Введение: Новая эра ответственности за персональные данные
Законодательство в области защиты персональных данных в России вступает в новую, значительно более строгую фазу. Изменения, которые в полной мере начинают действовать в 2025 году, кардинально меняют ландшафт ответственности для всех компаний, ведущих деятельность в интернете. Штрафы, ранее носившие для многих организаций скорее символический характер, трансформируются в оборотные, способные нанести существенный, а в некоторых случаях и критический финансовый урон бизнесу.1 Так, за повторную утечку персональных данных (ПДн) компании может грозить штраф до 3% от годовой выручки, но не менее 20 млн и не более 500 млн рублей.5
Такое ужесточение превращает соблюдение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) из формальной юридическойзадачи в неотъемлемый элемент стратегического управления рисками и обеспечения непрерывности бизнес-процессов. Надеяться на то, что регулятор не заметит нарушений, становится неоправданно рискованным, в том числе из-за внедрения Роскомнадзором (РКН) автоматизированных системмониторинга сайтов.8
Цель данного исследования — предоставить исчерпывающее, технически-ориентированное руководство, которое позволит операторам персональных данных, то есть владельцам практически любых веб-сайтов, не только формально соответствовать требованиям законодательства, но и выстроить надежную, эшелонированную систему защиты данных, минимизирующую как юридические, так и репутационные риски. В данном материале будут рассмотрены как фундаментальные правовые аспекты, так и сугубо практические технические меры — от составления текста политики конфиденциальности до конкретных директив для настройки веб-сервера.
Происходит фундаментальный сдвиг парадигмы: от формального комплаенса к риск-ориентированному управлению данными. Если ранее для минимизации рисков зачастую было достаточно разместить на сайте шаблонную, не всегда адаптированную политику, то сейчас, с введением оборотных штрафов за утечки и автоматизацией надзора, фокус смещается на реальную, доказуемую и эффективную безопасность. Оператору теперь недостаточно просто заявить о принимаемых мерах защиты в своих документах; он должен быть готов в любой момент продемонстрировать их фактическую реализацию и эффективность. Это требует глубокой интеграции юридических требований в IT-инфраструктуру, архитектуру приложений и повседневные бизнес-процессы компании.
Часть I. Юридический фундамент: Понимание правил игры
Прежде чем переходить к практическим действиям, необходимо заложить прочный теоретический фундамент и разобраться в ключевых понятиях, которыми оперирует законодательство. Неверное толкование базовых определений является первопричиной большинства нарушений.
Глава 1. Ключевая терминология 152-ФЗ для владельцев сайтов
Что такое персональные данные (ПДн) в контексте сайта?
Статья 3 152-ФЗ дает предельно широкое определение персональных данных: «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».9 Ключевой аспект этого определения заключается в том, что перечень таких сведений не является закрытым. Это означает, что любая информация, которая в совокупности с другими данными позволяет идентифицировать конкретного человека, будет считаться персональными данными.
Для владельца сайта это означает, что под регулирование подпадает гораздо более широкий спектр информации, чем может показаться на первый взгляд.
Практические примеры ПДн, собираемых на сайтах:
Прямо идентифицирующие данные: Это сведения, которые однозначно указывают на конкретного человека. К ним относятся: фамилия, имя, отчество (ФИО), паспортные данные, СНИЛС, ИНН.10
Косвенно идентифицирующие данные: Эта категория наиболее распространена на сайтах. Сами по себе эти данные могут не указывать на конкретное лицо, но в комбинации с другими сведениями делают идентификацию возможной. Примеры:
Номер телефона и адресэлектронной почты (e-mail). Особенно если e-mail имеет вид ivanov_ivan_1977@mail.ru, он уже содержит достаточно информации для косвенной идентификации.10
Фотография или видеозапись, по которой можно узнать человека.10
Технические и онлайн-идентификаторы: Это наиболее недооцененная категория данных, сбор которых часто происходит автоматически и незаметно для владельца сайта. Роскомнадзор и судебная практика однозначно относят такие данные к персональным, поскольку они позволяют выделить конкретного пользователя из общей массы посетителей и отследить его поведение.12 К ним относятся:
Оператором персональных данных является любое государственное или муниципальное учреждение, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами «организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».15
В контексте веб-сайта все просто: если ваш сайт собирает любые из перечисленных выше данных, вы автоматически становитесь оператором ПДн. Это не зависит от размера компании, формы собственности или коммерческого характера деятельности. Наличие на сайте:
…делает владельца сайта оператором ПДн со всеми вытекающими обязанностями и ответственностью.12
Что такое «Обработка» ПДн?
Понятие «обработка» также трактуется максимально широко. Это «любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без их использования с персональными данными».20Закон перечисляет, что к обработке относятся, в частности: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.21
Для веб-сайта это означает, что сам факт получения данных от пользователя через веб-форму и их последующее сохранение в базе данных на сервере уже является полноценной обработкой ПДн.
Категории ПДн: Общие, специальные и биометрические — почему это критически важно
Непонимание различий между категориями персональных данных — одна из самых распространенных и дорогостоящих ошибок, которую может совершить оператор. Категория обрабатываемых данных напрямую определяет уровень требуемых мер защиты, форму необходимого согласия от пользователя и размер потенциальных штрафов.
Общие (иные) персональные данные: Это все данные, которые не относятся к специальным или биометрическим. Большинство сайтов работает именно с этой категорией: ФИО, номер телефона, e-mail, адрес, данные о профессии, образовании и т.д..11
Специальные категории ПДн: К ним относятся сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также сведения о судимости.11Обработка таких данных по общему правилу запрещена. Она допускается лишь в строго оговоренных законом случаях, главным из которых является получение от субъекта письменного согласия на их обработку.26 Обычной галочки в чекбоксе на сайте для этого недостаточно.
Биометрические ПДн: Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. К ним относятся, например, фотография, образец голоса, отпечатки пальцев, рисунок радужной оболочки глаз.10 Как и в случае со специальными категориями, для их обработки требуется письменное согласие субъекта.15
Следовательно, если сайт медицинской клиники в анкете для записи на прием собирает информацию о симптомах или диагнозе пациента (данные о состоянии здоровья), он начинает обрабатывать специальные категории ПДн. Это немедленно влечет за собой три ключевых последствия:
Необходимость получения письменного согласия, которое на сайте может быть реализовано только через подписание документа усиленной квалифицированной или неквалифицированной электронной подписью.
Повышение требуемого уровня защищенности (УЗ) информационной системы согласно Постановлению Правительства РФ от 01.11.2012 № 1119, что влечет за собой необходимость применения более серьезных и дорогостоящих мер технической защиты.29
Существенно более высокие штрафы в случае утечки таких данных.2
Глава 2. Три кита законной обработки данных
Любая обработка персональных данных на сайте должна стоять на трех «китах»: наличии законного правового основания, соблюдении ключевых принципов и выполнении оператором своих прямых обязанностей.
Правовые основания для обработки
Оператор не может обрабатывать персональные данные просто потому, что ему так захотелось. Каждая операция по обработке должна иметь под собой одно из оснований, перечисленных в статьях 6, 10 и 11 152-ФЗ. Для веб-сайтов наиболее актуальны следующие:
Согласие субъекта персональных данных: Это самое распространенное и универсальное основание для большинства операций на сайте, таких как регистрация, подписка на рассылку, отправка формыобратной связи.32
Исполнение договора, стороной которого является субъект ПДн: Если пользователь делает заказ в интернет-магазине, оператор вправе обрабатывать его данные (ФИО, адрес доставки, телефон) для исполнения этого договора (доставки товара) без получения отдельного согласия на каждую операцию. Однако, если оператор захочет использовать эти же данные для рекламной рассылки (цель, не связанная с исполнением договора), ему потребуется получить на это отдельное согласие.36
Исполнение требований законодательства: В некоторых случаях закон напрямую обязывает оператора обрабатывать ПДн. Например, Трудовой кодекс обязывает работодателя обрабатывать данные своих сотрудников для кадрового учета.37
Ключевые принципы (ст. 5 152-ФЗ)
Даже при наличии правового основания, обработка должна соответствовать ряду фундаментальных принципов, установленных статьей 5 152-ФЗ. Нарушение этих принципов само по себе является серьезным правонарушением.
Принцип законности и справедливости:Обработка должна осуществляться на законной основе. Нельзя получать данные обманным путем или вводить пользователя в заблуждение относительно целей их использования.26
Принцип ограничения цели (целеполагание):Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора.26 Это означает, что оператор должен четко сформулировать, для чего ему нужны данные, и не использовать их для других целей. Нельзя собирать данные «про запас» или «на всякий случай».18
Принцип минимизации данных: Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые данные не должны быть избыточными.18 Это один из самых часто нарушаемых принципов. Пример: для заказа обратного звонка необходим только номер телефона. Запрос в этой же форме ФИО, e-mail и даты рождения будет являться избыточным и, следовательно, незаконным.
Основные обязанности оператора согласно статьям 18, 18.1 и 19 152-ФЗ
Закон возлагает на оператора широкий круг обязанностей, которые можно сгруппировать в три блока 36:
Обязанности при сборе данных (Статья 18):
Предоставлять субъекту по его запросу информацию об обработке его ПДн.
Разъяснять юридические последствия отказа в предоставлении ПДн, если их предоставление обязательно по закону.
При сборе данных обеспечивать их запись, систематизацию, хранение и другие операции с использованием баз данных, находящихся на территории Российской Федерации (требование о локализации).41
Обязанности по обеспечению выполнения закона (Статья 18.1):
Назначать лицо, ответственное за организацию обработки ПДн.
Издавать внутренние документы, определяющие политику оператора в отношении обработки ПДн (включая публичную Политику для сайта).
Применять правовые, организационные и технические меры по обеспечению безопасности ПДн.
Осуществлять внутренний контроль и аудит соответствия обработки ПДн требованиям законодательства.
Проводить оценку вреда, который может быть причинен субъектам в случае нарушения закона.
Ознакамливать работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства и внутренними документами.16
Обязанности по обеспечению безопасности данных (Статья 19):
Применять комплекс необходимых правовых, организационных и технических мер для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
Это включает в себя определение угроз безопасности, применение сертифицированных средств защиты информации (СЗИ), учет носителей ПДн, обнаружение фактов несанкционированного доступа, восстановление данных и контроль за принимаемыми мерами.13
Часть II. «Витрина» сайта: Что должно быть на виду у пользователя и регулятора
Эта часть посвящена элементам, которые должны быть реализованы непосредственно на самом сайте и быть доступными как для обычных пользователей, так и для проверяющих органов. Несоблюдение этих требований является наиболее легко выявляемым нарушением в ходе дистанционного мониторинга сайтов, проводимого Роскомнадзором.
Глава 3. Краеугольный камень: Политика обработки персональных данных
Политика обработки персональных данных (часто называемая «Политикой конфиденциальности») — это основной публичный документ, который информирует всех заинтересованных лиц о том, как именно ваша компания обращается с персональными данными.
Обязательность публикации и ответственность
Согласно части 2 статьи 18.1 152-ФЗ, оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.36 Если сбор данных ведется через интернет (то есть на любом сайте), этот документ должен быть опубликован на этом же сайте.36 Отсутствие Политики или обеспечение доступа к ней (например, ссылка не работает или ведет не на тот документ) является прямым нарушением, ответственность за которое предусмотрена частью 3 статьи 13.11 Кодекса РФ об административных правонарушениях (КоАП РФ). Штраф для юридических лиц за это нарушение составляет от 30 000 до 60 000 рублей.46
Политика должна быть доступна по прямой, легко находимой ссылке. Лучшей практикой является размещение ссылки в «подвале» (футере) сайта, а также дублирование ссылки непосредственно рядом с каждой формой сбора ПДн.18
Детальный разбор обязательных разделов по рекомендациям Роскомнадзора
Роскомнадзор опубликовал официальные Рекомендации по составлению документа, определяющего политику оператора, которые, хотя и носят рекомендательный характер, де-факто являются стандартом, на который ориентируются проверяющие.20 Кроме того, с 1 сентября 2022 года вступили в силу поправки в 152-ФЗ, которые сделали часть этих рекомендаций обязательными. Политика должна быть не просто формальным документом, а реальным отражением процессов обработки данных в вашей организации.
Обязательные разделы и сведения в Политике 20:
Общие положения: Здесь указывается назначение документа и могут быть даны определения ключевых терминов (оператор, субъект, обработка и т.д.).52
Информация об операторе: Необходимо указать полное наименование юридического лица или ФИО индивидуального предпринимателя, ИНН, юридический и фактический адрес.54
Цели сбора персональных данных: Цели должны быть сформулированы конкретно, понятно и соответствовать уставной деятельности компании. Общих фраз вроде «для улучшения качества обслуживания» следует избегать. Примеры корректных целей: «заключение и исполнение договора купли-продажи», «предоставление обратной связипо обращению пользователя», «направление маркетинговых и информационных рассылок», «ведение кадрового делопроизводства».39
Правовые основания обработки ПДн: В этом разделе необходимо перечислить конкретные нормативные правовые акты, на основании которых осуществляется обработка. Важно: ссылка на сам 152-ФЗ не является правовым основанием, так как он лишь регулирует процесс, а не порождает его. Основаниями могут быть: устав организации, конкретные федеральные законы (например, Трудовой кодекс РФ, Гражданский кодекс РФ), договоры с субъектами ПДн, а также согласие субъекта на обработку его ПДн.37
Объем и категории обрабатываемых ПДн, категории субъектов ПДн: Это один из самых важных и часто нарушаемых разделов. С 1 сентября 2022 года оператор обязан для каждой цели обработки указать:
Категории субъектов ПДн: Например, «посетители сайта», «клиенты — физические лица», «представители контрагентов», «кандидаты на вакантные должности».11
Перечень обрабатываемых ПДн: Для каждой категории субъектов и для каждой цели должен быть приведен исчерпывающий перечень обрабатываемых данных. Например, для цели «обработка заказа в интернет-магазине» для субъекта «клиент» перечень может быть таким: ФИО, номер телефона, адресэлектронной почты, адрес доставки.24
Категории ПДн: Указать, какие категории данных обрабатываются — общие, специальные, биометрические.24
Порядок и условия обработки ПДн:
Перечень действий с ПДн: Указать конкретные действия, которые совершаются с данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.37
Способы обработки: Указать, как обрабатываются данные: «автоматизированная обработка», «неавтоматизированная обработка» или «смешанная обработка».37
Сроки обработки и хранения: Для каждой категории данных и каждой цели необходимо указать конкретный срок их обработки и хранения, либо событие, при наступлении которого обработка прекращается. Например: «в течение срока действия договора и 5 лет после его окончания в соответствии с требованиями архивного законодательства» или «до момента отзыва согласия субъектом персональных данных».24
Актуализация, исправление, удаление и уничтожение ПДн, ответы на запросы субъектов: В этом разделе описывается порядок реализации прав субъектов. Рекомендуется указать конкретный e-mail или форму для обращений, а также внутренние сроки и процедуры реагирования на запросы.20
Информация о трансграничной передаче данных: Если оператор передает данные за рубеж (например, при использовании Google Analytics), это должно быть отражено в Политике. Необходимо указать страны, в которые осуществляется передача, и цели передачи.58
Сведения о реализуемых требованиях к защите ПДн:Краткое описание принимаемых правовых, организационных и технических мер защиты.
Таблица 1: Чек-лист для аудита Политики обработки ПДн
Данная таблица представляет собой практический инструмент для самоаудита существующей Политики или для ее разработки с нуля.
№
Элемент проверки
Требование / Рекомендация
Ссылка на НПА / Источник
Пример корректной формулировки
Статус (Да/Нет/Н/П)
1
Доступность документа
Политика опубликована на сайте и доступна по прямой ссылке из футера и со страниц сбора ПДн.
— Исполнение обязательств по договору купли-продажи; — Предоставление информации по запросу пользователя через форму обратной связи; — Направление информационных рассылок (при наличии согласия).
4
Правовые основания
Указаны конкретные НПА (ТК РФ, ГК РФ), устав, договор, согласие. Не указан просто 152-ФЗ.
Данныеклиентов хранятся в автоматизированной ИСПДн в течение срока действия договора и 3 лет после его прекращения. Обработка включает сбор, хранение, использование, передачу (курьерской службе), уничтожение.
7
Права субъекта
Описан порядок отзыва согласия, доступа к данным, их исправления и уничтожения. Указаны контакты для обращений.
При использовании сервиса веб-аналитикиGoogle Analytics, ПДн (cookie, IP-адрес) могут передаваться на территорию США с целью анализа посещаемости сайта.
В Политике есть раздел, описывающий использование cookie-файлов и систем аналитики.
Разъяснения РКН 12
Наш сайт использует файлы cookie для улучшения работы и персонализации. Подробная информация о типах cookie и целях их использования приведена в разделе X настоящей Политики.
Анализ типичных ошибок
Практика аудита сайтов показывает наличие ряда повторяющихся ошибок при составлении и размещении Политики 60:
Использование чужого или шаблонного документа: Самая частая ошибка — копирование Политики с другого сайта без адаптации под свои бизнес-процессы. В итоге в документе могут быть указаны неверный оператор, неактуальные цели или избыточный перечень данных.
Отсутствие конкретики: Размытые формулировки целей («для улучшения сервиса»), перечня данных («и иные данные»), сроков хранения («в течение необходимого срока»).
152-ФЗ как правовое основание: Как уже отмечалось, это методологически неверно и является частым замечанием со стороны РКН.
Несоответствие реальности: В Политике указано, что специальные категории ПДн не обрабатываются, а на сайте есть анкета с вопросами о здоровье. Или заявлено, что трансграничная передача не ведется, но при этом на сайте установлен кодGoogle Analytics.
Глава 4. Получение законного согласия: Искусство чекбокса
Согласие субъекта — самое гибкое и распространенное правовое основание для обработки ПДн на сайте. Однако его получение сопряжено с рядом строгих формальных и технических требований.
Формы согласия: когда достаточно «галочки», а когда требуется отдельное согласие
Простое согласие (в т.ч. через конклюдентные действия): Для сбора и обработки общих персональных данных через формы на сайте (регистрация, обратная связь, заказ) достаточно получить согласие в любой форме, позволяющей подтвердить факт его получения. Самый распространенный способ — проставление пользователем «галочки» в чекбоксе.34
Отдельное согласие на распространение ПДн: Если вы планируете делать полученные данные общедоступными (например, публиковать на сайте отзывы с указанием ФИО и фото автора, размещать данные участников в списке победителей конкурса), вам необходимо получить отдельное согласие на обработку персональных данных, разрешенных субъектом для распространения. Требования к его содержанию установлены Приказом Роскомнадзора от 24.02.2021 № 18. Это согласие не может быть «зашито» в общее согласие на обработку, оно должно быть получено обособленно.63
Письменное согласие: Для обработки специальных и биометрических категорий ПДн требуется согласие в письменной форме. На сайте это требование может быть выполнено путем подписания электронного документа усиленной квалифицированной или простой/неквалифицированной электронной подписью в соответствии с законодательством об электронной подписи.15
Анатомия корректного текста согласия
Согласно части 4 статьи 9 152-ФЗ, согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.33 Это означает, что пользователь должен четко понимать, кому, какие данные, для каких целей и на какой срок он передает. Текст согласия, на который ведет ссылка от чекбокса, должен содержать 54:
Корректная техническая реализация формы получения согласия не менее важна, чем ее юридическое содержание.
Чекбокс:
Он не должен быть предзаполненнымпо умолчанию. Пользователь должен совершить активное, осознанное действие — самостоятельно поставить галочку. Предварительно проставленная галочка (opt-out) является прямым нарушением, так как не обеспечивает однозначности согласия.18
Текст рядом с чекбоксом должен быть ясным, например: «Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных в соответствии с Политикой обработки персональных данных и принимаю условия Пользовательского соглашения».
Гиперссылки: Рядом с чекбоксом или текстом согласия должны быть размещены активные, работающие гиперссылки на полный текст Политики обработки ПДн и, при необходимости, на отдельный документ с текстом самого согласия.18
Блокировка отправки формы: Кнопка отправки формы (например, «Зарегистрироваться» или «Отправить») должна быть неактивной до тех пор, пока пользователь не проставит галочку в чекбоксе. Это технически гарантирует, что данные не будут отправлены без подтверждения согласия.
<div class="privacy-consent"> <input type="checkbox" id="privacy-checkbox" name="privacy" required> <label for="privacy-checkbox"> Я согласен на <a href="/privacy-policy.html" target="_blank">обработку моих персональных данных</a> и ознакомлен с <a href="/terms.html" target="_blank">условиями</a>. </label> </div>
<button type="submit">Отправить</button> </form>
Для блокировки кнопки можно использовать простой JavaScript, который будет проверять состояние чекбокса.
Баннер о cookie-файлах
Сбор и использование cookie-файлов, особенно в связке с системами аналитики, является обработкой персональных данных.12 Следовательно, на эту обработку также требуется получить согласие пользователя. Наиболее распространенным и принятым механизмом для этого является cookie-баннер.
Его реализация — это не формальность, а способ получения законного основания для обработки. Отсутствие такого баннера или его некорректная работа (например, cookie устанавливаются до того, как пользователь нажал «Принять») означает обработку ПДн без согласия, что является нарушением по части 1 статьи 13.11 КоАП РФ.
Корректный cookie-баннер должен:
Появляться при первом визите пользователя на сайт.
Четко информировать о том, что сайт использует cookie-файлы для определенных целей (например, аналитики, персонализации).
Содержать активную ссылку на Политику обработки ПДн, где подробно описано использование cookie.
Предоставлять пользователю возможность выразить свое согласие (например, кнопкой «Принять», «Согласен») или отказаться от сбора необязательных cookie.12
Часть III. «Машинное отделение»: Технические и организационные меры
Соответствие 152-ФЗ не ограничивается юридическими документами и элементами на «витрине» сайта. Наиболее сложная и ресурсоемкая часть работы скрыта от глаз пользователя и регулятора при поверхностном осмотре, но именно она определяет реальный уровень защищенности данных и становится предметом пристального внимания при проверках и, особенно, при расследовании инцидентов.
Глава 5. Требование о локализации: Хостинг и базы данных в России
Это одно из самых известных и строгих требований российского законодательства. Согласно части 5 статьи 18 152-ФЗ, оператор при сборе персональных данных граждан РФ обязан обеспечить их обработку с использованием баз данных, физически находящихся на территории Российской Федерации.73
Ужесточение требования с 1 июля 2025 года
Долгое время формулировка закона «обеспечить запись, систематизацию, накопление, хранение…» 76 трактовалась многими как требование к
первичному сбору данных на территории РФ, после чего допускалась их дальнейшая обработка за рубежом (например, синхронизация с иностранной CRM).
Однако Федеральный закон от 28.02.2025 № 23-ФЗ внес изменения, которые вступают в силу 1 июля 2025 года. Новая редакция гласит, что «запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются«.76
Эта формулировка устанавливает прямой и императивный запрет на использование иностранных баз данных для ключевых этапов обработки. Это значительно ужесточает требование и ставит под сомнение многие ранее использовавшиеся архитектурные решения с применением зарубежных сервисов.
Как доказать локализацию Роскомнадзору?
При проверке Роскомнадзор вправе потребовать доказательства выполнения требования о локализации. Такими доказательствами могут служить:
Договор с российским хостинг-провайдером или дата-центром. В договоре должно быть явно указано, что серверы и оборудование, на котором размещается сайт и его база данных, находятся на территории РФ.73
Техническая информация. Скриншоты из панели управления хостингом, где виден IP-адрессервера и его географическая принадлежность (определяется по WHOIS-сервисам).
Уведомление об обработке ПДн. Это ключевой документ. В форме уведомления, подаваемой в Роскомнадзор, есть специальное поле «Адрес(а) местонахождения базы данных информации». В нем необходимо указать точный физический адрес дата-центра в России, где хранится база данных.13 Расхождение между этим адресом и фактическим местоположением сервера является серьезным нарушением.
Глава 6. Трансграничная передача данных: Аналитика и иностранные сервисы
Трансграничная передача персональных данных — это передача ПДн на территорию иностранного государства органу власти этого государства, иностранному физическому или юридическому лицу.79
Когда она возникает?
Для владельца сайта трансграничная передача возникает в момент использования любого онлайн-сервиса, серверы которого физически расположены за пределами России. Типичные примеры 8:
Оценить адекватность страны. Роскомнадзор ведет перечень стран, обеспечивающих адекватную защиту прав субъектов ПДн (Приказ РКН от 05.08.2022 № 128).83 К ним относятся, например, страны-участницы Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также ряд других стран (Сербия, Казахстан, Беларусь и др.). США и многие другие популярные юрисдикции в этот список не входят.59
Заполнить форму на портале РКН. Уведомление подается через специальную электронную форму на портале персональных данных Роскомнадзора.83
Указать необходимую информацию. В уведомлении указываются: данные об операторе, цели и правовые основания передачи, категории и перечень передаваемых ПДн, перечень иностранных государств, на территорию которых планируется передача, и дата начала осуществления деятельности.79
Дождаться решения РКН. Роскомнадзор в течение 10 рабочих дней рассматривает уведомление и может запретить или ограничить передачу, если сочтет, что она создает угрозу правам и интересам граждан РФ.59 Осуществлять передачу до истечения этого срока (или до получения положительного решения) нельзя.
Кейс: Юридические риски использования Google Analytics в сравнении с Яндекс.Метрикой
Риски: Серверы Google находятся преимущественно в США и других странах, которые не входят в перечень «адекватных» с точки зрения РКН.59 Использование GA — это однозначная трансграничная передача ПДн.81
Обязательные действия:
Упомянуть использование GA и факт трансграничной передачи в Политике обработки ПДн.
Получить от пользователя отдельное, информированное согласие именно на трансграничную передачу его данных в страну, не обеспечивающую адекватной защиты.58
Подать в РКН уведомление о намерении осуществлять трансграничную передачу ПДн.59
Быть готовым к тому, что РКН может запретить такую передачу.
Риски: Серверы Яндекса находятся на территории РФ. Соответственно, при использовании Яндекс.Метрики трансграничная передача ПДн отсутствует.12
Обязательные действия:
Упомянуть использование Яндекс.Метрики в Политике обработки ПДн.
Получить согласие пользователя на обработку его ПДн (включая cookie) посредством cookie-баннера.12
Вывод: Использование Яндекс.Метрики сопряжено со значительно меньшими юридическими рисками и административной нагрузкой для владельца сайта по сравнению с Google Analytics.
Глава 7. Головоломка с CDN: Легальное использование Cloudflare и аналогов
Использование сетей доставки контента (Content Delivery Network, CDN) является стандартной практикой для ускорения загрузки сайтов и защиты от DDoS-атак. Однако применение иностранных CDN-сервисов, таких как Cloudflare или Akamai, создает серьезные юридические риски в контексте российского законодательства о персональных данных.
Использование иностранных CDN создает серьезный риск нарушения требования о локализации, и позиция регулятора становится все более жесткой. CDNпо своей природе кэширует контент сайта, который может включать и элементы с персональными данными, на множестве серверов, географически распределенных по всему миру.86 Хотя основной сервер (origin server) может находиться в России, сам факт временного хранения (кэширования) и обработки запросов на зарубежных серверах может быть расценен Роскомнадзором как нарушение требования о локализации баз данных.
Юридический анализ и серая зона
Является ли кэширование на пограничном сервере CDN «сбором», «накоплением» или «хранением» ПДн в том смысле, как это определено в 152-ФЗ? Прямого ответа в законе нет, что создает юридическую неопределенность. Однако действия и позиция регулятора позволяют сделать выводы о его подходе.
Позиция Роскомнадзора и судебная практика
Четкие сигналы о том, что РКН рассматривает использование иностранных CDN как зону высокого риска, уже поступили:
Дело «Умного голосования»: В решении Таганского районного суда г. Москвы от 19.12.2018 было прямо указано, что серверы, содержащие ПДн пользователей сайта, находятся в компании Cloudflare, Inc., что было расценено как нарушение локализации.89
Действия в отношении Cloudflare: В 2024-2025 годах Роскомнадзор предпринял ряд шагов, демонстрирующих его позицию. Во-первых, ведомство рекомендовало российским владельцам сайтов отказаться от использования CDN-сервиса Cloudflare из-за внедрения технологии шифрования ECH, которая мешает работе систем фильтрации трафика.90 Во-вторых, в феврале 2025 года РКН принудительно внес Cloudflare в реестр организаторов распространения информации (ОРИ), что накладывает на компанию обязанность хранить данные российских пользователей и предоставлять их спецслужбам.92 Эти действия показывают, что РКН считает Cloudflare полноценным участником обработки данных российских пользователей.
Оценка рисков и практические рекомендации
Высокий риск: Использование иностранного CDN для обработки и кэширования динамического контента, страниц с формами сбора ПДн, личных кабинетов пользователей, API-запросов, содержащих ПДн. В этом случае риск привлечения к ответственности за нарушение локализации максимален.
Умеренный/низкий риск: Использование иностранного CDN исключительно для доставки статического контента, который заведомо не содержит персональных данных (например, изображения, файлыCSS и JavaScript, видеофайлы).
Практические рекомендации:
Предпочтительный вариант: Использовать услуги российских CDN-провайдеров, серверы которых гарантированно находятся на территории РФ. Это полностью снимает риски, связанные с локализацией.
Альтернативный вариант (рискованный): При использовании иностранного CDN необходимо произвести его тонкую настройку. Следует настроить правила кэширования таким образом, чтобы кэшировалась только статика. Страницы с формами, личными кабинетами и любой динамический контент, который может содержать ПДн, должны быть исключены из кэширования и запрашиваться напрямую с основного сервера (origin), расположенного в России. Однако даже в этом случае сохраняется риск, что сам факт терминирования TLS-трафика на зарубежном сервере CDN будет признан обработкой.
Глава 8. Построение цифровой крепости: Техническая защита по требованиям ФСТЭК и ПП-1119
Помимо юридических и организационных мер, статья 19 152-ФЗ прямо обязывает оператора принимать необходимые технические мерыпо обеспечению безопасности персональных данных.36 Конкретный состав этих мер определяется на основе двух ключевых подзаконных актов:
Постановление Правительства РФ от 01.11.2012 № 1119: Устанавливает требования к защите ПДн и определяет четыре уровня защищенности (УЗ).95
Приказ ФСТЭК России от 18.02.2013 № 21: Определяет состав и содержание организационных и технических мер для каждого уровня защищенности.99
Соответствие этим требованиям — это не «бумажная» безопасность, а конкретные настройки серверного программного обеспечения, сетевого оборудования и внедрение специализированных средств защиты.
Определение требуемого Уровня защищенности (УЗ) для вашего сайта
Первый и самый важный шаг в построении системы технической защиты — это правильное определение требуемого уровня защищенности (УЗ) для вашей информационной системы персональных данных (ИСПДн), которой в данном случае является веб-сайт и его бэкенд. Ошибка на этом этапе приведет либо к недостаточной защите и риску штрафов, либо к избыточным мерам и неоправданным затратам.
УЗ определяется на основе четырех критериев 29:
Категория обрабатываемых ПДн: специальные, биометрические, общедоступные или иные (общие).
Количество субъектов ПДн: обрабатываются данные более 100 000 или менее 100 000 субъектов.
Тип субъектов: обрабатываются данные сотрудников оператора или иных лиц (клиентов, посетителей сайта).
Угрозы 3-го типа: не связаны с наличием недекларированных возможностей в ПО (это наиболее распространенные угрозы: атаки на веб-приложения, вирусы, несанкционированный доступ).98
Таблица 2: Алгоритм определения УЗ для типового интернет-магазина/корпоративного сайта
Для большинства сайтов (интернет-магазины, корпоративные порталы, лендинги), которые не являются государственными информационными системами (ГИС), актуальными являются угрозы 3-го типа. Исходя из этого, можно воспользоваться упрощенным алгоритмом.
Шаг
Вопрос
Ответ «Да»
Ответ «Нет»
1
Обрабатываются ли специальные (здоровье, раса и т.д.) или биометрические (фото для идентификации) ПДн?
УЗ-3
Переход к шагу 2
2
Обрабатываются ли общедоступные ПДн (полученные из общедоступных источников)?
УЗ-4
Переход к шагу 3
3
Обрабатываются ли ПДн сотрудников?
УЗ-4
Переход к шагу 4
4
Обрабатываются ли иные (общие) ПДн иных лиц (клиентов, посетителей сайта)?
УЗ-4
—
Вывод из таблицы: Подавляющее большинство коммерческих сайтов, собирающих стандартные данныеклиентов (ФИО, телефон, e-mail, адрес) и не обрабатывающих специальные или биометрические данные, подпадают под 4-й уровень защищенности (УЗ-4). Если же на том же сервере обрабатываются и данные сотрудников, то может потребоваться определение УЗ-3. УЗ-1 и УЗ-2 для обычных коммерческих сайтов практически не встречаются.
Практическая реализация Приказа ФСТЭК №21 для УЗ-3/УЗ-4
Приказ ФСТЭК №21 содержит большой перечень мер, сгруппированных по семействам (ИАФ — идентификация и аутентификация, УПД — управление доступом, РСБ — регистрация событий безопасности и т.д.).99 Для УЗ-4 требуется выполнение базового набора мер, для УЗ-3 он расширяется. Ниже приведен практический чек-лист технических мер, которые должен реализовать системный администратор.
1. Усиление безопасности операционной системы и веб-сервера (Hardening):
Настройка sysctl.conf (Linux): Усиление сетевого стека ядра для защиты от сетевых атак.107 Ini, TOML # Защита от IP-спуфинга net.ipv4.conf.default.rp_filter=1 net.ipv4.conf.all.rp_filter=1 # Игнорировать ICMP-перенаправления net.ipv4.conf.all.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 # Включить защиту от SYN-флуд атак net.ipv4.tcp_syncookies = 1
Настройка nginx.conf (Nginx):
Скрытие информации: Отключить показ версии сервера, чтобы не давать злоумышленнику лишней информации. Nginx server_tokens off;
112
Настройка SSL/TLS: Использовать только сильные и актуальные версии протоколов и шифров. Nginx ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ‘TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256’; ssl_prefer_server_ciphers on;
113
Заголовки безопасности: Добавить заголовки для защиты от XSS и кликджекинга. Nginx add_header X-Frame-Options «SAMEORIGIN»; add_header X-XSS-Protection «1; mode=block»; add_header Strict-Transport-Security «max-age=31536000; includeSubDomains» always;
Минимальные привилегии: Веб-сервер (Nginx, Apache) и приложение (PHP-FPM) должны работать от имени непривилегированного пользователя (например, www-data), а не от root.115
Разграничение доступа в CMS: Настроить ролевую модель доступа в системе управления контентом. Редакторы должны иметь доступ только к управлению контентом, администраторы — к настройкам, но не к базе данных напрямую.116
Защита SSH: Отключить вход по паролю, использовать только ключи. Запретить вход для пользователя root.
Логирование: Убедиться, что веб-сервер, СУБД и ОС ведут подробные журналы доступа и ошибок. Настроить ротацию логов для их сохранения в течение установленного срока (например, 1 год).
Использование Fail2ban: Установить и настроить Fail2ban для автоматической блокировки IP-адресов, с которых производятся попытки подбора паролей к SSH, административной панели сайта (если CMS логирует неудачные попытки входа).117
Применение Web Application Firewall (WAF):WAF анализирует HTTP-трафик к сайту и блокирует типичные атаки, такие как SQL-инъекции и Cross-Site Scripting (XSS). Это одна из самых эффективных мер для выполнения требований ФСТЭК по защите от атак на веб-приложения.120 Для систем с УЗ-3 и выше может потребоваться сертифицированный ФСТЭК WAF, например, SolidWall WAF.121 Его установка и настройка включают развертывание в режиме reverse-proxy перед основным веб-сервером.120
На сервере должно быть установлено и регулярно обновляться антивирусное программное обеспечение для периодической проверки файловой системы на наличие вредоносного кода.
Выполнение этих технических мер позволяет не только формально соответствовать требованиям регуляторов, но и реально повысить защищенность веб-сайта от подавляющего большинства распространенных угроз.
Часть IV. Внутренний порядок: Документация и процессы
Успешное управление персональными данными невозможно без выстроенных внутренних процессов и четкой организационно-распорядительной документации (ОРД). Эти документы не только требуются по закону, но и служат дорожной картой для сотрудников, минимизируя риски, связанные с человеческим фактором.
Глава 9. Уведомление Роскомнадзора: Регистрация в качестве оператора ПДн
До начала обработки персональных данных оператор, за редкими исключениями, обязан уведомить об этом уполномоченный орган — Роскомнадзор.22 Это делается путем подачи «Уведомления об обработке (о намерении осуществлять обработку) персональных данных».
С 30 мая 2025 года за невыполнение этой обязанности вводится отдельный и весьма существенный состав административной ответственности по части 10 статьи 13.11 КоАП РФ: штраф для юридических лиц и ИП составит от 100 000 до 300 000 рублей.127 Это делает своевременную подачу уведомления абсолютно необходимой.
Пошаговое руководство по заполнению уведомления на портале РКН
Уведомление можно подать в бумажном виде, но наиболее удобный способ — через портал персональных данных Роскомнадзора в электронном виде.54
Зайти на портал РКН: Перейти в раздел для подачи уведомлений.
Выбрать способ подачи: Рекомендуется использовать аутентификацию через ЕСИА (Госуслуги), так как это автоматически подгрузит часть данных об организации.78
Заполнить сведения об операторе: Указать полное наименование, ИНН, ОГРН, юридический и почтовый адреса в строгом соответствии с ЕГРЮЛ/ЕГРИП.
Сформулировать цели обработки: Указать все цели, для которых собираются данные (например, «ведение кадрового учета», «заключение и исполнение договоров с клиентами», «продвижение товаров и услуг»).
Указать адрес местонахождения базы данных: Это критически важный пункт для подтверждения локализации. Необходимо указать реальный физический адрес дата-центра в РФ.
Перечислить категории ПДн и категории субъектов: Заполнить эти поля в соответствии с вашей Политикой, без сокращений и обобщений.
Описать меры по обеспечению безопасности: Кратко перечислить принимаемые правовые, организационные и технические меры (назначение ответственного, наличие политики, использование СЗИ и т.д.).
Подписать и отправить: Уведомление подписывается усиленной квалифицированной электронной подписью (УКЭП) руководителя или уполномоченного лица.
Таблица 3: Типичные ошибки при подаче уведомления в РКН и как их избежать
Роскомнадзор регулярно публикует перечни типичных ошибок, которые приводят к отказу в приеме уведомления или к его возврату на доработку.61
Ошибка
Как правильно
Почему это важно
Некорректное правовое основание
Указывать конкретные законы (ТК РФ, ГК РФ), устав, лицензии, а не просто ссылку на 152-ФЗ.
152-ФЗ регулирует порядок, а не является основанием для обработки. Основание — это то, что порождает саму необходимость обработки.
Размытые цели обработки
Формулировать цели конкретно и в соответствии с уставной деятельностью (например, «исполнение договора», а не «для маркетинга»).
Цель должна быть законной и определенной. От нее зависит допустимый объем собираемых данных (принцип минимизации).
Неполный или неверный перечень ПДн
Перечислять конкретные типы данных (ФИО, дата рождения, e-mail), а не категории («анкетные данные») или фразы «и т.д.».
Объем данных должен быть соотносим с целью. Неопределенный перечень не позволяет это проверить.
Неверные категории субъектов
Указывать категории физлиц (клиенты, работники, посетители сайта), а не юрлиц или общие фразы.
Субъектом ПДн может быть только физическое лицо.
Формальное описание мер защиты
Перечислять реально применяемые меры (например, «используется антивирус Dr.Web», «применяется межсетевой экран X»), а не копировать текст из ст. 18.1 и 19.
Оператор должен подтвердить, что он не просто знает о требованиях, но и выполняет их на практике.
Указывать полный и точный физический адрес дата-центра в России, где размещен сервер.
Это основное доказательство выполнения требования о локализации. Неверный или отсутствующий адрес — прямое указание на нарушение.
Глава 10. Внутренние регламенты: Жизнь за пределами публичной Политики
Публичная Политика — это лишь верхушка айсберга. Для реального соответствия требованиям закона и управления рисками оператор должен разработать и внедрить ряд внутренних организационно-распорядительных документов.
Назначение ответственного за организацию обработки ПДн (DPO)
Для юридических лиц эта обязанность является прямой нормой закона (ч. 1 ст. 22.1 152-ФЗ).34 Ответственный назначается приказом руководителя, подчиняется ему напрямую и выполняет ключевые функции: осуществляет внутренний контроль, доводит до сведения работников положения законодательства, организует прием и обработку обращений субъектов.
Разработка регламента реагирования на запросы субъектов ПДн
Субъекты ПДн имеют право обращаться к оператору с запросами о доступе к своим данным, их уточнении, блокировании или уничтожении. Оператор обязан ответить на такой запрос в течение 10 рабочих дней (с возможностью продления еще на 5).20 Срыв этих сроков или непредоставление ответа — это нарушение, за которое предусмотрена ответственность по ч. 4 и ч. 5 ст. 13.11 КоАП РФ.
Чтобы избежать хаоса и нарушений, необходим внутренний регламент, который должен определять 135:
Процедуру регистрации: Все запросы должны фиксироваться в специальном журнале учета обращений.
Проверку личности заявителя: Как убедиться, что запрос поступил именно от субъекта данных или его законного представителя.
Порядок подготовки ответа: Кто в компании собирает информацию, кто готовит проект ответа, кто его утверждает.
Шаблоны ответов: Заранее подготовленные формы для типовых ситуаций (предоставление информации, уведомление об уничтожении, мотивированный отказ).
Разработка плана реагирования на инциденты (утечки данных)
С введением оборотных штрафов за утечки, наличие и, что более важно, отработка плана реагирования на инциденты становится критически важным элементом системы управления рисками. Закон обязывает оператора уведомить Роскомнадзор о факте утечкив течение 24 часов с момента ее выявления (первичное уведомление) и предоставить результаты внутреннего расследования в течение 72 часов.140 Без заранее подготовленного плана уложиться в эти сроки практически невозможно.
Состав команды реагирования на инциденты (Incident Response Team): Определить роли и обязанности (IT-специалист, юрист, DPO, PR-специалист).
Процедура обнаружения и классификации инцидента: Как выявляются инциденты (мониторинг логов, сообщения от пользователей) и как оценивается их масштаб.
Сбор и сохранение доказательств: Изоляция скомпрометированных систем, сохранение логов серверов, сетевого оборудования, дампов памяти.142
Процедура уведомления: Четкий алгоритм и шаблоны для уведомления Роскомнадзора и, при необходимости, ГосСОПКА.
Планпо сдерживанию и ликвидации последствий:Блокировка доступа, смена паролей, закрытие уязвимостей.
Планпо восстановлению:Восстановление работоспособности систем из резервных копий.
Планкоммуникаций: Как информировать пострадавших субъектов и общественность.
Программа обучения и инструктажа сотрудников
Человеческий фактор остается одной из главных причин утечек данных. Поэтому обучение сотрудников является не формальностью, а ключевой мерой защиты и прямой обязанностью оператора (п. 6 ч. 1 ст. 18.1 152-ФЗ).36
Программа обучения должна быть регулярной и включать следующие модули 146:
Основы законодательства о ПДн: Ключевые понятия, права субъектов, принципы обработки.
Внутренние документы оператора: Изучение Политики, регламентов, инструкций.
Правила безопасной работы с ПДн: Парольная политика, правила работы с электронной почтой, использование съемных носителей.
Ответственность за нарушения: Дисциплинарная, административная, уголовная.
Действия при инцидентах: Как распознать инцидент и кого немедленно уведомить.
Обучение должно завершаться тестированием, а факт его прохождения должен фиксироваться документально.
Часть V. Ответственность и горизонты будущего
Игнорирование требований законодательства о персональных данных в 2025 году и далее сопряжено с беспрецедентно высокими финансовыми и репутационными рисками. Операторам необходимо четко понимать, какова цена ошибки, и следить за развитием правоприменительной практики.
Глава 11. Цена ошибки: Штрафы и судебная практика
Основным инструментом государственного принуждения в сфере ПДн является административная ответственность, установленная статьей 13.11 КоАП РФ. С 30 мая 2025 года размеры штрафов по большинству составов этой статьи были многократно увеличены, а также введены новые, особо строгие санкции за утечки данных.
Детальный разбор составов административной ответственности по ст. 13.11 КоАП РФ
ч. 1:Обработка ПДн в случаях, не предусмотренных законом, или обработка, несовместимая с целями сбора (самый общий состав). Пример для сайта:сбор избыточных данных в форме обратной связи.
ч. 2:Обработка ПДн без письменного согласия, когда оно требуется. Пример для сайта:сбор данных о здоровье в анкете без получения согласия, подписанного электронной подписью.
ч. 3: Невыполнение обязанности по опубликованию Политики. Пример для сайта: отсутствие на сайте документа «Политика конфиденциальности» или неработающая ссылка на него.
ч. 4: Непредоставление субъекту информации, касающейся обработки его ПДн. Пример: игнорирование запроса пользователя о том, какие его данные хранятся у оператора.
ч. 5: Невыполнение в срок требования субъекта об уточнении, блокировании или уничтожении ПДн. Пример: неисполнение требования пользователя удалить его аккаунт и связанные с ним данные в установленный 10-дневный срок.
ч. 8: Невыполнение требования о локализации баз данных. Пример:хостинг сайта и его базы данных у иностранного провайдера.
ч. 10 (новая): Неподача уведомления в РКН о начале обработки ПДн.
ч. 12-18 (новые): Ответственность за утечки данных, дифференцированная по объему и типу данных, а также за повторность нарушения.
Таблица 4: Сравнительный анализ штрафов по ст. 13.11 КоАП РФ (для юридических лиц)
Введение оборотных штрафов — главное нововведение 2025 года. Методология их расчета заставляет компании принципиально по-новому взглянуть на управление данными.
Градация по объему: Размер фиксированного штрафа за первую утечку напрямую зависит от количества пострадавших субъектов или утекших уникальных идентификаторов (таких как e-mail, телефон, связка логин-пароль).3
Оборотный штраф за повторность: Повторная утечка в течение года после наложения первого штрафа влечет за собой наказание в виде процента от годовой выручки за предыдущий год.5
Специальные и биометрические данные:Утечка этих категорий данных наказывается еще строже, вплоть до 20 млн рублей за первую утечку биометрии.2
Эта система заставляет операторов не только внедрять технические средства защиты (DLP-системы, SIEM), но и проводить постоянный аудит и инвентаризацию своих информационных активов. Чтобы оценить свой финансовый риск, компания должна точно знать, сколько и чьих персональных данных она обрабатывает, и где они хранятся. Это превращает учет и классификацию данных из формальной процедуры в инструмент управления финансовыми рисками.
Анализ судебных решений за 2023-2025 гг.
Анализ доступной правоприменительной практики показывает, что Роскомнадзор и суды уделяют пристальное внимание именно нарушениям, которые легко выявить при дистанционном анализе сайтов. В постановлениях часто фигурируют такие нарушения, как отсутствие Политики конфиденциальности, использование форм сбора данных без чекбокса согласия, сбор cookie-файлов без информирования и согласия пользователя, а также явные признаки отсутствия локализации (например, использование иностранных сервисов для сбора данных).50 Даже если дело не доходит до крупных штрафов, сам факт возбуждения административного производства и вынесения предписания требует от компании значительных временных и юридических ресурсов.
Глава 12. Специальные вопросы обработки данных
Помимо общих правил, существует ряд специфических сценариев обработки ПДн, требующих особого внимания.
Обработка ПДн несовершеннолетних
Дети до 14 лет: Являются малолетними и полностью недееспособными. Любые действия с их ПДн, включая дачу согласия на обработку, от их имени совершают только их родители или иные законные представители.34
Подростки с 14 до 18 лет: Обладают частичной дееспособностью. В законодательстве существует правовая неопределенность относительно того, могут ли они самостоятельно давать согласие на обработку своих ПДн. Консервативный и наиболее безопасный подход для оператора — получать согласие от их законных представителей.34
Форма согласия: В случаях, когда обработка данных несовершеннолетнего не вытекает напрямую из закона или договора, требуется письменное согласие законного представителя.161 На сайте это означает необходимость использования электронной подписи.
Обработка специальных категорий персональных данных
Как уже отмечалось, обработка данных о здоровье, расе, политических и религиозных взглядах по общему правилу запрещена. Исключения, применимые к сайтам, крайне редки и требуют повышенных мер безопасности и получения письменного согласия субъекта.25 Большинство операторов, не имеющих прямой необходимости в таких данных (например, медицинские организации), предпочитают прямо указывать в своей Политике, что они не осуществляют сбор и обработку специальных категорий ПДн, чтобы минимизировать риски.163
«Право на забвение» в российской практике
Следует различать «право на удаление» по152-ФЗ и «право на забвение» по ст. 10.3 Федерального закона «Об информации, информационных технологиях и о защите информации».
Право на удаление (152-ФЗ): Право субъекта требовать от конкретного оператора уничтожения своих данных.
Право на забвение (ФЗ «Об информации»): Право гражданина требовать от оператора поисковой системы (Яндекс, Google и т.д.) прекратить выдачу ссылок на страницы с информацией о нем, если эта информация является недостоверной, неактуальной, утратившей значение или распространяется с нарушением закона.164 Для владельца сайта это право становится актуальным, если его ресурс является первоисточником такой информации, и поисковик, получив судебное решение, будет обязан удалить ссылки на его страницы.
Обезличивание данных для веб-аналитики
Обезличивание — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту.167 Требования и методы обезличивания установлены Приказом Роскомнадзора от 05.09.2013 № 996.170
Обезличенные данные можно использовать для статистических, исследовательских и аналитических целей без получения согласия субъекта.173 Однако важно соблюдать ряд правил:
Нельзя хранить обезличенные и исходные (персонифицированные) данные в одной базе данных.174
Метод обезличивания должен обеспечивать невозможность легкого обратного процесса (деобезличивания) без специальной дополнительной информации.175
Даже к обезличенным данным должны применяться меры по обеспечению безопасности.174
Использование обезличенных данных является хорошей практикой для проведения маркетинговых исследований и анализа больших данных, позволяя соблюсти баланс между бизнес-задачами и защитой прав граждан.
Заключение: Стратегический подход к комплаенсу в 2025 году и далее
Эпоха формального подхода к защите персональных данных в России безвозвратно уходит. Резкое ужесточение ответственности, введение оборотных штрафов и автоматизация надзорной деятельности Роскомнадзора требуют от всех без исключения операторов, имеющих веб-сайты, перехода к комплексной, эшелонированной и, главное, реально работающей системе управления данными.
Соблюдение требований 152-ФЗ — это больше не разовый проектпо написанию документов, а непрерывный процесс, включающий регулярный аудит, обновление политик и регламентов, техническую модернизацию, обучение персонала и мониторинг угроз. Ключевые шаги для любого владельца сайта можно свести к следующему алгоритму: Аудит -> Документация -> Техническая защита -> Внутренние процессы.
Необходимо провести полную инвентаризацию всех потоков данных, связанных с сайтом, честно ответить на вопросы: какие данные, для каких целей, на каком основании и где мы обрабатываем. На основе этого аудита должны быть разработаны и внедрены как публичные документы (Политика, Согласия), так и внутренние регламенты (реагирование на запросы и инциденты). Параллельно должна выстраиваться техническая защита, адекватная определенному уровню защищенности, — от базового усиления безопасностисервера до внедрения специализированных средств вроде WAF.
В конечном счете, инвестиции в построение такой системы — это не просто затраты на комплаенс, а вложения в устойчивость и репутацию бизнеса в новой цифровой реальности, где доверие клиента и сохранность его данных становятся ключевыми конкурентными преимуществами.
Таблица 5: Итоговый чек-лист для комплексного аудита сайта на соответствие 152-ФЗ
О положениях постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных — RPPA.pro, дата последнего обращения: июня 19, 2025, https://rppa.pro/analitika/pp1119
Роскомнадзором даны рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных — КонсультантПлюс, дата последнего обращения: июня 19, 2025, https://www.consultant.ru/law/hotdocs/50559.html
Рекомендации Роскомнадзора по составлению политики обработки ПДн | Учебный центр АСТА-информ, дата последнего обращения: июня 19, 2025, https://asta-inform.ru/uc/news/769
Как составить Политику обработки персональных данных | Журнал «Главная книга» | № 22 за 2018 г., дата последнего обращения: июня 19, 2025, https://glavkniga.ru/elver/2018/22/3871
Трансграничная передача персональных данных: новые правила и ужесточение ответственности в 2025 году — Клерк.ру, дата последнего обращения: июня 19, 2025, https://www.klerk.ru/user/2416162/646367/
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 N 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения», дата последнего обращения: июня 19, 2025, https://base.garant.ru/400668442/
Роскомнадзор опубликовал Приказ от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» (вступит в силу 01.09.2021г.) — СРО «МиР», дата последнего обращения: июня 19, 2025, https://npmir.ru/news/regulation/5600/
Как уведомить Роскомнадзор об обработке персональных данных: пошаговая инструкция для ИТ-компаний и стартапов — Habr, дата последнего обращения: июня 19, 2025, https://habr.com/ru/articles/914414/
Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» — Документы системы ГАРАНТ, дата последнего обращения: июня 19, 2025, https://base.garant.ru/70252506/
Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных от 01 ноября 2012 — Docs.cntd.ru, дата последнего обращения: июня 19, 2025, https://docs.cntd.ru/document/902377706/titles/6540IN
Обзор приказа ФСТЭК РФ от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — RPPA.pro, дата последнего обращения: июня 19, 2025, https://rppa.pro/analitika/fstek21
Укрепление Nginx с помощью Fail2ban: тестируем и оцениваем профит — Selectel, дата последнего обращения: июня 19, 2025, https://selectel.ru/blog/fail2ban/
Увеличение штрафов в области персональных данных, ст. 13.11 КоАП РФ. Действия по снижению рисков — Юрист Моргун Ольга Юрьевна — Праворуб, дата последнего обращения: июня 19, 2025, https://pravorub.ru/articles/104485.html
Регламент реагирования на запросы субъектов персональных данных — eucerin.ru, дата последнего обращения: июня 19, 2025, https://eucerin.ru/meta-pages/reglament
Курс обучения по защите персональных данных на специалиста Privacy Professional от Б-152, дата последнего обращения: июня 19, 2025, https://edu.b-152.ru/
Обработку персональных данных детей до 16 лет без согласия родителей могут запретить | Новости — ГАРАНТ, дата последнего обращения: июня 19, 2025, https://www.garant.ru/news/1146523/
Забыть нельзя удалить: работает ли в РФ право на забвение и как его можно реализовать? — Инвест-Форсайт, дата последнего обращения: июня 19, 2025, https://www.if24.ru/zabyt-nelzya-udalit/
Как правильно пользоваться правом на забвение в России — Digital Rights Center, дата последнего обращения: июня 19, 2025, https://drc.law/blog/rtbf_russia/
Обезличивание данных: сохранение баланса между правами граждан и развитием инноваций | Новости — ГАРАНТ, дата последнего обращения: июня 19, 2025, https://www.garant.ru/news/1464529/
Приказ Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных» (вместе с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных,… \ КонсультантПлюс, дата последнего обращения: июня 19, 2025, https://www.consultant.ru/document/cons_doc_LAW_151882/
Методические рекомендации по применению приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (утв. Роскомнадзором от 13.12.2013) — Справочно-правовая система по информационной безопасности, дата последнего обращения: июня 19, 2025, https://sps-ib.ru/npa:rkn_13.12.2013