Что должно быть у каждого предпринимателя, чтобыне получить миллионные штрафы от Роскомнадзора? / forpes.ru

Главная
Что должно быть у каждого предпринимателя, чтобыне получить миллионные штрафы от Роскомнадзора?

Что должно быть у каждого предпринимателя, чтобыне получить миллионные штрафы от Роскомнадзора?

05.08.2025 15:34

zarlaw 0 44 Источник

Сейчас IT-сегмент - это все, что есть в интернете. Большая часть предпринимателей убеждена, что штрафы им не грозят. Ведь Роскомнадзор где-то очень далеко и занимается только большим бизнесом, по типу Газпрома.

По нашему 17-летнему опыту, можем сказать точно:

– Вы можете получить штраф в несколько миллионов, даже если вы запустились месяц назад

– Одна проверка РКН может обанкротить ваш бизнес, даже если вам кажется, что все идет хорошо

– В среднем половина предпринимателей до того, как получили штраф понятия не имели, что они работают незаконно

Основные причины штрафов от Роскомнадзора это неправильная обработка персональных данных.

В этой статье мы как раз и затронем ключевые аспекты:

– Что должно быть на ресурсах бизнеса, чтобы обезопасить себя от штрафов по обработке ПДн

– Почему отсутствие политики и согласий может стоить вам сделки с инвестором или тендера с госкорпорацией

– Как выявить критические ошибки в обработке персональных данных до того, как к вам придёт проверка

– Реальные кейсы: как стартап потерял $250 000 инвестиций, а IT-компания едва не получила штраф на 6 млн ₽ — и что их спасло или погубило

– Что делать, если данные уже утекли, пользователь подал жалобу или пришло письмо от РКН — пошаговый антикризисный план

! Перед статьей мы должны сделать важную пометку

Большая часть написанного в интернете про обработку персональных данных – чушь.

Нельзя копировать политику персональных данных у конкурентов, нельзя сделать ее грамотно через нейросети, нельзя просто поставить чекбокс «я согласен» и думать, что вы защищены.

Нельзя считать, что если вы маленький бизнес или стартап — вас никто не тронет

! Закон не делает скидок на масштаб или «незнание».

Именно поэтому мы собрали здесь практику, проверенную в работе с сотнями компаний — от интернет-магазинов до технопарков и IT-платформ.

Пару слов о нас, чтобы вы понимали, кто написал эту статью и почему к ней лучше прислушаться и прочитать до конца

– 17 лет на рынке IT-права.Юридическая компания “Зарцын и партнеры” основана в 2008 году и с первых дней выбрала узкую специализацию — сопровождение IT и интернет-проектов. Мы росли вместе с индустрией, углубляя экспертизу и адаптируясь к ее вызовам.

– Глубокая экспертиза в IT и технологиях.Мы понимаем, как устроены блокчейн, алгоритмы и цифровые продукты, и говорим с клиентами на одном языке. Наша команда сопровождает проекты в сферах метавселенных, NFT, ИИ и биотехнологий, предлагая решения, а не запреты.

– Признание в отрасли.Нас рекомендуют ведущие рейтинги: “Право-300” (Цифровая экономика, ТМТ, Налоги, M&A), федеральный рейтинг “Коммерсант” и международный Chambers & Partners (Fintech Legal 2021).

– Обучение IT юристов.Мы не только работаем с IT-Компаниями, но и обучаем IT юристов. Уже более 200 человек прошло наше обучение, получили удостоверение о повышении квалификации и нашли новую работу.

Теперь о главном. Что должно быть на ресурсах бизнеса, чтобы обезопасить себя от штрафов по обработке ПДн

Для начала надо понять, какие интернет-ресурсы есть у вашего бизнеса. Это может быть:

– сайт (в том числе одностраничник/лендинг)
– интернет-магазин
– мобильное приложение
– CRM-система
– форма (например, заявка на конусльтацию)
– чат-бот в Telegram / WhatsApp
– сообщество в соцсетях, если через него вы собираете заявки или принимаете оплату.

Если вы хоть где-то собираете данные — вы обязаны соблюдать закон.

Неважно, это номер телефона, e-mail, IP-адрес или просто имя в чате. Всё это — персональные данные, и за их неправильную обработку предусмотрена ответственность.

Это как с управлением автомобилем: наличие водительских прав подтверждает ваше право сесть за руль, но их отсутствие вовсе не освобождает от ответственности за то, как вы едете.

Если человек без прав устроит ДТП — его накажут и за то, что у него не было прав, и за то, что он подверг опасности других участников движения. Право и ответственность — разные вещи, и одно не отменяет другое.

Мы рассмотрим основные ресурсы, которые есть почти у каждой компании

Что должно быть на вашем сайте?

1. Политика конфиденциальности

Выглядит она вот так ?

Если вы собираете данные пользователей — этот документ обязателен по закону.

Причём не просто «текст ради галочки», а оформленный в соответствии с ФЗ-152 и реальной практикой проверок Роскомнадзора.

Что важно учесть:

– Политика должна быть индивидуальной и содержать полный перечень категорий субъектов персональных данных (таких как посетители, пользователи, агенты, поставщики) с указанием целей обработки и подробным описанием обрабатываемых данных для каждой категории

– Она должна быть доступна с любой страницы сайта — обычно ссылка размещается в подвале (footer) и под всеми формами сбора данных.

– Существует правило: ”'одна цель — одно согласие”. В каждой точке сбора персональных данных — будь то на сайте или в офлайн-каналах — должно запрашиваться отдельное согласие, в котором чётко указаны конкретная цель обработки и перечень собираемых данных

– Документ должен быть актуальным и на русском языке (если вы работаете с гражданами РФ).

– Если у вас несколько форм или продуктов (например, сайт + мобильное приложение), — политика должна учитывать все каналы сбора данных.

Важно: Пользователь дает согласие не на политику, а на конкретное согласие. Политика - не оферта, с ней соглашаться не нужно. Согласие дается на каждый конкретный раз, когда собираются данные

Это прямой путь к штрафу, потому что она не будет отражать особенности именно вашего бизнеса.

2. Согласие на обработку персональных данных

Просто наличие политики конфиденциальности не освобождает вас от необходимости получать согласие пользователя на обработку его данных. Это отдельное, обязательное требование

Что важно учесть:

– Активное действие пользователя — согласие не может быть «по умолчанию». Пользователь должен поставить галочку или нажать кнопку, подтверждающую согласие.

– Формулировка рядом с кнопкой/чекбоксом:«Я согласен с политикой конфиденциальности и даю согласие на обработку моих персональных данных.»

– Раздельные ссылки на документы:одна на политику конфиденциальности, вторая — на полное согласие с формулировками, соответствующими ФЗ-152

Важно: если данные обрабатываются через CRM, сайт, виджет — должен быть способ подтвердить, что пользователь дал согласие

Даже если вы просто собираете e-mail для рассылки или имя + телефон в форме обратного звонка — вы обязаны получить согласие. Нет согласия — значит, сбор данных незаконен.

3. SSL-сертификат

Это защита канала между браузером пользователя и вашим сайтом. Он обеспечивает шифрование передаваемых данных, включая персональные

Если вы собираете имя, телефон, e-mail, IP-адрес и любые другие данные, а сайт работает через незащищённый протокол HTTP, — вы не соответствуете требованиям закона.

Роскомнадзор в этом случае расценивает ваш сайт как потенциальный источник утечки персональных данных, даже если сам по себе сбор реализован корректно.

На что смотрит проверка:

– Есть ли HTTPS (замочек в адресной строке)
– Безопасен ли сертификат (не просрочен)
– Работают ли все формы на HTTPS, а не на HTTP (особенно это часто забывают на поддоменах)

4. Уведомление о сборе cookies и трекеров

При заходе на сайт у пользователя автоматически собираются персональные данные — через cookie-файлы, IP, user-agent и поведенческую статистику.

По сути, cookie-дисклеймер приравнивается к согласию на обработку персональных данных, поскольку cookies считаются персональными данными согласно позиции Роскомнадзора.

Что важно учесть:

– Баннер или pop-up при заходе на сайт с текстом:«Мы используем cookies и сторонние сервисы для аналитики. Продолжая пользоваться сайтом, вы соглашаетесь с условиями Политики конфиденциальности.»

– Кнопка «Согласен» или «Продолжить»

– Ссылка на вашу политику, где подробно указано, какие трекеры используются и как отказаться

Важно: это особенно критично для тех, кто использует ретаргетинг, lookalike-аудитории и поведенческий маркетинг.

5. Оферта или договор на оказание услуг

Если вы предлагаете товары или услуги через сайт — вы должны опубликовать публичную оферту или договор-оферту. Это открытый юридический документ, который фиксирует:

– Кто вы (название, ИНН, ОГРН, адрес)
– Что вы предлагаете
– Как принимается оплата
– Условия возврата
– Ответственность сторон
– Как вы обрабатываете данные

Роскомнадзор и Роспотребнадзор часто работают в связке. И если вы собираете персональные данные без правовой основы взаимодействия (договора) — это двойное нарушение: и закона о ПДн, и закона о защите прав потребителей.

Что важно учесть:

– Страница «Публичная оферта» на сайте
– Ссылка на оферту рядом с кнопкой оплаты / оформлением заявки
– Соответствие политики обработки данных с условиями оферты

6. Контактная информация и реквизиты владельца сайта

На сайте обязательно должен быть раздел с контактами, где указано, кто является оператором персональных данных.

Согласно статье 18.1 ФЗ-152, оператор персональных данных обязан обеспечить прозрачность: пользователь должен знать, кто обрабатывает его данные и как с ним можно связаться.

Что должно быть размещено:

– Название компании или ФИО ИП
– ИНН / ОГРН
– Фактический или юридический адрес
– Контактный e-mail
– Телефон (по возможности)
– Ответственное лицо по работе с ПДн (опционально, но желательно)

Обычно это делают в подвале сайта (footer) и в разделе «Контакты». Также данные можно продублировать в документах: политике, согласии, оферте.

С сайтами разобрались, теперь идем к менее популярным ресурсам

Что должно быть в чат-боте?

При первом взаимодействии бот обязан:

– предупредить, что пользователь передаёт персональные данные
– дать ссылку на политику конфиденциальности
– запросить согласие (например, с помощью кнопки: «Продолжая, вы соглашаетесь с условиями...»).

Ссылка на политику конфиденциальности Обязательна, даже если бот размещён в Telegram, WhatsApp или VK

Делать 2 разных политики ПДн для бота и сайта не нужно, достаточно одной, но в ней должно быть указано, что вы обрабатываете данные через ботов и мессенджеры

Логика фиксации согласия

Лучше всего реализовать через кнопку «Принять условия», логика бота должна сохранять факт согласия: дату, ID пользователя, текст согласия

Важно: У пользователя должна быть возможность удалить свои персональный данные из системы.

К сожалению, большая часть предпринимателей “забивает” именно на чат ботов, поэтому мы часто наблюдаем подобные кейсы

В 2024 году питерский SaaS-стартап вышел на рынок с первым MVP. Получили грант, настроили лендинг, подключили Telegram-бота для приёма заявок — всё шло по плану.

На сайте была форма регистрации, через которую можно было получить онлайн-демо продукта. Данные попадали в amoCRM, а дальше — в работу. Запуск прошёл успешно, начались переговоры с инвестором на pre-seed раунд $250 000.

Именно в этот момент случилось то, к чему никто не был готов

Через месяц после запуска один из пользователей написал письмо: «Прошу удалить мои персональные данные из вашей системы»

Команда не ответила, а письмо проигнорировали. Спустя две недели пользователь отправил жалобу в Роскомнадзор.

А дальше всё пошло по сценарию, который никто из разработчиков даже не представлял.

Проверка выяснила:

– Сбор персональных данных происходил без согласия

– Telegram-бот не содержал никаких юридических предупреждений

– Рассылки отправлялись без оснований

– Данные хранились у подрядчиков без договора об обработке ПДн

– В компании не было процедуры реагирования на инциденты

Результат — три административных дела и нарушения по ч.1, ч.2 и ч.3 ст. 13.11 КоАП РФ

Общий штраф составил 650 000 рублей.

Когда инвестор запросил документы, подтверждающие юридическую чистоту обработки персональных данных — показать было нечего. Ни политики, ни согласий, ни договоров.

Переговоры были остановлены. Сделка не состоялась. Команда осталась без финансирования. Разработка приостановлена.

Если узнали себя, то не спешите расстраиваться. Выход есть, и вот один уже из наших кейсов

«Мы просто пишем код. Разве мы вообще подпадаем под закон о персональных данных?»

С таким вопросом к нам обратилась одна крупная IT-компания. Они специализируются на разработке сложных цифровых решений: внутренние порталы, CRM, платформы трекинга логистики. Их клиенты — корпорации и госзаказчики.

На первый взгляд — чистая разработка. Но мы решили заглянуть глубже.

Что оказалось внутри:

? Их решения собирают и хранят персональные данные: сотрудников, клиентов, пользователей.

? При этом — нет договоров с заказчиками на обработку этих данных.

? Нет политики конфиденциальности и документов о согласии.

? Компания не зарегистрирована как оператор ПДн.

? Серверы — на стороне подрядчика, без юридической фиксации.

? Внутренние сотрудники не подписывали обязательств по ПДн.

Потенциальный риск: штраф от 6 млн ₽

А если бы проверка произошла на одном из проектов с госкорпорацией — могло дойти до блокировки проекта, попадания в Реестр недобросовестных поставщиков (РНП) и срыва всех текущих контрактов.

В ходе работы мы:

1) Провели аудит всей архитектуры обработки ПДн:

– Проверили сайт, код, CRM, каналы хранения и передачи
– Выявили критичные несоответствия требованиям ФЗ-152

2) Составили юридический комплект "под ключ":

– Политика конфиденциальности
– Формы согласий
– Внутренние регламенты и обязательства сотрудников– Инструкции по реагированию на инциденты

3) Зарегистрировали компанию как оператора ПДн в Роскомнадзоре

– Без этого формально незаконна даже тестовая реализация проекта с ПДн

4) Обновили все договоры с клиентами и подрядчиками

– Добавили блоки по обработке данных, которые защищают обе стороны

5) Обучили команду

– Кто за что отвечает
– Как действовать при жалобе
– Как не попасть под штраф по незнанию

Результат: проверка без замечаний

Через три недели пришла внутренняя проверка от госклиента.
Итог: 0 нарушений. Проект продолжает работу. Заказчик доволен.

Что дальше?

Если вы дочитали статью до конца — это уже многое говорит о вас.

Вы заботитесь о своём бизнесе, хотите работать честно и избежать рисков, которые могут стоить миллионы.

Это правильно. Но как говорил Суворов: «Теория без практики мертва, а практика без теории — слепа».

Вы уже получили теорию. Теперь — пора к действиям.

Как действовать безопасно, быстро и без лишних затрат?

Мы предлагаем вам бесплатную консультацию с юристом, где вы получите не общие советы из интернета, а пошаговый план действий под ваш бизнес.

На консультации вы узнаете:

– Что именно нужно изменить на вашем сайте, в чат-ботах, CRM или лендингах

– Какие документы и процессы обязательны именно в вашей модели бизнеса

– Как закрыть юридические «дыры» в ближайший месяц— без сложных схем и юридического бюрократа

– Ответы на все ваши вопросы, разбор реальных рисков и рекомендаций по вашей отрасли

Важно: с вами будет работать не менеджер-продаж, а практикующий юрист, специализирующийся на персональных данных и цифровом праве.

Это бесплатно? Сейчас — да.

Потому что мы уверены: лучше предупредить, чем потом вытаскивать бизнес из-под проверок и паники.

Оставьте короткую заявку — и уже в ближайшее время получите чёткий юридический план по вашему проекту

Работайте легально, спокойно и с уверенностью в завтрашнем дне. Пока всё под контролем — значит, вы управляете бизнесом. А не он вами.

Оставить заявку на консультацию: https://zarlaw.tilda.ws/anketayd