logo RocketBusiness
breadcrumbs_arrowГлавная / Блог / Как работать с персональными данными, чтобы не получить штраф. Опыт Rocket Business

Как работать с персональными данными, чтобы не получить штраф. Опыт Rocket Business

10 мин
27 мая 2025 г.

Теперь за обработку персональных данных без письменного согласия юридическому лицу грозит штраф от 100 000 до 300 000 рублей. При повторном нарушении сумма может вырасти до 500 000 рублей. За незаконное распространение или утечку данных штрафы будут достигать 15 млн рублей.

Юридическое или физическое лицо автоматически становится оператором персональных данных как только начинает собирать любую информацию, позволяющую идентифицировать человека: ФИО, телефон, e-mail, данные документов и т.д. Формат может быть любой — от записи в блокноте до заполнения специальной формы на сайте. В этом случае в силу вступает 152-ФЗ, требования которого необходимо соблюдать.

Грядущие перемены — не «страшилка», которая намерена испортить жизнь бизнесу. Это повод всерьез пересмотреть процессы, обезопасить себя от случайных ошибок и сделать систему хранения ваших данных надежнее.

В этой статье мы расскажем, какие шаги нужно предпринять прямо сейчас, чтобы избежать штрафов при внезапной проверке.

Шаг 1. Внутренний аудит

Чтобы выстроить систему защиты персональных данных, нужно понимать, какие данные вы собираете и как ими распоряжаетесь. Мы в Rocket Business начали с аудита:

  • Инвентаризация данных. Проанализировали все каналы получения информации — от форм на сайте до договорных взаимодействий с клиентами и откликов на вакансии.
  • Цели обработки. Четко зафиксировали законные и конкретные цели для каждой категории данных. Никакой информации «на всякий случай».
  • Хранение и доступ. Проверили, где и как хранятся данные (электронно и на бумаге), кто и как получает к ним доступ. Уделили особое внимание ИТ-системам.
  • Файлы cookie. Проанализировали все установленные cookie: типы, источники, сроки хранения и назначение.
  • Формы на сайте. Обновили, оставив только необходимый минимум данных под каждую цель.

Шаг 2. Документы

После аудита мы подготовили весь необходимый пакет документов:

  1. Публичная Политика обработки персональных данных. Это наш основной документ, доступный каждому пользователю сайта https://rbru.ru/soglasye_obrabotky. В ней описали: кто мы, какие данные и зачем обрабатываем, как защищаем и как реализуем права пользователей. Особое внимание уделили работе с cookie.
  2. Уведомление Роскомнадзора. Направили и включились в реестр операторов персональных данных.
  3. Внутренние акты. Работа не ограничилась только публичной Политикой. Разработали и пересмотрели внутренние регламенты и инструкции, детализирующие процессы обработки и защиты персональных данных, включая порядок доступа к данным, процедуры реагирования на запросы субъектов и инциденты безопасности, а также положение о сроках хранения различных категорий данных.

Работа с документами – очень трудоемкий процесс, который забирает много времени и сил. Возможно, для этого вам потребуется нанять отдельного сотрудника.

Шаг 3. Согласие в формах

Согласно статье 9 152-ФЗ, согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Пользователь должен четко понимать, на что он дает согласие, и выразить его своей активной волей.

В первую очередь необходимо изменить текст отправки формы о согласии на обработку персональных данных – фраза «нажимая кнопку, вы соглашаетесь...» нарушает требования закона.

Чтобы решить эту проблему, мы внедрили активные чекбосы. Пользователь должен сам поставить галочку.

Пример текста: «[ ] Я ознакомлен(а) с политикой конфиденциальности и даю согласие на обработку моих персональных данных для [цель]».

Обязательно проверьте, чтобы ссылка на Политику доступна до отправки формы.

Шаг 4. Cookie и баннер согласия

Работа с cookie — одна из самых чувствительных и технически сложных зон в соблюдении 152-ФЗ. Мы подошли к этому вопросу системно.

Согласно статье 9 закона, согласие на установку любых cookie, кроме строго необходимых, должно быть предварительным, конкретным, информированным и свободным. Проще говоря, баннер с текстом «Продолжая использовать сайт, вы соглашаетесь…» больше не подходит.

Теперь при первом посещении сайта пользователь должен увидеть четкое и понятное уведомление:

  1. Мы кратко информируем пользователя о том, что собираем cookie.
  2. Обязательно предоставляем легкодоступную ссылку на полную информацию.
  3. Размещаем понятные кнопки для активного выбора:
    • [Разрешить все] – эта кнопка означает явное и однозначное согласие пользователя на использование всех категорий cookie, включая аналитические, функциональные и маркетинговые (если они есть).
    • [Разрешить только необходимые] или [Отклонить все необязательные] – эта опция позволяет пользователю ограничить использование cookie только теми, которые являются строго необходимыми для функционирования сайта и предоставления запрошенных им услуг.
    • [Настроить] – эта кнопка предоставляет пользователю возможность перейти к более детальным настройкам и сделать гранулярный выбор по каждой категории необязательных cookie.

Важно: эти кнопки должны быть представлены пользователю в нейтрально виде, без акцента на призыв принять все cookie. Говоря проще: все кнопки должны быть одного цвета. Принцип свободного согласия (статья 9 152-ФЗ) подразумевает, что выбор должен быть действительно свободным, без скрытых манипуляций дизайном.

Изменения в настройках cookie

Закон подразумевает, что пользователь должен быть абсолютно свободен в своем выборе. Этому принципу должны соответствовать не только основные кнопки, но и функция настройки cookie. Поэтому мы отредактировали ее содержание:

  • не используем фразы вроде «пожалуйста, не отключайте эти cookie»;
  • избегаем любой риторики, которая может создать впечатление, будто отказ повлечет негативные последствия;
  • объясняем пользу cookie честно, но без давления.

Четко разделите типы cookie по категориям. В интерфейсе настроек пользователь должен видеть отдельные группы: «Технические», «Аналитические/Статистические», «Функциональные», «Маркетинговые».

  • Для каждой категории дается ясное, не запутанное объяснение ее назначения.
  • Все необязательные cookie по умолчанию выключены — пользователь сам должен их включить.
  • Технические cookie, необходимые для функционирования сайта, всегда активны и не могут быть отключены. Их использование не требует согласия (если они не собирают персональные данные сверх необходимого — п. 2–9 ч. 1 ст. 6 152-ФЗ).

Яндекс.Метрика и другие «необязательные» cookie

Ключевой момент, который часто упускается и является «болевой точкой» для многих сайтов: необязательные cookie не должны устанавливаться и собирать данные до тех пор, пока пользователь не даст свое активное и информированное согласие. Это касается и Яндекс.Метрики, которая, безусловно, предоставляет огромный массив информации для анализа.

Мы в Rocket Business всегда акцентируем внимание наших клиентов на текущей трактовке законодательства в этом вопросе. Несмотря на всю пользу аналитических систем, их использование должно соответствовать закону. На сегодняшний день известно:

  • Согласие – первично: пункт 1 части 1 статьи 6 152-ФЗ четко устанавливает, что обработка персональных данных (включая данные, собираемые аналитическими cookie) допускается с согласия субъекта.
  • Предварительное и осознанное согласие: статья 9 152-ФЗ требует, чтобы согласие было дано до начала обработки. Если скрипт Яндекс.Метрики активируется до того, как пользователь явно согласился, это скорее всего является нарушением.
  • Разграничение cookie: аналитические системы не относятся к строго необходимым cookie, которые нужны для базовой работы сайта.

Трактовки таких нюансов вызывают множество дискуссий, и каждый Оператор в конечном счете сам принимает решение о степени детализации своих механизмов получения согласия.

Отключение Яндекс.Метрики и аналогичных систем до получения явного согласия – это наиболее безопасный подход на сегодняшний день. Но и не самый оптимальный, поскольку теряется огромный объем ценной информации. Если отключение Яндекс.Метрики до явного согласия пользователя – избыточная мера, то будет очень обидно терять информацию о посещаемости и источниках. Особенно если компания инвестирует в маркетинг.

Постоянный доступ к управлению согласием

Получение согласия – это не однократное действие. Часть 2 статьи 9 152-ФЗ закрепляет право субъекта в любое время отозвать свое согласие. Это в полной мере относится и к cookie.

Поэтому на сайте нужно сделать так, чтобы пользователь в любой момент мог легко изменить свои настройки cookie или отозвать ранее данное согласие. Обычно для этого размещается постоянная, легко заметная ссылка в футере, например, «Настройки cookie» или «Управление файлами cookie».

Шаг 5: локализация данных и выбор сервисов

Еще один важный и резонансный аспект соответствия 152-ФЗ – требование о локализации на территории РФ баз данных, содержащих персональные данные российских граждан (часть 5 статьи 18 152-ФЗ). Это означает, что первичный сбор, запись, систематизация, накопление, хранение, уточнение или обновление, извлечение персональных данных граждан РФ должны осуществляться с использованием баз данных, физически расположенных в России.

Тут решение простое: отказ от иностранных сервисов или выбор локализованных решений. Удалите с сайтов GTM и Google Analytics. Обязательно проверьте все сервисы, которые вы используете и оставьте только те, которые официально заявляют о хранении данных российских пользователей на территории РФ.

В заключение

Привести все процессы в порядок согласно требованиям законодательства о персональных данных – непростая задача , которая требует внимания к деталям. При этом очень важно регулярно обновлять свои знания. Законы меняются, появляются новые правки, трактовки и требования. Оставаться «в теме» – это база любого современного бизнеса, особенно в онлайн-сфере.

Мы долго и последовательно разбирались в сути требований, чтобы обеспечить реальную защиту данных пользователей. Сейчас это основной путь, который позволяет выстроить с ними доверительные отношения. Но работа еще не окончена, ведь многие вопросы остаются дискуссионными и требуют дальнейшего изучения.

Надеемся, что наш опыт окажется полезным для вас и поможет сориентироваться в многообразии требований. А самое главное – избежать случайных ошибок на пути к полному соответствию 152-ФЗ.

Делаем беспроигрышные предложения
давайте обсудим
Сookie

Наш сайт использует файлы cookie для аналитики и персонализации. Продолжая использовать сайт после ознакомления с этим сообщением и предоставления своего выбора, вы соглашаетесь с нашей Политикой обработки персональных данных.

Настройка cookie

Технические cookie нужны для стабильной работы.

Аналитические и другие cookie помогают нам делать сайт лучше для вас: понимать, что вам интересно, и улучшать навигацию.

Эти данные анонимны. Разрешая их, вы вносите свой вклад в развитие нашего сайта. Подробности в Политике обработки персональных данных.

Технические cookie (всегда активны)
Эти файлы cookie необходимы для правильной работы сайта и его основных функций (например, навигация, сохранение сессии, работа форм). Без них сайт не сможет функционировать должным образом. Они не собирают информацию для маркетинга или отслеживания. Этот тип cookie нельзя отключить.
Аналитические/Рекламные cookie
Эти файлы cookie позволяют нам собирать информацию о том, как посетители используют наш сайт (например, какие страницы посещают чаще, сколько времени проводят на сайте, возникают ли ошибки). Эта информация собирается в агрегированном или обезличенном виде и используется для анализа и улучшения работы сайта. Данные обрабатываются Яндекс.Метрикой согласно ее политике конфиденциальности (см. сайт Яндекса). Эти cookie активны только с вашего согласия.
Функциональные (остальные) cookie
Эти файлы cookie позволяют сайту запоминать сделанный вами выбор и предоставлять расширенные функции для вашего удобства. Они также могут использоваться для обеспечения работы встроенных на сайт сервисов (например, видеоплееров от Vimeo, виджетов социальных сетей VK), которые улучшают ваш опыт взаимодействия с сайтом. Эти сервисы могут устанавливать свои cookie для корректной работы и запоминания предпочтений. Эти cookie активны только с вашего согласия.