Что изменилось с 1 сентября 2025 года в области персональных данных для онлайн бизнеса?

WhatsApp
Telegram
ВКонтакте
Одноклассники

04.09.2025 19:14

10 мин

144

Интернет право

Согласие теперь — только отдельным документом В своей профессиональной деятельности, я довольно часто получаю вопрос от клиентов

Согласие теперь — только отдельным документом

В своей профессиональной деятельности, я довольно часто получаю вопрос от клиентов “как составить согласие на обработку персональных данных”? Или “у вас же есть “согласие на обработку персональных данных образец” ?

Необходимо учитывать, что форма документа должна учитывать специфику деятельности компании, объем и цели собираемых данных, а также вариант их отзыва пользователем и уничтожения! Невозможно для всех компаний разработать “образец”!

Казус. Поправками к ч. 1 ст. 9 Закона № 152-ФЗ предусмотрено: согласие на обработку персональных данных должно быть оформлено отдельно от иных информации/документов, которые субъект подписывает. Нельзя «спрятать» согласие в оферту, правила сервиса, договор поставки или трудовой договор. Ранее полученные согласия остаются действительными, но новые — только отдельно. Штраф за обработку без надлежащего согласия для юрлиц — до 700 000 ₽ (ч. 2 ст. 13.11 КоАП РФ с учётом изменений 2025 года).

Кейc из практики. Интернет-магазин использовал «коробочный» шаблон оферты, где абзацем 17 было написано «пользователь соглашается на обработку ПДн». С 01.09.2025 оператор оформил новый бланк согласия, но не внедрил его на все формы (оставили старую оферту в виджете обратного звонка). Проверка Роскомнадзора: по заявке «обратного звонка» согласие не отдельное → предписание + штраф по ч. 2 ст. 13.11 КоАП РФ.

Новый режим обезличенных данных и передача в ГИС

Отвечая на вопрос “обработка персональных данных без согласия”? Ведь согласно приказу Роскомнадзора № 140 от 19.06.2025 года, при обезличивании персональных данных, их можно обрабатывать без получении согласия. Могу сказать что это возможно, но при соблюдении определенных параметров:

В каких случаях это возможно: Введена ст. 13.1 152-ФЗ: установлены «составы обезличенных данных», порядок их формирования и обязанность операторов передавать обезличенные ПДн в государственную ИС, определяемую Правительством, по требованию уполномоченного органа (Минцифры/уполномоченный орган по ИТ). Ключевое: корректно обезличенные данные можно обрабатывать без согласия субъекта — при соблюдении правил. С 01.09.2025 действуют новые требования к методам обезличивания.

Кейс из практики. SaaS-платформа обучала модели рекомендаций на пользовательских логах, считая, что «хеш — это уже анонимно». После 01.09.2025 запрос Роскомнадзора: покажите метод обезличивания и результат тестов «невозможности повторной идентификации». Выяснилось, что соль/перечень полей позволяет деанонимизацию при сшивке. Итог: предписание привести метод в соответствие Приказу № 140 и прекратить обработку до исправления.

Штрафы и спецсоставы с 30.05.2025: утечки, неуведомления, «оборотные» наказания

Отвечаю на вопрос : “Какие штрафы за персональные данные 2025” и “Утечка персональных данных, какой штраф мне грозит”?, а также ” Как уведомить Роскомнадзор об утечке?”

Важно! КоАП РФ обновлён: выросли базовые штрафы (например, по общему составу для юрлиц 150–300 тыс. ₽ вместо 60–100 тыс.), введены спецсоставы:

  • неуведомление о намерении обрабатывать ПДн; неуведомление об утечке;
  • собственно утечка (с прогрессией по масштабам и спецкатегориям/биометрии);
  • для повторных утечек — оборотные штрафы (1–3% выручки, но не менее 20 млн и не более 500 млн ₽ — по соответствующим частям). Дела юрлиц/ИП рассматривает арбитражный суд;
  • 50% скидки на штраф больше нет.

Кейс из практики. Маркетплейс не подал уведомление в РКН об обработке ПДн (ст. 22 152-ФЗ) и «всплыл» после утечки Excel-файла с телефонами клиентов. Получил два протокола: за отсутствие уведомления (100–300 тыс. ₽ для юрлица/ИП) и за неуведомление об утечке (1–3 млн ₽), плюс протокол по факту самой утечки — санкции по шкале в зависимости от количества затронутых субъектов.

Что теперь должно быть в «Согласии на обработку персональных данных»

Получение согласия через сайт, не может быть оформлено по “образцу”! Каждый сайт собирает и обрабатывает персональные данные для целей своей деятельности. Поэтому, просто написать в поисковике “согласие на обработку персональных данных образец”, скачать попавшийся текст и разместить его на своем сайте – это ошибка, которая может обойтись очень дорого!

Обязательные требования.

  • Конкретные цели, перечень данных и действий (сбор, запись, систематизация, хранение, уточнение, извлечение, передача и т. д.), срок, перечень третьих лиц/категорий, способы отзыва;
  • Формат — отдельный документ на бумаге или в ЭДО/электронной форме (подписан простой/усиленной ЭП, по правилам). Запрещены «заглушки» вида «на все и сразу».

Кейс из практики. Сервис доставки оформлял согласие «на обработку любых данных для любых целей». Проверка: цели расплывчаты, третий круг лиц не конкретизирован, срок «бессрочно». Предписание: переработать согласия; штраф по ч. 2 ст. 13.11 КоАП РФ.

Политика обработки персональных данных на сайте — обязательна и проверяется

Что важно. Политика (ст. 18.1 152-ФЗ) в открытом доступе: раздел сайта «Политика конфиденциальности»/«Политика обработки персональных данных», фактические процессы, правовые основания, сроки хранения, порядок отзыва согласия, трансграничная передача, куки/идентификаторы. Отсутствие или «шаблон-рыба» — риск штрафа (ч. 3 ст. 13.11 КоАП РФ).

Кейс из практики. Доставщик еды использовал генератор «Политики» без учёта мобильного SDK и пикселей. РКН квалифицировал как недостоверные сведения о целях и получателях → штраф по ч. 3 ст. 13.11 (нарушение обязанностей по размещению корректной политики).

Cookies, пиксели, IDFA/GAID: это персональные данные, если можно идентифицировать пользователя

При сборе и использовании файлов cookkie, также необходимо получать отдельно согласие оформленное отдельно!

Юридический казус. Трекинг-идентификаторы и cookie-файлы часто позволяют определить пользователя/устройство → применяются требования 152-ФЗ:

  • правовое основание (согласие/ст. 6), уведомление РКН (ст. 22), раскрытие в политике, отдельное cookie-согласие (баннер), DPIA/оценка рисков при совместной обработке с зарубежными провайдерами.

Кейс из практики. Ритейл-сеть использовала ретаргетинг и CDP, но не показывала cookie-баннер и не включала в политику перечень трекеров. Запрос РКН → предписание + штраф по ч. 2 и ч. 3 ст. 13.11 КоАП РФ (обработка без согласия и некорректная политика).

Уведомление Роскомнадзора: «подавать должны почти все»

Уведомлять ведомство не нужно, только если работа с данными ведётся вручную, для обеспечения безопасности в сфере транспортного комплекса или с целью поддержания общественного порядка и обеспечения безопасности государства.

Важно. По ст. 22 152-ФЗ оператор до начала обработки обязан уведомить РКН (исключений немного).

  • С 30.05.2025 неуведомление — отдельный состав с крупным штрафом;
  • За неуведомление об утечке — ещё один. Проверьте себя в реестре, актуализируйте сведения (цели/категории/перечень третьих лиц).

Кейс из практики. Небольшой D2C-бренд собирал e-mail для рассылок, но считал «мы маленькие — уведомление не надо». По жалобе потребителя РКН запросил уведомление → отсутствует → протокол по ч. 10 ст. 13.11 КоАП РФ.

Обработчики/подрядчики и передача ПДн третьим лицам

Если стоит задача заключить договор поручения на обработку персональных данных, либо осуществляется передача персональных данных третьим лицам, то договор заключить с перечислением целей и т.д. – необходимо обязательно!

Суть. Любая передача — по договору поручения с чёткими целями, составом данных, мерами защиты; проверяем трансграничную передачу, локализацию (ст. 18 152-ФЗ). В уведомлении РКН указываем категории получателей.

Кейс из практики 2025 года. Интернет-школа выгружала CRM-данные подрядчику-аналитику без договора и без отражения передачи в уведомлении РКН. Итог: предписание, корректировка уведомления, штраф за обработку без правового основания.

Трансграничная передача и локализация

Установлена локализация персональных данных в России.

Суть. Базовая обязанность локализации записи/хранения на территории РФ сохраняется; для трансграничной передачи — правовое основание, уведомление, оценка уровня защиты страны/контрагента, договорные гарантии.

Кейс из практики 2025 года. Сайт использовал зарубежную систему рассылок; база подписчиков хранилась вне РФ без должной локализации. На проверке — предписание вернуть первичную запись на российскую инфраструктуру.

HR-процессы: согласие работников и видео-наблюдение

Новелла “биометрические персональные данные”.

Суть. Для кадровых процессов используйте отдельные согласия (биометрия/видео — отдельно), опишите сроки хранения, круг получателей (аутсорс-бухгалтерия, охрана).

Кейс из практики 2025 года. Склад использовал распознавание лиц без отдельного согласия на биометрию → предписание остановить обработку и оформить отдельные согласия.

E-commerce/маркетинг: чек-лист соответствия 2025

  • Отдельные согласия на ПДн для всех форм (заявки, обратный звонок, рассылка, чат-бот).
  • Cookie-баннер и реестр трекеров (что ставите, кто получатель, на каком основании).
  • Политика ПДн с реальными процессами, а не «рыба».
  • Договоры с обработчиками (CRM-подрядчик, кол-центр, e-mail-сервис).
  • Уведомление РКН: цель/категории/трансграничка — в актуальном виде.
  • Реагирование на инциденты: регламент + форма уведомления РКН об утечке.
  • DPIA/оценка рисков для новых проектов (особенно ИИ/поведенческая аналитика).

Кейс из практики. После аудита интернет-магазин убрал «скрытые согласия», внедрил баннер, прописал SDK, заключил допсоглашения с кол-центром/логистами, подал/обновил уведомление РКН — прошёл контроль без протокола.

Что и как проверяет Роскомнадзор в 2025

  • Наличие отдельного согласия с 01.09.2025.
  • Корректность обезличивания (методы по Приказу № 140).
  • Уведомления (ст. 22 152-ФЗ): подано ли; актуально ли; указан ли перечень получателей.
  • Реакция на утечки и факт уведомления РКН.
  • Политика обработки персональных данных на сайте и соответствие факту.

Как привести документы в порядок (структура «под ключ»)

А. Согласие на обработку персональных данных (отдельный файл)

  1. Точное наименование оператора (ИНН/ОГРН, адрес, контакты DPO/ответственного).
  2. Цели обработки: узкие и проверяемые (например: «обработка заказов в интернет-магазине», «рассылка маркетинговых предложений по e-mail»).
  3. Состав данных по целям (ФИО, e-mail, телефон, адрес доставки, данные заказа; для маркетинга — идентификаторы cookies/IDFA/GAID).
  4. Действия с ПДн (полный перечень из ст. 3 152-ФЗ + трансграничка при наличии).
  5. Получатели (конкретные организации либо категории + ссылки на политику).
  6. Срок хранения/критерии удаления, порядок отзыва.
  7. Подпись: собственноручная или электронная (в т. ч. простая ЭП при надлежащем присоединении).
  8. Связка с политикой/реестром трекеров и уведомлением РКН.

Б. Политика обработки ПДн (для сайта/мобильного приложения)

  • Отдельные разделы по источникам данных (формы, лог-файлы, SDK), правовым основаниям, cookies/пикселям, трансграничной передаче, правам субъектов.
  • Карта обработчиков и перечень категорий получателей.
  • Процедура реализации прав субъекта (доступ, исправление, отзыв, удаление).
  • Сроки хранения по целям + фактические практики архивирования/обезличивания.

В. Договоры с обработчиками/партнёрами

  • Поручение обработки (цели, состав данных, меры защиты, запрет ре-передачи, возврат/удаление по окончании).
  • SLA по инцидентам и утечкам, уведомления в РКН и субъектам.
  • Трансграничные условия и локализация хранения.

Г.  Техпроцедуры

  • Метод обезличивания по Приказу № 140 + протоколы верификации.
  • Регламент управления согласиями (центр предпочтений, логи).
  • План реагирования на утечки (24–72 часа на первичную оценку и уведомления).

Частые вопросы (и короткие ответы)

Нужно ли перевыбирать согласия, выданные до 01.09.2025?
Нет, ранее выданные действуют, но новые должны оформляться отдельно. Проверьте шаблоны на всех точках сбора.

Можно ли использовать обезличенные данные для обучения моделей без согласий?
Да, при корректном обезличивании и соблюдении ст. 13.1; будьте готовы доказать невозможность повторной идентификации.

Что будет, если не подать уведомление в РКН?
Отдельный состав КоАП: 100 000–300 000 ₽ для ИП/юрлиц, плюс риски по другим частям ст. 13.11 при нарушениях.

Если произошла утечка — уведомлять всегда?
Да, теперь за неуведомление — отдельный миллионный штраф; масштаб утечки влияет на размер санкций.

Задайте вопрос всем юристам на сайте
658 юристов отвечают
14 минут среднее время ответа
449 вопросов за сутки
Чеботарев Василий Сергеевич Юрист в Москве Куприянова Ирина Александровна Юрист в Набережные Челнах Дивлекеев Никита Сергеевич Юрист в Чебоксарах Пилипенко Игорь Александрович Юрист в Омске Бударагин Александр Александрович Юрист в Нижнем Новгороде
Опишите ваш вопрос или ситуацию простыми словами. Начните с вопросительных слов, таких как «Что», «Как», «Можно ли» и т.д.

Юридические основания и документы (основные источники)

  • ФЗ от 24.06.2025 № 156-ФЗ: дополнил ч. 1 ст. 9 152-ФЗ требованием отдельного согласия; вступило в силу с 01.09.2025.

  • Материалы РБК/Гарант по новому требованию отдельного согласия и разъяснениям практики.

  • ФЗ от 08.08.2024 № 233-ФЗ: новая ст. 13.1 о составе обезличенных данных и их передаче в государственную ИС; ключевые положения действуют с 01.09.2025.

  • Приказ Роскомнадзора № 140 от 19.06.2025: требования и методы обезличивания (вступил в силу 01.09.2025).

  • ФЗ от 30.11.2024 № 420-ФЗ и актуальная ст. 13.11 КоАП РФ: усиление ответственности с 30.05.2025, спецсоставы, оборотные штрафы.

Почему Вам выгодно делегировать это юристу-практику с ИТ-уклоном

  • Мы не переписываем «рыбу», а проектируем правовые основания из процессов:
    • какие данные, где и зачем Вы берёте;
    • что храните; что передаёте;
    • какие SDK и куки реально стоят в коде.
  • Готовим комплект под проверку РКН: согласия, политика, договоры-поручения, DPIA-шаблон, журнал инцидентов, чек-лист по обезличиванию (Приказ № 140).
  • Настраиваем cookie-баннер и центр предпочтений (consent management) так, чтобы маркетинг не «упал», а риски — да.
  • Разгребаем «хвосты»: подача/актуализация уведомления РКН, реестр обработчиков, трансграничка.

Хотите быстро и «под ключ»? Напишите: подготовлю аудит, приоритетный план исправлений и пакет документов, с которым уверенно проходите проверки и не «ловите» новые штрафы 2025 года.

Примерный «пакет 2025» (что получите на выходе)

  • Политика обработки персональных данных (для сайта и мобильного приложения).
  • Отдельные согласия: клиентское (онлайн-формы), маркетинговое, HR, видео/биометрия, колл-трекинг.
  • Договоры и допсоглашения с обработчиками (CRM, кол-центр, логистика, рассылки, аналитика).
  • Регламенты: управление согласиями, обработка запросов субъектов, план реагирования на утечки.
  • Документы по обезличиванию: метод, обоснование, протокол проверки (Приказ № 140).
  • Подготовка и подача/актуализация уведомления Роскомнадзора (ст. 22 152-ФЗ).
На ваш вопрос может ответить искусственный интеллект

Статья была полезна?

Не нашли ответа? Задайте вопрос юристам

0 Отзывы
Новые
Старые Популярные
Межтекстовые Отзывы
Посмотреть все отзывы

Подобные публикации

Вопросы по теме

  • ПРОДВИЖЕНИЕ МУЗЫКИ В ИНТЕРНЕТЕ

    3 ответа

    ПРОДВИЖЕНИЕ МУЗЫКИ В ИНТЕРНЕТЕ-ТЕМА.
    ЗДРАВСТВУЙТЕ! АВТОР ПЛАТИЛ СРЕДСТВА — ДЕНЬГИ — НА ПРОДВИЖЕНИЕ МУЗЫКИ В ИНТЕРНЕТЕ — НЕ МОНЕТИЗИРОВАЛ ПРИБЫЛИ ОТ КОЛИЧЕСТВА СЛУШАТЕЛЕЙ — ПРОДВИГАЛ СВОЮ АВТОРСКУЮ МУЗЫКУ ДЛЯ ИСКУССТВА И КУЛЬТУРЫ -ЧТО БЫ ЛЮДИ СЛУШАЛИ И ПОЛУЧИЛИ ХОРОШЕЕ ДЛЯ ДУШИ — СЕЙЧАС В СЕНТЯБРЕ ВЫШЛО НОВОЕ ПРАВИЛО О РЕКЛАМЕ — А ТАК КАК АВТОР ЗАКОНОПОСЛУШНЫЙ ЧЕЛОВЕК ГРАЖДАНИН ХОТЕЛОСЬ БЫ ПОЛУЧИТЬ РАЗЪЯСНЕНИЕ ДАЛЬНЕЙШИХ ДЕЙСТВИЙ — СЕЙЧАС АВТОР В СЕНТЯБРЕ ПРЕКРАТИЛ ОПЛАТУ РАЗМЕЩЕНИЯ МУЗЫКИ НА САЙТЕ - ЦИТАТА- ( Что изменится с 1 сентября для компаний, размещающих рекламу в интернете? Их ожидают новые штрафы за распространение рекламы без специальной маркировки. Закон об обязательной маркировке вступил в силу ровно год назад, однако штрафы за его нарушение до сих пор не взимались.

    Согласно правилам, вступившим в силу с 1 сентября 2022 года, вся онлайн-реклама должна быть снабжена уникальным идентификатором, а информация о ней должна быть своевременно направлена в Роскомнадзор. Штрафы для нарушителей — физических лиц составят от 10 тыс. до 30 тыс. руб. в зависимости от вида нарушения, для юридических лиц — от 200 тыс. до 500 тыс. руб.

    Пилипенко Игорь Александрович

    Здравствуйте! Вам надо прочитать и выполнять Приказ Роскомнадзора от 30.11.2022 № 191 "Об утверждении Требований к идентификатору рекламы, его содержанию, порядка и сроков его присвоения, размещения при распространении рекламы в информационно-телекоммуникационной сети "Интернет", хранения и предоставления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций" (Зарегистрировано в Минюсте России 28.12.2022 N 71862).

    Мингазов Юрий Саитгареевич

    За деньги можно подумать.

    Ватолин Александр Иванович

    Поддерживаю позицию Юрия Саитгареевича! Решение данного вопроса требует индивидуального подхода, а это значит, что услуга платная. Если нужна будет помощь, она будет оказана на высшем уровне, но за достойную плату!

  • Вопрос по 152-ФЗ для самозанятого разработчика автоматизаций (n8n, Telegram-боты)

    2 ответа

    Здравствуйте!
    Меня зовут Иван, я самозанятый специалист по автоматизациям.
    Работаю с платформой n8n — это система, которая позволяет автоматизировать бизнес-процессы: интеграции между Telegram-ботами, Google Sheets, CRM и другими сервисами.
    Например:

    клиент пишет в Telegram-бот → данные записываются в Google Sheets → уведомление идёт в CRM или в Telegram менеджеру.
    В некоторых случаях данные пользователей (имя, Telegram ID, телефон, email и т.д.) временно проходят через мои сценарии n8n.

    Я хочу работать полностью по закону и не нарушать 152-ФЗ «О персональных данных».
    Прошу помочь мне разобраться, что именно нужно оформить и как действовать, чтобы всё было правильно юридически.

    ⚖️ Мои вопросы:

    Нужно ли мне уведомлять Роскомнадзор, если я — самозанятый и делаю Telegram-ботов и автоматизации для клиентов?
    Если да — как правильно это сделать?

    Кто является оператором персональных данных в моём случае: я (как разработчик) или клиент (для кого я делаю автоматизацию)?

    Нужен ли мне договор поручения на обработку персональных данных между мной и клиентом, и что в нём должно быть прописано?

    Как оформить согласие пользователя в Telegram-боте, чтобы оно соответствовало требованиям 152-ФЗ (например, кнопка “Согласен”)?
    Какие обязательные пункты нужно включить?

    Можно ли использовать иностранные сервисы (Google Sheets, OpenAI, Airtable и т.д.), если я получаю отдельное согласие на трансграничную передачу данных?

    Как правильно локализовать хранение данных в РФ, если часть логики работает через n8n на моём сервере?
    Достаточно ли, чтобы мой n8n-сервер находился в российском дата-центре (например, Beget или Selectel)?

    Какие документы должны быть у меня, чтобы я соответствовал требованиям 152-ФЗ?
    (Политика конфиденциальности, регламент, журнал обращений, политика защиты ПД и т.д.)

    Какие меры защиты персональных данных мне нужно внедрить как разработчику (пароли, VPN, шифрование, бэкапы и т.д.)?

    Что грозит, если я случайно обработаю ПД без уведомления РКН или без полного пакета документов?
    (Чтобы понимать риски и приоритетность шагов.)

    Лаптев Ярослав Сергеевич

    Добрый день. Могу оказать помощь по данному направлению работы. Сроки, детали можем обсудить, если интересно.

    Малюк Андрей Григорьевич

    Здравствуйте, Иван!

    Спасибо за ваш вопрос. Я рад помочь вам разобраться в сложных юридических аспектах работы с персональными данными. Как специалист в этой области, я понимаю, насколько важно соблюдать все требования законодательства.

    1. Уведомление Роскомнадзора. Да, как оператор или организатор обработки персональных данных, вы должны уведомить Роскомнадзор о начале обработки персональных данных. Для этого необходимо подать уведомление в электронном виде через Единый портал государственных услуг. Я могу помочь вам с подготовкой всех необходимых документов и подачей уведомления в РКН.

    2. Оператор персональных данных. В вашем случае оператором персональных данных является то лицо, которое осуществляет обработку данных. Это может быть как вы (как разработчик), так и клиент (в зависимости от условий договора). Важно чётко определить, кто несёт ответственность за обработку данных в каждом конкретном случае.

    3. Договор поручения на обработку персональных данных. Да, вам необходим договор поручения на обработку персональных данных между вами и клиентом. В договоре должны быть прописаны все условия обработки данных, включая цели, сроки, права и обязанности сторон, а также меры по обеспечению безопасности данных. Я могу помочь вам разработать такой договор, который будет соответствовать всем требованиям законодательства.

    4. Согласие пользователя в Telegram-боте. Согласие пользователя должно быть оформлено в соответствии с требованиями 152-ФЗ. Это может быть кнопка «Согласен» в интерфейсе бота, но важно, чтобы пользователь понимал, какие данные будут обрабатываться и для каких целей. Я могу помочь вам разработать форму согласия, которая будет соответствовать всем требованиям.

    5. Использование иностранных сервисов. Использование иностранных сервисов возможно при наличии отдельного согласия на трансграничную передачу данных. Однако важно учитывать требования законодательства и обеспечивать соответствие обработки данных международным стандартам. Я могу помочь вам разобраться в этих требованиях и разработать соответствующие процедуры.

    6. Локализация хранения данных в РФ. Для обеспечения соответствия требованиям законодательства, данные пользователей должны храниться на территории РФ. Размещение сервера в российском дата-центре может быть одним из способов обеспечения этого требования, но важно учитывать все аспекты. Я могу помочь вам разработать стратегию локализации хранения данных.

    7. Необходимые документы. Для соответствия требованиям 152-ФЗ у вас должны быть следующие документы: политика конфиденциальности, регламент обработки персональных данных, журнал обращений, политика защиты персональных данных и другие документы, необходимые для обеспечения соответствия. Я могу помочь вам разработать все необходимые документы.

    8. Меры защиты персональных данных. Вы должны внедрить меры по обеспечению безопасности персональных данных, включая использование паролей, VPN, шифрования, бэкапов и других средств. Я могу помочь вам разработать комплексную систему защиты данных.

    9. Риски и последствия. Невыполнение требований законодательства может привести к штрафам и другим санкциям. Я могу подробно рассказать вам о возможных рисках и помочь разработать стратегию минимизации этих рисков.

    Я готов предоставить вам более подробную информацию и помочь с подготовкой всех необходимых документов. Если вам потребуется юридическая помощь, я буду рад предложить свои услуги. Пожалуйста, свяжитесь со мной для обсуждения деталей.

  • Сайт должен запрашивать согласие пользователя на то что используются cookie?

    2 ответа

    Cайт (ИМ) должен по закону в обязательном порядке запрашивать согласие пользователя что на сайте используются cookie?
    На многих сайтах видел внизу строку или баннер с предупреждением и крестиком чтобы одобрить и закрыть предупреждение.
    Если обязательно, то как предупреждать пользователя? Строчка, баннер?

    Лагодич Евгений Владимирович

    В 2018 году в Европе появился регламент по защите личной инфо в интернете - GDPR, согласно которому пользователи получают доступ к личным данным и самостоятельно контролируют сбор и использование. После принятия документа сайты и стали спрашивать о файлах cookie. В России их сбор регулирует закон No152-ФЗ "О персональных данных".

    Таким образом как Вы будете уведомлять это особо не Важно, главное, чтобы уведомление было четким и хорошо читаемым.

    Радостева Анфиса Михайловна

    Иван, добрый день! Если у вас настроены cookies на сайте то строка уведомления об этом с согласием/несогласием (для посетителя сайта) обязательна!

  • Нужно ли в cookie-банере делать кнопки Принять/Отказаться согласно новым правкам 152-ФЗ?

    2 ответа

    Здравствуйте! Нужно ли в cookie-банере делать кнопки "Принять/Отказаться" в связи с новыми правками в 152-ФЗ?

    Некоторые юристы на данном портале пишут, что нужно и ссылаются на правку в 152-ФЗ, в котором указано обязательное наличие кнопок «Принять всё» / «Отклонить всё» (или аналогичных) в баннере о cookies. Это следует из п. 8.1 ст. 10.1 152-ФЗ (в ред. ФЗ №266-ФЗ от 02.07.2021) и Разъяснений Роскомнадзора №07-об/дги-11030 от 30.08.2023.

    Но, я прочитал закон и не нашел там таких тезисов. И так не могу понять, нужно или нет?

    Буду очень благодарен за развернутый ответ.

    Решетникова Ольга Николаевна

    Да, согласно изменениям в 152-ФЗ, необходимо включить в cookie-баннер кнопки "Принять всё" и "Отклонить всё" для управления согласиями пользователя. Это требование поддержано Роскомнадзором.

    Малюк Андрей Григорьевич

    Здравствуйте!

    Спасибо за ваш вопрос. Я понимаю, что эта тема может вызывать много вопросов и обсуждений. Действительно, в последнее время в законодательство вносятся изменения, и важно быть в курсе всех обновлений.

    Согласно Федерального закона № 266-ФЗ от 02.07.2021, действительно существуют определённые требования к информированию пользователей о сборе и использовании их персональных данных, включая данные, получаемые через cookies. Однако, как вы правильно заметили, в самом законе не содержится прямого указания на необходимость наличия именно кнопок «Принять всё» и «Отклонить всё».

    Тем не менее, для точного понимания всех требований и правильного оформления cookie-баннера, рекомендую обратиться к официальным разъяснениям Роскомнадзора.

    Я готов помочь вам разобраться в этом вопросе более подробно и предоставить профессиональную юридическую консультацию. Буду рад ответить на все ваши вопросы и помочь вам разобраться в этой ситуации. Обращайтесь ко мне за платной юридической помощью, и мы вместе найдём оптимальное решение для вашего проекта.

  • Необходимость включения в cookie-баннер кнопки \"Принять всё\" и \"Отклонить всё\"

    1 ответ

    Добрый день! Подскажите вырезку/номер/ссылку из рекомендаций РКН о необходимости включения в cookie-баннер кнопки "Принять всё" и "Отклонить всё" для управления согласиями пользователя.

    Спасибо!

    Колоколов Евгений Константинович

    Здравствуйте. Прямой обязанности иметь именно кнопки «Принять всё»/«Отклонить всё» в рекомендациях Роскомнадзора нет. См. «Рекомендации Роскомнадзора по обработке персональных данных при использовании файлов cookie» — в них указано требование информированного согласия и обеспечения возможности отказа/управления соглашениями. Найдёте на сайте rkn.gov.ru в разделе «Документы/Рекомендации» (по запросу «cookie»).

  • Политика конфиденциальности

    4 ответа

    Как найти юриста который проведет аудит сайта и составит пользовательское соглашение/публичную оферту и политику конфиденциальности?
    сайт предоставляет услуги по подписке.

    Пименов Дмитрий Юрьевич

    Здравствуйте, готов подготовить Вам документы. Срок от 24 до 48 часов.

    С уважением, Дмитрий

    Радостева Анфиса Михайловна

    Добрый день! Могу помочь, провести аудит бесплатно, за вознаграждение подготовить публичную оферту или пользовательское соглашение (в зависимости от того, что какие именно услуги предоставляете).

    Пушкарева Елена Анатольевна

    Здравствуйте. Просто. Использовать ресурсы данного сайта по городам или по активности юристов.

    Ким Галина Владимировна

    Здесь много юристов - с кем "сойдетесь" (понимание друг друга + цена работы, сроки)

  • Разработка универсального пакета документов для сайта

    3 ответа

    Нам необходим пакет документов для сайта - политика конфиденциальности, согласие на рассылку и обработку данных и другие документы, которые будут необходимы. Сколько стоит? И что внутри? Нам нужны хорошие, актуальные документы

    Радостева Анфиса Михайловна

    Добрый день, Лидия! Могу Вам помочь с составлением документов. Опыт есть. По стоимости ориентировочно политика конфиденциальности - 8.000 руб., также необходимы для сайта: оферта (8.000 руб.) и/или пользовательское соглашение (5.000 руб.). Согласие на рекламную рассылку и согласие на обработку перс.данных подготовлю бесплатно. Если что, пишите в любой мессенджер по телефону в профиле!

    Пушкарева Елена Анатольевна

    Здравствуйте.

    Если нужны хорошие, с наделжашщим качеством, то они разрабатываются с учётом всех индивидуальных особенностей и с учётом защиты ваших интересов.

    Содержание, условия, редакция документов обсуждается в индивидуальном порядке

    Кайдаш Александр Владимирович

    Здравствуйте, пишите, сделаем. Мой сайт вам для примера.

  • Вопрос по 152-ФЗ для самозанятого разработчика автоматизаций (n8n, Telegram-боты)

    2 ответа

    Здравствуйте!
    Меня зовут Иван, я самозанятый специалист по автоматизациям.
    Работаю с платформой n8n — это система, которая позволяет автоматизировать бизнес-процессы: интеграции между Telegram-ботами, Google Sheets, CRM и другими сервисами.
    Например:

    клиент пишет в Telegram-бот → данные записываются в Google Sheets → уведомление идёт в CRM или в Telegram менеджеру.
    В некоторых случаях данные пользователей (имя, Telegram ID, телефон, email и т.д.) временно проходят через мои сценарии n8n.

    Я хочу работать полностью по закону и не нарушать 152-ФЗ «О персональных данных».
    Прошу помочь мне разобраться, что именно нужно оформить и как действовать, чтобы всё было правильно юридически.

    ⚖️ Мои вопросы:

    Нужно ли мне уведомлять Роскомнадзор, если я — самозанятый и делаю Telegram-ботов и автоматизации для клиентов?
    Если да — как правильно это сделать?

    Кто является оператором персональных данных в моём случае: я (как разработчик) или клиент (для кого я делаю автоматизацию)?

    Нужен ли мне договор поручения на обработку персональных данных между мной и клиентом, и что в нём должно быть прописано?

    Как оформить согласие пользователя в Telegram-боте, чтобы оно соответствовало требованиям 152-ФЗ (например, кнопка “Согласен”)?
    Какие обязательные пункты нужно включить?

    Можно ли использовать иностранные сервисы (Google Sheets, OpenAI, Airtable и т.д.), если я получаю отдельное согласие на трансграничную передачу данных?

    Как правильно локализовать хранение данных в РФ, если часть логики работает через n8n на моём сервере?
    Достаточно ли, чтобы мой n8n-сервер находился в российском дата-центре (например, Beget или Selectel)?

    Какие документы должны быть у меня, чтобы я соответствовал требованиям 152-ФЗ?
    (Политика конфиденциальности, регламент, журнал обращений, политика защиты ПД и т.д.)

    Какие меры защиты персональных данных мне нужно внедрить как разработчику (пароли, VPN, шифрование, бэкапы и т.д.)?

    Что грозит, если я случайно обработаю ПД без уведомления РКН или без полного пакета документов?
    (Чтобы понимать риски и приоритетность шагов.)

    Лаптев Ярослав Сергеевич

    Добрый день. Могу оказать помощь по данному направлению работы. Сроки, детали можем обсудить, если интересно.

    Малюк Андрей Григорьевич

    Здравствуйте, Иван!

    Спасибо за ваш вопрос. Я рад помочь вам разобраться в сложных юридических аспектах работы с персональными данными. Как специалист в этой области, я понимаю, насколько важно соблюдать все требования законодательства.

    1. Уведомление Роскомнадзора. Да, как оператор или организатор обработки персональных данных, вы должны уведомить Роскомнадзор о начале обработки персональных данных. Для этого необходимо подать уведомление в электронном виде через Единый портал государственных услуг. Я могу помочь вам с подготовкой всех необходимых документов и подачей уведомления в РКН.

    2. Оператор персональных данных. В вашем случае оператором персональных данных является то лицо, которое осуществляет обработку данных. Это может быть как вы (как разработчик), так и клиент (в зависимости от условий договора). Важно чётко определить, кто несёт ответственность за обработку данных в каждом конкретном случае.

    3. Договор поручения на обработку персональных данных. Да, вам необходим договор поручения на обработку персональных данных между вами и клиентом. В договоре должны быть прописаны все условия обработки данных, включая цели, сроки, права и обязанности сторон, а также меры по обеспечению безопасности данных. Я могу помочь вам разработать такой договор, который будет соответствовать всем требованиям законодательства.

    4. Согласие пользователя в Telegram-боте. Согласие пользователя должно быть оформлено в соответствии с требованиями 152-ФЗ. Это может быть кнопка «Согласен» в интерфейсе бота, но важно, чтобы пользователь понимал, какие данные будут обрабатываться и для каких целей. Я могу помочь вам разработать форму согласия, которая будет соответствовать всем требованиям.

    5. Использование иностранных сервисов. Использование иностранных сервисов возможно при наличии отдельного согласия на трансграничную передачу данных. Однако важно учитывать требования законодательства и обеспечивать соответствие обработки данных международным стандартам. Я могу помочь вам разобраться в этих требованиях и разработать соответствующие процедуры.

    6. Локализация хранения данных в РФ. Для обеспечения соответствия требованиям законодательства, данные пользователей должны храниться на территории РФ. Размещение сервера в российском дата-центре может быть одним из способов обеспечения этого требования, но важно учитывать все аспекты. Я могу помочь вам разработать стратегию локализации хранения данных.

    7. Необходимые документы. Для соответствия требованиям 152-ФЗ у вас должны быть следующие документы: политика конфиденциальности, регламент обработки персональных данных, журнал обращений, политика защиты персональных данных и другие документы, необходимые для обеспечения соответствия. Я могу помочь вам разработать все необходимые документы.

    8. Меры защиты персональных данных. Вы должны внедрить меры по обеспечению безопасности персональных данных, включая использование паролей, VPN, шифрования, бэкапов и других средств. Я могу помочь вам разработать комплексную систему защиты данных.

    9. Риски и последствия. Невыполнение требований законодательства может привести к штрафам и другим санкциям. Я могу подробно рассказать вам о возможных рисках и помочь разработать стратегию минимизации этих рисков.

    Я готов предоставить вам более подробную информацию и помочь с подготовкой всех необходимых документов. Если вам потребуется юридическая помощь, я буду рад предложить свои услуги. Пожалуйста, свяжитесь со мной для обсуждения деталей.

  • Персональные данные

    3 ответа

    Добрый день. Я как физическое лицо разрабатываю информационную систему, в которой планируется хранение и обработка персональных данных, среди которых будет ФИО и E-mail. Очень долгое время в системе не планируется большое количество пользователей, их будет менее тысячи. Имею ли я право расположить сервер, на котором будет происходить обработка вне РФ, например в Финляндии? Там достаточно удобно арендовать облако для своих разработок.
    А в случае если будет только e-mail, а вместо ФИО выдуманный никнейм?

    Никитина Вера Андреевна

    Добрый вечер. Вы можете расположить сервер для сбора персональных данных на иностранном сервере. Но вам нужно будет обязательно брать с каждого пользователя согласие на трансграничную передачу данных. А также на сайте помимо этого необходимо иметь политику конфиденциальности и согласие на обработку и хранение ПС. Если вам необходимо разработать данные документы под ваш сайт - напишите мне, я специализируюсь в интеллектуальном праве (интернет-праве).

    Великанов Юрий Андреевич

    Расположить можете где угодно. По российскому законодательству ответственность перед пользователями несете вы. А потом уже если вдруг ваши финские товарищи "сольют" базу ВАШИХ клиентов - то и отвечать придется Вам.

    А там хоть и есть у нас презумпция невиновности, все равно придется по факту доказывать что ваша вина отсутствует. Так как вы обязаны располагать данные на надежных серверах не допускающих нарушение законодательства о персональных данных.

    С уважением, Великанов Юрий Андреевич

  • MAC-адрес абонента

    2 ответа

    Здравствуйте, сохраняется ли MAC-адрес абонента у интернет провайдера. Срок хранения MAC-адреса абонента у интернет провайдера. Обязан ли интернет провайдер выдать абоненту информацию о MAC-адресе за какой-то период, по письменному запросу абонента. Каким документом регламентирован данный вопрос. Прошу уточнить, пожалуйста.

    Колоколов Евгений Константинович

    Здравствуйте,

    Для домашнего интернета закон не требует фиксировать MAC-адрес, провайдер хранит его в своих RADIUS-логах столько, сколько ему нужно (часто 3-12 мес.).
    Для общественного Wi-Fi ПП РФ № 758 к ФЗ-126 «О связи» предписывает хранить MAC не менее года.
    Давать эти данные абоненту оператор не обязан; их выдают только правоохранителям по запросу.

    Прозорова Наталья Александровна

    Интернет провайдеры технически могут сохранять MAC адреса абонентов, поскольку эти данные используются для идентификации подключаемых к сети устройств.Срок хранения MAC адресов законодательно не регламентирован и определяется внутренней политикой провайдера.
    В отдельных случаях провайдеры используют привязку авторизации к MAC адресу, что требует его регистрации в системе. Прямого законодательного требования к провайдерам выдавать абонентам информацию о MAC адресах за определённый период не существует.
    Однако согласно ФЗ № 152 ФЗ «О персональных данных», абонент вправе запросить информацию о обрабатываемых оператором данных, если они относятся к персональным.
    Сам по себе MAC адрес не является персональными данными, но в сочетании с другой информацией (геолокация, cookie и т. П.) может стать их частью.Основным нормативным актом, регулирующим деятельность операторов связи, является ФЗ № 126 ФЗ «О связи».Правила оказания услуг связи, включая идентификацию пользователей и оборудования, регламентируются Постановлением Правительства РФ от 31.12.2021 № 2606. Для получения информации о своём MAC адресе рекомендуется направить провайдеру официальный письменный запрос, ссылаясь на право доступа к персональным данным. Перед обращением стоит изучить договор с провайдером — в нём могут быть прописаны условия обработки и предоставления таких данных. При отказе провайдера в предоставлении информации абонент вправе обратиться в Роскомнадзор или в суд для защиты своих прав.


Мы используем cookie, чтобы сайт работал лучше