Время работы: пн. - пт. 9.00 - 18.00
Услуги по разработке согласия
на обработку персональных данных
Динамичная специализированная команда с уникальным опытом и признанием, которой доверяют клиенты по всей России
> 50 регионов
где находятся наши клиенты, мы работаем во всех одиннадцати часовых поясах с компаниями от Калининграда до Владивостока, используем современные средства связи и информационные системы, активно выезжаем в командировки
Динамичность
< 3 час.
средний срок ответа на запрос клиента по стандартной задаче. С нами Вы узнаете, что значит оперативность
Специализация
4
основных отраслевых и юридических специализации. Наш фокус - ИТ, E-com, цифровая медицина и интеллектуальная собственность
Команда
15 чел.
мы — действительно сплоченная команда энтузиастов, средний стаж работы в нашей компании — порядка пяти лет
Уникальность
> 90 %
законов в ИТ-сфере было принято после создания фирмы. Мы запускали телемедицинские сервисы до 2018 и токенизировали активы до 2020
Заслуживаем доверие
5 лет
подряд нашу фирму и специалистов отмечают рейтинги Право-300 и ИД Коммерсантъ в числе лучших юристов по нескольким направлениям
Признание
> 12
образовательных, научных и общественных объединений в деятельности которых мы участвуем, включая РАН, ТПП, МГЮА, Moscow Digital School
Опыт
9 лет
средний юридический стаж наших экспертов, мы молодая, но уже зрелая команда экспертов с прочной позицией на юридическом рынке
клиенты из Forbes, RAEX
> 10
крупнейших компаний доверяют нам свои проекты, в их числе компании группы Сбера, Яндекса, Технониколь, LG, 1С и Самолет
Сколько стоит подготовка полного комплекта бумаг?
Этапы составления согласия на обработку персональных данных
Предварительная консультация юриста и анализ
Юрист связывается с клиентом и обсуждает цели разработки согласия на обработку персональных данных, условия и порядок обработки, способы использования и принятия (путем проставления галочки на сайте, подписания на бумажном носителе и т.д.)
Подготовка и корректировка согласия
Согласие разрабатывается на основании требований действующего законодательства, писем и разъяснений Роскомнадзора, а также судебной и правоприменительной практики. Согласие учитывает индивидуальные особенности бизнеса клиента, например: цели обработки данных, порядок получения и отзыва согласия и др.
Защита при проверках и судебных спорах
Если, несмотря на предпринятые меры, к организации со стороны Роскомнадзора или субъектов ПД предъявляются претензии (в том числе, в рамках проверок), то юрист старается урегулировать возникшие вопросы в досудебном порядке, насколько возможно снизив суммы потенциальных штрафов, а также временные и финансовые затраты оператора
Согласие на обработку персональных данных
Правовая природа документа
В большинстве случаев российские организации обрабатывают персональные данные на основании согласий на обработку таких сведений. Рассмотрим, что представляет собой такой документ с юридической точки зрения.
Как правило, согласие на обработку ПДн (СоПД) считают гражданско-правовой сделкой, с учетом следующих аргументов:
Как правило, согласие на обработку ПДн (СоПД) считают гражданско-правовой сделкой, с учетом следующих аргументов:
- Взаимодействие между оператором и субъектом ПДн – это вопрос частного права, когда одна сторона может предоставить разрешение, либо отказаться от его предоставления, а вторая – обрабатывать личные сведения с одобрения первой стороны.
- Можно провести аналогию между таким СоПД и другими разрешениями, предусмотренными Гражданским кодексом, а именно: на использование изображения гражданина (ст. 152.1 Гражданского кодекса РФ) и на использование информации о частной жизни (ст. 152.2 Гражданского кодекса РФ).
Является ли предоставление СоПД односторонней или двусторонней сделкой? От ответа на этот вопрос зависит объем прав и обязанностей каждой стороны такой сделки. Здесь можно по аналогии применить правила, которые предусмотрены для разрешения на использование информации о частной жизни. Такое разрешение – это односторонняя сделка, так как для ее исполнения достаточно воли только одного лица (владельца такой информации). Использовать или нет предоставленные права – это уже отдельное решение стороны, получившей информацию.
Кроме этого, СоПД – это зависимая сделка, по аналогии с выдачей доверенности. Так, доверенность выдаётся для того, чтобы третье лицо могло исполнить определенное поручение. По аналогии, разрешение требуется для исполнения каких-то обязательств перед субъектом ПДн (например, когда разрешение нужно администрации веб-сервиса для того, чтобы пользователь мог полноценно использовать такой сервис).
Требования закона, предъявляемые к согласию.
Основное требование к СоПД в силу закона №152-ФЗ о персональных данных – это соблюдение трех основных принципов: добровольности, информированности и однозначности.
Принцип добровольности заключается в следующем:
- Субъект может полностью или частично отказаться от предоставления разрешения (он должен иметь право предоставлять только те персональные данные, которые действительно необходимы)
- Сбор СоПД не должен быть принудительным. Так, например, при сборе СоПД в электронной форме с помощью проставления отметки («галочки») в специальном чекбоксе, такая отметка не должна быть проставлена заранее автоматически.
Принцип информированности выражается в следующем:
- Такой документ должен содержать минимальную информацию, с помощью которой субъект поймёт, кто, как и для каких целей собирает и обрабатывает персональные данные. СоПД в обязательном порядке должно содержать информацию об операторе, целях обработки, категориях ПДн, которая будет использоваться, способах процессинга и порядке отзыва СоПД.
Принцип однозначности можно свести к следующему:
- Воля субъекта на предоставление разрешения должны быть выражена без каких-либо неясностей, витиеватостей и двусмысленности.
- Волеизъявление на предоставление разрешения должно быть чётким и проверяемым действием.
- Молчание или бездействие ни в какой форме не могут служить волеизъявлением на предоставление разрешения.
Есть и два дополнительных принципа:
Принцип конкретности сводится к тому, что цели работы с персональными данными должны быть чётко сформулированными и понятными для субъекта. Формулировки целей не должны звучать абстрактно или иметь вариативность толкования.
Принцип сознательности СоПД выражается в том, что оператор должен объяснить субъекту, что подразумевается под использованием ПДн, для каких целей и как происходит процессинг, а также права субъекта при процессинге и последствия отказа от предоставления разрешения.
Принцип конкретности сводится к тому, что цели работы с персональными данными должны быть чётко сформулированными и понятными для субъекта. Формулировки целей не должны звучать абстрактно или иметь вариативность толкования.
Принцип сознательности СоПД выражается в том, что оператор должен объяснить субъекту, что подразумевается под использованием ПДн, для каких целей и как происходит процессинг, а также права субъекта при процессинге и последствия отказа от предоставления разрешения.
Кто предоставляет согласие?
По общему правилу такое одобрение может предоставить:
1] Субъект, сведения о котором будут использованы
2] Представитель субъекта по доверенности
3] Законный представитель несовершеннолетнего или недееспособного
Закон №152-ФЗ прямо не говорит о том, с какого возраста субъект может предоставлять СоПД. Для ответа на этот вопрос необходимо обратиться к статьям 21 и 26 Гражданского кодекса РФ о дееспособности физического лица.
Роскомнадзор в своих разъяснениях ссылается на правило, согласно которому лицо, достигшее 14 лет, имеет право совершать сделки, указанные в п. 2 ст. 26 Гражданского кодекса РФ, и в целях их исполнения может давать разрешения на обработку ПДн. По аналогии, Роскомнадзор допускает предоставление СоПД несовершеннолетними в случае оказания им медицинских услуг и при устройстве на работу. Во всех остальных случаях одобрение дают законные представители ребёнка – родители или опекуны. Несовершеннолетние, не достигшие 14 лет, не могут самостоятельно давать СоПД.
При этом, судебная практика не всегда соглашается с позицией Роскомнадзора. В некоторых решениях судьи буквально толкуют ч. 6 ст. 9 закона №152-ФЗ, согласно которой при недееспособности субъекта, за него даёт разрешение законный представитель. Суды воспринимают указанную норму как прямой запрет субъекту самостоятельно давать разрешение на обработку ПДн до достижения 18 лет.
1] Субъект, сведения о котором будут использованы
2] Представитель субъекта по доверенности
3] Законный представитель несовершеннолетнего или недееспособного
Закон №152-ФЗ прямо не говорит о том, с какого возраста субъект может предоставлять СоПД. Для ответа на этот вопрос необходимо обратиться к статьям 21 и 26 Гражданского кодекса РФ о дееспособности физического лица.
Роскомнадзор в своих разъяснениях ссылается на правило, согласно которому лицо, достигшее 14 лет, имеет право совершать сделки, указанные в п. 2 ст. 26 Гражданского кодекса РФ, и в целях их исполнения может давать разрешения на обработку ПДн. По аналогии, Роскомнадзор допускает предоставление СоПД несовершеннолетними в случае оказания им медицинских услуг и при устройстве на работу. Во всех остальных случаях одобрение дают законные представители ребёнка – родители или опекуны. Несовершеннолетние, не достигшие 14 лет, не могут самостоятельно давать СоПД.
При этом, судебная практика не всегда соглашается с позицией Роскомнадзора. В некоторых решениях судьи буквально толкуют ч. 6 ст. 9 закона №152-ФЗ, согласно которой при недееспособности субъекта, за него даёт разрешение законный представитель. Суды воспринимают указанную норму как прямой запрет субъекту самостоятельно давать разрешение на обработку ПДн до достижения 18 лет.
Случаи, когда необходимо получать согласие
Первое и главное, что должен проверить любой оператор ПДн перед началом работы с личной информацией – есть ли у него предусмотренные законом основания для такой деятельности. Неважно, насколько правильно у организации составлены договоры, политика обработки ПДн и другие нормативные документы по работе с ПД, если компания не собирает СоПД, а другие основания для работы с такими сведениями – отсутствуют.
Согласие на обработку персональных данных – это наиболее надежное основание для работы с ними. Тем не менее, стоит учитывать и другие основания для законного использования сведений о физических лицах, указанные в ч. 1 ст. 6 Закона №152-ФЗ. Такие основания можно разделить на три основных группы:
Из вышеприведенного списка в большинстве случаев операторы ПДн выбирают три основания, рассмотрим их подробнее.
Первое – работа с ПД для исполнения функций государственных органов. Примеры использования такого основания:
Второе – это процессинг ПДн для исполнения договора, стороной которого или бенефициаром (выгодоприобретателем) по которому является субъект персональных данных. Примеры использования такого основания:
При этом, СоПД не предоставляет возможность использовать информацию любым возможным способом. Так, например, когда собранные персональные данные будут опубликованы на сайте организации, то потребуется получить отдельное разрешение на распространение личной информации согласно ч. 1 ст. 10.1 Закона №152-
Согласие на обработку персональных данных – это наиболее надежное основание для работы с ними. Тем не менее, стоит учитывать и другие основания для законного использования сведений о физических лицах, указанные в ч. 1 ст. 6 Закона №152-ФЗ. Такие основания можно разделить на три основных группы:
Для государственных органов | Для иных операторов | Для любых операторов |
Ведение судебного разбирательства. | Соблюдение законодательства РФ | Использование в статистических или исследовательских целях |
Исполнение полномочий государственных органов | Исполнение договора, стороной или выгодоприобретателем по которому является субъект персональных данных | Работа с общедоступными персональными данными |
| Мероприятия по возврату кредитов и займов | Защита жизни и здоровья человека, а получить одобрение – невозможно |
| Профессиональная деятельность журналиста |
|
Из вышеприведенного списка в большинстве случаев операторы ПДн выбирают три основания, рассмотрим их подробнее.
Первое – работа с ПД для исполнения функций государственных органов. Примеры использования такого основания:
- При обращении физического лица в многофункциональные центры для оказания ему различных государственных или муниципальных услуг, сотрудники МФЦ и государственных органов будут обрабатывать его персональные данные, необходимые для оказания услуг
- При подаче гражданином жалобы в какой-либо орган будут использоваться его личные сведения, указанные в жалобе
- Рассмотрение налоговыми органами поданных налогоплательщиками деклараций, начисление и выплата пенсий Пенсионным фондом
- Воинский учет граждан сотрудниками военных комиссариатов.
Второе – это процессинг ПДн для исполнения договора, стороной которого или бенефициаром (выгодоприобретателем) по которому является субъект персональных данных. Примеры использования такого основания:
- Исполнитель по договору оказания услуг будет обрабатывать сведения о своем заказчике для заключения и исполнения такого договора, а также оформления первичных бухгалтерских документов
- Организации, которые занимаются деятельностью по доставке товаров или корреспонденции, могут обрабатывать личную информацию адресатов, которым предназначаются такие товары или корреспонденция
- Банки, иные финансовые организации и другие лица могут обрабатывать сведения о поручителях по договорам займа без их одобрения.
При этом, СоПД не предоставляет возможность использовать информацию любым возможным способом. Так, например, когда собранные персональные данные будут опубликованы на сайте организации, то потребуется получить отдельное разрешение на распространение личной информации согласно ч. 1 ст. 10.1 Закона №152-
Виды согласий:
Политика обработки ПДн: документ, в котором оператор определяет порядок процессинга, который подлежит размещению на сайте оператора (либо к которому иным образом должен быть обеспечен неограниченный доступ)
Согласие на обработку: требуется в случаях, когда нет иных оснований для процессинга ПДн, предусмотренных ст.6 закона №152-ФЗ
Приказ о назначении ответственного за обработку: в конечном счете, именно ответственный работник будет как должностное лицо нести ответственность за корректность работы с личными сведениями в организации
Уведомление РКН об обработке: уведомление в обязательном порядке направляется практически всеми операторами, при этом желательно сохранить номер и ключ направленного уведомления, чтобы отредактировать его по необходимости
Иные необходимые на практике:
- Положение о защите и обработке личных данных регулирует порядок сбора, хранения и использования характеристик работников и других субъектов
- Описание информационных сведений, охраняемых законодательством описывает используемые оператором внешние и внутренние информационные системы
- Перечень обрабатываемых сведений, подлежащие защите в соответствии с 152-ФЗ, в котором излагаются категории субъектов, чьи данные обрабатываются, и конкретный список сведений для каждой категории субъектов
- Методика определения уровня заинтересованности, в которой излагаются критерии для определения необходимого уровня защищённости
- Акт определения уровня защищенности (УЗ) устанавливает необходимый уровень защищённости используемых информационных систем
- Акт оценки вреда, который может быть причинён субъектам, определяет степень максимального вреда, причиняемого при нарушении закона №152-ФЗ, и позволяет внедрить адекватные меры защиты от рисков
- Должностная инструкция ответственного за обработку сведений, подлежащие защите в соответствии с 152-ФЗ, которой такой работник будет следовать при выполнении своих обязанностей
- Инструкция по парольной защите регулирует регулирующий порядок использования и смены паролей для доступа к цифровым системам
- Инструкция по антивирусной защите определяет порядок использования антивирусных программ и других средств безопасности
- Матрица разграничения доступа в целях определения уровня доступа работников к информационным системам организации
- Журналы учета, в частности, журнал инструктажа по защите и обработке и журнал учета носителей, а также порядок их ведения
- Правила рассмотрения запросов субъектов, устанавливающие порядок и сроки приемки и рассмотрения запросов субъектов
- План мероприятий по защите определяет конкретные меры по защите, которые должны быть предприняты в течение года
- Инструкции по работе с ИСПДн и носителями, чтобы сотрудники понимали свои права и обязанности, а также несли ответственность при работе с ними
- Инструкции о порядке действий во внештатных ситуациях и восстановлению после сбоя на случай возникновения ошибок в работе ИС организации и в целях минимизации последствий такого сбоя
- Порядок доступа в помещения, в которых хранится идентифицирующая информация для избежания доступа неуполномоченных лиц к ПДн на физических носителях
- Положение по уничтожению носителей, содержащие инструкции, позволяющие подтвердить факт уничтожения ПДн в организации после того, как минует надобность их использования
- Правила внутреннего контроля соответствия обработки персональных данных требованиям к защите, содержащие критерии, необходимые для контроля, проверки и исправления нарушений
Хранение, актуализация и уничтожение
Хранение. Сведения, подлежащие защите в соответствии с 152-ФЗ должны храниться в такой форме, чтобы их фактически можно было использовать для установления личности владельцев таких персданных. Срок хранения, при этом, должен устанавливаться с учетом целей процессинга и по истечению такого срока, или по достижению целей процессинга ПД, сведения должны удаляться. Характеристики, которые используются в разных целях, не должны храниться в одном месте. Кроме того, к местам хранения информации не должно быть свободного доступа, возможность их использования должна предоставляться только тем работникам, которым это необходимо для исполнения трудовых обязанностей. Наконец, самое важное: сервера, на которых хранятся персональные данные, должны быть локализованы на территории России. Использование зарубежных баз, даже в целях дублирования, если речь идет о личной информации граждан РФ, с 1 июля 2025 не допускается
Актуализация. Закон №152-ФЗ устанавливает, что оператор обязан обновлять ПД, если они становятся неточными, неполными или ошибочными, и оператор получает информацию об этом. Актуализация, как правило, проходит по инициативе самого субъекта ПД, но может производиться и по инициативе оператора. Субъект может обратиться с запросом об актуализации сведений о себе лично, путем подачи заявления в письменном виде, а также обратившись с помощью электронной почты или соответствующей формы на сайте или в приложении оператора. Актуализация в соответствии с ч.3 ст.20 закона №152-ФЗ, должна производиться в течение 7 рабочих дней с момента поступления запроса об обновлении сведений
Уничтожение. Как мы указывали ранее, идентифицирующие характеристики должны быть уничтожены, если прошел срок их процессинга или были достигнуты заранее определенные цели работы с ними, либо если организация использует их незаконно. В результате уничтожения становится невозможным восстановление содержания персональных сведений, в том числе, за счет физического уничтожения их носителей. Важно также, что если они обрабатываются на основании согласия субъекта ПД, то в случае направления им отзыва такого согласия персданные должны быть уничтожены, а субъект – проинформирован о факте уничтожения
Права субъектов персональных данных
Российское законодательство дает субъектам ПД чуть меньше прав, чем, например, Общий регламент по защите данных ЕС (Genelal Data Protection Regulation, GDPR), однако все равно предоставляет им существенную защиту.
Так, субъекты ПД в соответствии с законом №152-ФЗ имеют:
Так, субъекты ПД в соответствии с законом №152-ФЗ имеют:
-
Право на доступ, включая возможность требовать от оператора уточнения, блокирования или уничтожения ПД, если сведения являются неверными или процессинг выполняется незаконно - Право на получение информации, в том числе, о факте, целях и составе обработки ПД, конкретных действиях, совершаемых с ними, о наличии трансграничной передачи сведений
- Право на прекращение обработки, которое заключается в возможности отозвать согласие на обработку
- Право на обжалование действия оператора, которое может быть реализовано путем подачи соответствующей жалобы в Роскомнадзор или в суд
- Право возражать против решений, принятых на основании автоматизированной обработки сведений, которое действует в ситуации, когда юридически значимые решения в отношении субъекта приняты строго с использованием автоматизированных информационных систем без участия человека
- Право прекратить использование в целях рекламы, которое не нуждается в дополнительных пояснениях – гражданин вправе отказаться от персонализированной рекламы
- Руководитель отраслевой практики цифрового права
- Отмечен в 2025 ИД Коммерсантъ в числе лучших юристов в сфере цифрового права (fintech)
Риски и ответственность при отсутствии или ошибочной документации
Проверки Роскомнадзора: порядок, критерии, частота
Проверки бизнеса надзорными органами делятся на плановые и внеплановые. Плановые проверки проводятся по заранее составленному графику, который публикуется в специальной ФГИС «Единый реестр проверок» на сайте генеральной прокуратуры РФ. При этом, важно учитывать, что в 2025 году еще действует ранее установленный мораторий на плановые проверки бизнеса, кроме объектов с высоким риском. Определить риск предприятия можно по методике, приведенной в Постановлении Правительства РФ от 29.06.2021 N 1046. Соответственно, опасаться плановой проверки предприятию имеет смысл только в случае, если сведения о компании включены в Единый реестр проверок, что в период моратория может произойти с достаточно низкой вероятностью
Среди видов проверок по способам их проведения можно выделить:
- -!-Инспекционный визитСотрудник Роскомнадзора может выехать по месту нахождения оператора и в рамках визита проводить осмотр офиса, опрос работников, инструментальное обследование, получение объяснений и документов
- -!-Документарная проверкаВ рамках этого мероприятия инспекторы запрашивают конкретные бумаги, изучают их и в дальнейшем, при выявлении нарушений, рассматривают вопрос о привлечении оператора к ответственности
- -!-Выездная проверкаЭто комплексное и длительное контрольное мероприятие, которое проводится по местонахождению оператора, и предоставляет инспекторам более широкие полномочия, чем инспекционный визит
Типичные нарушения: отсутствие данных, игнорирование запросов и использование зарубежных инструментов
Как правило, претензии Роскомнадзора к компании возникают, если не было проведено хотя бы минимальной работы по документальному оформлению работы. Как правило, обращают внимание на следующие нарушения:
- Факт трансграничной передачи ПД без предварительного уведомления Роскомнадзора о намерении осуществлять такую передачу (например, если на сайте используется система аналитики Google Analytics)
- Отсутствие согласий субъектов на обработку сведений о них в ситуациях, когда такие согласия – необходимы (например, если сведения о клиентах обрабатываются не только для исполнения договоров, но и, например, в маркетинговых целях)
- Отсутствие отдельных согласий на распространение ПД по особой форме (например, если на сайте публикуются ФИО работников и их фотографии)
- Отказ от направления в Роскомнадзор уведомления об обработке персональных данных
- Отсутствие на сайте оператора (или в целом в свободном доступе) политики обработки сведений
- Размещение баз со сведениями о гражданах РФ на зарубежных серверах (как правило, за подобные нарушения привлекают к ответственности иностранные компании)
- Использование на сайте cookie-файлов без информирования пользователей о таком использовании
- Игнорирование запросов субъектов об уточнении или блокировании информации о них
Санкции: предупреждения, блокировки, штрафы
Можно выделить три основных меры ответственности, к которым может прибегнуть Роскомнадзор в случае выявления нарушений – это предупреждение, блокировка ресурса и штраф
- Предупреждение, как правило, назначается лицу, которое впервые совершило административное правонарушение и ранее не привлекалось к ответственности
- Блокировка сайта – крайняя мера для тех случаев, когда в отношении администратора домена уже вынесено судебное решение о нарушении им законодательства
- Основной мерой ответственности все же были и остаются штрафы – от 10 тысяч до десятков миллионов рублей, подробнее о них мы расскажем в следующих разделах
При этом, Роскомнадзор также вправе выдать субъекту контроля предписание об устранении нарушений – если оно не будет исполнено, то, во-первых, организация будет оштрафована за неисполнение предписания и, во, вторых, такой отказ послужит поводом для очередной проверки со стороны ведомства
Административная ответственность
Административная ответственность в сфере процессинга ПД регулируется статьей 13.11 КоАП РФ, которая предусматривает значительные штрафы за нарушения. Перечень возможных нарушений включает в себя:
Гражданско-правовая ответственность и блокировки сайтов
Кроме административной ответственности, факт неправомерного использования или разглашения личной информации может привести к претензиям и судебным искам со стороны самих владельцев этих сведений. В соответствии с законом 152-ФЗ, субъекты ПД вправе защищать свои права в судебном порядке. Как следствие, можно ожидать исков о прекращении неправомерной работы с ПД, возмещения морального вреда и юридических расходов. Кроме того, важно учитывать, что судебное решение, в котором указано на нарушение закона №152-ФЗ – это отдельное основание для блокировки сайта. Соответственно, если допущенные нарушения были грубыми, или если нарушены права нескольких граждан, то такое решение суда, предъявленное в Роскомнадзор, станет основанием для ограничения доступа к сайту согласно ст.15.5 Федерального закона от 27.07.2006 № 149-ФЗ
Уголовная ответственность
Важно учитывать, что нарушение порядка работы с личной информацией может стать причиной и уголовного преследования. Так, например, если оператор незаконно собирает или распространяет сведения, которые составляют личную или семейную тайну гражданина, без его согласия, то сотрудники, которые допустили такое нарушение, могут быть привлечены к ответственности по ст.137 УК РФ. Отягчающим обстоятельством станет ее распространение о несовершеннолетнем, пострадавшем в результате совершения преступления, если она касается физических или нравственных страданий потерпевшего. Кроме того, в 2024 году в Уголовный кодекс была введена новая статья 272.1, согласно которой наказывается создание незаконных баз (например, для «пробива» физических лиц), а также использование таких инструментов. Более жесткие наказания возможны, если подобные базы содержат сведения о несовершеннолетних или биометрическую информацию, или же если такие сведения передаются за рубеж
Дисциплинарная ответственность
Важный фактор, сдерживающий работников от кражи инфобаз или их публикации в открытом доступе – это дисциплинарная ответственность, предусмотренная Трудовым кодексом РФ. Так, в соответствии с п.6 ч.1 ст.81 ТК РФ, работодатель вправе уволить сотрудника без выплаты каких-либо компенсаций в случае разглашения охраняемой законом тайны, к которой относятся, в том числе, персональные данные. Среди дополнительных инструментов в арсенале работодателя – выговор, замечание, материальная ответственность на основании статьи 90 ТК РФ, в соответствии с которой ответственность несут работники, виновные в нарушении положений законодательства РФ о персональных данных
Репутационные последствия
Необходимо принимать во внимание также репутационные издержки, связанные с утечками крупных объемов информации или публикацией сведений о проверках со стороны Роскомнадзора. Прежде всего, сам факт публикации о нарушениях в СМИ или в целом в публичном поле подрывает доверие контрагентов и может привести к разрыву заключенных контрактов или отказу от заключения новых сделок. Во-вторых, контрагенты, которые рассчитывали на законную обработку переданных ими ПД оператору, сами могут пострадать от дальнейших действий Роскомнадзора, что приведет к аналогичным последствиям. В связи с тем, что законодательство о забвении не позволяет, по общему правилу, удалять из всемирной сети информацию о совершенных правонарушениях, сведения, например, о значительной утечке личных характеристик на долгое время станут «черным пятном» на репутации компании
Судебная практика по спорам о ПДн
Штрафы, предусмотренные статьей 13.11 КоАП РФ, налагают судебные органы на основании материалов проверок, полученных от Роскомнадзора. Как следствие, практически каждое дело, в рамках которого наказывают оператора ПДн, проходит через суд. В подавляющем большинстве случаев операторам назначается наказание в форме штрафа в границах, предусмотренных указанных статьей, однако в некоторых случаях может применяться также предупреждение или снижение штрафа ниже минимального предела, установленного законодательством
Самые значительные штрафы получают иностранные компании: например, в 2025 году платформа Discord была оштрафована на 2 миллиона рублей, а Spotify – на 10 миллионов Мировым судом Таганского района Москвы в связи с нарушением требования о хранении сведений о гражданах РФ на российских серверах (так называемого «закона о локализации»). В 2020 году за аналогичное нарушение наказали компании, управляющие Twitter и Facebook: на каждую компанию был наложен штраф в размере 4 миллиона рублей, а уже в следующем году их привлекли к ответственности за повторные нарушения, со штрафами в размере 15 и 17 миллионов рублей соответственно. А в 2023 году Роскомнадзор потребовал привлечь к ответственности сразу 12 иностранных компаний, включая Ookla, MyHeritage, Coinbase и Google. Были, при этом, и случаи, когда зарубежной компании удавалось убедить суд в том, что требование о локализации исполнить невозможно в связи с санкционным режимом США и ЕС, и получить предупреждение вместо штрафа (дело в отношении дочерней фирмы Booking Holdings — Agoda Company Pte)
Штрафы для российских компаний, при этом, оставались небольшими, и редко превышали 100 000 рублей, что делали соблюдение требований законодательства о ПДн непривлекательным, так как потенциальные затраты на комплаенс были кратно выше возможных штрафов. Соответственно, сравнительно мало и судебных решений об обжаловании штрафов РКН. Ситуация также изменилась с 30 мая 2025 года, когда, во-первых, значительно повысился размер наказания по ст.13.11. КоАП РФ, а, во вторых, добавились штрафы за утечку личной информации в размере до 25 миллионов рублей (за первое нарушение). Как следствие, можно ожидать все большей приверженности российских операторов требованиям 152-ФЗ
Отзывы клиентов
Благодарим команду Афонин, Божор и партнеры за качественную работу по юридическому аудиту сайта в свете поступивших претензий от Роскомнадзора. Во-первых, оперативно внесены все нужные изменения, а во-вторых, в результате проведенной работы санкций от РКН не последовало
Привлекали экспертов фирмы Афонин, Божор и партнеры для подготовки документации по работе с персональными данными "под ключ", все документы подготовлены оперативно и качественно, будем рекомендовать компанию своим партнерам
Юрфирма Афонин, Божор и партнеры сопроводила процесс трансграничной передачи данных иностранным контрагентам, в результате работы юристов Роскомнадзор разрешил такую передачу и не станет привлекать организацию к ответственности, благодарим за экспертный подход к ситуации!
Когда и кому необходимо разрабатывать документацию
1
При запуске сайта или онлайн-сервиса
Любой сайт, особенно тот, с помощью которого будут собираться ПД посетителей – это объект потенциального внимания Роскомнадзора. Само ведомство достаточно редко проводит мониторинг сайтов в российском сегменте Интернета, однако поводом для проверки может стать любое обращение от субъекта ПД или публикация на популярных порталах или в СМИ информации, что владелец сайта нарушает требования закона №152-ФЗ. Как следствие, желательно сразу же исключить подобные риски, разместив на сайте политику обработки ПД, правила использования cookies и рекомендательных технологий (если применяются), а также проверив, что пользователи корректно дают согласие на обработку их ПД при заполнении различных веб-форм на сайте. Аналогичным образом следует поступать и при публикации мобильного приложения – необходимо будет разместить ссылки на информацию, регулирующие обработку личной информации, как в описании приложения, так и в его интерфейсе
Любой сайт, особенно тот, с помощью которого будут собираться ПД посетителей – это объект потенциального внимания Роскомнадзора. Само ведомство достаточно редко проводит мониторинг сайтов в российском сегменте Интернета, однако поводом для проверки может стать любое обращение от субъекта ПД или публикация на популярных порталах или в СМИ информации, что владелец сайта нарушает требования закона №152-ФЗ. Как следствие, желательно сразу же исключить подобные риски, разместив на сайте политику обработки ПД, правила использования cookies и рекомендательных технологий (если применяются), а также проверив, что пользователи корректно дают согласие на обработку их ПД при заполнении различных веб-форм на сайте. Аналогичным образом следует поступать и при публикации мобильного приложения – необходимо будет разместить ссылки на информацию, регулирующие обработку личной информации, как в описании приложения, так и в его интерфейсе
2
При найме сотрудников (внутренние ПДн)
Важным элементом работы с сотрудниками, особенно на крупном предприятии, является работа с их персональными данными в связи с кадровыми вопросами. Такая категория сведений возникает с момента, когда компания получает резюме кандидата на должность, и обрабатывается вплоть до момента, пока не подойдет срок сдачи в архив документов об уволенном сотруднике. Ранее, до сентября 2022 года, если компания обрабатывала исключительно сведения о своих сотрудниках, то она освобождалась от обязанности направить соответствующее уведомление в Роскомнадзор. На текущий момент фактически все работодатели, которые используют в работе средства автоматизации (то есть фактически любые информационные системы) обязаны уведомить РКН о работе с ПДн. Как следствие, на предприятии к моменту такого уведомления должна существовать система процессинга и защиты личных сведений, как в части документов, так и в части необходимых технических мер. Особое внимание на такие вопросы следует обращать компаниям, которые используют системы кадрового электронного оборота – так как провайдером подобных систем обычно выступает третье лицо, с ним обязательно должно быть заключено соглашение о поручении на обработку. Это необходимо, чтобы у предприятия было право передавать информацию о работниках на сервера такого третьего лица
Важным элементом работы с сотрудниками, особенно на крупном предприятии, является работа с их персональными данными в связи с кадровыми вопросами. Такая категория сведений возникает с момента, когда компания получает резюме кандидата на должность, и обрабатывается вплоть до момента, пока не подойдет срок сдачи в архив документов об уволенном сотруднике. Ранее, до сентября 2022 года, если компания обрабатывала исключительно сведения о своих сотрудниках, то она освобождалась от обязанности направить соответствующее уведомление в Роскомнадзор. На текущий момент фактически все работодатели, которые используют в работе средства автоматизации (то есть фактически любые информационные системы) обязаны уведомить РКН о работе с ПДн. Как следствие, на предприятии к моменту такого уведомления должна существовать система процессинга и защиты личных сведений, как в части документов, так и в части необходимых технических мер. Особое внимание на такие вопросы следует обращать компаниям, которые используют системы кадрового электронного оборота – так как провайдером подобных систем обычно выступает третье лицо, с ним обязательно должно быть заключено соглашение о поручении на обработку. Это необходимо, чтобы у предприятия было право передавать информацию о работниках на сервера такого третьего лица
3
Для интернет-магазинов, агрегаторов, SaaS-сервисов
Как мы указали выше, документы об обработке личной информации требуются владельцам практически каждого веб-сайта. Порталы интернет-магазинов, маркетплейсов (агрегаторов товаров и услуг) и SaaS-сервисов не являются исключением. Так, например, практически каждый Интернет-магазин позволяет своим пользователям оставить заявку, содержащую – ФИО, email-адрес, контактный номер телефона и адрес доставки товара. В случае с маркетплейсами ситуация усложняется – платформа позволяет пользователям-селлерам публиковать свои сведения, а пользователям-покупателям – передавать их селлерам, это необходимо для доставки товара. Как следствие, потребуются, как минимум, согласия от обеих категорий пользователей на обработку их личной информации, а в ряде случаев – также соглашение о поручении маркетплейсу обработки сведений о клиентах. Наконец, если рассматривать SaaS-сервисы, то с учетом хранения на сервере администратора платформы, необходимо уделить им особое внимание. Соответственно, нужно проверить, чтобы у компании было право обрабатывать не только характеристики своих пользователей, но и ПДн, которые пользователи могут загрузить на сервер компании при работе с ее площадкой
Как мы указали выше, документы об обработке личной информации требуются владельцам практически каждого веб-сайта. Порталы интернет-магазинов, маркетплейсов (агрегаторов товаров и услуг) и SaaS-сервисов не являются исключением. Так, например, практически каждый Интернет-магазин позволяет своим пользователям оставить заявку, содержащую – ФИО, email-адрес, контактный номер телефона и адрес доставки товара. В случае с маркетплейсами ситуация усложняется – платформа позволяет пользователям-селлерам публиковать свои сведения, а пользователям-покупателям – передавать их селлерам, это необходимо для доставки товара. Как следствие, потребуются, как минимум, согласия от обеих категорий пользователей на обработку их личной информации, а в ряде случаев – также соглашение о поручении маркетплейсу обработки сведений о клиентах. Наконец, если рассматривать SaaS-сервисы, то с учетом хранения на сервере администратора платформы, необходимо уделить им особое внимание. Соответственно, нужно проверить, чтобы у компании было право обрабатывать не только характеристики своих пользователей, но и ПДн, которые пользователи могут загрузить на сервер компании при работе с ее площадкой
4
Для образовательных платформ, CRM, колл-центров
Особенно важно подготовить информацию по обработке ПД для компаний, сфера деятельности которых напрямую связана с работой с большим объемом сведений. Так, например, при создании CRM-системы необходимо заранее определить, какие сервера будут использоваться для размещения программы – собственные сервера клиента или все же оборудование правообладателя системы. В первом случае все вопросы процессинга личных сведений возлагаются на клиента. Во втором случае, соответственно, администратору системы нужно проверить, чтобы у него были достаточные основания для обработки сведений. В этой ситуации необходимо, чтобы субъект ПД предоставлял свое согласие на обработку информации о нем администратору системы (либо напрямую, либо в форме права оператора поручить процессинг сведений о нем конкретному третьему лицу – владельцу CRM). Колл-центрам, которые получают от своих клиентов большой объем сведений о лицах, которым нужно совершить звонки (или, наоборот, от которых нужно принять звонки), необходимо действовать аналогичным образом. При этом, всем подобным компаниям, хранящим большие объемы сведений, не следует забывать о возможных утечках – с учетом многомиллионных штрафов РКН и репутационных последствий, должен быть проведен не только юридический (с подготовкой документов), но и технический аудит, призванный обеспечить реальную кибербезопасность на предприятии. Все вышесказанное, хоть и в меньшей степени, относится и к образовательным платформам: риски для них увеличивает большой объем сведений о студентах и определенное число недовольных пользователей, которые будут готовы пожаловаться на работы платформы «во все инстанции», включая Роскомнадзор
Особенно важно подготовить информацию по обработке ПД для компаний, сфера деятельности которых напрямую связана с работой с большим объемом сведений. Так, например, при создании CRM-системы необходимо заранее определить, какие сервера будут использоваться для размещения программы – собственные сервера клиента или все же оборудование правообладателя системы. В первом случае все вопросы процессинга личных сведений возлагаются на клиента. Во втором случае, соответственно, администратору системы нужно проверить, чтобы у него были достаточные основания для обработки сведений. В этой ситуации необходимо, чтобы субъект ПД предоставлял свое согласие на обработку информации о нем администратору системы (либо напрямую, либо в форме права оператора поручить процессинг сведений о нем конкретному третьему лицу – владельцу CRM). Колл-центрам, которые получают от своих клиентов большой объем сведений о лицах, которым нужно совершить звонки (или, наоборот, от которых нужно принять звонки), необходимо действовать аналогичным образом. При этом, всем подобным компаниям, хранящим большие объемы сведений, не следует забывать о возможных утечках – с учетом многомиллионных штрафов РКН и репутационных последствий, должен быть проведен не только юридический (с подготовкой документов), но и технический аудит, призванный обеспечить реальную кибербезопасность на предприятии. Все вышесказанное, хоть и в меньшей степени, относится и к образовательным платформам: риски для них увеличивает большой объем сведений о студентах и определенное число недовольных пользователей, которые будут готовы пожаловаться на работы платформы «во все инстанции», включая Роскомнадзор
5
Хостинг-провайдерам и IT-интеграторам
Требования к обработке ПД равным образом относятся и к предприятиям ИТ-сегмента. Например, хостинг-провайдерам необходимо определить, кто обладает доступом к информации, размещенной на арендуемых серверах. Если доступом обладает не только клиент, но и сама компания-владелец серверов, то это значит, что она косвенно может заниматься процессингом ПД. В связи с этим рекомендуется все же оставить доступ исключительно у клиента (с возможностью на стороне провайдера только удалять, но не просматривать или редактировать размещенные сведения), либо оформить с каждым клиентом соглашение о поручении обработки ПД. Аналогичным образом стоит поступать и IT-интеграторам, предлагающим своим клиентам решения, размещенные на собственных серверах интегратора. Важно также учитывать, что клиенты, приобретающие подобные услуги, требуют, чтобы на используемых ими серверах обеспечивался определенный уровень защищенности, а достижение такого уровня потребует, как минимум, разработки комплекта документов по защите ПД, приобретения технических средств защиты информации, а также проведения аттестации систем со стороны лицензиата ФСТЭК
Требования к обработке ПД равным образом относятся и к предприятиям ИТ-сегмента. Например, хостинг-провайдерам необходимо определить, кто обладает доступом к информации, размещенной на арендуемых серверах. Если доступом обладает не только клиент, но и сама компания-владелец серверов, то это значит, что она косвенно может заниматься процессингом ПД. В связи с этим рекомендуется все же оставить доступ исключительно у клиента (с возможностью на стороне провайдера только удалять, но не просматривать или редактировать размещенные сведения), либо оформить с каждым клиентом соглашение о поручении обработки ПД. Аналогичным образом стоит поступать и IT-интеграторам, предлагающим своим клиентам решения, размещенные на собственных серверах интегратора. Важно также учитывать, что клиенты, приобретающие подобные услуги, требуют, чтобы на используемых ими серверах обеспечивался определенный уровень защищенности, а достижение такого уровня потребует, как минимум, разработки комплекта документов по защите ПД, приобретения технических средств защиты информации, а также проведения аттестации систем со стороны лицензиата ФСТЭК
6
Юридическим лицам, работающим с клиентами, контрагентами, партнерами
Наконец, следует обратить внимание на практически весь российский бизнес: каждая компания в той или иной сфере пользуется ИТ-инструментами для работы с ПД. Соответственно, нужно предпринять минимальный набор действий: собрать (в случаях, когда это необходимо) согласия на работу с ПД, разместить политику их обработки на сайте и уведомить Роскомнадзор. Если компания предполагает, что в ее деятельности есть риск проверок со стороны Роскомнадзора, то рекомендуется подготовить расширенный комплект бумаг (включая положения, приказы, журналы и др.), а также провести аудит реальной кибербезопасности на предприятии. В этом случае в случае претензий со стороны ведомства компания сможет предъявить как набор необходимых документов, так и подтверждение, что системы компании надлежащим образом защищены. На текущий момент, с учетом пристального внимания государства к бизнесу, рекомендуется заранее решить вопрос с процессингом ПД, чтобы не рисковать значительными штрафами, которые могут парализовать деятельность компании
Наконец, следует обратить внимание на практически весь российский бизнес: каждая компания в той или иной сфере пользуется ИТ-инструментами для работы с ПД. Соответственно, нужно предпринять минимальный набор действий: собрать (в случаях, когда это необходимо) согласия на работу с ПД, разместить политику их обработки на сайте и уведомить Роскомнадзор. Если компания предполагает, что в ее деятельности есть риск проверок со стороны Роскомнадзора, то рекомендуется подготовить расширенный комплект бумаг (включая положения, приказы, журналы и др.), а также провести аудит реальной кибербезопасности на предприятии. В этом случае в случае претензий со стороны ведомства компания сможет предъявить как набор необходимых документов, так и подтверждение, что системы компании надлежащим образом защищены. На текущий момент, с учетом пристального внимания государства к бизнесу, рекомендуется заранее решить вопрос с процессингом ПД, чтобы не рисковать значительными штрафами, которые могут парализовать деятельность компании
Перечень обязательных документов по персональным данным
Политика в отношении обработки ПДн
Политика компании в отношении обработки персональных данных – основополагающий элемент, которым урегулированы механизмы работы с такой информацией в организации. Так, политика определяет категории субъектов, чьи параметры будет обрабатываться, цели и способы ее процессинга, а также порядок хранения и защиты ПД. В связи с тем, что этот документ содержит в себе подробное описание процесса работы в организации, законодатель требует обеспечить к нему неограниченный доступ, например, путем размещения на сайте. Любой субъект ПД, таким образом, может ознакомиться с правилами работы с личной информацией в компании и принять решение, готов ли он предоставлять личные сведения такой организации
Согласие на обработку ПДн
Еще один важный элемент, без которого не обходится работа практически ни одной российской компании – это согласие на обработку персональных данных. Такое согласие, по общему правилу, может быть выражено в любой форме – устной, письменной или электронной, при условии, что факт предоставления согласия будет зафиксирован. Например, при телефонном разговоре это может быть предупреждение об обработке ПД и запись такого разговора. При оформлении заявки на сайте – чекбокс, в котором пользователю предлагается поставить особую отметку («галочку»), чтобы согласиться с условиями использования его ПД. Если речь идет о письменной форме согласия, например, когда используются сведения о состоянии здоровья, то к нему установлены особые требования, перечисленные в ч.4 ст.9 закона №152-ФЗ (необходимо указать полные реквизиты субъекта, оператора, цели обработки и перечень ПД, срок действия и другие реквизиты). Любое согласие, при этом, должно конкретным, предметным, информированным, сознательным и однозначным. А с 1 сентября 2025 года согласие обязательно должно оформляться в форме отдельного документа и его запрещается включать, например, в договор с клиентом в качестве одного из разделов
Приказ о назначении ответственного
У каждого оператора ПДн в обязательном порядке должен быть назначен сотрудник, ответственный за обработку ПД в организации. Таким ответственным может быть как руководитель (единоличный исполнительный орган) компании или индивидуальный предприниматель лично, либо же специально обученный работник. Важно учитывать, что подобное назначение – это не простая формальность, именно такой сотрудник будет нести административную (как должностное лицо), дисциплинарную и потенциально - уголовную ответственность за нарушения правил процессинга личных параметров. Как следствие, работник, назначаемый приказом, должен, во-первых, обладать необходимыми навыками и знаниями, а во-вторых – быть ознакомленным со всеми локальными актами, посвященными обработке.
Положение об обработке ПДн работников
Действующее законодательство о персданных зачастую трактуют таким образом, что организации недостаточно иметь политику обработки, но также необходимо утвердить отдельное Положение о порядке обработки ПД. В этом случае в политике, как правило, отражается порядок процессинга личной информации посетителей сайта, а в положении – вопросы работы со сведениями других категорий (например, сотрудников и представителей контрагентов). В положении аналогичным образом определяются цели и способы процессинга сведений, а также закрепляются конкретные меры по их защите, предусмотренные законом №152-ФЗ и подзаконными актами
Уведомление в Роскомнадзор
Уведомление в РКН, несмотря на его составление на сайте ведомства, также представляет собой отдельный документ, к составлению которого следует представлять специалистов по обработке ПД. Так, в уведомлении отражаются подробные сведения об операторе (наименование, адрес, сведения о регистрации), о конкретных данных, с которыми оператор планирует работать, и целях работы с ними. Также в уведомлении указываются сведения о лице, ответственном за работу с ПД на предприятии, и о центре обработки данных (ЦОД) – является ли он собственным или арендованным, по какому адресу располагается и какими средствами защищен от внешних воздействий. Приводится также перечень мер, который принят оператором в целях защиты ПД
Акт определения уровня защищенности
Каждый оператор самостоятельно определяет меры, которые он намерен применять в целях защиты ПД, однако обязан предварительно определить уровень защищенности его информационной системы. В соответствии с Постановлением Правительства РФ № 1119 от 01.11.2012, все они могут быть отнесены к 4 уровнем защищенности. Уровень присваивается в зависимости от ряда показателей, к которым относятся:
- Количество субъектов, сведения о которых размещены в системе
- Типы обрабатываемых сведений (включая специальные категории ПДн)
- Угрозы, актуальные для информационной системы (например, наличие недокументированных (недекларированных) возможностей в программном обеспечении)
Модель угроз безопасности персональных данных
В соответствии с п.1 ч.2 ст.19 закона №152-ФЗ, оператор ПД обязан обеспечивать безопасность обрабатываемых сведений, в том числе, за счет определения угроз безопасности при их процессинге в ИСПДн. На практике, для исполнения таких требований, необходимо разработать специальный документ - Модель угроз безопасности персональных данных. Отсутствует какая-то единая форма, поэтому разрабатывать его рекомендуется в каждом случае с учетом действительно существующих (актуальных) угроз информационной системе. При разработке могут быть учтены Методика оценки угроз безопасности информации (утверждена ФСТЭК России 5 февраля 2021) и Базовая модель безопасности персональных данных при их обработке в информационных системах (утверждена ФСТЭК России 15 февраля 2008). На практике перед составлением такого документа должен быть проведен подробный технический аудит безопасности на предприятии, который будет включать в себя анализ всего используемого ИТ-оборудования и программного обеспечения, а также выявление недостатков в существующей системе. «Формальная» модель угроз, основанная на типовой форме, без учета реального положения дел в организации, не принесет компании какой-либо пользы при проверках Роскомнадзора
Виды согласий и сценарии применения
Согласие пользователя сайта (cookie, форма обратной связи)
Такое согласие требуется в любой ситуации, когда администрация собирает какие-либо данные пользователя, по которым его можно идентифицировать. Например, пользователь может заполнять на сайте заявки, подписываться на электронную рассылку или создавать профиль – все эти процессы предполагают сбор его ПД со стороны администрации сайта. Кроме того, как неоднократно указывал Роскомнадзор, cookie-файлы также являются персональными данными, так как позволяют определить историю взаимодействия пользователя с сайтом и модель его устройства. С учетом всего вышеизложенного, требуется получать от пользователя согласие, например, путем проставления им «галочки» в чекбоксе при заполнении форм, размещенных на сайте. Отказаться от использования согласия можно только в том случае, если единственная цель работы с информацией – это заключение и исполнение договора (оферты, пользовательского соглашения) с соответствующим пользователем. Важно также учитывать, что администрации потребуется отдельное согласие с использованием рекомендательных технологий, если история взаимодействия пользователя с сайтом будет использоваться для рекомендации ему новых товаров, услуг или контента
Согласие работника при приеме на работу
Трудовой кодекс и закон №152-ФЗ позволяют обрабатывать данные сотрудника без дополнительного согласия, так как такие сведения нужны работодателю в целях заключения и исполнения трудового договора. Тем не менее многие работодатели на практике используют полученную информацию для множества других целей, например, доступа сотрудника на предприятие, участия в корпоративных мероприятиях, обучения и видеонаблюдения на рабочем месте. В этих ситуациях при приеме на работу крайне желательно получить отдельное согласие работника на использование его личной информации, так как незаконная обработка сведений о работнике карается со стороны Роскомнадзора столь же строго, как и нарушения при работе с ПДн иных лиц
Согласие клиента на рекламную рассылку
Рекламная рассылка предполагает получение от ее адресата сразу двух согласий. Первое согласие касается самой возможности получения рекламной рассылки и предусмотрено ст.18 ФЗ «О рекламе», в случае нарушения такого правила рекламодатель рискует штрафом до 500 тысяч рублей на основании ст.14.3 КоАП РФ. Кроме того, рассылка предполагает использование ПД клиента – хотя бы в целях сохранения его контактов в базе организации, а также при формировании списков рассылки. Как следствие, требуется и второе согласие – на использование ПД клиента в целях осуществления рассылки. Важно учитывать, что согласие на рассылку должно предоставляться отдельно от оформления клиентом каких-либо иных документов, иначе будет не очевидной направленность его действий на получение рекламы
Отдельные согласия при передаче третьим лицам
Передача ПДн третьим лицам также требует оформления согласия, кроме случаев, когда такая передача очевидно необходима для исполнения договора, заключенного с субъектом. Такое согласие также может быть реализовано в двух формах. Первая – это простое подтверждение со стороны гражданина, что его личная информация может передаваться третьему лицу – в этом случае нужно проверить, что у такого третьего лица есть право дальнейшей работы с такими сведениями. Вторая – это согласие с тем, что процессинг сведений будет поручен третьему лицу на основании ч.3 ст.6 закона №152-ФЗ. И в первом и во втором случае в согласии должны быть перечислены конкретные лица, которые будут получать ПД, в противном случае возникает риск, что такие документы не будут учтены при очередной проверке РКН
Механизмы отзыва согласия
В законе №152-ФЗ досконально не прописан механизм отзыва согласий субъектов ПД, однако прямо предусмотрено право субъекта на такой отзыв. Исходя из сложившейся практики, можно выделить следующие механизмы отзыва:
- Личное обращение к оператору с двумя экземплярами заявления об отзыве – один экземпляр сохраняет у себя сотрудник оператора, второй (с отметкой о принятии) получает субъект ПД
- Направление такого заявления почтой или через курьерские службы доставки корреспонденции на юридический адрес оператора
- Через электронные средства связи, которые были использованы при предоставлении согласия или которые специально указаны оператором. Например, на некоторых сайтах прямо указан email-адрес, на который может быть отправлен отзыв согласия
При этом, даже после отзыва согласия оператор вправе продолжать процессинг данных в следующих обстоятельствах:
- Когда это необходимо для исполнения законодательства РФ или международного договора с участием РФ
- В связи с участием в судебных процессах или уголовном разбирательстве
- В связи с исполнением судебного акта
- При исполнении полномочий государственных органов
- Когда с субъектом ПД заключен договор, исполнение которого требует работы с такими сведениями
- Если это необходимо для защиты жизни или здоровья гражданина, а получить согласие – затруднительно
- В связи с исполнением законодательства о микрофинансовой деятельности
- В рамках работы журналистов и СМИ
- При проведении статистических и иных исследований, при условии обезличивания таких сведений
- Если информация подлежит опубликованию или обязательному раскрытию в соответствии с законом
Разграничение согласий по категориям ПДн
Как мы уже выяснили ранее, некоторые согласия должны быть оформлены в письменном виде. Это требование применяется, если речь идет о специальных категориях персональных данных, то есть сведений, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья или интимной жизни. Аналогичное требование применяется и к биометрической информации, которая характеризует физиологические и биологические особенности человека, на основании которых можно установить его личность
Кроме того, особая форма согласия предусмотрена для случаев, когда полученные сведения будут распространяться публично – «согласие на обработку личной информации, разрешенной для распространения». В рамках такой формы согласия оператор обязан предоставить субъекту выбор, какие именно сведения будут разглашаться, какими способами и с учетом каких ограничений. Подобное разрешение может предоставляться как в письменном виде, так и с использованием электронных средств, но в любом случае – отдельно от других документов
Почему выбирают нас для разработки документации по ПДн
- Комплексная работа "под ключ" — от первичного анализа до внедрения
- Гарантия конфиденциальности: подписываем NDA и не передаем информацию третьим лицам
- Большой опыт в сфере защиты — от малого бизнеса до крупных компаний
- Работаем с любыми формами обработки данных: онлайн-сервисы, CRM, HR, видеонаблюдение и др.
- Разрабатываем политику, согласия, положения, регламенты и приказы — строго по требованиям Роскомнадзора
- Индивидуальный подход: документы адаптированы под специфику вашего бизнеса
- 90% клиентов предпочитают дистанционную форму взаимодействия — быстро, удобно и без лишних визитов
- Минимизируем риски проверок и предписаний РКН: соблюдение требований 152-ФЗ и смежных нормативов
- Оптимизируем внутренние процессы по обращению с данными
- Готовим клиентов к проверкам: проводим внутренние аудиты
Специалист, проверивший статью:
генеральный директор, руководитель практики цифрового права
рекомендованный юрист Право-300 и ИД Коммерсантъ
Опубликовано:
29.07.2025
29.07.2025
Аудит и актуализация существующей документации
Проведение юридического и технического аудита
Юридический аудит – обязательный комплект комплексной проверки организации на предмет соблюдения требований к защите ПД. В рамках подобного аудита, как правило, необходимо:
- Выявить перечень всех категорий сведений, обрабатываемых оператором и целей работы с ними
- Распределить обрабатываемые категории сведений с учетом целей их использования
- Проверить корректность локальных актов, регулирующих обработку ПД
- Проверить, все ли необходимые документы размещены на сайте организации, и нет ли нарушений в текущем порядке работы с личной информацией с помощью сайта
- При выявлении неточностей и ошибок в локальных актах – скорректировать их с учетом требований закона №152-ФЗ, а при выявлении недостающих документов, соответственно, их подготовить
- Выявление программных и технических средств, используемых оператором
- Анализ возможности их использования для работы с ПДн
- Оценка возможных угроз безопасности внутренним информационным системам
- Проверка используемых средств на предмет обеспечения необходимого уровня защищенности
- Повышение уровня защищенности за счет перенастройки имеющихся и приобретения новых средств защиты
- По результатам комплексного юридического и технического аудита вся документация и процессы процессинга должны соответствовать требования закона №152-ФЗ и подзаконных актов в этой сфере
Анализ действующих ИС и бизнес-процессов
Первый шаг при любом аудите – это составление перечня систем, которые фактически использует организация, а также перечня и способов обработки в таких системах. Кроме того, выявляются существующие процессы, связанные с обменом ПДн между сотрудниками организации и с ее контрагентами. После того как подобный анализ проведен, происходит оценка существующих методов хранения и процессинга с точки зрения законодательства и фактической защищенности. А по результатам оценки – предлагаются меры по устранению существующих ошибок и возможностей взлома. В ходе всех перечисленных этапов аудиторы часто и подробно опрашивают сотрудников организации на предмет существующих методов работы с ПДн – устные пояснения зачастую позволяют выявить те риски, которые никак не описаны в документации
Внесение изменений при изменении целей или объемов обработки характеристик
Постоянное развитие бизнеса может привести к изменению целей и объемов работ. В этой ситуации необходимо актуализировать существующую документацию, а потенциально – также пересмотреть меры защиты, которые применяются в используемых ПДн. Например, бизнесу может потребоваться направить рекламную рассылку существующим клиентам, при том, что подобная цель использования информации никак не упоминается. В этом случае для соблюдения требований законодательства потребуется:
- Отразить рекламную и информационную рассылку в качестве цели обработки в локальных актах оператора
- Получить от субъектов согласия (а) на саму рекламную рассылку в целях соблюдения ФЗ «о рекламе», а также (б) на обработку, необходимую для осуществления такой рассылки
- Внести изменения в уведомление, ранее поданное в Роскомнадзор, добавив соответствующую цель работы с такими сведениями
Проверка и актуализация баз при изменении законодательства
Законодательство в сфере ПД изменяется практически каждый год и как правило – в сторону ужесточения. Как следствие, документы, которые полностью отражали требования законодательства, становятся неактуальными. В качестве примера можно привести, например, полный запрет на использование иностранных серверов для обработки ПДн российских граждан с июля 2025 года, тогда как до этого момента допускалось дублирование российских и зарубежных информационных баз. Таким образом, периодическая проверка на соответствие требованиям законодательства – однозначно необходима, чтобы организация могла избежать административной, а ее руководитель – уголовной ответственности. С учетом постоянного меняющегося законодательства, по возможности, актуализация документации по процессингу должна стать рутинным и ежегодным процессом
Интеграция с техническими мерами защиты
Документы как часть системы защиты
Наличие самых современных средств защиты информационных систем не всегда позволяет избежать утечек. Даже если в организации применяются дорогие и надежные средства защиты, работники, имеющие доступ к ПДн, могут своими действиями спровоцировать утечку. При этом, работники могут как иметь негативный умысел (например, нанести ущерб работодателю или передать данные клиенту), так и действовать легкомысленно, не осознавая последствий своих действий. Например, работники «забывают» пароли для доступа к рабочим системам и хранят их в мессенджерах или на стикерах, прикрепленных к мониторам компьютеров. Как следствие, сотрудники, во-первых, должны понимать, какие именно действия они должны совершать для охраны и, во-вторых, какую ответственность они понесут за нарушение. Инструкции по парольной политике, антивирусной защите и информационной безопасности помогут достичь именно этих двух целей
Связь между внутренними регламентами и ИБ-политиками
Политики информационной безопасности – это локальные акты, определяющие, какие именно сведения подлежат защите, каким рискам и угрозам присваивается особый приоритет и на каких принципах на строится для компании. Внутренние регламенты компании в сфере процессинга – это также локальные акты, но уже несколько в иной сфере: они определяют, какая личная информация используется организацией, и каким образом она будет обрабатываться и защищаться. Как следствие, политики (в части обеспечения сохранности ПДн) должны подчиняться локальным актам в области персданных, чтобы обеспечить их адекватную защиту. В свою очередь, при составлении документов, посвященных личным сведениям, необходимо учитывать действующие в организации инструменты защиты информации. Именно синергия подразделений, ответственных за ИБ и защиту ПДн, обеспечит максимально возможную безопасность и позволит избежать репутационных издержек и штрафов Роскомнадзора
Практика ведения и хранения электронных журналов
Если компания сталкивается с большим объемом сведений в электронной форме (например, когда основным активом является электронный сервис, которым активно пользуются физические лица), для соблюдения требований законодательство рекомендуется вести журналы (логи) действий, связанных с ПДн, в электронном виде. Здесь речь идет, например, о журналах регистрации пользователей, изменении регистрационных сведений, направленных пользователями сообщений. Это поможет в ситуациях, когда организацией будет получен запрос Роскомнадзора о факте обработки данных определенного физического лица без его согласия. При наличии соответствующего электронного журнала, фиксирующего дату и время получения согласий на обработку при регистрации на сайте, компания сможет предоставить в Роскомнадзор выписку, подтверждающую наличие согласия на обработку ПДн
Оценка соответствия модели угроз и ИСПДн
Практически каждый год появляются новые компьютерные вирусы и способы взломов информационных систем, что и влечет ужесточение требований к уровню защищенности персональных данных. В связи с такими обстоятельствами, рекомендуется регулярно оценивать два аспекта: (1) насколько угрозы, существующие в реальности, соответствуют принятой в компании модели угроз, и (2) насколько модель угроз соответствует текущим процессам работы с ПДн в организации. Если выявляется несоответствие по одному из двух пунктов выше, необходимо с привлечением специалиста по ИБ обновить модель угроз, обеспечить защиту в новых условиях и проинформировать сотрудников об изменениях
Документирование инцидентов и реагирования
Одной из основных обязанностей оператора является своевременное уведомление Роскомнадзора обо всех случаях утечек и проведение расследования по таким случаям в целях минимизации ущерба субъектам персональных данных. Оператор обязан задокументировать каждый случай утечки и сообщить о нем в Роскомнадзор в течение 24 часов. При этом, даже если сбой в работе системы не привел к утечкам, инцидент желательно отразить во внутренних журналах и принять меры по его недопущению – в этом случае компания сможет адекватно реагировать на аналогичные сбои в будущем. Важным локальным актом в этой области, который рекомендуется принять любому предприятию, использующему ИСПДн, является инструкция о порядке действий в нештатных ситуациях и восстановлению после сбоя
Юридические услуги по подготовке документации
Комплексная разработка под ключ
Как правило, разработка комплекта бумаг по работе с ПДн требует досконального изучения существующих характеристик и элементов и бизнес-процессов организации, связанных с процессингом. Поручение такой задачи одной команде позволяет сэкономить значительные временные и финансовые ресурсы, так как специалистам из разных фирм в этом случае не придется несколько раз анализировать одну и ту же информацию несколько раз. Комплексный подход позволяет полностью решить все вопросы обработки, которые стоят перед организацией, и на несколько лет вперед не возвращаться к переоформлению документов (кроме случаев изменения законодательства или значительного обновления процессов в организации). Результатом оказания такой услуги является аудит всех имеющихся процессов, связанных с персданными и рекомендации по их корректировки, а также подробный комплект локальных актов в этой сфере
Как правило, разработка комплекта бумаг по работе с ПДн требует досконального изучения существующих характеристик и элементов и бизнес-процессов организации, связанных с процессингом. Поручение такой задачи одной команде позволяет сэкономить значительные временные и финансовые ресурсы, так как специалистам из разных фирм в этом случае не придется несколько раз анализировать одну и ту же информацию несколько раз. Комплексный подход позволяет полностью решить все вопросы обработки, которые стоят перед организацией, и на несколько лет вперед не возвращаться к переоформлению документов (кроме случаев изменения законодательства или значительного обновления процессов в организации). Результатом оказания такой услуги является аудит всех имеющихся процессов, связанных с персданными и рекомендации по их корректировки, а также подробный комплект локальных актов в этой сфере
Индивидуальный подбор под отрасль и масштаб бизнеса
Важно, что комплект документации зависит от масштаба бизнеса и отрасли деятельности клиента. Так, например, для компаний, которые осуществляют исключительно автоматизированную обработку сведений, не потребуются документы о работе с информацией без средств автоматизации. А организации, которая обрабатывает специальные категории данных, кроме особых форм согласий субъектов ПДн потребуются также подробные инструкции по защите сведений внутри организации, чтобы избежать утечки и многомиллионного штрафа. Напротив, индивидуальному предпринимателю с единственным Интернет-магазином будет достаточно размещения на сайте политики обработки ПДн, сбора согласий со своих клиентов и уведомления Роскомнадзора. Профильные юристы помогут определить, насколько подробным должен быть комплект бумаг с учетом характеристик бизнеса клиента, что позволит наиболее корректно определить трудозатраты, сроки и стоимость услуг
Важно, что комплект документации зависит от масштаба бизнеса и отрасли деятельности клиента. Так, например, для компаний, которые осуществляют исключительно автоматизированную обработку сведений, не потребуются документы о работе с информацией без средств автоматизации. А организации, которая обрабатывает специальные категории данных, кроме особых форм согласий субъектов ПДн потребуются также подробные инструкции по защите сведений внутри организации, чтобы избежать утечки и многомиллионного штрафа. Напротив, индивидуальному предпринимателю с единственным Интернет-магазином будет достаточно размещения на сайте политики обработки ПДн, сбора согласий со своих клиентов и уведомления Роскомнадзора. Профильные юристы помогут определить, насколько подробным должен быть комплект бумаг с учетом характеристик бизнеса клиента, что позволит наиболее корректно определить трудозатраты, сроки и стоимость услуг
Разработка англоязычных и мультиязычных версий
Если ресурсом компании пользуются граждане различных государств, то рекомендуется учитывать законодательство таких государств при подготовке документов. Так, например, если значительную часть аудитории портала или мобильного приложения составляют граждане Евросоюза, то рекомендуется проверить существующие процессы на соответствие требованиям Общего регламента по защите данных (GDPR) и разработать отдельные версии бумаг с учетом этого нормативного акта. Если речь идет о гражданах отдельных штатов США, например, Калифорнии, то потребуется учитывать также законодательство соответствующих штатов (например, закон Калифорнии о защите конфиденциальной информации потребителей – California Consumer Privacy Act, CCPA). Наконец, речь может идти и о гражданах Китая или Индии – в этих случаях необходимо руководствоваться требованиями Закона КНР о защите персональной информации (PIPL) и Закона Индии о защите цифровых персональных данных (PDPB). Во всех вышеуказанных случаях потребуется разработка документов, как минимум, на английском языке, а как максимум – также на соответствующих иностранных языках, с чем могут помочь профильные юристы и переводчики в сфере профессиональной коммуникации
Если ресурсом компании пользуются граждане различных государств, то рекомендуется учитывать законодательство таких государств при подготовке документов. Так, например, если значительную часть аудитории портала или мобильного приложения составляют граждане Евросоюза, то рекомендуется проверить существующие процессы на соответствие требованиям Общего регламента по защите данных (GDPR) и разработать отдельные версии бумаг с учетом этого нормативного акта. Если речь идет о гражданах отдельных штатов США, например, Калифорнии, то потребуется учитывать также законодательство соответствующих штатов (например, закон Калифорнии о защите конфиденциальной информации потребителей – California Consumer Privacy Act, CCPA). Наконец, речь может идти и о гражданах Китая или Индии – в этих случаях необходимо руководствоваться требованиями Закона КНР о защите персональной информации (PIPL) и Закона Индии о защите цифровых персональных данных (PDPB). Во всех вышеуказанных случаях потребуется разработка документов, как минимум, на английском языке, а как максимум – также на соответствующих иностранных языках, с чем могут помочь профильные юристы и переводчики в сфере профессиональной коммуникации
Сопровождение при проверках РКН
Проверки Роскомнадзора, как правило, проходят в документарной форме, и у организации есть время собрать информацию и подготовить ответ. Привлечение юриста с экспертизой в сфере защиты целесообразно на самом раннем этапе: такой специалист сможет подсказать, какие именно документы и сведения целесообразно предоставить при ответе на запрос, а какие корректнее будет не раскрывать. Кроме того, юрист сможет провести работу по устранению нарушений, в связи с которыми проводится такая проверка, и тем самым минимизировать риск привлечения оператора ПДн к ответственности. Кроме того, опыт юриста по сопровождению контрольных мероприятий позволяет выявить, какие именно нарушения стремится выявить надзорное ведомство, заранее подготовить почву и минимизировать число доказательств, которые окажутся в распоряжении Роскомнадзора. Наконец, на этапе назначения наказания профильный специалист сможет добиться предупреждения вместо штрафа или же снизить сумму штрафа до минимальных значений
Проверки Роскомнадзора, как правило, проходят в документарной форме, и у организации есть время собрать информацию и подготовить ответ. Привлечение юриста с экспертизой в сфере защиты целесообразно на самом раннем этапе: такой специалист сможет подсказать, какие именно документы и сведения целесообразно предоставить при ответе на запрос, а какие корректнее будет не раскрывать. Кроме того, юрист сможет провести работу по устранению нарушений, в связи с которыми проводится такая проверка, и тем самым минимизировать риск привлечения оператора ПДн к ответственности. Кроме того, опыт юриста по сопровождению контрольных мероприятий позволяет выявить, какие именно нарушения стремится выявить надзорное ведомство, заранее подготовить почву и минимизировать число доказательств, которые окажутся в распоряжении Роскомнадзора. Наконец, на этапе назначения наказания профильный специалист сможет добиться предупреждения вместо штрафа или же снизить сумму штрафа до минимальных значений
Обучение персонала и внедрение регламентов
Бумаги по обработке и защите ПДн, безусловно, играют значительную роль в работе организации, но их смысл утрачивается, если работники организации не исполняют изложенные в них требования и не понимают, как соблюдать требования закона №152-ФЗ. В связи с этим целесообразно проводить обучение работников правилам безопасной и эффективной работы. Такие тренировки могут параллельно проводить юрист и специалист по кибербезопасности: первый эксперт сможет разъяснить сотрудникам, чем может быть чревато несоблюдение правил работы с ПДн, а второй – предложить конкретные правила, соблюдение которых снизит риск утечек до минимума. Аналогичным образом юрист может способствовать внедрению локальных нормативных актов – инструктировать кадровые подразделения организации, как именно необходимо ознакомить сотрудников с содержанием документов, чтобы гарантировать их действие и эффективность
Бумаги по обработке и защите ПДн, безусловно, играют значительную роль в работе организации, но их смысл утрачивается, если работники организации не исполняют изложенные в них требования и не понимают, как соблюдать требования закона №152-ФЗ. В связи с этим целесообразно проводить обучение работников правилам безопасной и эффективной работы. Такие тренировки могут параллельно проводить юрист и специалист по кибербезопасности: первый эксперт сможет разъяснить сотрудникам, чем может быть чревато несоблюдение правил работы с ПДн, а второй – предложить конкретные правила, соблюдение которых снизит риск утечек до минимума. Аналогичным образом юрист может способствовать внедрению локальных нормативных актов – инструктировать кадровые подразделения организации, как именно необходимо ознакомить сотрудников с содержанием документов, чтобы гарантировать их действие и эффективность
Постоянное сопровождение и обновление пакета
Если организация обрабатывает значительные объемы и старается представить на рынке новые продукты, то неизбежно возникают юридические вопросы, связанные с изменениями в процессе работы с такой информацией (или необходимостью проверить законность оказания новых услуг). В этом случае целесообразным становится постоянное юридическое сопровождение на абонентской основе – такой подход позволяет обратиться к юристу в любой момент времени и оперативно получить грамотный ответ, без согласования сроков и стоимости с внешним специалистом. Этот же подход может применяться при обновлении пакета документов в связи с изменением законодательства или бизнес-процессов: специалист, привлеченный на абонентской основе, будет уже ознакомлен с порядком работы организации и, соответственно, сможет оперативно и точечно внести необходимые изменения
Если организация обрабатывает значительные объемы и старается представить на рынке новые продукты, то неизбежно возникают юридические вопросы, связанные с изменениями в процессе работы с такой информацией (или необходимостью проверить законность оказания новых услуг). В этом случае целесообразным становится постоянное юридическое сопровождение на абонентской основе – такой подход позволяет обратиться к юристу в любой момент времени и оперативно получить грамотный ответ, без согласования сроков и стоимости с внешним специалистом. Этот же подход может применяться при обновлении пакета документов в связи с изменением законодательства или бизнес-процессов: специалист, привлеченный на абонентской основе, будет уже ознакомлен с порядком работы организации и, соответственно, сможет оперативно и точечно внести необходимые изменения
Кейсы по созданию документации по ПДн и проверкам Роскомнадзора
Комплексный аудит сайта и данных для одного из крупнейших онлайн-агрегаторов туров
Клиент в свете частых проверок Роскомнадзора и рисков утечек обратился к нашей команде юристов для проведения подробного аудита веб-сайта и мобильных приложений на предмет соблюдения закона №152-ФЗ, а также для разработки документации, необходимой для соблюдения профильного законодательства. В результате работы юристов за месяц на предприятии выстроена четкая и отлаженная система обработки персональных данных без каких-либо претензий со стороны Роскомнадзора
Комплексное сопровождение крупнейшего портала по записи на прием к врачу и телемедицине в России
В рамках юридического обслуживания клиента подготовлены все необходимые бумаги по работе с личной информацией. При запуске новых проектов юристы привлекаются для аудита существующей документации на предмет внесения исправлений и обновления (подготовки) документации. Каждая заключаемая сделка оценивается с точки зрения законности обмена с контрагентами. В результате работы команды группа компаний ни разу не привлекалась к ответственности за нарушение закона №152-ФЗ
Разработка полного комплекта данных
для защиты
для защиты
Клиент является администратором существующего и успешного веб-сайта и мобильного приложения для управления спортивными и фитнес-залами. При этом, на этапе запуска не были урегулированы вопросы обработки личных сведений пользователей (исключительно в минимальной форме, для публикации приложения в магазинах приложений). На текущей стадии с учетом работы с крупными контрагентами клиенту требовалось пересмотреть подход к работе , для чего была привлечена команда нашей юридической фирмы. В результате "с нуля" была выстроена схема работы в компании и направлены все необходимые уведомления в Роскомнадзор, клиент демонстрирует своим контрагентам ответственный подход в этой области
Нашим юристам доверяют компании
Мы выступаем экспертами в СМИ
