рабочее место)
Регламент реагирования на угрозы
Акт оценки информационных систем по классам защищённости
Уточненный адаптированный базовый набор мер защиты ИСПДн
Инструкция администратора ИСПДн
Журнал учёта инцидентов безопасности в ИСПДн
Комментарии (34)
vis_inet
21.06.2025 12:56Все эти действия помогут от утечек персональных данных?
putnik
21.06.2025 12:56Многие из этих действий только поспособствуют утечкам, но зато у РКН будет кого оштрафовать.
YegorP
21.06.2025 12:56Сам реестр операторов ПДН это одна большая утечка личных данных тех, кого угораздило там зарегистрироваться (отправить уведомление). Реестр открыт полностью, там есть поиск по ФИО предпринимателя, светятся домашние адреса (кто указал свой домашний адрес вплоть до квартиры в качестве юридического). Можно сдампить реестр, т.к. используются порядковые идентификаторы в урлах + информация доступна анонимно.
Иронично.
SdrRos
21.06.2025 12:56Юридический адрес публичный - он есть в выписке по юр лицу, указывается в множестве документов. Он служит в т.ч. для направления официальных писем, т.е. его должен знать любой желающий.
YegorP
21.06.2025 12:56ИП не является юридическим лицом, а поле адреса есть. Что там предлагаете указывать удалёнщикам, которые из дома работают?
SdrRos
21.06.2025 12:56Адрес по которому зарегистрировали ИП. Этот же адрес указывается и в множестве других документов (например чеках, накладных...), ничего секретного в нём нет. С фактическим местом проживания этот адрес может не совпадать кстати.
YegorP
21.06.2025 12:56Вы словно содержите этот реестр и делаете вид, что всё нормально. Ещё раз: реестр светит адресами всех уведомивших РКН ИПшников, включая тех, которые вполне легально зареганы по домашнему адресу.
Рандомные/частичные адреса указывать - так это заведомо ложные сведения. Брать помещение в аренду/собственность ради включения в реестр без домашнего адреса - вообще бред какой-то.
Чеки и накладные нигде автоматом в публичный анонимный доступ не попадают кстати.
SdrRos
21.06.2025 12:56По моим наблюдениям многие ИП для работы используют отдельные квартиры, нежилые помещения. (кстати к квартирам используемым как офисы/мастерские у коммунальщиков много претензий возникает). Те кто по факту работает дома и не имеет других помещений, совсем мелкие ИП - мало кто из них связан с персональными данными. Удобный реестр с адресами пригодится только спамерам рассылающим бумажные письма, но это уже вроде как редкость, для остального можно узнать адрес официально через налоговую.
Yukr
21.06.2025 12:56Нигде не сказано - можно ли работать с ПД сразу после уведомления РКН или надо ждать появления в реестре?
dimaloginov Автор
21.06.2025 12:56немного наоборот все работает:
Вы обязаны уведомить РКН, если уже начали собирать Персональные данные. Более того, если у вас потом что-то изменилось в способах сбора ПДн, или появились новые каналы и сервисы по работе с ПДн, то вы должны отредактировать (переподать) заявку в РКН. То есть проводить периодический аудит всей схемы и процессов и уведомлять РКН. Если вы только планируете собирать ПДн, то можно пока не уведомлять, т.к. вы ничего не собриаете
13werwolf13
21.06.2025 12:56первое что следует сделать предпринимателю это подать в прокуратуру заявление на деятельность роскомпозора которая по многим метрикам является подрывной и экстремистской.
как минимум в следствии действий роскомпозора огромное кол-во российских денег утекает забугор на разные впн и прокси сервисы, и если частники тратят на это небольшие средства то крупные компании в следствии большого трафика и повышенной необходимости в надёжности тратят на это суммы посерьёзнее. к тому же много денег уходит на закуп забугорного же опять же оборудования для тспу и яровой. весь этот безполезный мусор который ставится у провайдеров за деньги абонентов покупается так или иначе у зарубежных компаний (ну не свои же скрепные xeon'ы мы начали производить). ну и ещё 100500 причин вроде забаненного российско-патриотичного контента от российских патриотичных авторов.
к сожалению большинство предпринимателей попросту ссут писать в прокуратуру или не пишут потому что "я маленький, что я могу". это неправильная позиция ведущая к убыткам.
SdrRos
21.06.2025 12:56А почему не рассматривается вариант, просто поставить плашку
При регистрации и каком либо использовании сайта не используйте свои данные, придумайте случайные
+ кнопка "сгенерировать случайные",
не забудьте их запомнить/записать для дальнейшего использования сайта
Соответственно пользователь уведомлён что нельзя указывать свои ПД, а то что он указал уж нельзя считать персональными, т.к. условного "VaSa12345" уже нельзя связать с Ивановы И.И. который фактически регистрировался, если магазин то в последствии для получения заказа можно так же случайный ключ генерировать по которому ему выдадут заказ....
BugM
21.06.2025 12:56Любой оффлайн магазин так работает. Даже без аккаунта.
Так можно. Но зачем? У вас будет примерно 0 покупателей и вы разоритесь.
SdrRos
21.06.2025 12:56Озон с Дикими ягодами с Вами не согласятся. В том же Озоне у меня из персональных данных только номер телефона, остальное вымышленное (ак. древний, ФИО искажены).
BugM
21.06.2025 12:56То есть не согласятся? Они операторы персональных данных. Все по закону оформили и ерундой не занимаются.
Номера телефона и видеозаписей из пвз с картой с которой оплата идет с головой хватит если что. Смысла настаивать на других данных нет.
SdrRos
21.06.2025 12:56Я про то что фактически они работают без моих персональных данных, знают только сотовый номер (который может быть заменён случайной связкой логин/пароль). Данные карты вроде как знает банк, и Озону их не сообщает (оплачиваю QR кодом, но насколько помню оплата через карту идёт через форму банка, а не сайта на котором оплачивают покупки). Видео - может получить кто угодно кому я передал штрихкод.
BugM
21.06.2025 12:56Вы начали с того что кто-то мог бы сделать магазин не являющий ся оператором ПД. И закончили тем что у вас в Озоне (которые оператор ПД) данные немного спрятаны и надо поджоцнить две таблички чтобы их получить.
SdrRos
21.06.2025 12:56Отдельно ФИО или отдельно номер это не персональные данные. Чтобы что-то сопоставить надо иметь уже таблицу где они сопоставлены (в данном случае она у банка), Озон же доступа к БД банка наверняка не имеет и видит условно что по такому то выставленному счёту прошла оплата. Т.е. фактически он прекрасно работает без обработки персональных данных (вернее без их какой-либо проверки, хватает номера телефона).
BugM
21.06.2025 12:56Любой оффлайн магазин работают без ваших данных. Если платить наличными, то и сопоставлять нечего.
Я все еще не понимаю какой вы хотите сделать вывод из всего этого? Можно ли вбить левые ФИО в Озон? Кончено можно, но непонятно зачем. Можно ли сделать магазин не оператор ПД? Тоже можно и опять непонятно зачем.
SdrRos
21.06.2025 12:56Вывод что уж слишком много паники по поводу обработки персональных данных, только на Хабре уже наверно больше года мне раз в пару недель попадаются аналогичные статьи на эту тему. При этом, по моему, в большинстве случаев можно обойтись без их обработки, либо обработке для узкого круга задач (данные персонала). При этом сведя риск огромных штрафов к минимуму и упростив жизнь пользователей избавив их от указания кучи излишней информации различным сервисам (помнится мне как то на одном форуме-трекере для регистрации требовалось заполнить анкету на несколько экранов в т.ч. сообщить даже клички питомцев - всё это якобы для возможности восстановить пароль в будущем).
Думаю нарваться на штрафы рискуют в первую очередь коммунальщики а не IT сектор, т.к. любая квитанция это кладезь персональных данных а 1000 квитанций можно надёргать с пары человейников.
С появлением этого закона кстати по моим наблюдениям количество телефонного спама упало в разы, хотя возможно просто он стал малоэффективным.
BugM
21.06.2025 12:56Нельзя. Вы опять путаете ситуацию «не обрабатываю ПД» «не валидирую ПД и в принципе можно ввести что-то левое»
Не обрабатывая вы ничего не сделаете. Они вам нужны чтобы с клиентами работать и для удобства клиентов.
Для примера ваш криптобро магазин без ПД проиграет конкуренцию всем. Клиентам просто лень морочиться.
anon0836
21.06.2025 12:56Я вот тоже про такое думал. Тут все тревогу бьют, а мне наоборот это кажется на руку и лишь приведет к возвращению бордовой и нишово форумной культурах где все всегда были Анонимус. Чисто для этого зарегал акк и также людям и владельцам сайтов советую делать. РКН когда-то запретил анонимайзеры, а теперь сами себе в ногу стреляют и продивигают обратно анонов такими вот законами
Vorchun
21.06.2025 12:56А может кто поделится всем пакетом документов?
dimaloginov Автор
21.06.2025 12:56Большинство документов находится в свободном доступе и в шаблонах Контура или 1С. Но их нужно адаптировать конкретно под ваши задачи, поэтому тут лучше все-таки специалиста кадровика или юриста запрячь. Базовый набор не очень дорого обойдется
dyadyaSerezha
А таблица Эксель с макросами, это уже автоматизированная система или где?
YegorP
Что автоматизировано, а что нет, нужно определять не по полному функционалу софта, а по непосредственному участию человека в обработке персональных данных.
Постановление Правительства РФ от 15 сентября 2008 г. № 687
Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
vis_inet
Вот это очень ценный пост.
Выходит, если одинокий ИП без сотрудников ведёт свой учёт контрагентов (данные поставщиков и покупателей) в программе и больше негде, то ему не нужно никаких уведомлений?
YegorP
Вроде бы нет. Но я не юрист.
Да и так непонятно зачем вы нужны Роскомнадзору со своими малочисленными контрагентами (если их правда немного, да ещё и юрики/ИП). Формальности делового оборота ясны уже по факту вашей регистрации как ИП и вида деятельности, которая предполагает письменные договоры.
dimaloginov Автор
Если у одинокого ИП персданные контрагентов и/или сотрудников хранятся в CRM или 1С, то лучше подать заявление.
skwo73
даже просто компьютер - это уже автоматизированная система.
dyadyaSerezha
Настолько автоматизированная, что люди проводят за ним по много часов в день. А почему? А потому что сам ничего не может)
dimaloginov Автор
Если ручками заносите в эксель, то нет