ЧТО МЕНЯЕТСЯ С 30 МАЯ 2025 ГОДА

С 30 мая 2025 года в России значительно ужесточается ответственность за нарушения законодательства о персональных данных. Изменения затрагивают всех, кто собирает и обрабатывает персональные данные граждан: от крупных компаний до индивидуальных предпринимателей и даже физических лиц.

Ключевые изменения:

  1. Значительное увеличение штрафов — до 15 миллионов рублей за отдельные нарушения

  2. Введение новых составов административных правонарушений

  3. Усиление контроля со стороны Роскомнадзора с использованием автоматизированных систем мониторинга

  4. Отмена 50-процентной скидки при быстрой уплате штрафа за нарушения в сфере персональных данных

Кого это касается:

  • Компании, хранящие контактные данные клиентов, сотрудников или партнеров

  • Организации с сайтами, имеющими формы обратной связи, регистрации или подписки

  • Сервисы, использующие аналитические инструменты (Яндекс.Метрика, Google Analytics и др.)

  • ИП и самозанятые, работающие с клиентскими базами

  • Физические лица, ведущие деятельность с использованием данных других людей

ПЕРСОНАЛЬНЫЕ ДАННЫЕ: ОПРЕДЕЛЕНИЕ И КЛАССИФИКАЦИЯ

Что такое персональные данные

Персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Федеральный закон №152-ФЗ "О персональных данных" и правоприменительная практика дают широкое толкование данного понятия, включая в него различные виды информации.

Категории персональных данных

Категория

Примеры

Особенности обработки

Общие персональные данные

ФИО, дата рождения, адрес, профессия, образование

Базовый уровень защиты

Специальные категории

Расовая и национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, сведения о судимости

Требуется письменное согласие, повышенный уровень защиты

Биометрические данные

Фотографии с распознаванием лица, отпечатки пальцев, голосовые слепки, сетчатка глаза

Требуется письменное согласие, высокий уровень защиты

Общедоступные данные

Данные, сделанные общедоступными субъектом персональных данных

Требуется специальное оформление согласия на распространение

Что считается персональными данными в интернет-среде

Однозначно персональными данными признаны:

  • IP-адрес (статический) — подтверждено судебной практикой

  • Файлы cookies в сочетании с другой информацией о пользователе (дело LinkedIn)

  • ID пользователя в сочетании с другой информацией

  • Данные аналитических систем (Яндекс.Метрика и Google Analytics)

  • Email-адрес, особенно если содержит имя и фамилию

  • Комбинации данных: телефон + ФИО, email + ФИО и т.д.

Важное примечание: Отдельные элементы информации (только ФИО или только номер телефона) не всегда являются персональными данными, но их сочетание создает возможность идентифицировать конкретное лицо, что уже подпадает под определение персональных данных.

КТО ЯВЛЯЕТСЯ ОПЕРАТОРОМ ПЕРСОНАЛЬНЫХ ДАННЫХ

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и/или осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных и действия с ними.

Кто может быть признан оператором персональных данных

Категория

Признаки

Юридические лица

- Ведут кадровый учет
- Имеют клиентскую базу
- Обрабатывают данные через сайт
- Используют CRM-системы

Индивидуальные предприниматели

- Работают с клиентской базой
- Имеют наемных сотрудников
- Ведут учет контрагентов

Физические лица (в т.ч. самозанятые)

- Ведут коммерческую деятельность с базой клиентов
- Имеют сайт с формами для сбора данных
- Ведут каналы с платной подпиской

Как определяется ответственное лицо

Ответственность за нарушения в сфере персональных данных определяется через установление оператора персональных данных — лица, контролирующего процесс обработки данных и получающего от этого выгоду.

Критерии определения ответственного лица:

  1. Регистрационные данные домена (WHOIS-информация)

  2. Информация на сайте (контакты, политика конфиденциальности)

  3. Фактическое управление сайтом

  4. Выгодополучатель от обработки персональных данных

Распределение ответственности в особых случаях

Ситуация

Распределение ответственности

Аренда платформы/маркетплейса

- Владелец платформы: техническая безопасность
- Арендатор: сбор и обработка данных клиентов

Группа компаний

- Каждая компания отвечает за свой участок обработки
- Все компании должны быть указаны как операторы

Аутсорсинг обработки данных

- Основная ответственность на операторе
- Обработчик отвечает в рамках договора

Хостинг-провайдеры и разработчики

- Не являются операторами, если не имеют доступа к данным
- Могут нести ответственность при нарушении договора

НОВЫЕ ШТРАФЫ И САНКЦИИ С 30 МАЯ 2025 ГОДА

Штрафы для юридических лиц и ИП

Нарушение

Размер штрафа

Статья КоАП

Общие нарушения законодательства о персональных данных

- Первичное: 150 000 – 300 000 руб.
- Повторное: 300 000 – 500 000 руб.

ч. 1, 2 ст. 13.11

Непредставление уведомления о начале обработки персональных данных

100 000 – 300 000 руб.

ч. 10 ст. 13.11

Неуведомление об утечке персональных данных

1 – 3 млн руб.

ч. 11 ст. 13.11

Утечка данных (1 000-10 000 субъектов)

3 – 5 млн руб.

ч. 12 ст. 13.11

Утечка данных (10 000-100 000 субъектов)

5 – 10 млн руб.

ч. 13 ст. 13.11

Утечка данных (более 100 000 субъектов)

10 – 15 млн руб.

ч. 14 ст. 13.11

Утечка специальных категорий данных

10 – 15 млн руб.

ч. 15 ст. 13.11

Утечка биометрических данных

15 – 20 млн руб.

ч. 16 ст. 13.11

Повторная утечка персональных данных

1 – 3% годовой выручки (но не менее 20 млн руб. и не более 500 млн руб.)

ч. 17 ст. 13.11
Штрафы для физических лиц

Нарушение

Размер штрафа

Статья КоАП

Общие нарушения законодательства о персональных данных

- Первичное: 10 000 – 15 000 руб.
- Повторное: 15 000 – 30 000 руб.

ч. 1, 2 ст. 13.11

Непредставление уведомления о начале обработки персональных данных

5 000 – 10 000 руб.

ч. 10 ст. 13.11

Неуведомление об утечке персональных данных

10 000 – 30 000 руб.

ч. 11 ст. 13.11

Утечка данных

15 000 – 30 000 руб.

ч. 12-14 ст. 13.11

Утечка специальных категорий данных

20 000 – 40 000 руб.

ч. 15 ст. 13.11

Утечка биометрических данных

30 000 – 50 000 руб.

ч. 16 ст. 13.11
Штрафы для должностных лиц

Нарушение

Размер штрафа

Статья КоАП

Общие нарушения законодательства о персональных данных

- Первичное: 50 000 – 100 000 руб.
- Повторное: 100 000 – 200 000 руб.

ч. 1, 2 ст. 13.11

Непредставление уведомления о начале обработки персональных данных

30 000 – 50 000 руб.

ч. 10 ст. 13.11

Неуведомление об утечке персональных данных

400 000 – 800 000 руб.

ч. 11 ст. 13.11

Дополнительные санкции

  • Блокировка сайта при выявлении серьезных нарушений

  • Приостановление деятельности до 90 суток

  • Дисквалификация должностных лиц на срок до 3 лет

  • Исключение из реестра операторов персональных данных

Важные изменения в системе наказаний

  • Отмена 50% скидки при быстрой оплате штрафа по ст. 13.11 КоАП РФ

  • Увеличение сроков давности привлечения к ответственности

  • Автоматизация выявления нарушений при помощи систем искусственного интеллекта Роскомнадзора

УВЕДОМЛЕНИЕ РОСКОМНАДЗОРА: КТО И КОГДА ДОЛЖЕН ПОДАВАТЬ

Согласно ст. 22 Федерального закона №152-ФЗ, оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку данных.

Кто обязан подать уведомление

Категория

Примеры

Юридические лица

- Все коммерческие организации
- Государственные и муниципальные учреждения
- Некоммерческие организации

Индивидуальные предприниматели

- ИП с наемными работниками
- ИП, обрабатывающие данные клиентов
- ИП с сайтами, собирающими данные

Физические лица

- Самозанятые с клиентской базой
- Блогеры, собирающие данные подписчиков
- Владельцы сайтов с формами обратной связи

Исключения из обязанности подавать уведомление

Не требуется подавать уведомление, если:

  1. Данные обрабатываются только для личных и семейных нужд

  2. Данные включены в государственные информационные системы, созданные для защиты безопасности государства и общественного порядка

  3. Обработка осуществляется без использования средств автоматизации

  4. Данные обрабатываются в случаях, предусмотренных законодательством о транспортной безопасности

Сроки и порядок подачи уведомления

Ситуация

Срок

Примечание

Первичное уведомление

До начала обработки данных

С 30 мая 2025 года за непредставление штраф до 300 000 руб.

Изменение сведений

До 15 числа месяца, следующего за месяцем изменений

Например, при смене юридического адреса, добавлении новых целей

Прекращение обработки

В течение 10 рабочих дней

При ликвидации организации или прекращении деятельности

Способы подачи уведомления

  1. Через портал Госуслуг (рекомендуемый способ)

  2. Через сайт Роскомнадзора с использованием усиленной квалифицированной электронной подписи

  3. На бумажном носителе лично или по почте в территориальный орган Роскомнадзора

  4. Через специализированные сервисы (например, для пользователей 1С)

ПОШАГОВАЯ ИНСТРУКЦИЯ ПО ЗАПОЛНЕНИЮ УВЕДОМЛЕНИЯ

Подготовительная работа

Перед заполнением уведомления необходимо:

  1. Назначить ответственного за организацию обработки персональных данных (приказом)

  2. Определить цели сбора и категории собираемых персональных данных

  3. Разработать политику в области обработки персональных данных

  4. Провести аудит сайта, выяснив:

    • Какие персональные данные собираются

    • Есть ли формы согласия на обработку

    • Размещена ли политика обработки данных

    • Какие метрические программы используются

  5. Проверить средства защиты информации на компьютерах, где обрабатываются персональные данные

  6. Собрать информацию о сторонних сервисах, где размещаются персональные данные

Заполнение уведомления через Госуслуги

Шаг 1: Переход и авторизация

  1. Перейдите на официальный сайт Госуслуг

  2. Авторизуйтесь с помощью учетной записи организации или ИП

Шаг 2: Заполнение сведений об операторе

  1. Регион — укажите регион фактического местонахождения

  2. Адрес электронной почты — укажите актуальный рабочий email для связи

  3. Регионы обработки — укажите территории, где фактически обрабатываются данные

Шаг 3: Цели обработки персональных данных

  1. Укажите каждую цель обработки отдельно

  2. Нельзя указать несколько целей через запятую

  3. Можно выбрать из предложенного справочника (более 30 целей) или добавить свою

Примеры целей обработки:

  • Осуществление трудовых отношений

  • Оказание услуг по договору

  • Ведение бухгалтерского и кадрового учета

  • Обеспечение пропускного режима

  • Рассылка рекламных материалов (отдельно от основных услуг!)

Шаг 4: Способы обработки персональных данных

  1. Для каждой цели укажите способ обработки:

    • Автоматизированная

    • Неавтоматизированная

    • Смешанная (рекомендуется для большинства случаев)

  2. Конкретизируйте передачу данных:

    • С передачей по внутренней сети

    • С передачей по сети Интернет

    • С передачей по иным каналам связи

Шаг 5: Меры по защите персональных данных

Укажите фактически применяемые меры защиты согласно ст. 18.1 и 19 ФЗ №152-ФЗ:

Примеры мер:

  • ИАФ.1 — Идентификация и аутентификация пользователей

  • ИАФ.3 — Управление идентификаторами

  • УПД.1 — Управление учетными записями пользователей

  • РСБ.1 — Определение событий безопасности

  • АВЗ.1 — Реализация антивирусной защиты

Если используются шифровальные (криптографические) средства, укажите их наименование, изготовителя и класс.

Шаг 6: Ответственный за организацию обработки персональных данных

  1. Укажите ФИО ответственного сотрудника

  2. Укажите только рабочие контактные данные (телефон, email)

  3. Для ИП можно указать себя или назначить сотрудника

Шаг 7: Дата начала и окончания обработки данных

  1. Дата начала — рекомендуется указать дату регистрации компании или ИП

  2. Дата окончания — можно указать не конкретную дату, а событие: "ликвидация юрлица" или "прекращение регистрации ИП"

Шаг 8: Места нахождения баз данных

  1. Укажите полный адрес хранения данных:

    • Для собственных серверов — фактический адрес размещения

    • Для арендованных серверов/хостинга — адрес ЦОДа

    • Для облачных сервисов (Яндекс.Диск и др.) — данные организации, обеспечивающей хранение

  2. Для каждого места хранения (если их несколько) указывается:

    • Страна (РФ)

    • Полный адрес

    • Наименование организации-хранителя, ИНН, ОГРН (если применимо)

Шаг 9: Завершение и получение подтверждения

  1. Проверьте правильность заполнения всех полей

  2. Отправьте уведомление

  3. Сохраните номер и ключ документа — они понадобятся для внесения изменений в будущем

Типичные ошибки при заполнении уведомления

  1. Неполное указание целей обработки — необходимо указать все цели отдельно

  2. Несоответствие между политикой и уведомлением — информация должна быть идентична

  3. Указание личных контактов ответственного вместо рабочих

  4. Неточные данные о местах хранения персональных данных

  5. Указание недостоверных мер защиты, которые фактически не применяются

ВНУТРЕННЯЯ ДОКУМЕНТАЦИЯ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

Обязательные локальные нормативные акты

Документ

Назначение

Обязательный для всех типов операторов

Политика в отношении обработки персональных данных

Описывает принципы, цели и способы обработки данных

Приказ о назначении ответственного за обработку персональных данных

Определяет должностное лицо, отвечающее за соблюдение законодательства о ПД

Положение об обработке персональных данных

Детализирует процессы обработки данных в организации

Формы согласий на обработку персональных данных

Документальное подтверждение согласия субъектов

Журнал учета обращений субъектов персональных данных

Фиксация запросов от субъектов ПД

Дополнительные документы

Документ

Назначение

Когда требуется

Положение о порядке уничтожения персональных данных

Регламентирует процедуру удаления данных

При большом объеме обрабатываемых данных

Инструкция по обеспечению безопасности ПД

Технические аспекты защиты данных

При наличии ИСПДн

Акт определения уровня защищенности информационной системы

Определяет требуемый уровень защиты

При автоматизированной обработке

Модель угроз безопасности ПД

Анализ потенциальных рисков

При высоком уровне защищенности

План проверок соблюдения законодательства о ПД

График внутреннего контроля

Для организаций с объемной обработкой ПД

Требования к содержанию основных документов

Политика в отношении обработки персональных данных:

  1. Наименование и реквизиты оператора

  2. Цели обработки персональных данных

  3. Правовые основания обработки

  4. Объем и категории обрабатываемых ПД

  5. Порядок и условия обработки ПД

  6. Актуализация, исправление, удаление и уничтожение ПД

  7. Сведения о реализуемых требованиях к защите ПД

  8. Контактная информация для обращений

Согласие на обработку персональных данных:

  1. ФИО и паспортные данные субъекта ПД

  2. Наименование и реквизиты оператора

  3. Цель обработки персональных данных

  4. Перечень обрабатываемых данных

  5. Перечень действий с персональными данными

  6. Способы обработки персональных данных

  7. Срок действия согласия и порядок его отзыва

  8. Подпись субъекта персональных данных

Сроки хранения документации

Тип документа

Минимальный срок хранения

Примечание

Согласия на обработку ПД

3 года после прекращения обработки

Возможны более длительные сроки для определенных категорий

Журналы учета обращений

5 лет

После последней записи

Локальные нормативные акты

До замены новыми + 1 год

После прекращения действия

Акты об уничтожении ПД

3 года

С даты уничтожения

ТРЕБОВАНИЯ К САЙТАМ И ОНЛАЙН-СЕРВИСАМ

Обязательные элементы для сайта

Элемент

Назначение

Требования

Политика конфиденциальности

Информирование пользователей о принципах обработки данных

- Размещается в открытом доступе
- Должна соответствовать уведомлению в РКН
- Актуализируется при изменениях

Cookie-баннер

Уведомление о сборе cookie и получение согласия

- Появляется при первом посещении
- Содержит возможность отказа
- Информирует о типах используемых cookie

Формы согласия

Получение и фиксация согласия пользователя

- Чекбоксы не должны быть отмечены по умолчанию
- Текст согласия должен быть конкретным
- Должна быть связь с политикой конфиденциальности

Реквизиты оператора

Идентификация владельца сайта

- Полное наименование
- ИНН/ОГРН
- Контактная информация

Механизм отзыва согласия

Обеспечение права субъекта на отзыв согласия

- Простая процедура
- Четкие инструкции
- Контактные данные для отзыва

Правильное оформление форм на сайте

Требования к чекбоксам согласия:

  • Не должны быть предварительно отмечены

  • Должны быть визуально заметны

  • Отдельные чекбоксы для разных целей (основная обработка и маркетинг)

  • Чекбокс должен быть обязательным для заполнения формы

Правильная формулировка текста согласия:

Неправильно:

Нажимая кнопку, я соглашаюсь со всем.

Правильно:

Я даю согласие ООО "Компания" (ИНН 1234567890) на обработку моих персональных данных, указанных в форме, в целях обработки заявки и обратной связи в соответствии с Политикой конфиденциальности.

Отдельное согласие на рекламные рассылки:

Правильно:

Я согласен получать рекламные и информационные материалы от ООО "Компания" на указанный email/телефон.

Правильная реализация cookie-баннера

Обязательные элементы cookie-баннера:

  • Информация о том, какие типы cookies используются

  • Цели их использования

  • Кнопка для принятия всех cookies

  • Кнопка для настройки параметров cookies (или полного отказа)

  • Ссылка на подробную политику использования cookies

Пример корректного cookie-баннера:

Наш сайт использует файлы cookie для улучшения работы сайта и персонализации сервиса. Мы собираем: необходимые cookies для работы сайта, аналитические cookies для статистики и маркетинговые cookies для показа релевантной рекламы. Нажимая «Принять все», вы соглашаетесь с их использованием. Вы можете настроить параметры cookies или отказаться от их использования, нажав «Настройки».

Техническая реализация:

  • Баннер должен появляться при первом посещении сайта

  • Необходимо сохранять выбор пользователя (обычно в localStorage)

  • Обеспечить доступ к настройкам cookies через постоянную ссылку на сайте

  • Фиксировать факт согласия с указанием даты и времени для юридической защиты

Требования к аналитике и сторонним сервисам

Сервис

Риск

Расположение серверов

Рекомендации

Яндекс.Метрика

Низкий

Россия

Можно использовать

Яндекс.Вебмастер

Низкий

Россия

Можно использовать

Google Analytics

Высокий

США

Рекомендуется заменить на российские аналоги

Google Search Console

Средний

США

Желательно заменить

Facebook Pixel

Высокий

США

Запрещен (сервис принадлежит META, признанной экстремистской в РФ)

Меры снижения рисков при использовании аналитики:

  1. Информирование пользователей обо всех сервисах, используемых на сайте

  2. Анонимизация IP-адресов пользователей (если такая возможность есть)

  3. Сокращение срока хранения данных в аналитических системах

  4. Обезличивание собираемых данных при возможности

  5. Получение явного согласия на использование аналитических инструментов

Трансграничная передача данных

Что считается трансграничной передачей:

  • Передача данных на серверы за пределами России

  • Использование зарубежных сервисов, обрабатывающих данные (Google, Meta, AWS и т.д.)

  • Размещение сайта на зарубежном хостинге

Требования к трансграничной передаче:

  • Получение отдельного согласия субъекта на такую передачу

  • Указание стран получателей данных

  • Обеспечение адекватной защиты в странах-получателях

  • Включение информации о трансграничной передаче в уведомление для РКН

Рекомендации по минимизации рисков:

  1. По возможности перейти на российские сервисы

  2. Если использование зарубежных сервисов необходимо — получить специальное согласие

  3. Актуализировать информацию о странах-получателях

  4. Документировать меры защиты при трансграничной передаче

ТЕХНИЧЕСКИЕ МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Уровни защищенности информационных систем персональных данных (ИСПДн):

Уровень защищенности

Критерии

Примеры систем

УЗ-1 (самый высокий)

- Обработка специальных категорий ПД более 100 000 субъектов
- Биометрические данные более 100 000 субъектов
- Актуальны угрозы 1-го типа

Крупные системы здравоохранения, биометрические системы идентификации

УЗ-2

- Обработка специальных категорий ПД до 100 000 субъектов
- Биометрические данные до 100 000 субъектов
- Актуальны угрозы 2-го типа

Медицинские информационные системы, системы с обработкой биометрии

УЗ-3

- Обработка иных категорий ПД сотрудников более 100 000
- Общедоступные данные более 100 000 субъектов
- Актуальны угрозы 2-го типа

Крупные кадровые системы, масштабные системы обслуживания клиентов

УЗ-4 (базовый)

- Обработка иных категорий ПД сотрудников до 100 000
- Общедоступные данные до 100 000 субъектов
- Актуальны угрозы 3-го типа

Большинство корпоративных систем, сайты с формами обратной связи

Базовые технические меры для разных уровней защищенности

Меры для всех уровней защищенности (УЗ-1 — УЗ-4)

Мера защиты

Шифр

Описание

Организация режима безопасности помещений

-

Контроль доступа в помещения, где размещены системы обработки ПД

Обеспечение сохранности носителей ПД

ЗНИ

Учет, хранение и уничтожение носителей информации

Назначение ответственных лиц

-

Документальное определение перечня лиц с доступом к ПД

Использование сертифицированных средств защиты

-

Применение сертифицированных средств, если они необходимы для нейтрализации актуальных угроз

Идентификация и аутентификация

ИАФ.1-3

Управление идентификаторами, средствами аутентификации

Антивирусная защита

АВЗ.1-2

Установка антивирусного ПО, регулярное обновление баз
Дополнительные меры для УЗ-3

Мера защиты

Шифр

Описание

Назначение ответственного за обеспечение безопасности ПД

-

Приказ о назначении конкретного сотрудника

Управление доступом

УПД.1-6

Разделение полномочий, минимизация привилегий

Регистрация событий безопасности

РСБ.1-3

Журналирование действий пользователей и событий безопасности
Дополнительные меры для УЗ-1 и УЗ-2

Мера защиты

Шифр

Описание

Анализ защищенности

АНЗ.1-4

Регулярное тестирование на проникновение, анализ уязвимостей

Криптографическая защита

КРТ

Шифрование данных при передаче и хранении

Обнаружение вторжений

СОВ

Системы обнаружения и предотвращения вторжений

Контроль целостности

ОЦЛ

Проверка целостности программного обеспечения и данных

Практические шаги по обеспечению безопасности

Минимальный набор мер для УЗ-4:

  1. Управление доступом:

    • Использование надежных паролей (от 8 символов, буквы, цифры, спецсимволы)

    • Разграничение прав доступа для каждого пользователя

    • Блокировка доступа после 5-10 неудачных попыток входа

  2. Защита от вредоносного ПО:

    • Установка и регулярное обновление антивирусов

    • Запрет запуска непроверенного ПО

    • Регулярные проверки систем на вирусы

  3. Резервное копирование:

    • Регулярное создание резервных копий баз данных

    • Хранение резервных копий в защищенном месте

    • Периодическая проверка восстановления из резервных копий

  4. Физическая безопасность:

    • Размещение серверов в защищенных помещениях

    • Контроль доступа к оборудованию

    • Защита от противоправных действий

Особенности защиты сайтов и веб-приложений

  1. Защищенное соединение:

    • Установка SSL-сертификата (HTTPS)

    • Регулярное обновление сертификатов

    • Настройка HSTS (HTTP Strict Transport Security)

  2. Защита от типичных атак:

    • Защита от SQL-инъекций

    • Защита от XSS (межсайтовый скриптинг)

    • Защита от CSRF (подделка межсайтовых запросов)

  3. Обновление CMS и компонентов:

    • Регулярные обновления системы управления контентом

    • Обновление плагинов и расширений

    • Контроль за безопасностью сторонних компонентов

  4. Мониторинг и логирование:

    • Настройка журналирования событий безопасности

    • Отслеживание подозрительной активности

    • Периодический анализ логов

АНАЛИТИЧЕСКИЕ СЕРВИСЫ: РИСКИ И РЕКОМЕНДАЦИИ

Оценка рисков использования популярных сервисов

Сервис

Характеристика данных

Расположение серверов

Уровень риска

Рекомендации

Яндекс.Метрика

Сбор аналитических и поведенческих данных

Россия

Низкий

Можно использовать с информированием пользователей

Яндекс.Вебмастер

Технические данные о сайте

Россия

Низкий

Можно использовать

Google Analytics

Сбор поведенческих данных, информация об устройствах

США

Высокий

Рекомендуется заменить на российские аналоги или получить специальное согласие

Google Tag Manager

Управление тегами и скриптами

США

Высокий

Рекомендуется заменить на российские аналоги

Facebook Pixel

Отслеживание конверсий и поведения

США

Критический

Запрещено использовать (сервис принадлежит META)

Hotjar/Yandex.Webvisor

Запись действий пользователя, тепловые карты

США/Россия

Средний/Низкий

Требуется явное согласие пользователя

Roistat

Аналитика эффективности рекламы

Россия

Низкий

Можно использовать с информированием пользователей

Calltracking

Отслеживание звонков

Зависит от провайдера

Средний

Требуется явное согласие и информирование

Рекомендации по работе с аналитическими инструментами

Замена иностранных сервисов на российские аналоги:

Иностранный сервис

Российский аналог

Google Analytics

Яндекс.Метрика, Roistat, Статистика Mail.ru

Google Search Console

Яндекс.Вебмастер

Google Tag Manager

Segment, Mindbox

Facebook Pixel

VK.Pixel, MyTracker

Hotjar

Яндекс.Вебвизор

Меры снижения рисков при использовании аналитики:

  1. Минимизация собираемых данных:

    • Отключение сбора IP-адресов или их анонимизация

    • Отказ от сбора персонифицированной информации

    • Использование агрегированных данных вместо индивидуальных

  2. Корректное оформление использования аналитики:

    • Упоминание всех используемых сервисов в политике конфиденциальности

    • Получение согласия пользователя через cookie-баннер

    • Предоставление возможности отказаться от аналитических cookie

  3. Технические настройки безопасности:

    • Отключение опций повторного таргетирования

    • Сокращение срока хранения собираемых данных

    • Настройка ограничений доступа к аналитическим данным

Рекомендации по настройке конкретных сервисов

Яндекс.Метрика:

  • Активировать опцию обезличивания IP-адресов (подробная инструкция)

  • Отключить сбор персональных данных пользователей

  • Настроить автоматическое удаление данных по истечении срока

  • Добавить информацию об использовании Яндекс.Метрики в политику конфиденциальности

Google Analytics (если крайне необходимо использование):

  • Включить анонимизацию IP-адресов пользователей

  • Отключить функции демографических отчетов и отчетов по интересам

  • Установить автоматическое удаление данных пользователя через 14 месяцев

  • Отключить опцию обмена данными с другими продуктами Google

  • Получить специальное согласие пользователей на трансграничную передачу

Общие рекомендации:

  • Использовать режим "не отслеживать" (DNT) в настройках сервисов

  • Отключить отслеживание по идентификаторам пользователей

  • Ограничить доступ к данным аналитики только необходимым сотрудникам

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ

Уведомление Роскомнадзора

Если сайт не собирает никакие персональные данные (в том числе через cookies, метрики или счетчики), то уведомление не требуется. Однако если используются аналитические инструменты, собирающие IP-адреса, то подача уведомления обязательна.
Да, если самозанятый ведет клиентскую базу, собирает контактные данные клиентов или имеет сайт с формами обратной связи. Исключение — обработка данных исключительно для личных или семейных нужд.
Уведомление необходимо обновлять при любых изменениях в процессах обработки персональных данных: добавлении новых целей, изменении категорий данных, смене мест хранения и т.д. Срок подачи корректирующих сведений — до 15 числа месяца, следующего за месяцем изменений.

Персональные данные на сайте

Статический IP-адрес признается персональными данными согласно судебной практике. Динамический IP-адрес может не признаваться персональными данными, но в сочетании с другой информацией (cookies, данные браузера) он позволяет идентифицировать пользователя.
Да, необходимо информировать пользователей о применении cookies и предоставлять возможность отказаться от их использования (кроме технически необходимых).
Форма должна содержать: чекбокс согласия (не отмеченный по умолчанию), конкретный текст согласия с указанием оператора и целей обработки, ссылку на политику конфиденциальности. Разные цели обработки (основная и маркетинговая) должны оформляться отдельными чекбоксами.

Ответственность и штрафы

В первую очередь ответственность несет лицо, фактически определяющее цели и средства обработки данных (оператор). Обычно это владелец сайта, но в сложных случаях могут учитываться фактические обстоятельства (кто управляет сайтом, кто получает выгоду от обработки данных).
Размер штрафа зависит от характера нарушения, его продолжительности, наличия смягчающих или отягчающих обстоятельств. Максимальные штрафы (до 15–20 млн руб.) применяются за утечку данных и повторные нарушения.
Да, неправильное оформление cookie-баннера (например, предварительно отмеченный чекбокс) может быть квалифицировано как нарушение порядка получения согласия на обработку персональных данных со штрафом до 300 000 руб. для юридических лиц.

Технические вопросы

Наиболее безопасны российские инструменты аналитики: Яндекс.Метрика, Рейтинг Mail.ru, Roistat и другие системы, хранящие данные на серверах в России. При использовании зарубежных сервисов (Google Analytics) необходимо получать отдельное согласие на трансграничную передачу данных.
Да, персональные данные должны передаваться по защищенному протоколу HTTPS с действующим SSL-сертификатом. Это минимальное требование безопасности для любого сайта, обрабатывающего персональные данные.
С точки зрения 152-ФЗ, первичное хранение и обработка персональных данных граждан РФ должны осуществляться на территории России. Трансграничная передача возможна только после локализации и при наличии специального согласия субъекта.

ЧЕК-ЛИСТЫ ДЛЯ САМОПРОВЕРКИ

Чек-лист готовности к уведомлению Роскомнадзора

Пункт проверки

Статус

1

Назначен ответственный за организацию обработки ПД

2

Приказ о назначении ответственного оформлен

3

Определены все цели обработки персональных данных

4

Составлен перечень обрабатываемых персональных данных

5

Определены категории субъектов персональных данных

6

Разработана политика обработки персональных данных

7

Установлены сроки обработки и хранения данных

8

Определены все места хранения персональных данных

9

Актуализирована контактная информация ответственного лица

10

Проанализированы и описаны меры по обеспечению безопасности ПД

Чек-лист аудита сайта

Пункт проверки

Статус

1

На сайте размещена актуальная политика конфиденциальности

2

Все формы сбора данных имеют чекбоксы согласия (не отмеченные по умолчанию)

3

Текст согласий конкретный и соответствует требованиям

4

Разные цели обработки оформлены отдельными согласиями

5

На сайте есть механизм для отзыва согласия

6

Установлен корректный cookie-баннер с возможностью отказа

7

Сайт использует HTTPS для безопасной передачи данных

8

Указаны полные реквизиты владельца сайта

9

Проверены все аналитические инструменты на соответствие требованиям

10

Отсутствует передача данных на серверы запрещенных сервисов

Чек-лист внутренней документации

Пункт проверки

Статус

1

Разработана и утверждена политика обработки персональных данных

2

Составлен перечень обрабатываемых персональных данных

3

Разработаны формы согласий на обработку персональных данных

4

Подготовлен порядок отзыва согласия субъектом ПД

5

Разработан регламент обработки запросов субъектов ПД

6

Разработан порядок уничтожения персональных данных

7

Составлен и утвержден перечень лиц, имеющих доступ к ПД

8

Разработан порядок действий при утечке персональных данных

9

Разработана модель угроз безопасности персональных данных

10

Ведутся журналы учета операций с персональными данными

Чек-лист технических мер защиты

Пункт проверки

Статус

1

Доступ к персональным данным осуществляется по паролю

2

Применяются надежные пароли (минимум 8 символов, буквы, цифры, спецсимволы)

3

Установлено актуальное антивирусное ПО

4

Регулярно создаются резервные копии баз данных

5

Обеспечена физическая безопасность серверов и носителей данных

6

Установлены актуальные обновления безопасности для всего ПО

7

Обеспечено шифрование данных при передаче (HTTPS)

8

Настроено журналирование действий пользователей

9

Настроены системы обнаружения вторжений

10

Разработан план действий при инцидентах безопасности

Изменения в законодательстве о персональных данных, вступающие в силу с 30 мая 2025 года, значительно повышают ответственность операторов за нарушения при обработке персональных данных. Штрафы увеличиваются в несколько раз, вводятся новые составы правонарушений, а контроль со стороны Роскомнадзора становится более автоматизированным и масштабным.

Важно не откладывать подготовку к этим изменениям. Уже сейчас необходимо:

  1. Провести аудит текущих процессов обработки персональных данных

  2. Подать уведомление в Роскомнадзор (если еще не подано)

  3. Обновить внутреннюю документацию

  4. Привести сайт в соответствие с требованиями

  5. Внедрить технические меры защиты персональных данных

Правильно организованная работа с персональными данными не только поможет избежать штрафов, но и повысит доверие клиентов и партнеров к вашей организации. Помните, что защита персональных данных — это не просто формальное соблюдение требований закона

ПОЛЕЗНЫЕ ССЫЛКИ И РЕСУРСЫ

Законодательство и нормативные акты

  1. Федеральный закон №152-ФЗ "О персональных данных"

  2. Постановление Правительства РФ №1119 от 01.11.2012

  3. Приказ Роскомнадзора №180 от 28.10.2022

  4. Кодекс Российской Федерации об административных правонарушениях (ст. 13.11)

Официальные ресурсы

  1. Портал персональных данных Роскомнадзора

  2. Реестр операторов персональных данных

  3. Форма подачи уведомления через Госуслуги

Полезные инструменты

  1. Проверка сайта на соответствие требованиям к персональным данным

  2. Конструктор политики конфиденциальности

Рекомендуемая литература и курсы

  1. "Персональные данные: правовое регулирование и ответственность за нарушения" - Р. В. Амелин

  2. "Защита персональных данных в цифровую эпоху" - А. И. Савельев

  3. Онлайн-курс "Новые правила по защите персданных - 2025" от Клерк.ру