Законодательство в области защиты персональных данных в России вступает в новую, значительно более строгую фазу. Изменения, которые в полной мере начинают действовать в 2025 году, кардинально меняют ландшафт ответственности для всех компаний, ведущих деятельность в интернете. Штрафы, ранее носившие для многих организаций скорее символический характер, трансформируются в оборотные, способные нанести существенный, а в некоторых случаях и критический финансовый урон бизнесу.¹ Так, за повторную утечку персональных данных (ПДн) компании может грозить штраф до 3% от годовой выручки, но не менее 20 млн и не более 500 млн рублей.⁵

Такое ужесточение превращает соблюдение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) из формальной юридической задачи в неотъемлемый элемент стратегического управления рисками и обеспечения непрерывности бизнес-процессов. Надеяться на то, что регулятор не заметит нарушений, становится неоправданно рискованным, в том числе из-за внедрения Роскомнадзором (РКН) автоматизированных систем мониторинга сайтов.⁸

Цель данного исследования — предоставить исчерпывающее, технически-ориентированное руководство, которое позволит операторам персональных данных, то есть владельцам практически любых веб-сайтов, не только формально соответствовать требованиям законодательства, но и выстроить надежную, эшелонированную систему защиты данных, минимизирующую как юридические, так и репутационные риски. В данном материале будут рассмотрены как фундаментальные правовые аспекты, так и сугубо практические технические меры — от составления текста политики конфиденциальности до конкретных директив для настройки веб-сервера.

Происходит фундаментальный сдвиг парадигмы: от формального комплаенса к риск-ориентированному управлению данными. Если ранее для минимизации рисков зачастую было достаточно разместить на сайте шаблонную, не всегда адаптированную политику, то сейчас, с введением оборотных штрафов за утечки и автоматизацией надзора, фокус смещается на реальную, доказуемую и эффективную безопасность. Оператору теперь недостаточно просто заявить о принимаемых мерах защиты в своих документах; он должен быть готов в любой момент продемонстрировать их фактическую реализацию и эффективность. Это требует глубокой интеграции юридических требований в IT-инфраструктуру, архитектуру приложений и повседневные бизнес-процессы компании.

Часть I. Юридический фундамент: Понимание правил игры

Прежде чем переходить к практическим действиям, необходимо заложить прочный теоретический фундамент и разобраться в ключевых понятиях, которыми оперирует законодательство. Неверное толкование базовых определений является первопричиной большинства нарушений.

Глава 1. Ключевая терминология 152-ФЗ для владельцев сайтов

Что такое персональные данные (ПДн) в контексте сайта?

Статья 3 152-ФЗ дает предельно широкое определение персональных данных: «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».⁹ Ключевой аспект этого определения заключается в том, что перечень таких сведений не является закрытым. Это означает, что любая информация, которая в совокупности с другими данными позволяет идентифицировать конкретного человека, будет считаться персональными данными.

Для владельца сайта это означает, что под регулирование подпадает гораздо более широкий спектр информации, чем может показаться на первый взгляд.

Практические примеры ПДн, собираемых на сайтах:

Прямо идентифицирующие данные: Это сведения, которые однозначно указывают на конкретного человека. К ним относятся: фамилия, имя, отчество (ФИО), паспортные данные, СНИЛС, ИНН.¹⁰
Косвенно идентифицирующие данные: Эта категория наиболее распространена на сайтах. Сами по себе эти данные могут не указывать на конкретное лицо, но в комбинации с другими сведениями делают идентификацию возможной. Примеры:

Номер телефона и адрес электронной почты (e-mail). Особенно если e-mail имеет вид ivanov_ivan_1977@mail.ru, он уже содержит достаточно информации для косвенной идентификации.¹⁰
Почтовый адрес или адрес доставки.
Фотография или видеозапись, по которой можно узнать человека.¹⁰
Технические и онлайн-идентификаторы: Это наиболее недооцененная категория данных, сбор которых часто происходит автоматически и незаметно для владельца сайта. Роскомнадзор и судебная практика однозначно относят такие данные к персональным, поскольку они позволяют выделить конкретного пользователя из общей массы посетителей и отследить его поведение.¹² К ним относятся:

IP-адрес пользователя.
Файлы cookie.
MAC-адрес устройства.
Данные о геолокации.
История посещения страниц и другие данные, собираемые системами веб-аналитики (например, Яндекс.Метрика).¹²

Кто такой «Оператор» ПДн?

Оператором персональных данных является любое государственное или муниципальное учреждение, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами «организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».¹⁵

В контексте веб-сайта все просто: если ваш сайт собирает любые из перечисленных выше данных, вы автоматически становитесь оператором ПДн. Это не зависит от размера компании, формы собственности или коммерческого характера деятельности. Наличие на сайте:

формы обратной связи;
формы регистрации или авторизации;
формы подписки на новостную рассылку;
формы заказа товара или услуги;
установленных счетчиков веб-аналитики (Яндекс.Метрика, Google Analytics и т.д.)

…делает владельца сайта оператором ПДн со всеми вытекающими обязанностями и ответственностью.¹²

Что такое «Обработка» ПДн?

Понятие «обработка» также трактуется максимально широко. Это «любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными».²⁰ Закон перечисляет, что к обработке относятся, в частности: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.²¹

Для веб-сайта это означает, что сам факт получения данных от пользователя через веб-форму и их последующее сохранение в базе данных на сервере уже является полноценной обработкой ПДн.

Категории ПДн: Общие, специальные и биометрические — почему это критически важно

Непонимание различий между категориями персональных данных — одна из самых распространенных и дорогостоящих ошибок, которую может совершить оператор. Категория обрабатываемых данных напрямую определяет уровень требуемых мер защиты, форму необходимого согласия от пользователя и размер потенциальных штрафов.

Общие (иные) персональные данные: Это все данные, которые не относятся к специальным или биометрическим. Большинство сайтов работает именно с этой категорией: ФИО, номер телефона, e-mail, адрес, данные о профессии, образовании и т.д..¹¹
Специальные категории ПДн: К ним относятся сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также сведения о судимости.¹¹ Обработка таких данных по общему правилу
запрещена. Она допускается лишь в строго оговоренных законом случаях, главным из которых является получение от субъекта письменного согласия на их обработку.²⁶ Обычной галочки в чекбоксе на сайте для этого недостаточно.
Биометрические ПДн: Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. К ним относятся, например, фотография, образец голоса, отпечатки пальцев, рисунок радужной оболочки глаз.¹⁰ Как и в случае со специальными категориями, для их обработки требуется
письменное согласие субъекта.¹⁵

Следовательно, если сайт медицинской клиники в анкете для записи на прием собирает информацию о симптомах или диагнозе пациента (данные о состоянии здоровья), он начинает обрабатывать специальные категории ПДн. Это немедленно влечет за собой три ключевых последствия:

Необходимость получения письменного согласия, которое на сайте может быть реализовано только через подписание документа усиленной квалифицированной или неквалифицированной электронной подписью.
Повышение требуемого уровня защищенности (УЗ) информационной системы согласно Постановлению Правительства РФ от 01.11.2012 № 1119, что влечет за собой необходимость применения более серьезных и дорогостоящих мер технической защиты.²⁹
Существенно более высокие штрафы в случае утечки таких данных.²

Глава 2. Три кита законной обработки данных

Любая обработка персональных данных на сайте должна стоять на трех «китах»: наличии законного правового основания, соблюдении ключевых принципов и выполнении оператором своих прямых обязанностей.

Правовые основания для обработки

Оператор не может обрабатывать персональные данные просто потому, что ему так захотелось. Каждая операция по обработке должна иметь под собой одно из оснований, перечисленных в статьях 6, 10 и 11 152-ФЗ. Для веб-сайтов наиболее актуальны следующие:

Согласие субъекта персональных данных: Это самое распространенное и универсальное основание для большинства операций на сайте, таких как регистрация, подписка на рассылку, отправка формы обратной связи.³²
Исполнение договора, стороной которого является субъект ПДн: Если пользователь делает заказ в интернет-магазине, оператор вправе обрабатывать его данные (ФИО, адрес доставки, телефон) для исполнения этого договора (доставки товара) без получения отдельного согласия на каждую операцию. Однако, если оператор захочет использовать эти же данные для рекламной рассылки (цель, не связанная с исполнением договора), ему потребуется получить на это отдельное согласие.³⁶
Исполнение требований законодательства: В некоторых случаях закон напрямую обязывает оператора обрабатывать ПДн. Например, Трудовой кодекс обязывает работодателя обрабатывать данные своих сотрудников для кадрового учета.³⁷

Ключевые принципы (ст. 5 152-ФЗ)

Даже при наличии правового основания, обработка должна соответствовать ряду фундаментальных принципов, установленных статьей 5 152-ФЗ. Нарушение этих принципов само по себе является серьезным правонарушением.

Принцип законности и справедливости: Обработка должна осуществляться на законной основе. Нельзя получать данные обманным путем или вводить пользователя в заблуждение относительно целей их использования.²⁶
Принцип ограничения цели (целеполагание): Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора.²⁶ Это означает, что оператор должен четко сформулировать, для чего ему нужны данные, и не использовать их для других целей. Нельзя собирать данные «про запас» или «на всякий случай».¹⁸
Принцип минимизации данных: Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые данные не должны быть избыточными.¹⁸ Это один из самых часто нарушаемых принципов.
Пример: для заказа обратного звонка необходим только номер телефона. Запрос в этой же форме ФИО, e-mail и даты рождения будет являться избыточным и, следовательно, незаконным.

Основные обязанности оператора согласно статьям 18, 18.1 и 19 152-ФЗ

Закон возлагает на оператора широкий круг обязанностей, которые можно сгруппировать в три блока ³⁶:

Обязанности при сборе данных (Статья 18):

Предоставлять субъекту по его запросу информацию об обработке его ПДн.
Разъяснять юридические последствия отказа в предоставлении ПДн, если их предоставление обязательно по закону.
При сборе данных обеспечивать их запись, систематизацию, хранение и другие операции с использованием баз данных, находящихся на территории Российской Федерации (требование о локализации).⁴¹
Обязанности по обеспечению выполнения закона (Статья 18.1):

Назначать лицо, ответственное за организацию обработки ПДн.
Издавать внутренние документы, определяющие политику оператора в отношении обработки ПДн (включая публичную Политику для сайта).
Применять правовые, организационные и технические меры по обеспечению безопасности ПДн.
Осуществлять внутренний контроль и аудит соответствия обработки ПДн требованиям законодательства.
Проводить оценку вреда, который может быть причинен субъектам в случае нарушения закона.
Ознакамливать работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства и внутренними документами.¹⁶
Обязанности по обеспечению безопасности данных (Статья 19):

Применять комплекс необходимых правовых, организационных и технических мер для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
Это включает в себя определение угроз безопасности, применение сертифицированных средств защиты информации (СЗИ), учет носителей ПДн, обнаружение фактов несанкционированного доступа, восстановление данных и контроль за принимаемыми мерами.¹³

Часть II. «Витрина» сайта: Что должно быть на виду у пользователя и регулятора

Эта часть посвящена элементам, которые должны быть реализованы непосредственно на самом сайте и быть доступными как для обычных пользователей, так и для проверяющих органов. Несоблюдение этих требований является наиболее легко выявляемым нарушением в ходе дистанционного мониторинга сайтов, проводимого Роскомнадзором.

Глава 3. Краеугольный камень: Политика обработки персональных данных

Политика обработки персональных данных (часто называемая «Политикой конфиденциальности») — это основной публичный документ, который информирует всех заинтересованных лиц о том, как именно ваша компания обращается с персональными данными.

Обязательность публикации и ответственность

Согласно части 2 статьи 18.1 152-ФЗ, оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.³⁶ Если сбор данных ведется через интернет (то есть на любом сайте), этот документ должен быть опубликован на этом же сайте.³⁶ Отсутствие Политики или обеспечение доступа к ней (например, ссылка не работает или ведет не на тот документ) является прямым нарушением, ответственность за которое предусмотрена частью 3 статьи 13.11 Кодекса РФ об административных правонарушениях (КоАП РФ). Штраф для юридических лиц за это нарушение составляет от 30 000 до 60 000 рублей.⁴⁶

Политика должна быть доступна по прямой, легко находимой ссылке. Лучшей практикой является размещение ссылки в «подвале» (футере) сайта, а также дублирование ссылки непосредственно рядом с каждой формой сбора ПДн.¹⁸

Детальный разбор обязательных разделов по рекомендациям Роскомнадзора

Роскомнадзор опубликовал официальные Рекомендации по составлению документа, определяющего политику оператора, которые, хотя и носят рекомендательный характер, де-факто являются стандартом, на который ориентируются проверяющие.²⁰ Кроме того, с 1 сентября 2022 года вступили в силу поправки в 152-ФЗ, которые сделали часть этих рекомендаций обязательными. Политика должна быть не просто формальным документом, а реальным отражением процессов обработки данных в вашей организации.

Обязательные разделы и сведения в Политике ²⁰:

Общие положения: Здесь указывается назначение документа и могут быть даны определения ключевых терминов (оператор, субъект, обработка и т.д.).⁵²
Информация об операторе: Необходимо указать полное наименование юридического лица или ФИО индивидуального предпринимателя, ИНН, юридический и фактический адрес.⁵⁴
Цели сбора персональных данных: Цели должны быть сформулированы конкретно, понятно и соответствовать уставной деятельности компании. Общих фраз вроде «для улучшения качества обслуживания» следует избегать. Примеры корректных целей: «заключение и исполнение договора купли-продажи», «предоставление обратной связи по обращению пользователя», «направление маркетинговых и информационных рассылок», «ведение кадрового делопроизводства».³⁹
Правовые основания обработки ПДн: В этом разделе необходимо перечислить конкретные нормативные правовые акты, на основании которых осуществляется обработка. Важно: ссылка на сам 152-ФЗ не является правовым основанием, так как он лишь регулирует процесс, а не порождает его. Основаниями могут быть: устав организации, конкретные федеральные законы (например, Трудовой кодекс РФ, Гражданский кодекс РФ), договоры с субъектами ПДн, а также согласие субъекта на обработку его ПДн.³⁷
Объем и категории обрабатываемых ПДн, категории субъектов ПДн: Это один из самых важных и часто нарушаемых разделов. С 1 сентября 2022 года оператор обязан для каждой цели обработки указать:

Категории субъектов ПДн: Например, «посетители сайта», «клиенты — физические лица», «представители контрагентов», «кандидаты на вакантные должности».¹¹
Перечень обрабатываемых ПДн: Для каждой категории субъектов и для каждой цели должен быть приведен исчерпывающий перечень обрабатываемых данных. Например, для цели «обработка заказа в интернет-магазине» для субъекта «клиент» перечень может быть таким: ФИО, номер телефона, адрес электронной почты, адрес доставки.²⁴
Категории ПДн: Указать, какие категории данных обрабатываются — общие, специальные, биометрические.²⁴

Порядок и условия обработки ПДн:

Перечень действий с ПДн: Указать конкретные действия, которые совершаются с данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.³⁷
Способы обработки: Указать, как обрабатываются данные: «автоматизированная обработка», «неавтоматизированная обработка» или «смешанная обработка».³⁷
Сроки обработки и хранения: Для каждой категории данных и каждой цели необходимо указать конкретный срок их обработки и хранения, либо событие, при наступлении которого обработка прекращается. Например: «в течение срока действия договора и 5 лет после его окончания в соответствии с требованиями архивного законодательства» или «до момента отзыва согласия субъектом персональных данных».²⁴

Актуализация, исправление, удаление и уничтожение ПДн, ответы на запросы субъектов: В этом разделе описывается порядок реализации прав субъектов. Рекомендуется указать конкретный e-mail или форму для обращений, а также внутренние сроки и процедуры реагирования на запросы.²⁰
Информация о трансграничной передаче данных: Если оператор передает данные за рубеж (например, при использовании Google Analytics), это должно быть отражено в Политике. Необходимо указать страны, в которые осуществляется передача, и цели передачи.⁵⁸
Сведения о реализуемых требованиях к защите ПДн: Краткое описание принимаемых правовых, организационных и технических мер защиты.

Таблица 1: Чек-лист для аудита Политики обработки ПДн

Данная таблица представляет собой практический инструмент для самоаудита существующей Политики или для ее разработки с нуля.

№	Элемент проверки	Требование / Рекомендация	Ссылка на НПА / Источник	Пример корректной формулировки	Статус (Да/Нет/Н/П)
1	Доступность документа	Политика опубликована на сайте и доступна по прямой ссылке из футера и со страниц сбора ПДн.	ч. 2 ст. 18.1 152-ФЗ ³⁶	Ссылка на «Политику обработки персональных данных» присутствует внизу каждой страницы сайта.
2	Информация об операторе	Указаны полное наименование, ИНН, ОГРН, юридический и почтовый адрес оператора.	ч. 4 ст. 9 152-ФЗ ⁵⁴	Оператор: Общество с ограниченной ответственностью «Пример», ИНН 1234567890, ОГРН 0987654321, адрес: 123456, г. Москва, ул. Примерная, д. 1.
3	Цели обработки	Цели сформулированы конкретно, законно и недвусмысленно.	п. 2 ст. 18.1 152-ФЗ ²⁴	— Исполнение обязательств по договору купли-продажи; — Предоставление информации по запросу пользователя через форму обратной связи; — Направление информационных рассылок (при наличии согласия).
4	Правовые основания	Указаны конкретные НПА (ТК РФ, ГК РФ), устав, договор, согласие. Не указан просто 152-ФЗ.	п. 2 ст. 18.1 152-ФЗ ²⁴, Рекомендации РКН ³⁷	— Устав ООО «Пример»; — Гражданский кодекс Российской Федерации; — Согласие на обработку персональных данных.
5	Данные по целям	Для каждой цели указаны категории субъектов, перечень и категории обрабатываемых ПДн.	п. 2 ст. 18.1 152-ФЗ ²⁴, ст. 5 152-ФЗ ²⁴	Цель: Исполнение договора. Субъекты: Клиенты. Перечень ПДн: ФИО, номер телефона, e-mail, адрес доставки. Категория ПДн: общие.
6	Порядок и условия	Указаны способы, действия и сроки обработки/хранения для каждой категории ПДн.	п. 2 ст. 18.1 152-ФЗ ²⁴, ст. 5 152-ФЗ ²⁴	Данные клиентов хранятся в автоматизированной ИСПДн в течение срока действия договора и 3 лет после его прекращения. Обработка включает сбор, хранение, использование, передачу (курьерской службе), уничтожение.
7	Права субъекта	Описан порядок отзыва согласия, доступа к данным, их исправления и уничтожения. Указаны контакты для обращений.	ст. 14, 21 152-ФЗ ²⁰	Субъект вправе отозвать согласие, направив письменное заявление по адресу: privacy@example.com. Запрос будет обработан в течение 10 рабочих дней.
8	Трансграничная передача	Если осуществляется (например, Google Analytics), указаны страны, цели, объем передаваемых данных.	ст. 12 152-ФЗ ⁵⁹	При использовании сервиса веб-аналитики Google Analytics, ПДн (cookie, IP-адрес) могут передаваться на территорию США с целью анализа посещаемости сайта.
9	Сбор cookie	В Политике есть раздел, описывающий использование cookie-файлов и систем аналитики.	Разъяснения РКН ¹²	Наш сайт использует файлы cookie для улучшения работы и персонализации. Подробная информация о типах cookie и целях их использования приведена в разделе X настоящей Политики.

Анализ типичных ошибок

Практика аудита сайтов показывает наличие ряда повторяющихся ошибок при составлении и размещении Политики ⁶⁰:

Использование чужого или шаблонного документа: Самая частая ошибка — копирование Политики с другого сайта без адаптации под свои бизнес-процессы. В итоге в документе могут быть указаны неверный оператор, неактуальные цели или избыточный перечень данных.
Отсутствие конкретики: Размытые формулировки целей («для улучшения сервиса»), перечня данных («и иные данные»), сроков хранения («в течение необходимого срока»).
152-ФЗ как правовое основание: Как уже отмечалось, это методологически неверно и является частым замечанием со стороны РКН.
Несоответствие реальности: В Политике указано, что специальные категории ПДн не обрабатываются, а на сайте есть анкета с вопросами о здоровье. Или заявлено, что трансграничная передача не ведется, но при этом на сайте установлен код Google Analytics.

Глава 4. Получение законного согласия: Искусство чекбокса

Согласие субъекта — самое гибкое и распространенное правовое основание для обработки ПДн на сайте. Однако его получение сопряжено с рядом строгих формальных и технических требований.

Формы согласия: когда достаточно «галочки», а когда требуется отдельное согласие

Простое согласие (в т.ч. через конклюдентные действия): Для сбора и обработки общих персональных данных через формы на сайте (регистрация, обратная связь, заказ) достаточно получить согласие в любой форме, позволяющей подтвердить факт его получения. Самый распространенный способ — проставление пользователем «галочки» в чекбоксе.³⁴
Отдельное согласие на распространение ПДн: Если вы планируете делать полученные данные общедоступными (например, публиковать на сайте отзывы с указанием ФИО и фото автора, размещать данные участников в списке победителей конкурса), вам необходимо получить отдельное согласие на обработку персональных данных, разрешенных субъектом для распространения. Требования к его содержанию установлены Приказом Роскомнадзора от 24.02.2021 № 18. Это согласие не может быть «зашито» в общее согласие на обработку, оно должно быть получено обособленно.⁶³
Письменное согласие: Для обработки специальных и биометрических категорий ПДн требуется согласие в письменной форме. На сайте это требование может быть выполнено путем подписания электронного документа усиленной квалифицированной или простой/неквалифицированной электронной подписью в соответствии с законодательством об электронной подписи.¹⁵

Анатомия корректного текста согласия

Согласно части 4 статьи 9 152-ФЗ, согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.³³ Это означает, что пользователь должен четко понимать, кому, какие данные, для каких целей и на какой срок он передает. Текст согласия, на который ведет ссылка от чекбокса, должен содержать ⁵⁴:

Наименование и адрес оператора.
Цель (цели) обработки ПДн.
Перечень ПДн, на обработку которых дается согласие.
Наименование и адрес лица, осуществляющего обработку по поручению оператора (если есть, например, сторонняя CRM-система).
Перечень действий с ПДн, на совершение которых дается согласие.
Срок, в течение которого действует согласие.
Способ отзыва согласия.
Подпись субъекта (для письменной формы).

Техническая реализация

Корректная техническая реализация формы получения согласия не менее важна, чем ее юридическое содержание.

Чекбокс:

Он не должен быть предзаполненным по умолчанию. Пользователь должен совершить активное, осознанное действие — самостоятельно поставить галочку. Предварительно проставленная галочка (opt-out) является прямым нарушением, так как не обеспечивает однозначности согласия.¹⁸
Текст рядом с чекбоксом должен быть ясным, например: «Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных в соответствии с Политикой обработки персональных данных и принимаю условия Пользовательского соглашения».

Гиперссылки: Рядом с чекбоксом или текстом согласия должны быть размещены активные, работающие гиперссылки на полный текст Политики обработки ПДн и, при необходимости, на отдельный документ с текстом самого согласия.¹⁸
Блокировка отправки формы: Кнопка отправки формы (например, «Зарегистрироваться» или «Отправить») должна быть неактивной до тех пор, пока пользователь не проставит галочку в чекбоксе. Это технически гарантирует, что данные не будут отправлены без подтверждения согласия.

Пример минимально необходимого HTML-кода:

HTML

<form action="/submit-form" method="post"> <label for="name">Имя:</label> <input type="text" id="name" name="name" required> <label for="email">Email:</label> <input type="email" id="email" name="email" required> <div class="privacy-consent"> <input type="checkbox" id="privacy-checkbox" name="privacy" required> <label for="privacy-checkbox"> Я согласен на <a href="/privacy-policy.html" target="_blank">обработку моих персональных данных</a> и ознакомлен с <a href="/terms.html" target="_blank">условиями</a>. </label> </div> <button type="submit">Отправить</button> </form>

Для блокировки кнопки можно использовать простой JavaScript, который будет проверять состояние чекбокса.

Баннер о cookie-файлах

Сбор и использование cookie-файлов, особенно в связке с системами аналитики, является обработкой персональных данных.¹² Следовательно, на эту обработку также требуется получить согласие пользователя. Наиболее распространенным и принятым механизмом для этого является cookie-баннер.

Его реализация — это не формальность, а способ получения законного основания для обработки. Отсутствие такого баннера или его некорректная работа (например, cookie устанавливаются до того, как пользователь нажал «Принять») означает обработку ПДн без согласия, что является нарушением по части 1 статьи 13.11 КоАП РФ.

Корректный cookie-баннер должен:

Появляться при первом визите пользователя на сайт.
Четко информировать о том, что сайт использует cookie-файлы для определенных целей (например, аналитики, персонализации).
Содержать активную ссылку на Политику обработки ПДн, где подробно описано использование cookie.
Предоставлять пользователю возможность выразить свое согласие (например, кнопкой «Принять», «Согласен») или отказаться от сбора необязательных cookie.¹²

Часть III. «Машинное отделение»: Технические и организационные меры

Соответствие 152-ФЗ не ограничивается юридическими документами и элементами на «витрине» сайта. Наиболее сложная и ресурсоемкая часть работы скрыта от глаз пользователя и регулятора при поверхностном осмотре, но именно она определяет реальный уровень защищенности данных и становится предметом пристального внимания при проверках и, особенно, при расследовании инцидентов.

Глава 5. Требование о локализации: Хостинг и базы данных в России

Это одно из самых известных и строгих требований российского законодательства. Согласно части 5 статьи 18 152-ФЗ, оператор при сборе персональных данных граждан РФ обязан обеспечить их обработку с использованием баз данных, физически находящихся на территории Российской Федерации.⁷³

Ужесточение требования с 1 июля 2025 года

Долгое время формулировка закона «обеспечить запись, систематизацию, накопление, хранение…» ⁷⁶ трактовалась многими как требование к

первичному сбору данных на территории РФ, после чего допускалась их дальнейшая обработка за рубежом (например, синхронизация с иностранной CRM).

Однако Федеральный закон от 28.02.2025 № 23-ФЗ внес изменения, которые вступают в силу 1 июля 2025 года. Новая редакция гласит, что «запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются«.⁷⁶

Эта формулировка устанавливает прямой и императивный запрет на использование иностранных баз данных для ключевых этапов обработки. Это значительно ужесточает требование и ставит под сомнение многие ранее использовавшиеся архитектурные решения с применением зарубежных сервисов.

Как доказать локализацию Роскомнадзору?

При проверке Роскомнадзор вправе потребовать доказательства выполнения требования о локализации. Такими доказательствами могут служить:

Договор с российским хостинг-провайдером или дата-центром. В договоре должно быть явно указано, что серверы и оборудование, на котором размещается сайт и его база данных, находятся на территории РФ.⁷³
Техническая информация. Скриншоты из панели управления хостингом, где виден IP-адрес сервера и его географическая принадлежность (определяется по WHOIS-сервисам).
Уведомление об обработке ПДн. Это ключевой документ. В форме уведомления, подаваемой в Роскомнадзор, есть специальное поле «Адрес(а) местонахождения базы данных информации». В нем необходимо указать точный физический адрес дата-центра в России, где хранится база данных.¹³ Расхождение между этим адресом и фактическим местоположением сервера является серьезным нарушением.

Глава 6. Трансграничная передача данных: Аналитика и иностранные сервисы

Трансграничная передача персональных данных — это передача ПДн на территорию иностранного государства органу власти этого государства, иностранному физическому или юридическому лицу.⁷⁹

Когда она возникает?

Для владельца сайта трансграничная передача возникает в момент использования любого онлайн-сервиса, серверы которого физически расположены за пределами России. Типичные примеры ⁸:

Системы веб-аналитики (Google Analytics, Mixpanel).
Иностранные CRM-системы (HubSpot, Salesforce).
Облачные хранилища (Google Drive, Dropbox), если в них загружаются файлы с ПДн.
Зарубежные почтовые сервисы для рассылок (Mailchimp).
Использование виджетов социальных сетей (Facebook, X/Twitter).

Процедура уведомления Роскомнадзора

До начала осуществления трансграничной передачи оператор обязан уведомить об этом Роскомнадзор.⁵⁹ Это

отдельное уведомление, которое подается независимо от основного уведомления об обработке ПДн.⁵⁹

Пошаговый алгоритм подачи уведомления:

Оценить адекватность страны. Роскомнадзор ведет перечень стран, обеспечивающих адекватную защиту прав субъектов ПДн (Приказ РКН от 05.08.2022 № 128).⁸³ К ним относятся, например, страны-участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также ряд других стран (Сербия, Казахстан, Беларусь и др.). США и многие другие популярные юрисдикции в этот список не входят.⁵⁹
Заполнить форму на портале РКН. Уведомление подается через специальную электронную форму на портале персональных данных Роскомнадзора.⁸³
Указать необходимую информацию. В уведомлении указываются: данные об операторе, цели и правовые основания передачи, категории и перечень передаваемых ПДн, перечень иностранных государств, на территорию которых планируется передача, и дата начала осуществления деятельности.⁷⁹
Дождаться решения РКН. Роскомнадзор в течение 10 рабочих дней рассматривает уведомление и может запретить или ограничить передачу, если сочтет, что она создает угрозу правам и интересам граждан РФ.⁵⁹ Осуществлять передачу до истечения этого срока (или до получения положительного решения) нельзя.

Кейс: Юридические риски использования Google Analytics в сравнении с Яндекс.Метрикой

Google Analytics (GA):

Риски: Серверы Google находятся преимущественно в США и других странах, которые не входят в перечень «адекватных» с точки зрения РКН.⁵⁹ Использование GA — это однозначная трансграничная передача ПДн.⁸¹
Обязательные действия:

Упомянуть использование GA и факт трансграничной передачи в Политике обработки ПДн.
Получить от пользователя отдельное, информированное согласие именно на трансграничную передачу его данных в страну, не обеспечивающую адекватной защиты.⁵⁸
Подать в РКН уведомление о намерении осуществлять трансграничную передачу ПДн.⁵⁹
Быть готовым к тому, что РКН может запретить такую передачу.

Яндекс.Метрика:

Риски: Серверы Яндекса находятся на территории РФ. Соответственно, при использовании Яндекс.Метрики трансграничная передача ПДн отсутствует.¹²
Обязательные действия:

Упомянуть использование Яндекс.Метрики в Политике обработки ПДн.
Получить согласие пользователя на обработку его ПДн (включая cookie) посредством cookie-баннера.¹²

Вывод: Использование Яндекс.Метрики сопряжено со значительно меньшими юридическими рисками и административной нагрузкой для владельца сайта по сравнению с Google Analytics.

Глава 7. Головоломка с CDN: Легальное использование Cloudflare и аналогов

Использование сетей доставки контента (Content Delivery Network, CDN) является стандартной практикой для ускорения загрузки сайтов и защиты от DDoS-атак. Однако применение иностранных CDN-сервисов, таких как Cloudflare или Akamai, создает серьезные юридические риски в контексте российского законодательства о персональных данных.

Использование иностранных CDN создает серьезный риск нарушения требования о локализации, и позиция регулятора становится все более жесткой. CDN по своей природе кэширует контент сайта, который может включать и элементы с персональными данными, на множестве серверов, географически распределенных по всему миру.⁸⁶ Хотя основной сервер (origin server) может находиться в России, сам факт временного хранения (кэширования) и обработки запросов на зарубежных серверах может быть расценен Роскомнадзором как нарушение требования о локализации баз данных.

Юридический анализ и серая зона

Является ли кэширование на пограничном сервере CDN «сбором», «накоплением» или «хранением» ПДн в том смысле, как это определено в 152-ФЗ? Прямого ответа в законе нет, что создает юридическую неопределенность. Однако действия и позиция регулятора позволяют сделать выводы о его подходе.

Позиция Роскомнадзора и судебная практика

Четкие сигналы о том, что РКН рассматривает использование иностранных CDN как зону высокого риска, уже поступили:

Дело «Умного голосования»: В решении Таганского районного суда г. Москвы от 19.12.2018 было прямо указано, что серверы, содержащие ПДн пользователей сайта, находятся в компании Cloudflare, Inc., что было расценено как нарушение локализации.⁸⁹
Действия в отношении Cloudflare: В 2024-2025 годах Роскомнадзор предпринял ряд шагов, демонстрирующих его позицию. Во-первых, ведомство рекомендовало российским владельцам сайтов отказаться от использования CDN-сервиса Cloudflare из-за внедрения технологии шифрования ECH, которая мешает работе систем фильтрации трафика.⁹⁰ Во-вторых, в феврале 2025 года РКН принудительно внес Cloudflare в реестр организаторов распространения информации (ОРИ), что накладывает на компанию обязанность хранить данные российских пользователей и предоставлять их спецслужбам.⁹² Эти действия показывают, что РКН считает Cloudflare полноценным участником обработки данных российских пользователей.

Оценка рисков и практические рекомендации

Высокий риск: Использование иностранного CDN для обработки и кэширования динамического контента, страниц с формами сбора ПДн, личных кабинетов пользователей, API-запросов, содержащих ПДн. В этом случае риск привлечения к ответственности за нарушение локализации максимален.
Умеренный/низкий риск: Использование иностранного CDN исключительно для доставки статического контента, который заведомо не содержит персональных данных (например, изображения, файлы CSS и JavaScript, видеофайлы).
Практические рекомендации:

Предпочтительный вариант: Использовать услуги российских CDN-провайдеров, серверы которых гарантированно находятся на территории РФ. Это полностью снимает риски, связанные с локализацией.
Альтернативный вариант (рискованный): При использовании иностранного CDN необходимо произвести его тонкую настройку. Следует настроить правила кэширования таким образом, чтобы кэшировалась только статика. Страницы с формами, личными кабинетами и любой динамический контент, который может содержать ПДн, должны быть исключены из кэширования и запрашиваться напрямую с основного сервера (origin), расположенного в России. Однако даже в этом случае сохраняется риск, что сам факт терминирования TLS-трафика на зарубежном сервере CDN будет признан обработкой.

Глава 8. Построение цифровой крепости: Техническая защита по требованиям ФСТЭК и ПП-1119

Помимо юридических и организационных мер, статья 19 152-ФЗ прямо обязывает оператора принимать необходимые технические меры по обеспечению безопасности персональных данных.³⁶ Конкретный состав этих мер определяется на основе двух ключевых подзаконных актов:

Постановление Правительства РФ от 01.11.2012 № 1119: Устанавливает требования к защите ПДн и определяет четыре уровня защищенности (УЗ).⁹⁵
Приказ ФСТЭК России от 18.02.2013 № 21: Определяет состав и содержание организационных и технических мер для каждого уровня защищенности.⁹⁹

Соответствие этим требованиям — это не «бумажная» безопасность, а конкретные настройки серверного программного обеспечения, сетевого оборудования и внедрение специализированных средств защиты.

Определение требуемого Уровня защищенности (УЗ) для вашего сайта

Первый и самый важный шаг в построении системы технической защиты — это правильное определение требуемого уровня защищенности (УЗ) для вашей информационной системы персональных данных (ИСПДн), которой в данном случае является веб-сайт и его бэкенд. Ошибка на этом этапе приведет либо к недостаточной защите и риску штрафов, либо к избыточным мерам и неоправданным затратам.

УЗ определяется на основе четырех критериев ²⁹:

Категория обрабатываемых ПДн: специальные, биометрические, общедоступные или иные (общие).
Количество субъектов ПДн: обрабатываются данные более 100 000 или менее 100 000 субъектов.
Тип субъектов: обрабатываются данные сотрудников оператора или иных лиц (клиентов, посетителей сайта).
Тип актуальных угроз безопасности:

Угрозы 1-го типа: связаны с наличием недекларированных (недокументированных) возможностей в системном программном обеспечении (ОС).
Угрозы 2-го типа: связаны с наличием недекларированных возможностей в прикладном программном обеспечении (CMS, СУБД, веб-сервер).
Угрозы 3-го типа: не связаны с наличием недекларированных возможностей в ПО (это наиболее распространенные угрозы: атаки на веб-приложения, вирусы, несанкционированный доступ).⁹⁸

Таблица 2: Алгоритм определения УЗ для типового интернет-магазина/корпоративного сайта

Для большинства сайтов (интернет-магазины, корпоративные порталы, лендинги), которые не являются государственными информационными системами (ГИС), актуальными являются угрозы 3-го типа. Исходя из этого, можно воспользоваться упрощенным алгоритмом.

Шаг	Вопрос	Ответ «Да»	Ответ «Нет»
1	Обрабатываются ли специальные (здоровье, раса и т.д.) или биометрические (фото для идентификации) ПДн?	УЗ-3	Переход к шагу 2
2	Обрабатываются ли общедоступные ПДн (полученные из общедоступных источников)?	УЗ-4	Переход к шагу 3
3	Обрабатываются ли ПДн сотрудников?	УЗ-4	Переход к шагу 4
4	Обрабатываются ли иные (общие) ПДн иных лиц (клиентов, посетителей сайта)?	УЗ-4	—

Вывод из таблицы: Подавляющее большинство коммерческих сайтов, собирающих стандартные данные клиентов (ФИО, телефон, e-mail, адрес) и не обрабатывающих специальные или биометрические данные, подпадают под 4-й уровень защищенности (УЗ-4). Если же на том же сервере обрабатываются и данные сотрудников, то может потребоваться определение УЗ-3. УЗ-1 и УЗ-2 для обычных коммерческих сайтов практически не встречаются.

Практическая реализация Приказа ФСТЭК №21 для УЗ-3/УЗ-4

Приказ ФСТЭК №21 содержит большой перечень мер, сгруппированных по семействам (ИАФ — идентификация и аутентификация, УПД — управление доступом, РСБ — регистрация событий безопасности и т.д.).⁹⁹ Для УЗ-4 требуется выполнение базового набора мер, для УЗ-3 он расширяется. Ниже приведен практический чек-лист технических мер, которые должен реализовать системный администратор.

1. Усиление безопасности операционной системы и веб-сервера (Hardening):

Настройка sysctl.conf (Linux): Усиление сетевого стека ядра для защиты от сетевых атак.¹⁰⁷
Ini, TOML
# Защита от IP-спуфинга
net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1
# Игнорировать ICMP-перенаправления
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# Включить защиту от SYN-флуд атак
net.ipv4.tcp_syncookies = 1
Настройка nginx.conf (Nginx):

Скрытие информации: Отключить показ версии сервера, чтобы не давать злоумышленнику лишней информации.
Nginx
server_tokens off;

¹¹²
Настройка SSL/TLS: Использовать только сильные и актуальные версии протоколов и шифров.
Nginx
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ‘TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256’;
ssl_prefer_server_ciphers on;

¹¹³
Заголовки безопасности: Добавить заголовки для защиты от XSS и кликджекинга.
Nginx
add_header X-Frame-Options «SAMEORIGIN»;
add_header X-XSS-Protection «1; mode=block»;
add_header Strict-Transport-Security «max-age=31536000; includeSubDomains» always;

¹¹²

2. Управление доступом (УПД):

Минимальные привилегии: Веб-сервер (Nginx, Apache) и приложение (PHP-FPM) должны работать от имени непривилегированного пользователя (например, www-data), а не от root.¹¹⁵
Разграничение доступа в CMS: Настроить ролевую модель доступа в системе управления контентом. Редакторы должны иметь доступ только к управлению контентом, администраторы — к настройкам, но не к базе данных напрямую.¹¹⁶
Защита SSH: Отключить вход по паролю, использовать только ключи. Запретить вход для пользователя root.

3. Регистрация событий безопасности (РСБ) и обнаружение вторжений:

Логирование: Убедиться, что веб-сервер, СУБД и ОС ведут подробные журналы доступа и ошибок. Настроить ротацию логов для их сохранения в течение установленного срока (например, 1 год).
Использование Fail2ban: Установить и настроить Fail2ban для автоматической блокировки IP-адресов, с которых производятся попытки подбора паролей к SSH, административной панели сайта (если CMS логирует неудачные попытки входа).¹¹⁷
Применение Web Application Firewall (WAF): WAF анализирует HTTP-трафик к сайту и блокирует типичные атаки, такие как SQL-инъекции и Cross-Site Scripting (XSS). Это одна из самых эффективных мер для выполнения требований ФСТЭК по защите от атак на веб-приложения.¹²⁰ Для систем с УЗ-3 и выше может потребоваться
сертифицированный ФСТЭК WAF, например, SolidWall WAF.¹²¹ Его установка и настройка включают развертывание в режиме reverse-proxy перед основным веб-сервером.¹²⁰

4. Антивирусная защита (АВЗ):

На сервере должно быть установлено и регулярно обновляться антивирусное программное обеспечение для периодической проверки файловой системы на наличие вредоносного кода.

Выполнение этих технических мер позволяет не только формально соответствовать требованиям регуляторов, но и реально повысить защищенность веб-сайта от подавляющего большинства распространенных угроз.

Часть IV. Внутренний порядок: Документация и процессы

Успешное управление персональными данными невозможно без выстроенных внутренних процессов и четкой организационно-распорядительной документации (ОРД). Эти документы не только требуются по закону, но и служат дорожной картой для сотрудников, минимизируя риски, связанные с человеческим фактором.

Глава 9. Уведомление Роскомнадзора: Регистрация в качестве оператора ПДн

До начала обработки персональных данных оператор, за редкими исключениями, обязан уведомить об этом уполномоченный орган — Роскомнадзор.²² Это делается путем подачи «Уведомления об обработке (о намерении осуществлять обработку) персональных данных».

С 30 мая 2025 года за невыполнение этой обязанности вводится отдельный и весьма существенный состав административной ответственности по части 10 статьи 13.11 КоАП РФ: штраф для юридических лиц и ИП составит от 100 000 до 300 000 рублей.¹²⁷ Это делает своевременную подачу уведомления абсолютно необходимой.

Пошаговое руководство по заполнению уведомления на портале РКН

Уведомление можно подать в бумажном виде, но наиболее удобный способ — через портал персональных данных Роскомнадзора в электронном виде.⁵⁴

Зайти на портал РКН: Перейти в раздел для подачи уведомлений.
Выбрать способ подачи: Рекомендуется использовать аутентификацию через ЕСИА (Госуслуги), так как это автоматически подгрузит часть данных об организации.⁷⁸
Заполнить сведения об операторе: Указать полное наименование, ИНН, ОГРН, юридический и почтовый адреса в строгом соответствии с ЕГРЮЛ/ЕГРИП.
Указать правовые основания: Перечислить конкретные законы, устав, договоры, согласие на обработку ПДн.
Сформулировать цели обработки: Указать все цели, для которых собираются данные (например, «ведение кадрового учета», «заключение и исполнение договоров с клиентами», «продвижение товаров и услуг»).
Указать адрес местонахождения базы данных: Это критически важный пункт для подтверждения локализации. Необходимо указать реальный физический адрес дата-центра в РФ.
Перечислить категории ПДн и категории субъектов: Заполнить эти поля в соответствии с вашей Политикой, без сокращений и обобщений.
Описать меры по обеспечению безопасности: Кратко перечислить принимаемые правовые, организационные и технические меры (назначение ответственного, наличие политики, использование СЗИ и т.д.).
Подписать и отправить: Уведомление подписывается усиленной квалифицированной электронной подписью (УКЭП) руководителя или уполномоченного лица.

Таблица 3: Типичные ошибки при подаче уведомления в РКН и как их избежать

Роскомнадзор регулярно публикует перечни типичных ошибок, которые приводят к отказу в приеме уведомления или к его возврату на доработку.⁶¹

Ошибка	Как правильно	Почему это важно
Некорректное правовое основание	Указывать конкретные законы (ТК РФ, ГК РФ), устав, лицензии, а не просто ссылку на 152-ФЗ.	152-ФЗ регулирует порядок, а не является основанием для обработки. Основание — это то, что порождает саму необходимость обработки.
Размытые цели обработки	Формулировать цели конкретно и в соответствии с уставной деятельностью (например, «исполнение договора», а не «для маркетинга»).	Цель должна быть законной и определенной. От нее зависит допустимый объем собираемых данных (принцип минимизации).
Неполный или неверный перечень ПДн	Перечислять конкретные типы данных (ФИО, дата рождения, e-mail), а не категории («анкетные данные») или фразы «и т.д.».	Объем данных должен быть соотносим с целью. Неопределенный перечень не позволяет это проверить.
Неверные категории субъектов	Указывать категории физлиц (клиенты, работники, посетители сайта), а не юрлиц или общие фразы.	Субъектом ПДн может быть только физическое лицо.
Формальное описание мер защиты	Перечислять реально применяемые меры (например, «используется антивирус Dr.Web», «применяется межсетевой экран X»), а не копировать текст из ст. 18.1 и 19.	Оператор должен подтвердить, что он не просто знает о требованиях, но и выполняет их на практике.
Неверный адрес базы данных	Указывать полный и точный физический адрес дата-центра в России, где размещен сервер.	Это основное доказательство выполнения требования о локализации. Неверный или отсутствующий адрес — прямое указание на нарушение.

Глава 10. Внутренние регламенты: Жизнь за пределами публичной Политики

Публичная Политика — это лишь верхушка айсберга. Для реального соответствия требованиям закона и управления рисками оператор должен разработать и внедрить ряд внутренних организационно-распорядительных документов.

Назначение ответственного за организацию обработки ПДн (DPO)

Для юридических лиц эта обязанность является прямой нормой закона (ч. 1 ст. 22.1 152-ФЗ).³⁴ Ответственный назначается приказом руководителя, подчиняется ему напрямую и выполняет ключевые функции: осуществляет внутренний контроль, доводит до сведения работников положения законодательства, организует прием и обработку обращений субъектов.

Разработка регламента реагирования на запросы субъектов ПДн

Субъекты ПДн имеют право обращаться к оператору с запросами о доступе к своим данным, их уточнении, блокировании или уничтожении. Оператор обязан ответить на такой запрос в течение 10 рабочих дней (с возможностью продления еще на 5).²⁰ Срыв этих сроков или непредоставление ответа — это нарушение, за которое предусмотрена ответственность по ч. 4 и ч. 5 ст. 13.11 КоАП РФ.

Чтобы избежать хаоса и нарушений, необходим внутренний регламент, который должен определять ¹³⁵:

Каналы приема запросов: e-mail, почтовый адрес, специальная форма на сайте.
Процедуру регистрации: Все запросы должны фиксироваться в специальном журнале учета обращений.
Проверку личности заявителя: Как убедиться, что запрос поступил именно от субъекта данных или его законного представителя.
Порядок подготовки ответа: Кто в компании собирает информацию, кто готовит проект ответа, кто его утверждает.
Шаблоны ответов: Заранее подготовленные формы для типовых ситуаций (предоставление информации, уведомление об уничтожении, мотивированный отказ).

Разработка плана реагирования на инциденты (утечки данных)

С введением оборотных штрафов за утечки, наличие и, что более важно, отработка плана реагирования на инциденты становится критически важным элементом системы управления рисками. Закон обязывает оператора уведомить Роскомнадзор о факте утечки в течение 24 часов с момента ее выявления (первичное уведомление) и предоставить результаты внутреннего расследования в течение 72 часов.¹⁴⁰ Без заранее подготовленного плана уложиться в эти сроки практически невозможно.

План реагирования должен включать ¹⁴²:

Состав команды реагирования на инциденты (Incident Response Team): Определить роли и обязанности (IT-специалист, юрист, DPO, PR-специалист).
Процедура обнаружения и классификации инцидента: Как выявляются инциденты (мониторинг логов, сообщения от пользователей) и как оценивается их масштаб.
Сбор и сохранение доказательств: Изоляция скомпрометированных систем, сохранение логов серверов, сетевого оборудования, дампов памяти.¹⁴²
Процедура уведомления: Четкий алгоритм и шаблоны для уведомления Роскомнадзора и, при необходимости, ГосСОПКА.
План по сдерживанию и ликвидации последствий: Блокировка доступа, смена паролей, закрытие уязвимостей.
План по восстановлению: Восстановление работоспособности систем из резервных копий.
План коммуникаций: Как информировать пострадавших субъектов и общественность.

Программа обучения и инструктажа сотрудников

Человеческий фактор остается одной из главных причин утечек данных. Поэтому обучение сотрудников является не формальностью, а ключевой мерой защиты и прямой обязанностью оператора (п. 6 ч. 1 ст. 18.1 152-ФЗ).³⁶

Программа обучения должна быть регулярной и включать следующие модули ¹⁴⁶:

Основы законодательства о ПДн: Ключевые понятия, права субъектов, принципы обработки.
Внутренние документы оператора: Изучение Политики, регламентов, инструкций.
Правила безопасной работы с ПДн: Парольная политика, правила работы с электронной почтой, использование съемных носителей.
Ответственность за нарушения: Дисциплинарная, административная, уголовная.
Действия при инцидентах: Как распознать инцидент и кого немедленно уведомить.

Обучение должно завершаться тестированием, а факт его прохождения должен фиксироваться документально.

Часть V. Ответственность и горизонты будущего

Игнорирование требований законодательства о персональных данных в 2025 году и далее сопряжено с беспрецедентно высокими финансовыми и репутационными рисками. Операторам необходимо четко понимать, какова цена ошибки, и следить за развитием правоприменительной практики.

Глава 11. Цена ошибки: Штрафы и судебная практика

Основным инструментом государственного принуждения в сфере ПДн является административная ответственность, установленная статьей 13.11 КоАП РФ. С 30 мая 2025 года размеры штрафов по большинству составов этой статьи были многократно увеличены, а также введены новые, особо строгие санкции за утечки данных.

Детальный разбор составов административной ответственности по ст. 13.11 КоАП РФ

ч. 1: Обработка ПДн в случаях, не предусмотренных законом, или обработка, несовместимая с целями сбора (самый общий состав). Пример для сайта: сбор избыточных данных в форме обратной связи.
ч. 2: Обработка ПДн без письменного согласия, когда оно требуется. Пример для сайта: сбор данных о здоровье в анкете без получения согласия, подписанного электронной подписью.
ч. 3: Невыполнение обязанности по опубликованию Политики. Пример для сайта: отсутствие на сайте документа «Политика конфиденциальности» или неработающая ссылка на него.
ч. 4: Непредоставление субъекту информации, касающейся обработки его ПДн. Пример: игнорирование запроса пользователя о том, какие его данные хранятся у оператора.
ч. 5: Невыполнение в срок требования субъекта об уточнении, блокировании или уничтожении ПДн. Пример: неисполнение требования пользователя удалить его аккаунт и связанные с ним данные в установленный 10-дневный срок.
ч. 8: Невыполнение требования о локализации баз данных. Пример: хостинг сайта и его базы данных у иностранного провайдера.
ч. 10 (новая): Неподача уведомления в РКН о начале обработки ПДн.
ч. 12-18 (новые): Ответственность за утечки данных, дифференцированная по объему и типу данных, а также за повторность нарушения.

Таблица 4: Сравнительный анализ штрафов по ст. 13.11 КоАП РФ (для юридических лиц)

Состав нарушения (часть ст. 13.11 КоАП РФ)	Штраф до 30.05.2025 (руб.)	Штраф после 30.05.2025 (руб.)	Кратность увеличения
ч. 1 (незаконная/нецелевая обработка)	60 000 – 100 000	150 000 – 300 000	~3x
ч. 1.1 (повторное по ч.1)	100 000 – 300 000	300 000 – 500 000	~1.7x-2.5x
ч. 2 (обработка без письменного согласия)	150 000 – 300 000	300 000 – 700 000	~2.3x
ч. 2.1 (повторное по ч.2)	300 000 – 500 000	1 000 000 – 1 500 000	~3x
ч. 3 (отсутствие Политики)	30 000 – 60 000	30 000 – 60 000	Без изменений
ч. 8 (нарушение локализации)	1 000 000 – 6 000 000	1 000 000 – 6 000 000	Без изменений
ч. 10 (неподача уведомления в РКН)	3 000 — 5 000 (по ст. 19.7)	100 000 – 300 000	~60x
ч. 12 (утечка 1-10 тыс. субъектов)	—	3 000 000 – 5 000 000	Новый состав
ч. 14 (утечка >100 тыс. субъектов)	—	10 000 000 – 15 000 000	Новый состав
ч. 15 (повторная утечка)	—	1-3% от выручки (20-500 млн)	Новый состав

Источники: ⁵

Анализ новых оборотных штрафов за утечки

Введение оборотных штрафов — главное нововведение 2025 года. Методология их расчета заставляет компании принципиально по-новому взглянуть на управление данными.

Градация по объему: Размер фиксированного штрафа за первую утечку напрямую зависит от количества пострадавших субъектов или утекших уникальных идентификаторов (таких как e-mail, телефон, связка логин-пароль).³
Оборотный штраф за повторность: Повторная утечка в течение года после наложения первого штрафа влечет за собой наказание в виде процента от годовой выручки за предыдущий год.⁵
Специальные и биометрические данные: Утечка этих категорий данных наказывается еще строже, вплоть до 20 млн рублей за первую утечку биометрии.²

Эта система заставляет операторов не только внедрять технические средства защиты (DLP-системы, SIEM), но и проводить постоянный аудит и инвентаризацию своих информационных активов. Чтобы оценить свой финансовый риск, компания должна точно знать, сколько и чьих персональных данных она обрабатывает, и где они хранятся. Это превращает учет и классификацию данных из формальной процедуры в инструмент управления финансовыми рисками.

Анализ судебных решений за 2023-2025 гг.

Анализ доступной правоприменительной практики показывает, что Роскомнадзор и суды уделяют пристальное внимание именно нарушениям, которые легко выявить при дистанционном анализе сайтов. В постановлениях часто фигурируют такие нарушения, как отсутствие Политики конфиденциальности, использование форм сбора данных без чекбокса согласия, сбор cookie-файлов без информирования и согласия пользователя, а также явные признаки отсутствия локализации (например, использование иностранных сервисов для сбора данных).⁵⁰ Даже если дело не доходит до крупных штрафов, сам факт возбуждения административного производства и вынесения предписания требует от компании значительных временных и юридических ресурсов.

Глава 12. Специальные вопросы обработки данных

Помимо общих правил, существует ряд специфических сценариев обработки ПДн, требующих особого внимания.

Обработка ПДн несовершеннолетних

Дети до 14 лет: Являются малолетними и полностью недееспособными. Любые действия с их ПДн, включая дачу согласия на обработку, от их имени совершают только их родители или иные законные представители.³⁴
Подростки с 14 до 18 лет: Обладают частичной дееспособностью. В законодательстве существует правовая неопределенность относительно того, могут ли они самостоятельно давать согласие на обработку своих ПДн. Консервативный и наиболее безопасный подход для оператора — получать согласие от их законных представителей.³⁴
Форма согласия: В случаях, когда обработка данных несовершеннолетнего не вытекает напрямую из закона или договора, требуется письменное согласие законного представителя.¹⁶¹ На сайте это означает необходимость использования электронной подписи.

Обработка специальных категорий персональных данных

Как уже отмечалось, обработка данных о здоровье, расе, политических и религиозных взглядах по общему правилу запрещена. Исключения, применимые к сайтам, крайне редки и требуют повышенных мер безопасности и получения письменного согласия субъекта.²⁵ Большинство операторов, не имеющих прямой необходимости в таких данных (например, медицинские организации), предпочитают прямо указывать в своей Политике, что они не осуществляют сбор и обработку специальных категорий ПДн, чтобы минимизировать риски.¹⁶³

«Право на забвение» в российской практике

Следует различать «право на удаление» по 152-ФЗ и «право на забвение» по ст. 10.3 Федерального закона «Об информации, информационных технологиях и о защите информации».

Право на удаление (152-ФЗ): Право субъекта требовать от конкретного оператора уничтожения своих данных.
Право на забвение (ФЗ «Об информации»): Право гражданина требовать от оператора поисковой системы (Яндекс, Google и т.д.) прекратить выдачу ссылок на страницы с информацией о нем, если эта информация является недостоверной, неактуальной, утратившей значение или распространяется с нарушением закона.¹⁶⁴ Для владельца сайта это право становится актуальным, если его ресурс является первоисточником такой информации, и поисковик, получив судебное решение, будет обязан удалить ссылки на его страницы.

Обезличивание данных для веб-аналитики

Обезличивание — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту.¹⁶⁷ Требования и методы обезличивания установлены Приказом Роскомнадзора от 05.09.2013 № 996.¹⁷⁰

Обезличенные данные можно использовать для статистических, исследовательских и аналитических целей без получения согласия субъекта.¹⁷³ Однако важно соблюдать ряд правил:

Нельзя хранить обезличенные и исходные (персонифицированные) данные в одной базе данных.¹⁷⁴
Метод обезличивания должен обеспечивать невозможность легкого обратного процесса (деобезличивания) без специальной дополнительной информации.¹⁷⁵
Даже к обезличенным данным должны применяться меры по обеспечению безопасности.¹⁷⁴

Использование обезличенных данных является хорошей практикой для проведения маркетинговых исследований и анализа больших данных, позволяя соблюсти баланс между бизнес-задачами и защитой прав граждан.

Заключение: Стратегический подход к комплаенсу в 2025 году и далее

Эпоха формального подхода к защите персональных данных в России безвозвратно уходит. Резкое ужесточение ответственности, введение оборотных штрафов и автоматизация надзорной деятельности Роскомнадзора требуют от всех без исключения операторов, имеющих веб-сайты, перехода к комплексной, эшелонированной и, главное, реально работающей системе управления данными.

Соблюдение требований 152-ФЗ — это больше не разовый проект по написанию документов, а непрерывный процесс, включающий регулярный аудит, обновление политик и регламентов, техническую модернизацию, обучение персонала и мониторинг угроз. Ключевые шаги для любого владельца сайта можно свести к следующему алгоритму: Аудит -> Документация -> Техническая защита -> Внутренние процессы.

Необходимо провести полную инвентаризацию всех потоков данных, связанных с сайтом, честно ответить на вопросы: какие данные, для каких целей, на каком основании и где мы обрабатываем. На основе этого аудита должны быть разработаны и внедрены как публичные документы (Политика, Согласия), так и внутренние регламенты (реагирование на запросы и инциденты). Параллельно должна выстраиваться техническая защита, адекватная определенному уровню защищенности, — от базового усиления безопасности сервера до внедрения специализированных средств вроде WAF.

В конечном счете, инвестиции в построение такой системы — это не просто затраты на комплаенс, а вложения в устойчивость и репутацию бизнеса в новой цифровой реальности, где доверие клиента и сохранность его данных становятся ключевыми конкурентными преимуществами.

Таблица 5: Итоговый чек-лист для комплексного аудита сайта на соответствие 152-ФЗ

Категория	Пункт проверки	Статус (Ок/Не Ок)	Примечания / План действий
1. Документы на сайте	На сайте опубликована Политика обработки ПДн.
	Ссылка на Политику доступна из футера и со всех страниц с формами сбора данных.
	Содержание Политики соответствует требованиям ст. 18.1 152-ФЗ и рекомендациям РКН.		Проверить по Таблице 1.
	Для каждой формы сбора ПДн реализован механизм получения согласия (непредзаполненный чекбокс).
	Текст согласия является конкретным, информированным и однозначным.
	На сайте есть cookie-баннер, получающий согласие на использование аналитических систем.
2. Уведомления в РКН	В Роскомнадзор подано Уведомление об обработке ПДн.		Проверить наличие в реестре операторов РКН.
	Сведения в Уведомлении актуальны и соответствуют реальным процессам.
	Если используются иностранные сервисы (Google Analytics), подано Уведомление о трансграничной передаче.
3. Техническая база	Хостинг сайта и база данных физически расположены на территории РФ.		Проверить договор с хостером, WHOIS.
	Определен уровень защищенности ИСПДн (УЗ).		Провести оценку по ПП-1119 (см. Таблицу 2).
	Реализованы технические меры защиты в соответствии с УЗ (Приказ ФСТЭК №21).		Провести аудит настроек сервера, ПО.
	Используется защищенный протокол HTTPS (SSL-сертификат).
4. Внутренние процессы	Приказом назначен ответственный за организацию обработки ПДн.
	Разработаны и утверждены внутренние локальные акты по обработке и защите ПДн.
	Существует и работает регламент ответа на запросы субъектов ПДн.
	Существует и доведен до сведения сотрудников план реагирования на инциденты (утечки).
	Проводится регулярное обучение и инструктаж сотрудников, имеющих доступ к ПДн.
5. Сбор данных	Собирается минимально необходимый объем ПДн для заявленных целей.		Провести аудит всех веб-форм.
	Не осуществляется сбор специальных или биометрических ПДн без письменного согласия.
	Получается согласие законных представителей при обработке ПДн несовершеннолетних.

Источники

Как наказать виновника утечки персданных (и избежать штрафов для организации), дата последнего обращения: июня 19, 2025, https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9A%D0%B0%D0%BA_%D0%BD%D0%B0%D0%BA%D0%B0%D0%B7%D0%B0%D1%82%D1%8C_%D0%B2%D0%B8%D0%BD%D0%BE%D0%B2%D0%BD%D0%B8%D0%BA%D0%B0_%D1%83%D1%82%D0%B5%D1%87%D0%BA%D0%B8_%D0%BF%D0%B5%D1%80%D1%81%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85_%28%D0%B8_%D0%B8%D0%B7%D0%B1%D0%B5%D0%B6%D0%B0%D1%82%D1%8C_%D1%88%D1%82%D1%80%D0%B0%D1%84%D0%BE%D0%B2_%D0%B4%D0%BB%D1%8F_%D0%BE%D1%80%D0%B3%D0%B0%D0%BD%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8%29?erid=2W5zFJgK29n
Новые правила защиты данных с 2025 года: что нужно знать — NeptunIT, дата последнего обращения: июня 19, 2025, https://ntcneptunit.ru/blog/novye-pravila-zashchity-dannyh-2025
Принят закон об оборотных штрафах за утечку персональных данных / Новости о ПДн, дата последнего обращения: июня 19, 2025, https://data-sec.ru/news/2024-11-26-oborotnye-shtrafy/
Штрафы за утечку данных в России — TAdviser, дата последнего обращения: июня 19, 2025, https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%A8%D1%82%D1%80%D0%B0%D1%84%D1%8B_%D0%B7%D0%B0_%D1%83%D1%82%D0%B5%D1%87%D0%BA%D1%83_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85_%D0%B2_%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8
Штрафы за нарушение закона о персональных данных сотрудников в 2025 году, дата последнего обращения: июня 19, 2025, https://kontur.ru/kedo/spravka/53645-shtrafy_za_narushenie_zakona_o_pd
Размеры штрафов за персональные данные с 30 мая 2025 года — Трудовые споры, дата последнего обращения: июня 19, 2025, https://www.tspor.ru/article/2254-qqq-17-m6-02-06-2017-personalnye-dannye-rabotnikov-s-1-iyulya
Оборотный штраф за утечку персональных данных — Солар, дата последнего обращения: июня 19, 2025, https://rt-solar.ru/products/solar_dozor/blog/4304/
Новые требования к персональным данным: что изменится с 30 мая 2025 года — PR-CY, дата последнего обращения: июня 19, 2025, https://pr-cy.ru/news/p/10608-novye-trebovaniya-personal-dannye
Закон о персональных данных № 152-ФЗ: инструкция по применению — 1С-Гэндальф, дата последнего обращения: июня 19, 2025, https://gendalf.ru/news/manager/o-personalnykh-dannykh-152fz-instruktsiya/
Закон о персональных данных: приводим сайт в порядок — База знаний, дата последнего обращения: июня 19, 2025, https://xn--90aifddrld7a.xn--p1ai/knowledge/zakon-o-personalnykh-dannykh-privodim-sayt-v-poryadok/
Персональные данные — требования Роскомнадзора к операторам — РосКом Онлайн, дата последнего обращения: июня 19, 2025, https://roskom.online/articles/personalnye-dannye/
Соблюдение закона о персональных данных (152‑ФЗ) для владельцев сайтов: инструкция, чек‑лист, разъяснения — Маркетинг на vc.ru, дата последнего обращения: июня 19, 2025, https://vc.ru/marketing/2021565-soblyudenie-152-fz-instruktsiya-dlya-vladeltsev-saytov
Персональные данные организации: как соблюдать требования Роскомнадзора, дата последнего обращения: июня 19, 2025, https://www.klerk.ru/blogs/fedresurs/634130/
Роскомнадзор о персональных данных в 2021 году — МедиаПраво.ком, дата последнего обращения: июня 19, 2025, https://mediapravo.com/privacy/rkn-personal-data.html
Что относится к персональным данным: категории и примеры — Бухонлайн, дата последнего обращения: июня 19, 2025, https://www.buhonline.ru/pub/articles/2025/5/22817_chto-otnositsya-k-personalnym-dannym
Политика обработки персональных данных: структура, образец | Время бухгалтера, дата последнего обращения: июня 19, 2025, https://www.v2b.ru/articles/politika-obrabotki-personalnyh-dannyh-struktura-obrazets/
Локализация персональных данных в России — Адвокат Михаил Красильников, дата последнего обращения: июня 19, 2025, https://www.mk-law.ru/blog/lokalizacii-personalnih-dannih-v-rossii/
7 ошибок, из-за которых ваш сайт могут оштрафовать, новые требования с 30 мая 2025 года: чек-лист по 152-ФЗ от IT-юриста — VC.ru, дата последнего обращения: июня 19, 2025, https://vc.ru/id4767693/1905463-7-oshibok-sajta-shtrafy-152-fz-2025
Чек-лист по проверке сайта на соответствие 152-ФЗ «О персональных данных», дата последнего обращения: июня 19, 2025, https://fort.crimea.com/proverka-sajta-152-fz.html
Рекомендации Роскомнадзора от 31.07.2017 — Контур.Норматив, дата последнего обращения: июня 19, 2025, https://normativ.kontur.ru/document?moduleId=1&documentId=361184
Права и обязанности оператора персональных данных при их обработке — ответственность за нарушения, дата последнего обращения: июня 19, 2025, https://data-sec.ru/personal-data/operator-responsibilities/
Оператор персональных данных: обязанности, функции, ответственность., дата последнего обращения: июня 19, 2025, https://astral.ru/aj/elem/operator-obrabotki-personalnykh-dannykh-obyazannosti-i-funktsii-v-2025-godu/
Что представляет собой Федеральный закон «О персональных данных» N 152-ФЗ и какая ответственность за его нарушения — RTM Group, дата последнего обращения: июня 19, 2025, https://rtmtech.ru/articles/152-fz-otvetstvennost/
Политика обработки персональных данных: насущная …, дата последнего обращения: июня 19, 2025, https://pravo.ru/opinion/252729/
Виды персональных данных по закону №152-ФЗ в 2025 году — Компания Портал-Юг, дата последнего обращения: июня 19, 2025, https://portal-yug.ru/blog/vidy-personalnykh-dannykh-po-zakonu-152-fz/
Глава 2. Принципы и условия обработки персональных данных — Приемная Государственной Думы, дата последнего обращения: июня 19, 2025, https://priemnaya.duma.gov.ru/ru/info/inf/fz/2/
Статья 10. Специальные категории персональных данных — КонсультантПлюс, дата последнего обращения: июня 19, 2025, https://www.consultant.ru/document/cons_doc_LAW_61801/26edb2934b899bf9c74c3a8f7e574651c6565e6d/
Согласие на обработку персональных данных: виды и формы — Б-152, дата последнего обращения: июня 19, 2025, https://b-152.ru/soglasie_na_obrabotku_personalnyh_dannyh_vidy_i_formy
О положениях постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных — RPPA.pro, дата последнего обращения: июня 19, 2025, https://rppa.pro/analitika/pp1119
Как определить уровень защищенности персональных данных и не получить штраф, дата последнего обращения: июня 19, 2025, https://mk-company.ru/blog/kak-opredelit-uroven-zashhishhennosti-personalnyh-dannyh-i-ne-poluchit-shtraf/
Как будут штрафовать операторов персональных данных с 30 мая 2025 года? Какие новые штрафы появятся? — ЭЛКОД, дата последнего обращения: июня 19, 2025, https://elcode.ru/service/news/daydjest-novostey-zakonodatelstva/kak-budut-shtrafovat-operatorov-personalnyh-dannyh
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 06.02.2023) «О персональных дан, дата последнего обращения: июня 19, 2025, https://ba.hse.ru/mirror/pubs/share/840078865.pdf
Федеральный закон от 27.07.2006 N 152-ФЗ — Контур.Норматив, дата последнего обращения: июня 19, 2025, https://normativ.kontur.ru/document?moduleId=1&documentId=476043
Персональные данные на сайте: когда и как получить согласие на их обработку, какие регламенты составить — Управляем предприятием, дата последнего обращения: июня 19, 2025, https://upr.ru/article/personalnye-dannye-na-sayte/
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных \ КонсультантПлюс, дата последнего обращения: июня 19, 2025, https://www.consultant.ru/document/cons_doc_LAW_61801/6c94959bc017ac80140621762d2ac59f6006b08c/
Федеральный закон «О персональных данных» от 27.07.2006 N …, дата последнего обращения: июня 19, 2025, https://www.consultant.ru/document/cons_doc_LAW_61801/
Политика оператора персональных данных: составление и нюансы — Контур.Экстерн, дата последнего обращения: июня 19, 2025, https://www.kontur-extern.ru/info/25571-sostavit_politiku_operatora_personalnyx_dannyx
152-ФЗ О персональных данных Ст. 5. Принципы обработки персональных данных, дата последнего обращения: июня 19, 2025, https://legalacts.ru/doc/152_FZ-o-personalnyh-dannyh/glava-2/statja-5/
Роскомнадзором даны рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных — КонсультантПлюс, дата последнего обращения: июня 19, 2025, https://www.consultant.ru/law/hotdocs/50559.html
Исполнение обязанностей оператора персональных данных — Контур.Экстерн, дата последнего обращения: июня 19, 2025, https://www.kontur-extern.ru/info/25539-obyazannosti_operatora_personalnyx_dannyx
Статья 18. Обязанности оператора при сборе персональных данных \ КонсультантПлюс, дата последнего обращения: июня 19, 2025, https://www.consultant.ru/document/cons_doc_LAW_61801/cbf4e15b7c330f9372e876cdf2bc928bad7950ef/
Глава 4. Обязанности оператора — Приемная Государственной Думы, дата последнего обращения: июня 19, 2025, https://priemnaya.duma.gov.ru/ru/info/inf/fz/4/
Пять базовых принципов закона о персональных данных — Контур, дата последнего обращения: июня 19, 2025, https://kontur.ru/articles/1293
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке \ КонсультантПлюс, дата последнего обращения: июня 19, 2025, https://www.consultant.ru/document/cons_doc_LAW_61801/ca9e5658710519f09ab2fdb8196fcb3eb024a051/
trimstray/the-practical-linux-hardening-guide: This guide … — GitHub, дата последнего обращения: июня 19, 2025, https://github.com/trimstray/the-practical-linux-hardening-guide
Штрафы за персональные данные в 2025 году, дата последнего обращения: июня 19, 2025, https://data-sec.ru/personal-data/fines/
Обновление штрафов за нарушения в работе с персональными данными, дата последнего обращения: июня 19, 2025, https://delo-press.ru/journals/documents/prava-i-obyazannosti/69256-obnovlenie-shtrafov-za-narusheniya-v-rabote-s-personalnymi-dannymi/
Штраф за отсутствие политики обработки персональных данных — Б-152, дата последнего обращения: июня 19, 2025, https://b-152.ru/otsutstvie-politiki-obrabotki-personalnyh-dannyh-shtraf
Российские сайты забыли про политики конфиденциальности — ComNews, дата последнего обращения: июня 19, 2025, https://www.comnews.ru/content/231651/2024-02-
Частые нарушения при работе с персональными данными — Юридическая фирма Медицина и Право — Юрист по медицинским делам, дата последнего обращения: июня 19, 2025, https://medik-pravo.ru/articles/chastye-narusheniya-pri-rabote-s-personalnymi-dannymi/
Рекомендации Роскомнадзора по составлению политики обработки ПДн | Учебный центр АСТА-информ, дата последнего обращения: июня 19, 2025, https://asta-inform.ru/uc/news/769
152-ФЗ: полное руководство 2018 г. по обработке и защите персональных данных, дата последнего обращения: июня 19, 2025, https://aevrika.ru/blog/152-fz-polnoe-rukovodstvo-2018-g-po-obrabotke-i-zaschite-personalnyh-dannyh/
Политика в отношении обработки персональных данных: как составить документ, дата последнего обращения: июня 19, 2025, https://kontur.ru/articles/4871
Как уведомить Роскомнадзор об обработке персональных данных: ответ эксперта, дата последнего обращения: июня 19, 2025, https://www.kontur-extern.ru/info/25487-kto_i_kogda_dolzhen_uvedomit_roskomnadzor_ob_obrabotke_personalnyx_dannyx
Персональные данные на сайте компании: главные правила, дата последнего обращения: июня 19, 2025, https://blog.cortel.cloud/2025/02/10/personalnye-dannye-na-sajte-kompanii-glavnye-pravila/
Как составить Политику обработки персональных данных | Журнал «Главная книга» | № 22 за 2018 г., дата последнего обращения: июня 19, 2025, https://glavkniga.ru/elver/2018/22/3871
Политика в отношении обработки персональной информации — ГАРАНТ — студенту, дата последнего обращения: июня 19, 2025, http://edu.garant.ru/teacher/ppk/personaldata/
Трансграничная передача персональных данных: новые правила и ужесточение ответственности в 2025 году — Клерк.ру, дата последнего обращения: июня 19, 2025, https://www.klerk.ru/user/2416162/646367/
Как уведомить Роскомнадзор о трансграничной передаче данных — Бизнес-секреты, дата последнего обращения: июня 19, 2025, https://secrets.tbank.ru/trendy/uvedomlenie-rkn/
Типовые ошибки при обработке персональных данных на сайте. Практический опыт., дата последнего обращения: июня 19, 2025, https://blog.152doc.ru/tipovye-oshibki-pri-obrabotke-personalnyx-dannyx-na-sajte-prakticheskij-opyt/
Роскомнадзор рассказал о частых ошибках в уведомлениях по персональным данным, дата последнего обращения: июня 19, 2025, https://www.glavbukh.ru/news/52393-roskomnadzor-rasskazal-o-chastyh-oshibkah-v-uvedomleniyah-po-personalnym-dannym
РКН выделил типовые ошибки при обработке персональных данных в интернете, дата последнего обращения: июня 19, 2025, https://telesputnik.ru/materials/gov/news/rkn-vydelil-tipovye-oshibki-pri-obrabotke-personalnyh-dannyh-v-internete
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 N 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения», дата последнего обращения: июня 19, 2025, https://base.garant.ru/400668442/
Роскомнадзор опубликовал Приказ от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» (вступит в силу 01.09.2021г.) — СРО «МиР», дата последнего обращения: июня 19, 2025, https://npmir.ru/news/regulation/5600/
Какие Согласия на обработку персональных данных вам действительно нужны. Практическое руководство. Часть 2 — 152DOC, дата последнего обращения: июня 19, 2025, https://blog.152doc.ru/kakie-soglasiya-na-obrabotku-personalnyx-dannyx-vam-dejstvitelno-nuzhny-prakticheskoe-rukovodstvo-chast-2/
согласие на обработку персональных данных — АО «САХ, дата последнего обращения: июня 19, 2025, https://xn--80aa5bmv.xn--p1ai/soglasie.pdf?ur_soglasie
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ — Саранскстройинвест, дата последнего обращения: июня 19, 2025, https://ooossi.ru/soglasiye-na-obrabotku-personalnykh-dannykh-ooossi.pdf
Как правильно сделать форму согласия на обработку персональных данных на сайте, дата последнего обращения: июня 19, 2025, https://ipgpromo.ru/company/blog/kak-pravilno-sdelat-formu-soglasiya-na-obrabotku-personalnykh-dannykh-na-sayte/
Адаптация сайта к изменениям в законе РФ о персональных данных, вступающим в силу 1 июля 2017 года — База знаний Webasyst, дата последнего обращения: июня 19, 2025, https://support.webasyst.ru/20302/webasyst-update-2017-personal-data-processing/
Согласие на обработку персональных данных в любой форме JQuery — Тюнинг-Софт, дата последнего обращения: июня 19, 2025, https://tuning-soft.ru/articles/jquery/jquery-consent-to-the-processing-of-personal-data-in-the-form.html
Добавить checkbox или текст о персональных данных. (ФЗ-152) — Купить в один клик, дата последнего обращения: июня 19, 2025, https://forum.nexoos.ru/t/dobavit-checkbox-ili-tekst-o-personalnyh-dannyh-fz-152/33
Чек-лист. Первые шаги для соответствия требованиям 152-ФЗ — In4security, дата последнего обращения: июня 19, 2025, https://in4security.com/audit-152-fz/tpost/0jgmm5xr11-chek-list-pervie-shagi-dlya-sootvetstviy
Выполнение требований 242-ФЗ по локализации баз персональных данных — radium, дата последнего обращения: июня 19, 2025, https://www.radium-it.ru/brief/pd/localization/
Закон о персональных данных 152 ФЗ — Rusonyx, дата последнего обращения: июня 19, 2025, https://www.rusonyx.ru/blog/post/zakon-o-personalnyh-dannyh-152-fz/
6 простых шагов для обеспечения соответствия сайта 152-ФЗ, дата последнего обращения: июня 19, 2025, https://b-152.ru/6-shagov-obespecheniya-sootvetstviya-sajta-152-fz
Новые требования к локализации баз данных, содержащих персональные данные: как избежать рисков и штрафов — SEOnews, дата последнего обращения: июня 19, 2025, https://m.seonews.ru/analytics/novye-trebovaniya-k-lokalizatsii-baz-dannykh-soderzhashchikh-personalnye-dannye-kak-izbezhat-riskov-/
Новые правила по локализации персональных данных граждан РФ | Новости Б1, дата последнего обращения: июня 19, 2025, https://b1.ru/insights/law-messenger/localization-of-personal-data-of-russian-citizens-6-march-2025/
Как уведомить Роскомнадзор об обработке персональных данных: пошаговая инструкция для ИТ-компаний и стартапов — Habr, дата последнего обращения: июня 19, 2025, https://habr.com/ru/articles/914414/
Трансграничная передача персональных данных: как уведомить Роскомнадзор, дата последнего обращения: июня 19, 2025, https://www.law.ru/article/25841-chto-takoe-transgranichnaya-peredacha-personalnyh-dannyh
Передача персональных данных за рубеж: разрешен ли Google Analytics и как работать по правилам — Habr, дата последнего обращения: июня 19, 2025, https://habr.com/ru/companies/click/articles/915364/
Политика в отношении обработки персональных данных — Иванян и партнеры, дата последнего обращения: июня 19, 2025, https://ivanyan.partners/career/Privacy_policy_ru.pdf
Используете Google Analytics? Роскомнадзор идет к вам — Клерк.ру, дата последнего обращения: июня 19, 2025, https://www.klerk.ru/buh/articles/646388/
Как уведомить Роскомнадзор о трансграничной передаче данных — Контур.Экстерн, дата последнего обращения: июня 19, 2025, https://www.kontur-extern.ru/info/37797-uvedomit_roskomnadzor_o_transgranichnoy_peredache_dannyh
Как произвести трансграничную передачу персональных данных в 2025 году, дата последнего обращения: июня 19, 2025, https://www.buhgalteria.ru/article/kak-proizvesti-transgranichnuyu-peredachu-personalnykh-dannykh-v-2025-godu
Роскомнадзор разъяснил новый порядок трансграничной передачи персональных данных — ЭЛКОД, дата последнего обращения: июня 19, 2025, https://elcode.ru/service/news/daydjest-novostey-zakonodatelstva/roskomnadzor-razyasnil-novyy-poryadok-transgranich
CDN (Content Delivery Network) — Банковско-финансовая телесеть, дата последнего обращения: июня 19, 2025, https://www.bfn.by/spravochnik/cdn-content-delivery-network/
CDN — что это такое и как работает | StormWall, дата последнего обращения: июня 19, 2025, https://stormwall.pro/resources/terms/general/cdn
Роскомнадзор призвал владельцев сайтов отказаться от расширения сервиса Cloudflare, обходящего блокировки — ФОНТАНКА.ру, дата последнего обращения: июня 19, 2025, https://www.fontanka.ru/2025/04/02/75295799/
Локализация баз с персональными данными в РФ … — RPPA.pro, дата последнего обращения: июня 19, 2025, https://rppa.pro/_media/analitika/242_fz.pdf
Роскомнадзор призвал владельцев сайтов отказаться от CDN-сервиса Cloudflare, дата последнего обращения: июня 19, 2025, https://secrets.tbank.ru/novosti/cdn-cloudflare/
Роскомнадзор vs Cloudflare: суть конфликта и последствия — SecurityLab.ru, дата последнего обращения: июня 19, 2025, https://www.securitylab.ru/blog/personal/paragraph/354524.php
Роскомнадзор объяснил включение Cloudflare в реестр ОРИ — Ведомости, дата последнего обращения: июня 19, 2025, https://www.vedomosti.ru/society/news/2025/02/21/1093714-roskomnadzor-obyasnil
РКН принудительно внес Cloudflare в реестр организаторов распространения информации | Forbes.ru, дата последнего обращения: июня 19, 2025, https://www.forbes.ru/tekhnologii/531352-rkn-prinuditel-no-vnes-cloudflare-v-reestr-organizatorov-rasprostranenia-informacii
Роскомнадзор принудительно внес Cloudflare в реестр ОРИ, дата последнего обращения: июня 19, 2025, https://dixinews.ru/news/tekhnologii-i-nauka/roskomnadzor-prinuditelno-vklyuchil-kompaniyu-cloudflare-v-reestr-ori/
Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» — Документы системы ГАРАНТ, дата последнего обращения: июня 19, 2025, https://base.garant.ru/70252506/
Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных от 01 ноября 2012 — Docs.cntd.ru, дата последнего обращения: июня 19, 2025, https://docs.cntd.ru/document/902377706/titles/6540IN
Постановление от 1 ноября 2012 г. №1119 — Правительства Российской Федерации, дата последнего обращения: июня 19, 2025, http://archive.government.ru/gov/results/21355/print/
ПП № 1119 — Регуляторный хаб знаний в области информационной безопасности, дата последнего обращения: июня 19, 2025, https://regulhub.kaspersky.ru/decrees/pp-1119
Приказ ФСТЭК России от 18.02.2013 N 21(ред. от 14.05.2020)»Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»(Зарегистрирова, дата последнего обращения: июня 19, 2025, https://gis.fcpsr.ru/attachments/download/33/%D0%9F%D1%80%D0%B8%D0%BA%D0%B0%D0%B7%20%D0%A4%D0%A1%D0%A2%D0%AD%D0%9A%20%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8%20%D0%BE%D1%82%2018.02.2013%20N%2021%20%D1%81%D0%BE%D1%81%D1%82%D0%B0%D0%B2%20%D0%B8%20%D1%81%D0%BE%D0%B4%D0%B5%D1%80%D0%B6%D0%B0%D0%BD%D0%B8%D0%B5%20%D0%BC%D0%B5%D1%80%20%D0%BF%D0%BE%20%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D1%8E%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8%20%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85%20%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85.doc
Обзор приказа ФСТЭК РФ от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — RPPA.pro, дата последнего обращения: июня 19, 2025, https://rppa.pro/analitika/fstek21
21 Приказ ФСТЭК: что делать оператору персональных данных? — wikisec, дата последнего обращения: июня 19, 2025, https://wikisec.ru/images/4/40/21-fstec.pdf
Приказ № 21 — Лаборатория Касперского, дата последнего обращения: июня 19, 2025, https://regulhub.kaspersky.ru/decrees/prikaz-21
Классы защиты персональных данных | Уровни защищенности персональных данных, дата последнего обращения: июня 19, 2025, https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/klassy-zashchity-personalnyh-dannyh/
Уровни защищенности персональных данных в ИСПДн — таблица и классификация защиты ПДн — Центр безопасности данных, дата последнего обращения: июня 19, 2025, https://data-sec.ru/personal-data/protection-level/
ИСПДн и уровни защищенности персональных данных — Академия Selectel, дата последнего обращения: июня 19, 2025, https://selectel.ru/blog/personal-info-is/
Приказ ФСТЭК № 21. Приложение — Контроль соответствия, дата последнего обращения: июня 19, 2025, https://service.securitm.ru/docs/fstec-21
Sysctl Configuration Hardening — CalCom Software, дата последнего обращения: июня 19, 2025, http://calcomsoftware.com/sysctl-configuration-hardening/
Check and harden your Linux kernel security parameters with sysctl …and automatize it!, дата последнего обращения: июня 19, 2025, https://itm8.com/articles/check-and-harden-your-linux-kernel-security
Linux Hardening: Secure a Linux Server in 15 Steps — Pluralsight, дата последнего обращения: июня 19, 2025, https://www.pluralsight.com/resources/blog/tech-operations/linux-hardening-secure-server-checklist
26 Improving network security with sysctl variables — SUSE Documentation, дата последнего обращения: июня 19, 2025, https://documentation.suse.com/sled/15-SP5/html/SLED-all/cha-sec-sysctl.html
Linux hardening with sysctl settings, дата последнего обращения: июня 19, 2025, https://linux-audit.com/system-hardening/linux-hardening-with-sysctl/
Nginx Hardening for Security Implications — Faveo Installation Guide, дата последнего обращения: июня 19, 2025, https://docs.faveohelpdesk.com/docs/helpers/server-hardening/nginx-hardening
Nginx Security Hardening Guide — SecOps® Solution, дата последнего обращения: июня 19, 2025, https://www.secopsolution.com/blog/nginx-security-hardening-guide
nginx Security: How To Harden Your Server Configuration — Acunetix, дата последнего обращения: июня 19, 2025, https://www.acunetix.com/blog/web-security-zone/hardening-nginx/
Hardening guide — Ingress-Nginx Controller — Kubernetes, дата последнего обращения: июня 19, 2025, https://kubernetes.github.io/ingress-nginx/deploy/hardening-guide/
Разбор приказа ФСТЭК 21. Реализация организационных и технических мер по защите персональных данных — YouTube, дата последнего обращения: июня 19, 2025, https://www.youtube.com/watch?v=vKWmAU3nzpc
Fail2ban — База знаний Спринтбокс, дата последнего обращения: июня 19, 2025, https://help.sprintbox.ru/network/fail2ban
Настройка Fail2ban для защиты SSH-соединения | Джино • Справка, дата последнего обращения: июня 19, 2025, https://jino.ru/spravka/articles/f2b.html
Укрепление Nginx с помощью Fail2ban: тестируем и оцениваем профит — Selectel, дата последнего обращения: июня 19, 2025, https://selectel.ru/blog/fail2ban/
Зачем нужен сертифицированный WAF и когда его стоит … — Habr, дата последнего обращения: июня 19, 2025, https://habr.com/ru/companies/selectel/articles/862372/
Сертифицированный WAF: что это, защита, настройка, пример — Selectel, дата последнего обращения: июня 19, 2025, https://selectel.ru/blog/solidwall-waf/
Сетевые экраны уровня приложений (WAF) — OVODOV CyberSecurity, дата последнего обращения: июня 19, 2025, https://ovodov.su/setevye-ekrany-waf
Какой отечественный WAF выбрать в рамках импортозамещения — Anti-Malware.ru, дата последнего обращения: июня 19, 2025, https://www.anti-malware.ru/analytics/Market_Analysis/How-to-choose-Russian-WAF
Переоформлен сертификат ФСТЭК на Интеллектуальный сетевой экран SolidWall WAF — SolidLab, дата последнего обращения: июня 19, 2025, https://solidlab.ru/our-news/205-cert-solidwall-waf.html
Сайты: как выполнить требования 152-ФЗ — Блог компании Cortel, дата последнего обращения: июня 19, 2025, https://blog.cortel.cloud/2024/02/01/sajty-kak-vypolnit-trebovaniya-152-fz/
Как составить политику обработки персональных данных для сайта в 2024 году, дата последнего обращения: июня 19, 2025, https://direct.yandex.ru/base/articles/obrabotka-personalnyh-dannyh-na-sajte
Уведомление Роскомнадзора об обработке персональных данных: инструкция для интернет-магазинов — InSales, дата последнего обращения: июня 19, 2025, https://www.insales.ru/collection/doc-chasto-zadavaemye-voprosy/product/kak-pravilno-podat-uvedomlenie-v-roskomnadzor
Новые требования Роскомнадзора по закону 152-ФЗ (на 30 мая 2025 года) — Linkodium, дата последнего обращения: июня 19, 2025, https://linkodium.com/articles/novye-trebovaniya-roskomnadzora-po-zakonu-152-fz-na-30-maya-2025-goda/
Ответственность за обработку персональных данных: изменения 2025 года — Контур, дата последнего обращения: июня 19, 2025, https://kontur.ru/articles/55870-otvetstvennost_za_obrabotku_pers_dannyh
Штрафы за нарушения в работе с персональными данными с 30 мая 2025 года: утечка в интернет и неуведомление РКН — БУХ.1С, дата последнего обращения: июня 19, 2025, https://buh.ru/articles/shtrafy-za-personalnye-dannye-s-30-maya-2025-goda-utechka-v-internet-neuvedomlenie-rkn-o-nachale-obr.html
Увеличение штрафов в области персональных данных, ст. 13.11 КоАП РФ. Действия по снижению рисков — Юрист Моргун Ольга Юрьевна — Праворуб, дата последнего обращения: июня 19, 2025, https://pravorub.ru/articles/104485.html
10 типичных ошибок при подаче уведомления в Роскомнадзор — АйТи Прогресс, дата последнего обращения: июня 19, 2025, https://itprogress.ru/blog/oshibki-pri-podache-v-roskomnadzor-uvedomleniya-ob-obrabotke-personalnykh-dannykh/
Роскомнадзор назвал основные ошибки в уведомлениях об обработке персональных данных — БУХ.1С, дата последнего обращения: июня 19, 2025, https://buh.ru/news/roskomnadzor-nazval-osnovnye-oshibki-v-uvedomleniyakh-ob-obrabotke-personalnykh-dannykh.html
Защита персданных по ФЗ-152: полный перечень документов — Блог компании Cortel, дата последнего обращения: июня 19, 2025, https://blog.cortel.cloud/2023/12/14/zashhita-persdannyh-po-fz-152-polnyj-perechen-dokumentov/
Регламент реагирования на запросы субъектов персональных данных — eucerin.ru, дата последнего обращения: июня 19, 2025, https://eucerin.ru/meta-pages/reglament
РЕГЛАМЕНТ реагирования на обращения (запросы) субъектов персональных данных — Вся медицина, дата последнего обращения: июня 19, 2025, https://mcvm.ru/pics/uploads/%D0%94%D0%BE%D0%BA%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B/2020/reglament%20reagirovaniya.pdf
Правила-рассмотрения-запросов-субъектов-персональных-данных-или-их-представителей.docx, дата последнего обращения: июня 19, 2025, https://corp-univer.ru/wp-content/uploads/files/doc_templates/%D0%9F%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D0%B0-%D1%80%D0%B0%D1%81%D1%81%D0%BC%D0%BE%D1%82%D1%80%D0%B5%D0%BD%D0%B8%D1%8F-%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D0%BE%D0%B2-%D1%81%D1%83%D0%B1%D1%8A%D0%B5%D0%BA%D1%82%D0%BE%D0%B2-%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85-%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85-%D0%B8%D0%BB%D0%B8-%D0%B8%D1%85-%D0%BF%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B0%D0%B2%D0%B8%D1%82%D0%B5%D0%BB%D0%B5%D0%B8%CC%86.docx
Регламент реагирования на обращения (запросы) субъектов ПД.pdf — Юг Линк, дата последнего обращения: июня 19, 2025, https://yug-link.ru/media/reglaments.pdf
Как правильно отвечать на запросы о персональных данных — Калуга Астрал, дата последнего обращения: июня 19, 2025, https://astral.ru/aj/elem/kak-pravilno-rabotat-s-zaprosami-subektov-personalnykh-dannykh-chast-nbsp-2/
Персональные данные: Роскомнадзор устанавливает порядок выполнения новых требований, вступающих в силу с 1 марта 2023 года — ЭЛВИС-ПЛЮС, дата последнего обращения: июня 19, 2025, https://elvis.ru/competency/expert_comments/2632/
Усилилась ответственность за нарушения в области персональных данных, дата последнего обращения: июня 19, 2025, https://www.eg-online.ru/article/497998/
Как реагировать на инциденты утечки персональных данных: план действий — Б-152, дата последнего обращения: июня 19, 2025, https://b-152.ru/kak-reagirovat-na-inczidenty-utechki-personalnykh-dannykh-plan-dejstvij
Действия при утечке данных: юридическая защита от рисков, дата последнего обращения: июня 19, 2025, https://urstart.ru/otsutstvie-plana-dejstvij-pri-utechke-dannyh/
Как выполнить требования 152 ФЗ и обеспечить защиту данных с DCAP-системой «Спектр» — Cyberpeak, дата последнего обращения: июня 19, 2025, https://cyberpeak.ru/kak-vypolnit-trebovaniya-152-fz-i-obespechit-zashhitu-dannyh-s-dcap-sistemoj-spektr-2/
Действия оператора в случаях утечек персональных данных — Такском, дата последнего обращения: июня 19, 2025, https://taxcom.ru/baza-znaniy/effektivnyy-biznes/stati/deystviya-operatora-v-sluchayakh-utechek-personalnykh-dannykh/
Обработка персональных данных – обучение для кадровых специалистов, дата последнего обращения: июня 19, 2025, https://profkadrovik.ru/info/articles/personalnye-dannye/gde-proyti-obuchenie-po-personalnym-dannym-ob/
Курс обучения по защите персональных данных на специалиста Privacy Professional от Б-152, дата последнего обращения: июня 19, 2025, https://edu.b-152.ru/
Обучение по персональным данным от эксперта-практика — lukash & Partners, дата последнего обращения: июня 19, 2025, https://lukash.partners/training
Курс повышения квалификации по ФЗ-152, дата последнего обращения: июня 19, 2025, https://law115.ru/kurs-povysheniya-kvalifikacii-personalnye-dannye
Обучение по персональным данным — курсы по защите ПДн дистанционно от Центра безопасности данных, дата последнего обращения: июня 19, 2025, https://data-sec.ru/services/consulting/education-pdn/
Ужесточение ответственности за нарушения в сфере персональных данных — Журнал, дата последнего обращения: июня 19, 2025, https://ao-journal.ru/uzhestochenie-otvetstvennosti-za-narusheniya-v-sfere-personalnikh-dannikh
КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных \ КонсультантПлюс, дата последнего обращения: июня 19, 2025, https://www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/
Штрафы за персональные данные: новые требования с 30 мая 2025 года, дата последнего обращения: июня 19, 2025, https://www.law.ru/article/21587-qqq-17-m5-26-05-2017-shtrafy-za-personalnye-dannye-s-iyulya-2017
Ужесточение ответственности за нарушения при обработке персональных данных, дата последнего обращения: июня 19, 2025, https://www.nordicstar.law/news/%D1%83%D0%B6%D0%B5%D1%81%D1%82%D0%BE%D1%87%D0%B5%D0%BD%D0%B8%D0%B5-%D0%BE%D1%82%D0%B2%D0%B5%D1%82%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D0%BE%D1%81%D1%82%D0%B8-%D0%B7%D0%B0-%D0%BD%D0%B0%D1%80%D1%83/
Оборотные штрафы за утечку персональных данных: обзор законопроектов, дата последнего обращения: июня 19, 2025, https://stakhanovets.ru/blog/oborotnie-shtrafi-za-utechki-persdannih/
АБ ЕПАМ — Ужесточение ответственности в области персональных данных: оборотные штрафы и специальная статья в Уголовном кодексе РФ, дата последнего обращения: июня 19, 2025, https://epam.ru/ru/media/view/uzhestochenie-otvetstvennosti-v-oblasti-personalnyh-dannyh:-oborotnye-shtrafy-i-specialnaya-statya-v-ugolovnom-kodekse-rf
mos-gorsud.ru, дата последнего обращения: июня 19, 2025, https://mos-gorsud.ru/rs/golovinskij/cases/docs/content/326889e0-fbce-11ed-8dec-0fa3a6a63a02
Постановление Второго кассационного суда общей юрисдикции от 11.09.2024 по делу N 16-4542/2024 Категория спора: Привлечение к административной ответственности. Требования уполномоченного органа — КонсультантПлюс, дата последнего обращения: июня 19, 2025, https://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=KSOJ002&n=151621
Постановление Верховного Суда РФ от 27.03.2024 N 75-АД24-1 …, дата последнего обращения: июня 19, 2025, https://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=ARB&n=806744
Обработку персональных данных детей до 16 лет без согласия родителей могут запретить | Новости — ГАРАНТ, дата последнего обращения: июня 19, 2025, https://www.garant.ru/news/1146523/
Согласие родителей на обработку персональных данных ребенка — Главная страница, дата последнего обращения: июня 19, 2025, https://cdt.armavir.kubannet.ru/index.php/2-uncategorised/91-soglasie-roditelej-na-obrabotku-personalnykh-dannykh-rebenka
Согласие родителя на обработку персональных данных несовершеннолетнего, фото и видеосъемку, на участие и сопровождение доверенным лицом — Московские мастера — 2023, дата последнего обращения: июня 19, 2025, https://prof23.mcrpo.ru/insertfiles/2023/%D0%A0%D0%A7%202023/_%D0%9E%D0%9F%D0%94_%D0%BD%D0%B5%D1%81%D0%BE%D0%B2%D0%B5%D1%80%D1%88%D0%B5%D0%BD%D0%BD%D0%BE%D0%BB%D0%B5%D1%82%D0%BD%D0%B8%D0%B5%20.docx
Политика обработки персональных данных на сайте, дата последнего обращения: июня 19, 2025, https://tlabprp.ru/confidential
Забыть нельзя удалить: работает ли в РФ право на забвение и как его можно реализовать? — Инвест-Форсайт, дата последнего обращения: июня 19, 2025, https://www.if24.ru/zabyt-nelzya-udalit/
Как правильно пользоваться правом на забвение в России — Digital Rights Center, дата последнего обращения: июня 19, 2025, https://drc.law/blog/rtbf_russia/
Право на забвение. Как работает и для кого предназначено — Telecom Daily, дата последнего обращения: июня 19, 2025, https://www.telecomdaily.ru/news/2024/12/04/pravo-na-zabvenie-kak-rabotaet-i-dlya-kogo-prednaznacheno
Зачем нужно обезличивание персональных данных, дата последнего обращения: июня 19, 2025, https://delo-press.ru/journals/staff/deloproizvodstvo-v-kadrovoy-sluzhbe/48514-kogda-mozhet-ponadobitsya-obezlichivanie-personalnykh-dannykh/
По требованию Минцифры компании будут обязаны представить в ГИС обезличенные персональные данные: закон подписан | Экономика и Жизнь, дата последнего обращения: июня 19, 2025, https://www.eg-online.ru/article/488277/
Обезличивание данных: сохранение баланса между правами граждан и развитием инноваций | Новости — ГАРАНТ, дата последнего обращения: июня 19, 2025, https://www.garant.ru/news/1464529/
Приказ Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных,… \ КонсультантПлюс, дата последнего обращения: июня 19, 2025, https://www.consultant.ru/document/cons_doc_LAW_151882/
Методические рекомендации по применению приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (утв. Роскомнадзором от 13.12.2013) — Справочно-правовая система по информационной безопасности, дата последнего обращения: июня 19, 2025, https://sps-ib.ru/npa:rkn_13.12.2013
Раздел п.1 Приказа Роскомнадзора № 996 от 05.09.2013 — Контроль соответствия, дата последнего обращения: июня 19, 2025, https://service.securitm.ru/docs/ob-utverzdenii-trebovanii-i-metodov-po-obezlicivaniiu-personalnyx-dannyx/p-1
Обезличивание персональных данных: цели, методы, схема — Selectel, дата последнего обращения: июня 19, 2025, https://selectel.ru/blog/personal-data-anonymization/
Обезличивание персональных данных — что такое обезличенные ПДн, методы, порядок и способы обезличивания ПД — Центр безопасности данных, дата последнего обращения: июня 19, 2025, https://data-sec.ru/personal-data/depersonalization/
Роскомнадзор разработал порядок обезличивания данных — Ведомости, дата последнего обращения: июня 19, 2025, https://www.vedomosti.ru/technology/articles/2025/03/28/1101076-roskomnadzor-razrabotal