Обработка персональных данных в 2025 году: как подать заявление в РКН и привести все в порядок

Инструкция по обработке персональных данных, чтобы избежать штрафов от РКН

Для тех, кто в танке, и еще не озаботился вопросом о правильном хранении и сборе Персональных данных, делюсь подробной инструкцией и документами, которые снимут у вас основную головную боль. Мы провели обсуждения с несколькими юристами, коллегами, получили платные консультации об обработке и хранении персональных данных. Делюсь с вами этим бесплатно. Просто пойдите и сделайте как написано.

Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному физическому лицу: ФИО, адрес проживания, информация об образовании и трудоустройстве, контактный телефон и электронная почта, раса, пол, группа крови, рост, цвет глаз и пр. В базовом виде, если вы собираете ФИО+телефон или +почта, то вы уже собираете ПД.

Именно поэтому, операторами персональных данных являются все работодатели, которые собирают ПД с помощью автоматизированных систем. То есть даже те, у кого нет сайтов, но есть 1С или CRM, в которой вы храните данные работников или контрагентов, т.к. 1С и CRM — это автоматизированные системы. А если вы храните ПД в Экселе или в блокноте, то вы не пользуетесь автоматизированными системами для сбора ПД, и вам подавать заявление в РКН не надо — можно расслабиться.

Нельзя расслабляться, если вы храните ПД в Google-таблицах, т.к. вы нарушаете закон о трансграничной передаче ПД, и вам грозит штраф от 1 до 6 млн рублей. Срочно переходите в эксель.

Есть 3 этапа, которые нужно пройти:

1. Первым делом нужно подать уведомление в РКН, указав основные Цели сбора ПД и адреса ЦОД (дата-центров), где у вас хранятся данные пользователей (а их может быть много! Ниже приведу наш пример)
2. Привести в порядок сайт: формы, сообщение о сборе кукис, политику конфиденциальности и согласие на обработку ПД. Если у вас есть лендинги, квизы или другие сайты, приводить в порядок нужно их все.
3. Подготовить все внутренние документы организации, которые требует собрать Роскомнадзор.

Первые два этапа нужно сделать как можно скорее. Третий - в спокойном режиме. Далее подробно по каждому этапу. В качестве благодарности за материал, подпишитесь на наш телеграм-канал.

ЭТАП №1. ПОДАЧА УВЕДОМЛЕНИЯ В РКН

Подача заявления начинается тут: https://pd.rkn.gov.ru/operators-registry/notification/

Инструкций по заполнению сейчас в сети уже довольно много. Справится любой бухгалтер.

Скачать пример нашей заявки, сгенерированной в ЛК РКН

На что нужно обратить внимание:

1. Регион обработки: лучше указать "вся РФ". Но если есть офлайн-филиалы в регионах, то перечислите регионы в отдельности.

2. Цели обработки ПД:
Если у вас нет сайта, чат-бота, квиза и прочих ресурсов, на которых с помощью форм обратной связи вы собираете ПД, а только 1С, то укажите только 2 основные цели: 1) Кадровый учет и 2) Исполнение договора.
Если в вашем случае больше вариантов, то выберите все подходящие вам цели (их около 30). 
Перечень Целей в заявке должен быть строго таким же, как вы указываете в тексте "Политика обработки персональных данных" (РКН это проверит).

3. Места нахождения баз данных (ЦОД):
Указывается полный адрес ЦОДа: город, улица, дом, номер офиса или квартиры, где стоит сервер, на котором вы храните данные пользователей.
Если у вас ЦОД в аренде (или вы пользуетесь облачным сервисом рассылки, хостинг сайта или Яндекс.Диск), то нужно указать наименование юрлица организации, ИНН, ОГРН и адрес (тут не обязательно указывать адрес конкретного ЦОД, достаточно указать юридический адрес сервиса, его можно найти на сайте или спросить в техподдержке сервиса).
Если вы простой ИП-шник без сайта, рассылки, чат-бота, crm, но есть 1С, то хотя бы один ЦОД вы все-равно должны указать, т.к. с помощью 1С вы уже осуществляете автоматическую обработку данных сотрудников и/или контрагентов. Укажите адрес, где у вас находится 1С. Если это облачная 1С, укажите их юр.адрес. Например, у нас оказалось 7 ЦОДов:
1) Сайт агентства 4rome.ru — собственный арендованный сервер в РФ
2) 2 лендинга ppc.4rome.ru и zavod.4rome.ru — сервера сервиса “Тильда”
3) CRM — собственный арендованный сервер в РФ
4) Рассылки — сервера сервиса Юнисендер
5) Колтрекинг — сервера сервиса UIS
6) Яндекс.Метрика — сервера Яндекс
7) Заявки через лид-формы — сервера сервиса "Марквиз"

4. Трансграничная передача ПД:
   Лучше бы, чтобы у вас ее не было.

• Если у вас есть сервисы, которые передают данные сразу за границу (минуя РФ-сервера), например google-analytics, и вы не уведомили об этом РКН, то вам грозит штраф от 1 до 6 млн. рублей.
• Если вы уведомите РКН, что у вас есть трансграничная передача данных, то штрафа не будет (пока!), но скорее всего они к вам придут для проверки, что у вас все правильно выстроено и лишние данные не утекают за границу (Проверят все документы, процессы, будут задавать много вопросов. Оно вам надо?)

ЭТАП №2. ПРИВОДИМ ВСЕ САЙТЫ В ПОРЯДОК

Привести в порядок нужно все свои сайты, лендинги и средства комуникации: рассылки, чат-боты, сервисы для сбора заявок и пр. Везде, где вы собираете персональные данные.

1. Удалить с сайта Google Analytics, ГУГЛ-формы и Google Tag Manager (GTM) и все другие иностранные сервисы. Google Search Console можно продолжать использовать, т.к. в ней не собираются ПД и кукис.

2. Если решили оставить Google Analytics, или у вас на сайте какой-то другой иностранный сервис собирает данные, который вам не хочется удалять, то в заявлении в РКН нужно указать, что Осуществляется трансграничная передача данных (но лучше от этого избавится - см. пункт №1).

3. Разместите в подвале вашего сайта ссылку на документы "Политика обработки Персональных данных" и "Согласие на обработку персональных данных".

• При размещении Политики и Согласия — проверяйте, правильно ли внутри нее указаны ссылки на документы. Политика ссылается на Согласие, а Согласие на Политику
• В тексте Согласия и Политики должны быть формулировки текстов, которые вы напишете на сайте рядом с галочками в лид-формах. Тексты должны быть одинаковыми везде

Пример наших документов. Пользуйтесь!

• Политика обработки персональных данных

• Согласие на обработку персональных данных

Если у вас на сайте нет лид-форм, либо есть только ссылки перехода в соц.сети по кнопкам «написать нам» или «связаться», то вы на этом сайте не обрабатываете персональные данные и Политику обработки данных размещать НЕ нужно.

4. Оформление лид-форм на сайтах.

Рядом с каждой формой, где собирается ПД (мейл/телефон + ФИО) поставьте 2 галочки:
☑ Согласие на обработку ПД
☑ Согласие на рассылку

Рекомендуемые варианты текстов перед лид-формами:

☑ Я даю согласие на обработку персональных данных на условиях Политики обработки персональных данных
☑ Я согласен получать рекламные и информационные материалы

Если это не форма, а чат-бот, то вместо галочки под кнопкой подтверждения напишите:

«Нажимая на кнопку “Название кнопки”, я даю согласие на обработку персональных данных на условиях Политики обработки персональных данных».

Слово «согласие» и слова «политика обработки» кликабельны и ведут на соответствующие тексты. Если на сайте есть возможность оплаты и/или регистрация пользователей, то вместо Согласия вы размещаете Оферту или Пользовательское соглашение.

В этом случае, текст первой галочки должен быть другим:
«Я принимаю условия Оферты, а также даю согласие на обработку персональных данных на условиях Политики обработки персональных данных».

В чат-боте:

«Нажимая на кнопку “Название кнопки”, я принимаю условия Оферты, а также даю согласие на обработку персональных данных на условиях Политики обработки персональных данных».

Слово «оферта» и слова «политика обработки» кликабельны и ведут на соответствующие тексты. Для форм вида "Подписка на новости", где берется только телефон и/или email для рассылок и звонков (без сбора ФИО) может быть только одна галочка:

Я согласен получать рекламные и информационные материалы.

НО! Если для рассылок берется еще и имя, то должно быть 2 галочки:
☑ Согласие на обработку
☑ Согласие на рассылку

5. Согласие на сбор cookies (куки)

Если на сайте установлена Яндекс.Метрика, какие-то счетчики и сайт собирает cookies (куки), то рекомендуем делать незаметные всплывающие окна на сайте с текстом:

“Мы используем файлы cookie, чтобы улучшить работу сайта”.

и дальше это окно либо пропадает само, либо можно добавить кнопки «согласен» / «понятно».

6. Нужно раз в полгода или в год делать аудиты своих сайтов и способов коммуникации (чат-боты, лендинги, квизы, рассылки) на соответствие законодательству о защите персональных данных каждый год. У вас могут появиться новые сайты, новые формы, новые маркетинговые сервисы. Может измениться телефон или ответственное лицо за ПД и пр.

После проведение аудита, нужно подавать уточненные отчеты в РКН. Сделайте эту процедуру рутинной, чтобы в РКН данные были обновлены, и они видели, что вы следите за этим. Так вероятность того, что они к вам придут очень низкая.

ЭТАП №3. Внутренние процессы и документы

Если к вам придет РКН с проверкой, то он запросит у вас большое количество документов. Именно поэтому важно срочно правильно подать уведомление и привести в порядок свои средства коммуникации и сайты, чтобы у Роскомнадзора не возникло желания вас проверять.

Что нужно подготовить обязательно:

1. Если вы имеете доступ к данным контрагентов вашего клиента — телефоны, потребности, имена, email (актуально для маркетинговых агентств), и используете их во внутренних отчетах, рекламных кампаниях, доработках сайта, автоворонках, то вам стоит в ближайшее время подписать дополнительные соглашения (Поручения на передачу ПД) со всеми клиентами, которые вам такие данные передают. 

Если этого не сделать, при проверке вы рискуете неправомерным использованием данных, а ваш заказчик — утечки персональных данных.

2. Входящие звонки в компанию.

Если вы их записываете, то нужно обязательно озвучивать звонящему, что "продолжая разговор вы даёте согласие на обработку персональных данных". Запись такого разговора нужно хранить как зеницу ока.

3. Чек-лист документов, которые вам нужно иметь для предоставления в РКН.

Все эти документы организация может подготовить самостоятельно, используя базовые шаблоны кадровых систем или даже ChatGPT.

Обязательно нужно учитывать специфику своей деятельности, а не слепо копировать шаблоны.

Базовый пакет документов. Его РКН требует при проверке со всех:

• Политика обработки персональных данных
• Приказ о назначении лиц, ответственных за организацию обработки ПДн и обеспечение безопасности ПДн
• Приказ о мерах по обеспечению исполнения требований законодательства РФ о персональных данных
• Положение об обработке и обеспечении безопасности персональных данных (внутренний ЛНА)
• Инструкция ответственного за организацию обработки персональных данных Заказчика
• Инструкция ответственного за обеспечение безопасности персональных данных Заказчика
• Инструкция по реализации процедур, направленных на выявление и предотвращение нарушений обработки ПДн
• Регламент реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов
• Журнал регистрации запросов и обращений субъектов ПДн
• Перечень процессов обработки ПДн
• Перечень мест хранения ПДн
• Перечень процессов передачи ПДн третьим лицам
• Перечень информационных систем персональных данных (ИСПДн)
• Акт оценки возможного вреда субъектам персональных данных
• Порядок уничтожения ПДн, формы актов об уничтожении ПДн
• Порядок обезличивания ПДн

Дополнительные документы для организаций с сотрудниками:

• Перечень работников и других лиц, имеющих доступ к ПДн
• Согласие на обработку персональных данных работников
• Согласие на обработку персональных данных, разрешенных субъектом для распространения по работникам и контрагентам
• Инструкция работника, допущенного к обработке персональных данных Заказчика

Дополнительные документы, если у вас есть свои ИТ-системы:

• Приказ о системе разграничения доступа к ИСПДн
• Методика определения актуальных угроз безопасности ИСПДн
• Методика определения уровня защищенности ИСПДн
• Методика по выбору и обеспечению мер защиты ИСПДн
• Модель угроз безопасности ПДн в ИСПДн
• Приказ о назначении комиссии по защите персональных данных
• Положение о комиссии по защите персональных данных, технические регламенты и инструкции
• Регламент работы подразделения по защите информации
• Инструкции пользователей АРМ (автоматизированное рабочее место)
• Регламент реагирования на угрозы
• Акт оценки информационных систем по классам защищённости
• Уточненный адаптированный базовый набор мер защиты ИСПДн
• Инструкция администратора ИСПДн
• Журнал учёта инцидентов безопасности в ИСПДн

В качестве благодарности за материал, подпишитесь на наш телеграм-канал.