Персональные данные давно перестали быть вопросом «разместить политику в подвале сайта». Сейчас даже небольшая компания может столкнуться с требованиями Роскомнадзора, претензией клиента, проверкой сайта, обязанностью уведомить об обработке данных, спором с подрядчиком или последствиями утечки. Поэтому запрос «юрист по персональным данным и 152-ФЗ» обычно возникает не из любопытства, а когда бизнесу нужно привести документы в порядок и снизить риск штрафов.

Под действие 152-ФЗ попадают не только крупные IT-компании. Если на сайте есть форма заявки, запись на консультацию, чат, обратный звонок, регистрация в личном кабинете, рассылка, прием резюме, сбор данных сотрудников или клиентов, бизнес уже работает с персональными данными. При этом важны не только тексты документов, но и фактическая схема обработки: где хранятся данные, кто имеет доступ, какие сервисы подключены, кому передаются сведения и какие действия может подтвердить оператор.

Юрист нужен не только после проверки. Чаще всего помощь требуется заранее: перед запуском сайта, медицинской клиники, онлайн-школы, сервиса записи, интернет-магазина, CRM, чат-бота или рекламной воронки. Чем раньше проверены документы и технические процессы, тем проще избежать ситуации, когда политика на сайте не соответствует реальному сбору данных, согласие объединено с пользовательским соглашением, а уведомление в Роскомнадзор не подано.

• компания собирает заявки через сайт или мессенджеры;
• есть база клиентов, пациентов, учеников, покупателей или подписчиков;
• используются CRM, облачные сервисы, телефония, рассылки, онлайн-чаты и аналитика;
• данные передаются подрядчикам, маркетологам, колл-центру, хостингу или разработчику;
• получено письмо, запрос или требование Роскомнадзора;
• произошла утечка, взлом, ошибочная рассылка или публикация базы;
• нужно подготовить комплект документов по 152-ФЗ для сайта, сотрудников или проверки.

Правильный аудит начинается не с копирования шаблона политики, а с описания процессов. Нужно понять, какие категории данных собираются, у кого именно, на каком основании, для каких целей, сколько хранятся, кому передаются и через какие информационные системы проходят. Только после этого можно готовить документы, которые будут соответствовать реальной работе компании.

Обычно проверяются политика обработки персональных данных, согласия, формы сайта, уведомление в Роскомнадзор, договоры с подрядчиками, локальные акты для сотрудников, порядок обработки обращений субъектов, меры защиты, журналирование инцидентов, регламенты доступа и основания передачи данных третьим лицам. Отдельно смотрятся риски трансграничной передачи и локализации баз данных, если используются зарубежные сервисы или SaaS.

Единого «универсального комплекта» для всех нет. Для сайта с формой заявки нужен один набор, для клиники — другой, для работодателя — третий, для маркетплейса или онлайн-сервиса — четвертый. Но в базовый комплект обычно входят политика обработки персональных данных, согласие на обработку данных, согласие на получение рекламы или рассылки при необходимости, положение об обработке персональных данных, приказ о назначении ответственного, порядок доступа работников к данным, поручения обработчикам и инструкции на случай инцидента.

С 2025 года особенно важно проверять согласия. Согласие на обработку персональных данных должно быть самостоятельным и не должно прятаться внутри пользовательского соглашения, оферты или общего текста «согласен со всем». Для сайта это означает, что чекбокс, ссылка и сам документ должны быть оформлены так, чтобы можно было доказать осознанное и отдельное волеизъявление пользователя.

Самая частая ошибка — документы есть, но они не соответствуют реальности. Например, политика говорит, что данные не передаются третьим лицам, хотя заявки автоматически попадают в CRM, обрабатываются хостингом, отправляются в мессенджер менеджеру и используются для аналитики. Другая типовая ошибка — у сайта есть форма заявки, но нет отдельного согласия, а ссылка ведет только на политику. Еще один риск — отсутствие уведомления в Роскомнадзор, хотя компания обрабатывает данные клиентов и сотрудников с применением автоматизации.

Отдельная зона риска — подрядчики. Если данные получает разработчик, колл-центр, бухгалтерия, CRM-провайдер, сервис email-рассылки или подрядчик по рекламе, договор должен учитывать поручение обработки персональных данных. Иначе оператор остается ответственным перед субъектом, но фактически не контролирует, что с данными делает внешний исполнитель.

До проверки юрист помогает построить документальную и фактическую схему: какие формы использовать, какие согласия поставить, нужно ли подавать уведомление, какие договоры дополнить, как отвечать субъектам данных, что исправить в CRM и кто внутри компании должен отвечать за персональные данные. После претензии или запроса юрист помогает не отвечать лишнего, собрать подтверждающие документы, подготовить правовую позицию и снизить риск привлечения к ответственности.

Важно: задача юриста — не просто «написать политику», а сделать так, чтобы документы, сайт и реальная обработка данных не противоречили друг другу. Именно такие противоречия обычно становятся причиной замечаний.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

Если сайт собирает имя, телефон, e-mail, сообщение в форме обратной связи, заявку на консультацию, данные для записи, резюме, заказ или подписку, он уже обрабатывает персональные данные. Поэтому вопрос «какие документы по 152-ФЗ должны быть на сайте» нельзя решать одной скачанной политикой. Нужно смотреть, какие формы есть на сайте, какие цели обработки заявлены, куда уходят данные и какие согласия получает компания.

Минимальный набор документов зависит от функционала сайта. Для простого сайта-визитки с формой заявки обычно нужны политика обработки персональных данных, согласие на обработку персональных данных, корректный текст чекбокса под формой, уведомление о cookie и, при необходимости, согласие на рекламную рассылку. Если сайт принимает оплату, ведет личный кабинет, собирает медицинские сведения, работает с несовершеннолетними или передает данные подрядчикам, набор документов расширяется.

Политика — это основной публичный документ оператора. Она должна быть доступна на сайте, особенно на тех страницах, где происходит сбор данных. В политике описывают оператора, цели обработки, категории субъектов, категории данных, правовые основания, способы обработки, сроки хранения, порядок передачи третьим лицам, права субъектов, порядок отзыва согласия и сведения о мерах защиты.

Распространенная ошибка — размещать политику, которая вообще не описывает фактический сайт. Например, в документе указана только обработка клиентов, но на сайте есть форма для кандидатов; написано, что данные не передаются третьим лицам, хотя используется CRM; заявлено хранение только на собственном сервере, хотя заявки идут в облачный сервис. Такой документ формально есть, но он не защищает бизнес.

Согласие нужно, когда обработка строится именно на воле пользователя. На сайте это чаще всего формы заявки, обратной связи, записи, подписки, консультации или регистрации. После изменений 2025 года согласие должно быть оформлено отдельно от иных документов и информации, которые пользователь подтверждает. Поэтому формулировка «нажимая кнопку, соглашаюсь с политикой и пользовательским соглашением» больше не выглядит безопасной.

• согласие должно быть отдельным документом или отдельным действием;
• чекбокс не должен быть заранее отмечен;
• ссылка должна вести именно на текст согласия, а не только на политику;
• в тексте согласия должны быть цели, данные, действия, срок и порядок отзыва;
• для рекламы и рассылки лучше использовать отдельное согласие.

Многие сайты собирают не только телефон и e-mail. Аналитика, пиксели, онлайн-чаты, виджеты, сквозная аналитика и рекламные кабинеты могут обрабатывать IP-адрес, идентификаторы устройства, сведения о браузере и поведении пользователя. Поэтому cookie-баннер и политика должны соответствовать тому, что фактически установлено на сайте.

Безопаснее разделить необходимые cookie и аналитические/маркетинговые инструменты. Если сайт использует внешние сервисы, важно проверить, куда передаются данные, есть ли трансграничная передача и выполняются ли требования локализации при сборе данных граждан РФ.

Самая частая точка претензий — форма заявки. Под формой должен быть понятный текст: пользователь дает согласие на обработку персональных данных для связи по обращению и подтверждает ознакомление с политикой. Лучше не смешивать в одном чекбоксе обработку данных, рекламную рассылку, пользовательское соглашение, оферту и согласие на передачу данных всем партнерам.

Если сайт собирает сведения о здоровье, семейной ситуации, финансовом положении, документах или детях, нужно отдельно ограничить состав передаваемой через форму информации. Хорошая практика — указать, что чувствительные документы направляются только после согласования безопасного канала связи.

Документы на сайте не заменяют уведомление Роскомнадзора. Если компания является оператором и обрабатывает персональные данные, нужно отдельно проверить, обязана ли она подать уведомление о начале обработки. Для большинства коммерческих сайтов с формами, CRM и клиентскими базами этот вопрос нужно рассматривать как обязательный элемент аудита.

• есть ли политика и открывается ли она со всех страниц сбора данных;
• есть ли отдельное согласие на обработку персональных данных;
• не объединено ли согласие с офертой и пользовательским соглашением;
• соответствуют ли цели обработки реальным формам сайта;
• описаны ли CRM, хостинг, рассылки, чаты и подрядчики;
• проверены ли cookie, аналитика и возможная трансграничная передача;
• подано ли уведомление в Роскомнадзор или есть обоснование исключения.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

Политика обработки персональных данных — это не формальность и не просто «политика конфиденциальности». Для сайта она показывает пользователю и проверяющему органу, кто является оператором, какие данные собираются, зачем они нужны, как используются, кому передаются, сколько хранятся и как субъект может реализовать свои права. Если политика составлена как общий шаблон, она часто не совпадает с реальной работой сайта.

Закон требует, чтобы оператор обеспечил неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных. Если сбор идет через интернет, политика должна быть опубликована на сайте, в том числе на страницах, где собираются данные. Поэтому ссылка только в футере иногда недостаточна: пользователь должен видеть ее рядом с формой, через которую оставляет данные.

Политика информирует о правилах обработки данных. Согласие выражает волю конкретного человека на обработку его данных в конкретных целях. Эти документы нельзя подменять друг другом. Ошибка многих сайтов — в форме написано «даю согласие в соответствии с политикой», но отдельного текста согласия нет. В результате есть информационный документ, но нет полноценного подтверждения согласия.

Политика должна быть шире согласия: она описывает все процессы оператора. Согласие, наоборот, должно быть конкретным и привязанным к определенной форме или цели: заявка, консультация, запись, обратная связь, рассылка, регистрация, участие в мероприятии.

• полное наименование оператора, адрес, контакты;
• перечень категорий субъектов: клиенты, пользователи сайта, сотрудники, кандидаты, контрагенты;
• категории персональных данных по каждой группе;
• цели обработки: консультация, заключение договора, обратная связь, исполнение закона, рассылка, кадровый учет;
• правовые основания обработки;
• перечень действий с данными: сбор, запись, хранение, уточнение, использование, передача, удаление;
• сроки обработки и условия прекращения;
• сведения о передаче подрядчикам и третьим лицам;
• порядок реализации прав субъекта и отзыва согласия;
• меры защиты данных;
• условия трансграничной передачи, если она есть.

Шаблон не знает, какие формы стоят на вашем сайте, какая CRM подключена, где хостинг, кто принимает заявки, используются ли онлайн-чаты, идет ли рассылка, передаются ли данные в рекламные кабинеты и есть ли сотрудники с доступом к базе. Из-за этого шаблонные политики часто содержат взаимоисключающие пункты: данные «не передаются третьим лицам», но тут же указана передача хостингу и платежному агрегатору; срок хранения «до достижения цели», но цель описана так широко, что срок невозможно определить.

Для SEO и доверия клиента политика тоже важна. Пользователь видит, насколько аккуратно компания работает с юридическими документами. Если политика написана чужими реквизитами, содержит другой город, другой вид деятельности или неработающие ссылки, это снижает доверие еще до обращения.

• политика называется «конфиденциальность», но не содержит обязательных сведений об операторе;
• в политике нет конкретных целей обработки;
• не описаны формы сайта и фактические каналы получения данных;
• не указаны подрядчики или категории лиц, которым передаются данные;
• не описаны cookie и аналитика;
• нет порядка отзыва согласия и обращения субъекта;
• документ скрыт, недоступен или открывается не на страницах сбора данных;
• политика не обновлялась после изменений законодательства и изменения сервисов сайта.

Политику нужно пересматривать не только при изменении закона, но и при изменении сайта. Добавили форму записи, подключили CRM, сменили хостинг, внедрили виджет обратного звонка, запустили рекламную аналитику, начали принимать резюме — нужно проверить документ. Иначе политика описывает старую схему, а фактическая обработка уже другая.

Хорошая политика не должна быть чрезмерно рекламной или запутанной. Она должна быть понятной пользователю и достаточно полной для проверки. Оптимальный подход — сначала составить карту обработки данных, затем подготовить документ под конкретную компанию.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

Согласие на обработку персональных данных на сайте стало одной из самых уязвимых точек для бизнеса. Раньше многие ограничивались фразой под кнопкой: «Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности». Сейчас такой подход опасен. Согласие должно быть конкретным, информированным, однозначным и оформленным отдельно от других документов и подтверждений пользователя.

Это особенно важно после изменений 2025 года: согласие на обработку персональных данных нельзя прятать внутри пользовательского соглашения, оферты, политики или общего блока «согласен со всем». Пользователь должен понимать, на что именно он соглашается, какие данные передает, для каких целей, какие действия с ними будут совершаться и как он сможет отозвать согласие.

Согласие обычно нужно, если сайт собирает данные пользователя через форму и оператор не может уверенно опереться на другое правовое основание. Это формы обратной связи, заявка на консультацию, запись на прием, подписка на новости, регистрация на мероприятие, отправка резюме, заявка на расчет стоимости, получение файла или участие в акции.

Если обработка нужна для заключения или исполнения договора, согласие может быть не единственным основанием. Но для сайта все равно важно корректно информировать пользователя, ссылаться на политику и не собирать избыточные сведения. В спорной ситуации безопаснее разделить цели: одно согласие для ответа на заявку, отдельное согласие для рекламы и рассылки.

• данные оператора;
• цели обработки;
• перечень персональных данных;
• перечень действий с данными;
• срок действия согласия или условие прекращения обработки;
• порядок отзыва согласия;
• сведения о передаче третьим лицам, если она есть;
• ссылка на политику обработки персональных данных.

Для сайта текст согласия лучше делать отдельной страницей или отдельным всплывающим документом. Ссылка под формой должна вести именно на согласие, а рядом можно дать ссылку на политику. Если ссылка «согласие» фактически открывает политику, это слабая конструкция.

Чекбокс не должен быть заранее отмечен. Пользователь должен совершить отдельное действие. Формулировка может быть такой: «Я даю согласие на обработку персональных данных для связи со мной по обращению и подтверждаю ознакомление с Политикой обработки персональных данных». При этом слова «согласие» и «политика» должны вести на разные документы.

Для рекламной рассылки нужен отдельный чекбокс. Нельзя автоматически включать пользователя в рассылку только потому, что он оставил заявку на консультацию или заказал обратный звонок. Цель «ответить на обращение» и цель «направлять рекламные предложения» юридически различаются.

Если компания работает в медицине, семейном праве, трудовых спорах, образовании или финансовых услугах, пользователь может попытаться отправить через форму чувствительную информацию: диагнозы, документы детей, сведения о судимости, доходах, семейных обстоятельствах. Обычная форма сайта не всегда подходит для таких данных. Лучше предупреждать, что через форму нужно отправлять только контактные сведения и краткое описание вопроса, а документы передаются после согласования безопасного канала.

• согласие объединено с политикой, офертой и пользовательским соглашением;
• нет отдельной ссылки на текст согласия;
• чекбокс заранее проставлен;
• цели обработки слишком широкие: «для любых законных целей»;
• не указан порядок отзыва;
• собираются лишние данные, не нужные для заявки;
• одним согласием закрывают и обратную связь, и рекламу, и передачу партнерам;
• форма не фиксирует факт получения согласия.

Нужно проверить все формы сайта: главную страницу, контакты, всплывающие формы, квизы, калькуляторы, лендинги, формы записи, страницы услуг и формы в блоге. Часто на главной форме согласие уже обновили, а на старых посадочных страницах остался старый текст. Для SEO-потоков и Tilda-страниц это особенно актуально: каждая страница с формой должна иметь корректную ссылку на согласие и политику.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

Форма заявки кажется простой: имя, телефон, комментарий и кнопка «Отправить». Но именно такие формы чаще всего создают проблемы по 152-ФЗ. Через них компания получает персональные данные, а иногда и чувствительные сведения. Если под формой нет корректного согласия, политика не открывается, чекбокс проставлен заранее или данные сразу уходят в CRM и мессенджеры без описания в документах, у бизнеса возникает юридический риск.

Важно оценивать не только внешний вид формы, но и весь путь заявки: где она хранится, кто получает уведомление, какие сервисы участвуют, сколько времени данные сохраняются, можно ли удалить заявку по требованию пользователя и есть ли доказательство согласия.

Собирать нужно только то, что необходимо для цели формы. Если цель — перезвонить по заявке, обычно достаточно имени, телефона и краткого комментария. Паспорт, дата рождения, адрес, документы, сведения о здоровье или семейной ситуации для первичной формы чаще всего избыточны. Чем больше данных собирает форма, тем выше требования к правовому основанию, защите и документам.

Для юридических, медицинских, образовательных и финансовых сайтов стоит прямо ограничить форму: «не направляйте через форму документы и сведения, содержащие специальные категории персональных данных, до согласования способа передачи». Это снижает риск случайного получения данных, к обработке которых компания документально не готова.

• отдельный чекбокс согласия на обработку персональных данных;
• ссылка на текст согласия;
• ссылка на политику обработки персональных данных;
• понятная цель обработки: связь по обращению, запись, консультация;
• отдельное согласие на рекламу, если планируется рассылка;
• отсутствие заранее отмеченных галочек.

Фраза «нажимая кнопку, вы соглашаетесь с политикой» не заменяет полноценное согласие. Политика — это информационный документ, а согласие — подтверждение воли пользователя. После изменений 2025 года согласие должно быть самостоятельным и не смешиваться с другими подтверждениями.

На многих сайтах форма отправляет данные не только на почту. Заявка может попадать в Tilda CRM, amoCRM, Bitrix24, Telegram-бот, WhatsApp-уведомление, Google-таблицу, email-рассыльщик, call-tracking, сквозную аналитику или рекламный кабинет. Каждый такой сервис нужно оценить: является ли он подрядчиком, где находятся серверы, нужно ли поручение обработки, есть ли трансграничная передача, как удалить данные и кто имеет доступ.

Если политика утверждает, что данные никуда не передаются, а фактически они уходят в несколько внешних систем, это противоречие. Оно опаснее, чем отсутствие красивой формулировки, потому что показывает несоответствие документов реальности.

Нельзя считать, что человек, оставивший телефон для обратного звонка, автоматически согласился получать рекламу. Для рекламных сообщений, рассылок и акций лучше использовать отдельный чекбокс. Он должен быть добровольным и не должен быть условием обычного ответа на заявку, если реклама не нужна для исполнения запроса.

Хорошая форма должна позволять восстановить факт получения согласия: дата и время, IP-адрес или технический идентификатор, версия текста согласия, страница, с которой отправлена форма. Если спор возникнет через несколько месяцев, важно доказать, с каким именно текстом согласился пользователь. Иначе компания может иметь документ на сайте, но не иметь доказательства, что конкретный человек дал согласие.

• все поля нужны для заявленной цели;
• согласие отдельное и не объединено с другими документами;
• политика и согласие открываются по ссылкам;
• рекламная рассылка вынесена отдельно;
• не собираются чувствительные данные без необходимости;
• описаны CRM, хостинг, мессенджеры и подрядчики;
• есть порядок удаления заявок;
• заявки не хранятся бессрочно без причины.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

Вопрос «нужно ли подавать уведомление в Роскомнадзор» стал одним из самых частых для бизнеса. Многие компании думают, что уведомление нужно только крупным операторам или IT-сервисам. На практике обязанность может возникнуть у обычной организации или ИП, если они обрабатывают персональные данные клиентов, пользователей сайта, сотрудников, кандидатов, контрагентов или подписчиков.

Уведомление — это не согласие и не политика. Это отдельное сообщение Роскомнадзору о том, что оператор осуществляет или намерен осуществлять обработку персональных данных. Документы на сайте не заменяют уведомление. Политика может быть идеальной, но если оператор должен был уведомить Роскомнадзор и не сделал этого, остается отдельный риск.

Оператор — это лицо, которое самостоятельно или совместно с другими лицами организует обработку персональных данных, определяет цели обработки, состав данных и действия с ними. Для бизнеса это означает: если компания решает, какие данные собрать через сайт, зачем они нужны и как использовать базу клиентов, она, как правило, выступает оператором.

Оператором может быть юридическое лицо, ИП, некоммерческая организация, частная школа, клиника, онлайн-сервис, агентство, юридическая компания, интернет-магазин, сервис бронирования или работодатель.

• на сайте есть формы заявки, обратной связи, записи или регистрации;
• компания ведет клиентскую базу или CRM;
• обрабатываются данные сотрудников и кандидатов;
• идет рассылка или маркетинговая коммуникация;
• данные передаются подрядчикам;
• используются автоматизированные системы обработки;
• компания оказывает услуги физическим лицам и хранит их контактные данные.

Даже если компания небольшая и в базе мало людей, это не отменяет статус оператора. Важен сам факт обработки, цели, средства и наличие исключений.

Закон предусматривает случаи, когда уведомление не требуется. Но исключения нужно применять осторожно. Например, если данные обрабатываются исключительно без средств автоматизации, ситуация может отличаться от сайта с CRM и электронными заявками. Если компания использует сайт, почту, таблицы, CRM или электронные базы, ссылаться на исключение без анализа рискованно.

Ошибка бизнеса — считать, что обработка только сотрудников автоматически освобождает от уведомления. После изменений и практики последних лет безопаснее проверять каждую категорию данных отдельно: сотрудники, клиенты, пользователи сайта, кандидаты, представители контрагентов.

С 2025 года штрафы за нарушения в сфере персональных данных стали заметно выше. Непредставление уведомления о начале обработки персональных данных теперь является самостоятельным риском. Кроме штрафа, отсутствие уведомления может усилить позицию проверяющего органа, если одновременно обнаружены проблемы с политикой, согласиями, формами сайта или безопасностью данных.

Нужно составить карту обработки: какие данные собираются, у кого, где, в каких целях, с использованием каких систем, кому передаются и на каком основании. После этого можно оценить, подпадает ли оператор под исключения. Если исключения сомнительны, безопаснее подготовить и подать уведомление, чем ждать запроса Роскомнадзора.

В уведомлении указываются сведения об операторе, цели обработки, категории персональных данных, категории субъектов, правовые основания, перечень действий с данными, описание мер защиты, сроки обработки, сведения о трансграничной передаче при наличии и данные лица, ответственного за организацию обработки.

Ошибки в уведомлении тоже опасны. Если указать слишком мало целей, не описать сайт или забыть категории субъектов, потом может потребоваться уточнение. Если написать слишком широко, возникнет вопрос, почему оператор собирает больше данных, чем нужно.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

Подать уведомление в Роскомнадзор по 152-ФЗ технически несложно, но юридически важно заполнить его правильно. Уведомление должно отражать реальную обработку персональных данных в компании. Если указать только сайт, но забыть сотрудников, кандидатов, CRM, подрядчиков или рассылки, сведения будут неполными. Если указать слишком широкие цели, можно создать лишние вопросы к бизнесу.

Перед подачей уведомления нужно не просто открыть электронную форму, а провести короткий аудит: кто является оператором, какие данные собираются, какие формы сайта работают, есть ли клиенты-физлица, сотрудники, кандидаты, мессенджеры, подрядчики, трансграничная передача и локализация баз.

Уведомление подает именно оператор персональных данных. Если сайт принадлежит одному юрлицу, заявки обрабатывает другое, а договор заключает третье, нужно разобраться, кто реально определяет цели обработки. Ошибки в операторе приводят к тому, что документы сайта, уведомление и договоры противоречат друг другу.

Цели должны быть конкретными. Например: обработка обращений пользователей сайта, заключение и исполнение договоров, ведение клиентской базы, кадровый учет, подбор персонала, направление ответов на обращения, исполнение требований закона. Не стоит писать «для любых законных целей» или «для деятельности компании» — такие формулировки слишком широкие.

Субъектами могут быть пользователи сайта, клиенты, представители контрагентов, сотрудники, кандидаты, подписчики, участники мероприятий. Для каждой категории нужно понимать, какие данные обрабатываются: ФИО, телефон, e-mail, должность, данные договора, сведения о работе, резюме, адрес, платежная информация, обращения и иные сведения.

Основания могут быть разными: согласие субъекта, заключение или исполнение договора, исполнение требований закона, осуществление прав и законных интересов оператора при соблюдении прав субъекта. Ошибка — все процессы пытаться закрыть одним согласием. Для сотрудников и договоров часто есть другие основания, но они должны быть правильно отражены в документах.

В уведомлении и внутренних документах важно понимать, где хранятся данные: сайт, CRM, электронная почта, сервер, облако, бухгалтерская система, кадровая программа. Также нужно описать меры защиты: ограничение доступа, пароли, резервное копирование, назначение ответственного, локальные акты, учет лиц, имеющих доступ к данным, порядок реагирования на инциденты.

Если обработка поручается внешнему лицу, нужно проверить договор. В нем должны быть цели, перечень действий, обязанности по конфиденциальности и защите данных, требования к обработчику, порядок возврата или уничтожения данных. Это касается CRM, хостинга, колл-центра, подрядчиков по рекламе, бухгалтерии, IT-поддержки и иных исполнителей.

Если данные передаются за границу или используются иностранные сервисы, может потребоваться отдельное уведомление о трансграничной передаче. Его нельзя подменить обычным уведомлением об обработке персональных данных. Также нужно учитывать требования локализации при сборе данных граждан РФ.

• указан не тот оператор;
• не описаны все категории субъектов;
• забыты сотрудники или кандидаты;
• не отражены сайт, CRM, рассылки или мессенджеры;
• цели обработки сформулированы слишком широко;
• не указаны подрядчики и поручения обработки;
• не проверена трансграничная передача;
• после изменения процессов уведомление не обновлено.

После подачи уведомления важно отслеживать изменения. Если сведения изменились, оператор должен обновлять информацию в установленный срок. Поэтому уведомление — это не одноразовый документ, а часть системы работы с персональными данными.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

Проверка Роскомнадзора по персональным данным обычно выявляет не одну ошибку, а систему несоответствий: документы не совпадают с сайтом, согласия оформлены неправильно, уведомление не подано или устарело, подрядчики получают данные без поручения, а сотрудники не знают, кто отвечает за обработку персональных данных. Поэтому готовиться к проверке нужно не путем срочного скачивания шаблонов, а через реальный аудит процессов.

Проверка может быть связана с жалобой субъекта, утечкой, публикацией базы, мониторингом сайта, отсутствием оператора в реестре или иными основаниями. Даже если проверка еще не началась, письмо или запрос Роскомнадзора лучше воспринимать как сигнал: нужно быстро привести документы и факты в единую систему.

• есть ли оператор в реестре Роскомнадзора, если уведомление требовалось;
• соответствует ли политика обработки персональных данных требованиям закона;
• размещена ли политика на страницах сайта, где собираются данные;
• корректно ли оформлены согласия;
• не собираются ли избыточные данные;
• как организована защита данных и доступ сотрудников;
• есть ли договоры поручения с подрядчиками;
• как компания реагирует на обращения субъектов и инциденты.

Базовый комплект обычно включает политику обработки персональных данных, согласия для сайта и отдельных целей, положение об обработке персональных данных, приказ о назначении ответственного, перечень лиц с доступом к данным, инструкции для сотрудников, документы по мерам защиты, договоры с подрядчиками, уведомление в Роскомнадзор и подтверждения его подачи, порядок обработки обращений субъектов, порядок реагирования на инциденты.

Для работодателя дополнительно нужны документы по персональным данным работников, локальные акты, обязательства о неразглашении, порядок хранения кадровых документов и ограничения доступа к кадровой информации.

Сайт нужно смотреть отдельно. На каждой форме заявки, записи, обратной связи, подписки или регистрации должны быть корректные ссылки на согласие и политику. Нужно проверить, не остались ли старые формы на посадочных страницах, где нет чекбокса или ссылка ведет не туда. Также важно посмотреть, какие сервисы подключены: аналитика, чат, CRM, call-tracking, формы Tilda, мессенджеры и пиксели.

Ответ должен быть точным и подтвержденным документами. Не стоит направлять лишнюю информацию, которая не запрошена и может создать дополнительные вопросы. Но и игнорировать запрос нельзя. Перед ответом нужно определить, что именно спрашивает Роскомнадзор: документы, сведения об обработке, объяснения по жалобе, информация об инциденте или подтверждение устранения нарушения.

• задним числом менять документы без фиксации версии;
• удалять формы и данные без понимания последствий;
• отвечать общими фразами без приложений;
• признавать нарушение, не разобравшись в фактах;
• направлять противоречивые сведения из разных документов;
• показывать шаблонные документы, не соответствующие реальной обработке.

Если нарушение действительно есть, важно показать, что компания выявила проблему, принимает меры, обновляет документы, ограничивает доступ, устраняет ошибку на сайте, подает уведомление или уточняет сведения. В ряде ситуаций это помогает выстроить более аккуратную позицию и снизить последствия. Но каждый шаг нужно делать после анализа: иногда поспешные исправления подтверждают состав нарушения сильнее, чем само письмо Роскомнадзора.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

Штраф за нарушение 152-ФЗ зависит не только от текста закона, но и от конкретной ситуации: какие данные обрабатывались, было ли согласие, подано ли уведомление, произошла ли утечка, сколько субъектов затронуто, были ли повторные нарушения и какие меры предпринимала компания. Поэтому оценивать риск нужно не по одному признаку «есть политика или нет», а по всей схеме обработки персональных данных.

С 2025 года штрафные риски стали заметно серьезнее. Усилена ответственность за отсутствие уведомления об обработке персональных данных, за неуведомление об утечке и за сами утечки. Для бизнеса это означает: раньше многие относились к документам по 152-ФЗ как к формальности, теперь отсутствие системы может обойтись существенно дороже.

• обработка данных без правового основания;
• отсутствие или неправильное оформление согласия;
• отсутствие политики обработки персональных данных на сайте;
• сбор избыточных данных;
• неподача уведомления в Роскомнадзор;
• неуведомление Роскомнадзора об утечке;
• недостаточные меры защиты данных;
• нарушение порядка обработки специальных категорий данных;
• передача данных подрядчикам без надлежащего поручения;
• неисполнение требований субъекта персональных данных.

Политика — важный документ, но она не закрывает все обязанности. Если форма заявки не содержит отдельного согласия, уведомление в Роскомнадзор не подано, заявки уходят в зарубежный сервис, а договор с подрядчиком не содержит поручения обработки, политика сама по себе не устраняет нарушения. Более того, если политика противоречит фактической обработке, она может стать дополнительным доказательством небрежного подхода.

Для первичной оценки нужно ответить на несколько вопросов. Какие категории данных обрабатываются? Есть ли специальные категории: здоровье, биометрия, сведения о несовершеннолетних? Сколько субъектов затронуто? Была ли утечка или только формальное нарушение? Есть ли повторность? Может ли компания доказать согласие? Подано ли уведомление? Есть ли локальные акты и ответственный? Были ли меры защиты до инцидента, а не только после него?

Если речь о сайте с несколькими формами, риск может быть умеренным при быстром исправлении. Если речь об утечке базы клиентов, медицинских сведений или системном отсутствии уведомлений, риск уже существенно выше.

Первое — зафиксировать факты: какие документы есть, какие формы работают, какие данные собраны, кто имел доступ, какие сервисы подключены. Второе — прекратить очевидное нарушение: лишний сбор данных, некорректную форму, рассылку без согласия, передачу неподготовленному подрядчику. Третье — подготовить корректные документы и, если требуется, уведомить Роскомнадзор. Четвертое — сохранить доказательства исправления.

Да, но это зависит от ситуации. Важно показать, что нарушение не носило злонамеренный характер, компания приняла меры, ограничила распространение данных, уведомила орган при инциденте, провела внутреннюю проверку, обновила документы и обучила сотрудников. При этом нельзя писать в ответе в Роскомнадзор лишние признания, если фактическая сторона еще не установлена.

Для большинства компаний дешевле один раз провести аудит сайта, документов, CRM и подрядчиков, чем реагировать на запрос после жалобы или утечки. Минимальный аудит должен включать проверку политики, согласий, уведомления, форм сайта, подрядчиков, кадровых документов и каналов передачи данных.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

Запрос Роскомнадзора по персональным данным нельзя игнорировать и нельзя отвечать на него общими фразами. Часто запрос приходит после жалобы пользователя, мониторинга сайта, выявления утечки или проверки реестра операторов. От первого ответа зависит, будет ли ситуация ограничена перепиской или перерастет в административное дело.

Главная ошибка — отвечать быстро, но неаккуратно: отправить все документы подряд, признать нарушение без анализа, приложить устаревшую политику, сослаться на согласие, которого фактически нет, или дать сведения, противоречащие сайту. Правильный ответ строится на фактах, документах и понимании, что именно спрашивает орган.

• зафиксировать дату получения запроса и срок ответа;
• определить, кто именно адресат: юрлицо, ИП, сайт, конкретный оператор;
• понять основание запроса: жалоба, инцидент, мониторинг, уточнение сведений;
• собрать документы, которые прямо относятся к вопросу;
• проверить сайт и формы, упомянутые в запросе;
• не отправлять ответ до юридической оценки.

В зависимости от запроса могут понадобиться политика обработки персональных данных, согласия, скриншоты форм сайта, сведения об уведомлении Роскомнадзора, договоры с подрядчиками, локальные акты, приказы, журнал обращений субъектов, документы по мерам защиты, объяснения по конкретной жалобе или инциденту.

Если запрос связан с пользователем, нужно проверить историю его обращения: оставлял ли он заявку, давал ли согласие, обращался ли с требованием об удалении данных, получал ли рассылку, откуда компания получила его контакт. Нельзя отвечать шаблонно, не проверив факты.

Ответ должен быть структурированным: ссылка на запрос, описание фактических обстоятельств, правовое основание обработки, перечень приложений, сведения о принятых мерах. Если нарушение устранено, это нужно показать документально. Если компания не согласна с доводами жалобы, нужно объяснить почему и приложить доказательства.

Не стоит использовать агрессивный тон или спорить с органом абстрактно. Но и не нужно признавать больше, чем установлено. Формулировки должны быть аккуратными: «по результатам проверки установлено», «оператором приняты меры», «обработка осуществлялась в целях», «документы прилагаются».

Нужно проверить страницу, форму, чекбокс, ссылки на согласие и политику, версию документа на дату обращения, фактический путь заявки. Иногда на текущей версии сайта уже все исправлено, но жалоба относится к старой форме. В этом случае важно понять, можно ли подтвердить, какой текст действовал на момент сбора данных.

Нужно действовать по правилам инцидента: проверить факт неправомерного доступа или распространения, определить объем данных, принять меры, уведомить Роскомнадзор в установленные сроки, начать внутреннее расследование и подготовить дополнительные сведения. Ответ на запрос не должен заменять уведомление об инциденте, если обязанность уведомления возникла.

• пропуск срока ответа;
• ответ без приложений и доказательств;
• направление документов, которые противоречат сайту;
• обещание исправить нарушение без конкретного плана;
• признание утечки без проверки фактов;
• отправка персональных данных третьих лиц без необходимости;
• отсутствие единой позиции между юристом, IT и руководством.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

Утечка персональных данных — одна из самых опасных ситуаций для бизнеса по 152-ФЗ. В первые часы важно не паниковать и не скрывать проблему, а быстро установить факты, ограничить последствия и выполнить обязанности оператора. Ошибки в первые 24 часа часто стоят дороже самой технической проблемы: компания пропускает срок уведомления, удаляет доказательства, дает противоречивые комментарии или не понимает, какие данные действительно раскрыты.

Утечкой может быть взлом базы, публикация файла с клиентами, отправка рассылки с открытым списком адресов, доступ бывшего сотрудника к CRM, ошибочная отправка документов чужому адресату, продажа базы подрядчиком, незащищенная ссылка на документы или выгрузка данных из облачного сервиса.

• зафиксировать время обнаружения инцидента;
• ограничить доступ к системе или файлу;
• сохранить логи, письма, скриншоты, технические следы;
• определить предварительный объем данных и категории субъектов;
• назначить ответственного за коммуникацию с Роскомнадзором;
• оценить, возникла ли обязанность уведомления;
• подготовить первичное уведомление в течение 24 часов, если инцидент подпадает под закон.

Закон предусматривает обязанность оператора уведомить Роскомнадзор об инциденте в течение 24 часов с момента выявления неправомерной или случайной передачи, предоставления, распространения или доступа к персональным данным, если это повлекло нарушение прав субъектов. В первичном уведомлении указываются сведения об инциденте, предполагаемых причинах, предполагаемом вреде, принятых мерах и лице для взаимодействия.

Не нужно ждать полного расследования, если уже понятно, что инцидент произошел. Для полного анализа есть следующий этап — дополнительные сведения по результатам внутреннего расследования.

Нужно установить хотя бы предварительно: какие системы затронуты, какие категории данных раскрыты, сколько субъектов может быть затронуто, есть ли специальные категории или данные детей, продолжается ли доступ, приняты ли меры блокировки, кто внутри компании отвечает за расследование. Если часть сведений еще неизвестна, это можно указать как предварительную информацию, но важно не пропустить срок.

После первичного уведомления компания должна провести внутреннее расследование и подготовить дополнительные сведения. Обычно проверяются логи доступа, учетные записи сотрудников, действия подрядчиков, настройки CRM, облачных сервисов, хостинга, почты, прав доступа и резервных копий. Важно установить причину: техническая уязвимость, человеческая ошибка, нарушение сотрудника, действия подрядчика, фишинг, неправильная настройка публичной ссылки.

Публичные сообщения должны быть аккуратными. Нельзя преждевременно утверждать, что «ничего страшного не произошло», если объем утечки еще не установлен. Но и не нужно раскрывать лишние детали, которые помогут злоумышленникам. Коммуникация должна быть согласована с юристом, IT и руководством.

• не фиксировать дату обнаружения инцидента;
• удалять логи и переписку;
• ждать полного расследования и пропустить 24 часа;
• уведомить слишком общими фразами без принятых мер;
• не проверить подрядчиков и бывших сотрудников;
• не ограничить доступ к системе;
• давать разные версии клиентам, СМИ и Роскомнадзору.

После инцидента нужно обновить документы и процессы: доступы, пароли, инструкции, договоры с подрядчиками, порядок резервного копирования, внутренний регламент реагирования и обучение сотрудников. Иначе даже устраненная утечка может показать, что у компании не было достаточных мер защиты.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

Уведомление Роскомнадзора об утечке персональных данных — это отдельная обязанность оператора. Ее нельзя заменить внутренней служебной запиской, письмом клиенту или последующим исправлением уязвимости. Если произошел инцидент, который повлек или мог повлечь нарушение прав субъектов персональных данных, оператор должен действовать быстро и документально.

Сложность в том, что в первые часы компания часто не знает всех деталей. Но закон устроен так, что первичное уведомление направляется быстро, а подробные сведения предоставляются после внутреннего расследования. Поэтому нужен заранее подготовленный алгоритм: кто принимает решение, кто собирает техническую информацию, кто готовит юридический текст, кто отправляет уведомление и кто взаимодействует с Роскомнадзором.

Поводом может быть неправомерная или случайная передача, предоставление, распространение или доступ к персональным данным. Это не только крупный взлом. Ошибочная отправка файла не тому адресату, открытая ссылка на документы, выгрузка базы подрядчиком, доступ бывшего сотрудника, публикация таблицы с клиентами или письмо с открытой копией адресатов тоже могут быть инцидентом.

В первичном уведомлении нужно указать сведения о произошедшем инциденте, предполагаемые причины, предполагаемый вред, меры по устранению последствий и лицо, уполномоченное взаимодействовать с Роскомнадзором. На этом этапе не всегда возможно точно определить количество субъектов или окончательную причину, но важно дать добросовестную предварительную информацию и показать, что оператор начал реагирование.

После первичного уведомления проводится внутреннее расследование. По его результатам нужно предоставить дополнительные сведения: уточненные причины инцидента, последствия, объем затронутых данных, принятые меры, результаты анализа и меры по предотвращению повторения. Если к расследованию привлекается подрядчик или IT-специалист, его выводы должны быть оформлены документально.

• описание инцидента и дата его выявления;
• предварительный перечень затронутых систем;
• категории персональных данных;
• предполагаемое количество субъектов;
• меры, уже принятые оператором;
• сведения о лице для связи;
• план внутреннего расследования;
• документы, подтверждающие ограничение доступа и устранение причины.

Уведомление должно быть точным, но не избыточным. Не стоит указывать неподтвержденные выводы как факт. Если причина еще проверяется, лучше написать, что причина устанавливается. Если объем данных предварительный, это нужно отметить. Но нельзя скрывать уже известные обстоятельства или искусственно занижать масштаб инцидента.

Юрист помогает определить, является ли событие инцидентом, какие сроки применяются, как сформулировать уведомление, какие документы собрать, как выстроить взаимодействие с IT и подрядчиками, какие меры описать и как подготовиться к возможному запросу Роскомнадзора после уведомления.

После направления уведомлений работа не заканчивается. Нужно устранить уязвимость, ограничить доступ, обновить пароли, провести аудит прав пользователей, проверить договоры с подрядчиками, пересмотреть регламент реагирования на инциденты и обучить сотрудников. Если инцидент связан с подрядчиком, нужно отдельно оценить договорную ответственность и возможность предъявления требований.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

Работодатель обрабатывает персональные данные сотрудников каждый день: принимает резюме, оформляет трудовой договор, ведет кадровый учет, начисляет зарплату, передает сведения в государственные органы, хранит документы, ведет табели, оформляет отпуска, больничные и командировки. Поэтому документы по персональным данным работников нужны практически любой компании, даже если у нее нет сложного сайта и клиентской базы.

Особенность кадровых данных в том, что обработка регулируется не только 152-ФЗ, но и трудовым законодательством. Не все действия требуют согласия работника: многие данные обрабатываются для исполнения трудового договора и требований закона. Но это не означает, что работодатель может собирать любые сведения и передавать их кому угодно без документов.

• положение об обработке персональных данных работников;
• приказ о назначении ответственного за организацию обработки персональных данных;
• перечень лиц, имеющих доступ к кадровым данным;
• обязательства о неразглашении для работников с доступом;
• порядок хранения бумажных и электронных документов;
• согласия работников для отдельных целей, где они действительно нужны;
• договоры поручения с внешними обработчиками;
• регламент ответа на запросы работников;
• порядок уничтожения или архивного хранения данных.

Согласие не нужно подменять все основания обработки. Работодатель вправе обрабатывать многие данные для заключения и исполнения трудового договора, ведения кадрового учета, начисления заработной платы и исполнения обязанностей перед государственными органами. Но согласие может понадобиться для передачи данных третьим лицам вне обязательных требований, размещения фото на сайте, публикации информации о сотруднике, оформления добровольных сервисов, некоторых медицинских программ или иных дополнительных целей.

Если согласие нужно, оно должно быть конкретным. Нельзя брать у работника одно универсальное согласие «на все случаи жизни» и затем использовать его для любых передач и публикаций.

Кадровые данные должны быть доступны только тем сотрудникам, которым они нужны для работы: кадровику, бухгалтеру, руководителю, юристу, ответственному за охрану труда, IT-специалисту в части обслуживания систем. Доступ должен быть ограничен, а работники, имеющие доступ, должны понимать обязанность конфиденциальности.

Отдельно нужно проверить электронные папки, облачные диски, общие чаты и таблицы. Частая ошибка — сканы паспортов, трудовых договоров и больничных лежат в общей папке, доступной широкому кругу сотрудников.

Работодатель может передавать данные бухгалтерскому аутсорсеру, кадровому провайдеру, банку, страховой компании, сервису электронного документооборота, медицинской организации, IT-подрядчику. Для каждой передачи нужно определить правовое основание и проверить договор. Если подрядчик обрабатывает данные по поручению оператора, договор должен содержать условия поручения обработки персональных данных.

Резюме кандидатов — тоже персональные данные. Если компания собирает отклики через сайт, почту, мессенджеры или сервисы подбора персонала, нужно указать цель обработки, срок хранения резюме и порядок удаления. Нельзя бесконечно хранить базу кандидатов «на всякий случай» без понятной цели и основания.

• нет положения об обработке персональных данных работников;
• доступ к кадровым данным открыт лишним сотрудникам;
• согласие работника используется вместо анализа законного основания;
• фото и сведения о сотрудниках публикуются без отдельного основания;
• договоры с бухгалтерией и IT не содержат условий о персональных данных;
• резюме кандидатов хранятся бессрочно;
• нет порядка уничтожения и архивного хранения документов.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

Бизнес редко обрабатывает персональные данные полностью внутри компании. Заявки проходят через хостинг, CRM, телефонию, рассылки, бухгалтерию, колл-центр, разработчиков, маркетологов, сервисы записи, платежных агрегаторов и IT-поддержку. Поэтому вопрос передачи персональных данных подрядчику — один из ключевых по 152-ФЗ.

Передача данных подрядчику не всегда запрещена. Но она должна быть оформлена правильно. Если подрядчик действует по поручению оператора, договор должен определять цели обработки, перечень действий с данными, обязанности по конфиденциальности и защите, требования к обработчику, порядок возврата или уничтожения данных и ответственность сторон.

Оператор определяет цели обработки и состав данных. Подрядчик может выполнять отдельные действия: хранить заявки в CRM, обеспечивать хостинг, вести рассылку, принимать звонки, обрабатывать платежи, обслуживать IT-систему, вести кадровый или бухгалтерский учет. В таком случае подрядчик не должен использовать данные в собственных целях, если иное не предусмотрено законно и отдельно не оформлено.

• какие персональные данные передаются;
• цели обработки;
• конкретные действия с данными;
• обязанность соблюдать конфиденциальность;
• меры защиты персональных данных;
• запрет использовать данные в собственных целях;
• условия привлечения субподрядчиков;
• порядок возврата, удаления или уничтожения данных;
• порядок уведомления об инциденте;
• ответственность за нарушение условий обработки.

Фраза «стороны обязуются соблюдать конфиденциальность» не раскрывает поручение обработки персональных данных. Она не определяет цели, действия, сроки, меры защиты и порядок реагирования на утечку. Если произойдет инцидент у подрядчика, оператору будет сложно доказать, что он правильно организовал передачу и контролировал обработку.

Если данные утекли у подрядчика, ответственность перед субъектами и Роскомнадзором может затронуть оператора. Поэтому в договоре нужно предусмотреть обязанность подрядчика немедленно уведомить оператора об инциденте, сохранить доказательства, предоставить информацию для уведомления Роскомнадзора, содействовать внутреннему расследованию и компенсировать убытки при нарушении своих обязанностей.

Если подрядчик находится за рубежом или сервис использует иностранную инфраструктуру, нужно дополнительно проверить трансграничную передачу и локализацию при сборе данных граждан РФ. Обычный договор на SaaS не всегда закрывает требования российского законодательства. Особенно внимательно нужно относиться к зарубежным CRM, почтовым сервисам, аналитике, чатам и облачным хранилищам.

• хостинг и разработчик сайта;
• CRM и сервисы продаж;
• сервисы рассылок и call-tracking;
• бухгалтерский и кадровый аутсорсинг;
• колл-центр и служба поддержки;
• маркетинговое агентство;
• платежный агрегатор;
• облачное хранилище и сервис электронного документооборота.

Нужно составить список всех сервисов и подрядчиков, которые получают доступ к данным. Затем определить, кто из них является самостоятельным оператором, а кто действует по поручению. После этого проверить договоры и пользовательские соглашения сервисов. Если условий недостаточно, нужно подготовить дополнительное соглашение или изменить схему передачи данных.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

CRM и облачные сервисы удобны для бизнеса, но именно они часто создают скрытые риски по 152-ФЗ. Компания видит только форму заявки и карточку клиента, а фактически персональные данные проходят через хостинг, конструктор сайта, CRM, телефонию, мессенджеры, рассылки, аналитику, рекламные пиксели и облачное хранилище. Если эти процессы не отражены в документах, политика и согласия не соответствуют реальности.

Особенно важно проверить, где происходит первичная запись и хранение данных граждан РФ. С 2025 года требования к локализации при сборе персональных данных стали жестче: при сборе персональных данных граждан РФ нельзя использовать базы данных за пределами РФ для ключевых операций записи и хранения, за исключением предусмотренных законом случаев. Это влияет на сайты, CRM, облака, виджеты и зарубежные SaaS.

• CRM: Bitrix24, amoCRM, Tilda CRM и другие системы;
• хостинг и конструктор сайта;
• онлайн-чаты, виджеты обратного звонка, квизы;
• телефония и call-tracking;
• email-рассылки и SMS-сервисы;
• облачные таблицы и хранилища;
• сервисы аналитики и рекламные пиксели;
• мессенджеры и боты;
• сервисы электронного документооборота.

По каждому сервису нужно понять: какие данные он получает, является ли он самостоятельным оператором или обработчиком по поручению, где находятся базы, есть ли трансграничная передача, можно ли удалить данные, кто имеет доступ, есть ли договор или пользовательское соглашение с условиями обработки персональных данных.

Если сервис только технически хранит данные по поручению компании, нужны условия поручения обработки. Если сервис сам определяет цели использования данных, ситуация сложнее: нужно понять, можно ли вообще передавать ему данные и как информировать субъектов.

Пользователь, оставляя заявку на сайте, обычно не знает, что его данные попадут в CRM, Telegram-уведомление, почту менеджера и аналитику. Поэтому политика и согласие должны честно описывать категории получателей или обработчиков. Не обязательно перечислять каждую систему в тексте под формой, но документы должны соответствовать фактическому процессу.

Если используется зарубежный сервис, нужно проверить два блока: трансграничную передачу и локализацию. Трансграничная передача может требовать отдельного уведомления Роскомнадзора. Локализация касается этапа сбора данных граждан РФ и использования баз данных за пределами РФ. Эти вопросы нельзя закрыть одной общей фразой в политике.

На практике риск часто возникает не в официальной CRM, а в бытовых инструментах: менеджеры выгружают заявки в таблицу, пересылают паспорта в чат, хранят документы на личном диске, отправляют клиентскую базу подрядчику в мессенджере. Даже если юридические документы на сайте хорошие, такие действия могут нарушать внутренний порядок обработки и создавать риск утечки.

• составить карту всех сервисов, через которые проходят данные;
• проверить локализацию и трансграничную передачу;
• обновить политику и согласия;
• заключить или дополнить договоры поручения с подрядчиками;
• ограничить доступ сотрудников к CRM и облакам;
• запретить хранение чувствительных документов в личных чатах и таблицах;
• настроить порядок удаления данных по запросу субъекта;
• подготовить план реагирования на инцидент.

CRM должна помогать продажам, а не создавать юридическую уязвимость. Правильная настройка документов и процессов позволяет сохранить удобство работы и одновременно снизить риск претензий Роскомнадзора.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.

Персональные данные давно перестали быть вопросом «разместить политику в подвале сайта». Сейчас даже небольшая компания может столкнуться с требованиями Роскомнадзора, претензией клиента, проверкой сайта, обязанностью уведомить об обработке данных, спором с подрядчиком или последствиями утечки. Поэтому запрос «юрист по персональным данным и 152-ФЗ» обычно возникает не из любопытства, а когда бизнесу нужно привести документы в порядок и снизить риск штрафов.

Под действие 152-ФЗ попадают не только крупные IT-компании. Если на сайте есть форма заявки, запись на консультацию, чат, обратный звонок, регистрация в личном кабинете, рассылка, прием резюме, сбор данных сотрудников или клиентов, бизнес уже работает с персональными данными. При этом важны не только тексты документов, но и фактическая схема обработки: где хранятся данные, кто имеет доступ, какие сервисы подключены, кому передаются сведения и какие действия может подтвердить оператор.

Юрист нужен не только после проверки. Чаще всего помощь требуется заранее: перед запуском сайта, медицинской клиники, онлайн-школы, сервиса записи, интернет-магазина, CRM, чат-бота или рекламной воронки. Чем раньше проверены документы и технические процессы, тем проще избежать ситуации, когда политика на сайте не соответствует реальному сбору данных, согласие объединено с пользовательским соглашением, а уведомление в Роскомнадзор не подано.

• компания собирает заявки через сайт или мессенджеры;
• есть база клиентов, пациентов, учеников, покупателей или подписчиков;
• используются CRM, облачные сервисы, телефония, рассылки, онлайн-чаты и аналитика;
• данные передаются подрядчикам, маркетологам, колл-центру, хостингу или разработчику;
• получено письмо, запрос или требование Роскомнадзора;
• произошла утечка, взлом, ошибочная рассылка или публикация базы;
• нужно подготовить комплект документов по 152-ФЗ для сайта, сотрудников или проверки.

Правильный аудит начинается не с копирования шаблона политики, а с описания процессов. Нужно понять, какие категории данных собираются, у кого именно, на каком основании, для каких целей, сколько хранятся, кому передаются и через какие информационные системы проходят. Только после этого можно готовить документы, которые будут соответствовать реальной работе компании.

Обычно проверяются политика обработки персональных данных, согласия, формы сайта, уведомление в Роскомнадзор, договоры с подрядчиками, локальные акты для сотрудников, порядок обработки обращений субъектов, меры защиты, журналирование инцидентов, регламенты доступа и основания передачи данных третьим лицам. Отдельно смотрятся риски трансграничной передачи и локализации баз данных, если используются зарубежные сервисы или SaaS.

Единого «универсального комплекта» для всех нет. Для сайта с формой заявки нужен один набор, для клиники — другой, для работодателя — третий, для маркетплейса или онлайн-сервиса — четвертый. Но в базовый комплект обычно входят политика обработки персональных данных, согласие на обработку данных, согласие на получение рекламы или рассылки при необходимости, положение об обработке персональных данных, приказ о назначении ответственного, порядок доступа работников к данным, поручения обработчикам и инструкции на случай инцидента.

С 2025 года особенно важно проверять согласия. Согласие на обработку персональных данных должно быть самостоятельным и не должно прятаться внутри пользовательского соглашения, оферты или общего текста «согласен со всем». Для сайта это означает, что чекбокс, ссылка и сам документ должны быть оформлены так, чтобы можно было доказать осознанное и отдельное волеизъявление пользователя.

Самая частая ошибка — документы есть, но они не соответствуют реальности. Например, политика говорит, что данные не передаются третьим лицам, хотя заявки автоматически попадают в CRM, обрабатываются хостингом, отправляются в мессенджер менеджеру и используются для аналитики. Другая типовая ошибка — у сайта есть форма заявки, но нет отдельного согласия, а ссылка ведет только на политику. Еще один риск — отсутствие уведомления в Роскомнадзор, хотя компания обрабатывает данные клиентов и сотрудников с применением автоматизации.

Отдельная зона риска — подрядчики. Если данные получает разработчик, колл-центр, бухгалтерия, CRM-провайдер, сервис email-рассылки или подрядчик по рекламе, договор должен учитывать поручение обработки персональных данных. Иначе оператор остается ответственным перед субъектом, но фактически не контролирует, что с данными делает внешний исполнитель.

До проверки юрист помогает построить документальную и фактическую схему: какие формы использовать, какие согласия поставить, нужно ли подавать уведомление, какие договоры дополнить, как отвечать субъектам данных, что исправить в CRM и кто внутри компании должен отвечать за персональные данные. После претензии или запроса юрист помогает не отвечать лишнего, собрать подтверждающие документы, подготовить правовую позицию и снизить риск привлечения к ответственности.

Важно: задача юриста — не просто «написать политику», а сделать так, чтобы документы, сайт и реальная обработка данных не противоречили друг другу. Именно такие противоречия обычно становятся причиной замечаний.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.