Что должно быть у каждого предпринимателя, чтобы
не получить миллионные штрафы от Роскомнадзора?
не получить миллионные штрафы от Роскомнадзора?
В этой статье мы как раз и затронем ключевые аспекты:
Именно поэтому мы собрали здесь практику, проверенную в работе с сотнями компаний — от интернет-магазинов до технопарков и IT-платформ.
Нельзя считать, что если вы маленький бизнес или стартап — вас никто не тронет.
Основные причины штрафов от Роскомнадзора это неправильная обработка персональных данных.
По нашему 17-летнему опыту, можем сказать точно:
Сейчас IT-сегмент - это все, что есть в интернете. Большая часть предпринимателей убеждена, что штрафы им не грозят. Ведь Роскомнадзор где-то очень далеко и занимается только большим бизнесом, по типу Газпрома.
Большая часть написанного в интернете про обработку персональных данных – чушь.
Нельзя копировать политику персональных данных у конкурентов, нельзя сделать ее грамотно через нейросети, нельзя просто поставить чекбокс «я согласен» и думать, что вы защищены.
Нельзя копировать политику персональных данных у конкурентов, нельзя сделать ее грамотно через нейросети, нельзя просто поставить чекбокс «я согласен» и думать, что вы защищены.
– Что должно быть на ресурсах бизнеса, чтобы обезопасить себя от штрафов по обработке ПДн
– Почему отсутствие политики и согласий может стоить вам сделки с инвестором или тендера с госкорпорацией
– Как выявить критические ошибки в обработке персональных данных до того, как к вам придёт проверка
– Реальные кейсы: как стартап потерял $250 000 инвестиций, а IT-компания едва не получила штраф на 6 млн ₽ — и что их спасло или погубило
– Что делать, если данные уже утекли, пользователь подал жалобу или пришло письмо от РКН — пошаговый антикризисный план
– Почему отсутствие политики и согласий может стоить вам сделки с инвестором или тендера с госкорпорацией
– Как выявить критические ошибки в обработке персональных данных до того, как к вам придёт проверка
– Реальные кейсы: как стартап потерял $250 000 инвестиций, а IT-компания едва не получила штраф на 6 млн ₽ — и что их спасло или погубило
– Что делать, если данные уже утекли, пользователь подал жалобу или пришло письмо от РКН — пошаговый антикризисный план
! Закон не делает скидок на масштаб или «незнание».
! Перед статьей мы должны сделать важную пометку
– Вы можете получить штраф в несколько миллионов, даже если вы запустились месяц назад
– Одна проверка РКН может обанкротить ваш бизнес, даже если вам кажется, что все идет хорошо
– В среднем половина предпринимателей до того, как получили штраф понятия не имели, что они работают незаконно
– Одна проверка РКН может обанкротить ваш бизнес, даже если вам кажется, что все идет хорошо
– В среднем половина предпринимателей до того, как получили штраф понятия не имели, что они работают незаконно
Пару слов о нас, чтобы вы понимали, кто написал эту статьи и почему к ней лучше прислушаться и прочитать до конца
– Обучение IT юристов.
Мы не только работаем с IT-Компаниями, но и обучаем IT юристов. Уже более 200 человек прошло наше обучение, получили удостоверение о повышении квалификации и нашли новую работу.
Мы не только работаем с IT-Компаниями, но и обучаем IT юристов. Уже более 200 человек прошло наше обучение, получили удостоверение о повышении квалификации и нашли новую работу.
– Признание в отрасли.
Нас рекомендуют ведущие рейтинги: “Право-300” (Цифровая экономика, ТМТ, Налоги, M&A), федеральный рейтинг “Коммерсант” и международный Chambers & Partners (Fintech Legal 2021).
Нас рекомендуют ведущие рейтинги: “Право-300” (Цифровая экономика, ТМТ, Налоги, M&A), федеральный рейтинг “Коммерсант” и международный Chambers & Partners (Fintech Legal 2021).
– Глубокая экспертиза в IT и технологиях.
Мы понимаем, как устроены блокчейн, алгоритмы и цифровые продукты, и говорим с клиентами на одном языке. Наша команда сопровождает проекты в сферах метавселенных, NFT, ИИ и биотехнологий, предлагая решения, а не запреты.
Мы понимаем, как устроены блокчейн, алгоритмы и цифровые продукты, и говорим с клиентами на одном языке. Наша команда сопровождает проекты в сферах метавселенных, NFT, ИИ и биотехнологий, предлагая решения, а не запреты.
– Работа с лидерами рынка.
Среди наших клиентов — известные компании и бренды: Авито, Газпром, Северсталь, СКБ-Контур, Т-Банк, Циан и десятки других. Мы помогли запустить маркетплейсы, экосистемы, EdTech и FinTech-проекты, телемедицину и онлайн-игры.
Среди наших клиентов — известные компании и бренды: Авито, Газпром, Северсталь, СКБ-Контур, Т-Банк, Циан и десятки других. Мы помогли запустить маркетплейсы, экосистемы, EdTech и FinTech-проекты, телемедицину и онлайн-игры.
– 17 лет на рынке IT-права.
Юридическая компания “Зарцын и партнеры” основана в 2008 году и с первых дней выбрала узкую специализацию — сопровождение IT и интернет-проектов. Мы росли вместе с индустрией, углубляя экспертизу и адаптируясь к ее вызовам.
Юридическая компания “Зарцын и партнеры” основана в 2008 году и с первых дней выбрала узкую специализацию — сопровождение IT и интернет-проектов. Мы росли вместе с индустрией, углубляя экспертизу и адаптируясь к ее вызовам.
Это как с управлением автомобилем: наличие водительских прав подтверждает ваше право сесть за руль, но их отсутствие вовсе не освобождает от ответственности за то, как вы едете.
Если человек без прав устроит ДТП — его накажут и за то, что у него не было прав, и за то, что он подверг опасности других участников движения. Право и ответственность — разные вещи, и одно не отменяет другое.
Если человек без прав устроит ДТП — его накажут и за то, что у него не было прав, и за то, что он подверг опасности других участников движения. Право и ответственность — разные вещи, и одно не отменяет другое.
Теперь о главном. Что должно быть на ресурсах бизнеса, чтобы обезопасить себя от штрафов по обработке ПДн
Мы рассмотрим основные ресурсы, которые есть почти у каждой компании
Если вы хоть где-то собираете данные — вы обязаны соблюдать закон.
Неважно, это номер телефона, e-mail, IP-адрес или просто имя в чате. Всё это — персональные данные, и за их неправильную обработку предусмотрена ответственность.
Неважно, это номер телефона, e-mail, IP-адрес или просто имя в чате. Всё это — персональные данные, и за их неправильную обработку предусмотрена ответственность.
Для начала надо понять, какие интернет-ресурсы есть у вашего бизнеса. Это может быть:
– сайт (в том числе одностраничник/лендинг),
– интернет-магазин,
– мобильное приложение,
– CRM-система,
– форма (например, заявка на конусльтацию)
– чат-бот в Telegram / WhatsApp,
– сообщество в соцсетях, если через него вы собираете заявки или принимаете оплату.
– интернет-магазин,
– мобильное приложение,
– CRM-система,
– форма (например, заявка на конусльтацию)
– чат-бот в Telegram / WhatsApp,
– сообщество в соцсетях, если через него вы собираете заявки или принимаете оплату.
Выглядит она вот так 👇
Важно: Пользователь дает согласие не на политику, а на конкретное согласие. Политика - не оферта, с ней соглашаться не нужно. Согласие дается на каждый конкретный раз, когда собираются данные
– Если у вас несколько форм или продуктов (например, сайт + мобильное приложение), — политика должна учитывать все каналы сбора данных.
– Документ должен быть актуальным и на русском языке (если вы работаете с гражданами РФ).
– Существует правило: ”'одна цель — одно согласие”. В каждой точке сбора персональных данных — будь то на сайте или в офлайн-каналах — должно запрашиваться отдельное согласие, в котором чётко указаны конкретная цель обработки и перечень собираемых данных
– Она должна быть доступна с любой страницы сайта — обычно ссылка размещается в подвале (footer) и под всеми формами сбора данных.
– Политика должна быть индивидуальной и содержать полный перечень категорий субъектов персональных данных (таких как посетители, пользователи, агенты, поставщики) с указанием целей обработки и подробным описанием обрабатываемых данных для каждой категории
Что должно быть на вашем сайте?
Что важно учесть:
Это прямой путь к штрафу, потому что она не будет отражать особенности именно вашего бизнеса.
Если вы собираете данные пользователей — этот документ обязателен по закону.
Причём не просто «текст ради галочки», а оформленный в соответствии с ФЗ-152 и реальной практикой проверок Роскомнадзора.
Причём не просто «текст ради галочки», а оформленный в соответствии с ФЗ-152 и реальной практикой проверок Роскомнадзора.
01 Политика конфиденциальности
Важно: если данные обрабатываются через CRM, сайт, виджет — должен быть способ подтвердить, что пользователь дал согласие
– Раздельные ссылки на документы:
одна на политику конфиденциальности, вторая — на полное согласие с формулировками, соответствующими ФЗ-152
одна на политику конфиденциальности, вторая — на полное согласие с формулировками, соответствующими ФЗ-152
– Формулировка рядом с кнопкой/чекбоксом:
«Я согласен с политикой конфиденциальности и даю согласие на обработку моих персональных данных.»
«Я согласен с политикой конфиденциальности и даю согласие на обработку моих персональных данных.»
Что важно учесть:
– Активное действие пользователя — согласие не может быть «по умолчанию». Пользователь должен поставить галочку или нажать кнопку, подтверждающую согласие.
Даже если вы просто собираете e-mail для рассылки или имя + телефон в форме обратного звонка — вы обязаны получить согласие. Нет согласия — значит, сбор данных незаконен.
Просто наличие политики конфиденциальности не освобождает вас от необходимости получать согласие пользователя на обработку его данных. Это отдельное, обязательное требование.
02 Согласие на обработку персональных данных
Выглядит она вот так 👇
На что смотрит проверка:
– Есть ли HTTPS (замочек в адресной строке)
– Безопасен ли сертификат (не просрочен)
– Работают ли все формы на HTTPS, а не на HTTP (особенно это часто забывают на поддоменах)
– Есть ли HTTPS (замочек в адресной строке)
– Безопасен ли сертификат (не просрочен)
– Работают ли все формы на HTTPS, а не на HTTP (особенно это часто забывают на поддоменах)
Выглядит он вот так 👇
03 SSL-сертификат
Если вы собираете имя, телефон, e-mail, IP-адрес и любые другие данные, а сайт работает через незащищённый протокол HTTP, — вы не соответствуете требованиям закона.
Роскомнадзор в этом случае расценивает ваш сайт как потенциальный источник утечки персональных данных, даже если сам по себе сбор реализован корректно.
Роскомнадзор в этом случае расценивает ваш сайт как потенциальный источник утечки персональных данных, даже если сам по себе сбор реализован корректно.
Это защита канала между браузером пользователя и вашим сайтом. Он обеспечивает шифрование передаваемых данных, включая персональные.
– Баннер или pop-up при заходе на сайт с текстом:
«Мы используем cookies и сторонние сервисы для аналитики. Продолжая пользоваться сайтом, вы соглашаетесь с условиями Политики конфиденциальности.»
«Мы используем cookies и сторонние сервисы для аналитики. Продолжая пользоваться сайтом, вы соглашаетесь с условиями Политики конфиденциальности.»
– Кнопка «Согласен» или «Продолжить»
– Ссылка на вашу политику, где подробно указано, какие трекеры используются и как отказаться
Важно: это особенно критично для тех, кто использует ретаргетинг, lookalike-аудитории и поведенческий маркетинг.
Что важно учесть:
По сути, cookie-дисклеймер приравнивается к согласию на обработку персональных данных, поскольку cookies считаются персональными данными согласно позиции Роскомнадзора.
При заходе на сайт у пользователя автоматически собираются персональные данные — через cookie-файлы, IP, user-agent и поведенческую статистику.
04 Уведомление о сборе cookies и трекеров
Выглядит вот так 👇
Что важно учесть:
– Страница «Публичная оферта» на сайте
– Ссылка на оферту рядом с кнопкой оплаты / оформлением заявки
– Соответствие политики обработки данных с условиями оферты
Роскомнадзор и Роспотребнадзор часто работают в связке. И если вы собираете персональные данные без правовой основы взаимодействия (договора) — это двойное нарушение: и закона о ПДн, и закона о защите прав потребителей.
Если вы предлагаете товары или услуги через сайт — вы должны опубликовать публичную оферту или договор-оферту. Это открытый юридический документ, который фиксирует:
05 Оферта или договор на оказание услуг
– Кто вы (название, ИНН, ОГРН, адрес),
– Что вы предлагаете
– Как принимается оплата
– Условия возврата
– Ответственность сторон
– Как вы обрабатываете данные.
– Что вы предлагаете
– Как принимается оплата
– Условия возврата
– Ответственность сторон
– Как вы обрабатываете данные.
06 Контактная информация и реквизиты владельца сайта
Обычно это делают в подвале сайта (footer) и в разделе «Контакты». Также данные можно продублировать в документах: политике, согласии, оферте.
С сайтами разобрались, теперь идем к менее популярным ресурсам
На сайте обязательно должен быть раздел с контактами, где указано, кто является оператором персональных данных.
Согласно статье 18.1 ФЗ-152, оператор персональных данных обязан обеспечить прозрачность: пользователь должен знать, кто обрабатывает его данные и как с ним можно связаться.
Согласно статье 18.1 ФЗ-152, оператор персональных данных обязан обеспечить прозрачность: пользователь должен знать, кто обрабатывает его данные и как с ним можно связаться.
Что должно быть размещено:
– Название компании или ФИО ИП
– ИНН / ОГРН
– Фактический или юридический адрес
– Контактный e-mail
– Телефон (по возможности)
– Ответственное лицо по работе с ПДн (опционально, но желательно)
– Название компании или ФИО ИП
– ИНН / ОГРН
– Фактический или юридический адрес
– Контактный e-mail
– Телефон (по возможности)
– Ответственное лицо по работе с ПДн (опционально, но желательно)
Пример ниже 👇
Что должно быть в чат-боте?
Ссылка на политику конфиденциальности Обязательна, даже если бот размещён в Telegram, WhatsApp или VK
Делать 2 разных политики ПДн для бота и сайта не нужно, достаточно одной, но в ней должно быть указано, что вы обрабатываете данные через ботов и мессенджеры
Делать 2 разных политики ПДн для бота и сайта не нужно, достаточно одной, но в ней должно быть указано, что вы обрабатываете данные через ботов и мессенджеры
При первом взаимодействии бот обязан:
– предупредить, что пользователь передаёт персональные данные,
– дать ссылку на политику конфиденциальности,
– запросить согласие (например, с помощью кнопки: «Продолжая, вы соглашаетесь с условиями...»).
– дать ссылку на политику конфиденциальности,
– запросить согласие (например, с помощью кнопки: «Продолжая, вы соглашаетесь с условиями...»).
Результат — три административных дела и нарушения по ч.1, ч.2 и ч.3 ст. 13.11 КоАП РФ.
Через месяц после запуска один из пользователей написал письмо:
«Прошу удалить мои персональные данные из вашей системы».
«Прошу удалить мои персональные данные из вашей системы».
На сайте была форма регистрации, через которую можно было получить онлайн-демо продукта. Данные попадали в amoCRM, а дальше — в работу. Запуск прошёл успешно, начались переговоры с инвестором на pre-seed раунд $250 000.
В 2024 году питерский SaaS-стартап вышел на рынок с первым MVP. Получили грант, настроили лендинг, подключили Telegram-бота для приёма заявок — всё шло по плану.
К сожалению, большая часть предпринимателей “забивает” именно на чат ботов, поэтому мы часто наблюдаем подобные кейсы
Команда не ответила, а письмо проигнорировали
Спустя две недели пользователь отправил жалобу в Роскомнадзор.
А дальше всё пошло по сценарию, который никто из разработчиков даже не представлял.
Спустя две недели пользователь отправил жалобу в Роскомнадзор.
А дальше всё пошло по сценарию, который никто из разработчиков даже не представлял.
Лучше всего реализовать через кнопку «Принять условия», логика бота должна сохранять факт согласия: дату, ID пользователя, текст согласия
Логика фиксации согласия
Пример ниже 👇
Проверка выяснила:
Именно в этот момент случилось то, к чему никто не был готов.
Важно: У пользователя должна быть возможность удалить свои персональный данные из системы.
Общий штраф составил 650 000 рублей.
Когда инвестор запросил документы, подтверждающие юридическую чистоту обработки персональных данных — показать было нечего. Ни политики, ни согласий, ни договоров.
Переговоры были остановлены. Сделка не состоялась. Команда осталась без финансирования. Разработка приостановлена.
Когда инвестор запросил документы, подтверждающие юридическую чистоту обработки персональных данных — показать было нечего. Ни политики, ни согласий, ни договоров.
Переговоры были остановлены. Сделка не состоялась. Команда осталась без финансирования. Разработка приостановлена.
– Сбор персональных данных происходил без согласия
– Telegram-бот не содержал никаких юридических предупреждений
– Рассылки отправлялись без оснований
– Данные хранились у подрядчиков без договора об обработке ПДн
– В компании не было процедуры реагирования на инциденты
– Telegram-бот не содержал никаких юридических предупреждений
– Рассылки отправлялись без оснований
– Данные хранились у подрядчиков без договора об обработке ПДн
– В компании не было процедуры реагирования на инциденты
Что оказалось внутри:
– Кто за что отвечает
– Как действовать при жалобе
– Как не попасть под штраф по незнанию
– Как действовать при жалобе
– Как не попасть под штраф по незнанию
– Добавили блоки по обработке данных, которые защищают обе стороны
04 Обновили все договоры с клиентами и подрядчиками
– Без этого формально незаконна даже тестовая реализация проекта с ПДн
03 Зарегистрировали компанию как оператора ПДн в Роскомнадзоре
– Политика конфиденциальности
– Формы согласий
– Внутренние регламенты и обязательства сотрудников
– Инструкции по реагированию на инциденты
– Формы согласий
– Внутренние регламенты и обязательства сотрудников
– Инструкции по реагированию на инциденты
02 Составили юридический комплект "под ключ":
– Проверили сайт, код, CRM, каналы хранения и передачи
– Выявили критичные несоответствия требованиям ФЗ-152
– Выявили критичные несоответствия требованиям ФЗ-152
01 Провели аудит всей архитектуры обработки ПДн:
05 Обучили команду
А если бы проверка произошла на одном из проектов с госкорпорацией — могло дойти до блокировки проекта, попадания в Реестр недобросовестных поставщиков (РНП) и срыва всех текущих контрактов.
С таким вопросом к нам обратилась одна крупная IT-компания. Они специализируются на разработке сложных цифровых решений: внутренние порталы, CRM, платформы трекинга логистики. Их клиенты — корпорации и госзаказчики.
На первый взгляд — чистая разработка. Но мы решили заглянуть глубже.
На первый взгляд — чистая разработка. Но мы решили заглянуть глубже.
В ходе работы мы:
Потенциальный риск: штраф от 6 млн ₽
Результат: проверка без замечаний
Через три недели пришла внутренняя проверка от госклиента.
Итог: 0 нарушений. Проект продолжает работу. Заказчик доволен.
Итог: 0 нарушений. Проект продолжает работу. Заказчик доволен.
Если узнали себя, то не спешите расстраиваться. Выход есть, и вот один уже из наших кейсов
«Мы просто пишем код. Разве мы вообще подпадаем под закон о персональных данных?»
📌 Их решения собирают и хранят персональные данные: сотрудников, клиентов, пользователей.
📌 При этом — нет договоров с заказчиками на обработку этих данных.
📌 Нет политики конфиденциальности и документов о согласии.
📌 Компания не зарегистрирована как оператор ПДн.
📌 Серверы — на стороне подрядчика, без юридической фиксации.
📌 Внутренние сотрудники не подписывали обязательств по ПДн.
📌 При этом — нет договоров с заказчиками на обработку этих данных.
📌 Нет политики конфиденциальности и документов о согласии.
📌 Компания не зарегистрирована как оператор ПДн.
📌 Серверы — на стороне подрядчика, без юридической фиксации.
📌 Внутренние сотрудники не подписывали обязательств по ПДн.
На консультации вы узнаете:
Как действовать безопасно, быстро и без лишних затрат?
Что дальше?
Это бесплатно?
Сейчас — да.
Сейчас — да.
«Теория без практики мертва, а практика без теории — слепа».
– Что именно нужно изменить на вашем сайте, в чат-ботах, CRM или лендингах
– Какие документы и процессы обязательны именно в вашей модели бизнеса
– Как закрыть юридические «дыры» в ближайший месяц— без сложных схем и юридического бюрократа
– Ответы на все ваши вопросы, разбор реальных рисков и рекомендаций по вашей отрасли
– Какие документы и процессы обязательны именно в вашей модели бизнеса
– Как закрыть юридические «дыры» в ближайший месяц— без сложных схем и юридического бюрократа
– Ответы на все ваши вопросы, разбор реальных рисков и рекомендаций по вашей отрасли
Вы уже получили теорию. Теперь — пора к действиям.
Работайте легально, спокойно и с уверенностью в завтрашнем дне.
Пока всё под контролем — значит, вы управляете бизнесом. А не он вами.
А если не уверены, что это полезная трата времени, то вспомните Saas-сервис из Питера
Пока всё под контролем — значит, вы управляете бизнесом. А не он вами.
А если не уверены, что это полезная трата времени, то вспомните Saas-сервис из Питера
Если вы дочитали статью до конца — это уже многое говорит о вас.
Вы заботитесь о своём бизнесе, хотите работать честно и избежать рисков, которые могут стоить миллионы.
Это правильно. Но как говорил Суворов:
Вы заботитесь о своём бизнесе, хотите работать честно и избежать рисков, которые могут стоить миллионы.
Это правильно. Но как говорил Суворов:
Потому что мы уверены: лучше предупредить, чем потом вытаскивать бизнес из-под проверок и паники.
Оставьте короткую заявку — и уже в ближайшее время получите чёткий юридический план по вашему проекту:
Оставьте короткую заявку — и уже в ближайшее время получите чёткий юридический план по вашему проекту:
Важно: с вами будет работать не менеджер-продаж, а практикующий юрист, специализирующийся на персональных данных и цифровом праве.
Мы предлагаем вам бесплатную консультацию с юристом, где вы получите не общие советы из интернета, а пошаговый план действий под ваш бизнес.
Попасть на консультацию
Попасть на консультацию