Марина собрала 78 заявок с квиза — и попала под проверку Роскомнадзора

Марина — маркетолог на фрилансе. Ведёт рекламу для экспертов и онлайн-школ. Один из её заказчиков — детский психолог. Вместе они запустили рекламную кампанию и собрали сайт с квизом: «Ответьте на 5 вопросов — получите план развития ребёнка». Люди оставляли имя, телефон и e-mail. За первую неделю пришло 78 заявок — кампанию решили масштабировать.

Спустя несколько дней один из родителей зашёл на сайт, чтобы уточнить, как обрабатываются его данные. Но не нашёл ни политики конфиденциальности. Ни условий работы. Накатал жалобу.

Заказчик получил официальный запрос от Роскомнадзора. Кинулись собирать документы, а показывать нечего. Нет ни регистрации как оператора персональных данных. Ни чекбокса под формой. Таблица с заявками лежит в общем доступе. Доступ к базе есть у подрядчиков, с которыми даже договор не подписывали. Данные пересылали в рекламные системы — без согласия и поручения.

На руках — письмо от РКН и 10 рабочих дней на официальный ответ. А в компании нет юриста.

В этой статье — что именно нужно подготовить, чтобы не получить штраф от Роскомнадзора. Какие документы запрашивают при проверке, как отвечать на запрос и что сделать, чтобы проверку не начали вообще.

Сколько есть времени на ответ

На запрос Роскомнадзора нужно ответить в течение 10 рабочих дней — так указано в ст. 20 закона № 152-ФЗ. Продлить срок ещё на 5 рабочих дней можно, если сразу направить мотивированное уведомление.

Что именно считать «мотивом» — не объясняется. Но проверяющие ждут конкретики: ссылки на документы, внутренние приказы, копии писем с запросами. Например, можно приложить приказ о проведении внутренней проверки, указать даты сбора информации или сослаться на официальное обращение к подрядчику, если часть данных находится у него.

Если не ответить в срок или проигнорировать запрос — будет штраф.

С чего начать

Зарегистрируйтесь как оператор персональных данных. Это необходимо, если вы хоть как-то работаете с данными пользователей: собираете, храните, передаёте, анализируете или даже просто получаете доступ к информации о человеке.

Обработка происходит, например, когда человек оставляет заявку, заполняет квиз, подписывается на рассылку, или просто заходит на сайт с подключённой Метрикой или cookie. Даже если вы не сохраняете эти данные у себя, но они проходят через ваш сайт — вы уже оператор.

Штраф: для самозанятых от 5 000 до 10 000 ₽; для ИП и юр. лиц от 100 000 до 300 000 ₽.

Проверьте формы. Под формой должен быть чекбокс: пользователь сам ставит галочку и подтверждает согласие. Текст рядом — понятный и короткий. Например: «Я согласен на обработку персональных данных». Внутри этой фразы — ссылка на отдельную страницу с условиями. Если вы спрячете текст, поставляете галочку по умолчанию или не добавите ссылку — Роскомнадзор это засчитает как нарушение.

Штраф, если нет согласия под формой: для граждан (самозанятых) от 10 000 до 15 000 ₽; для ИП - от 50 000 до 100 000 ₽; для юридических лиц - от 150 000 до 300 000 ₽.

Пример:

Не забудьте про cookie. При первом заходе на сайт покажите всплывающее окно или баннер, где пользователь сможет принять или отклонить сбор данных. Уведомление должно сообщать, что вы используете сторонние сервисы — например, Яндекс Метрику. Использовать сервис Google Analytics в России запрещено. Google Формы, кстати, тоже. За них компания может получить штраф до 6 000 000 ₽.

По умолчанию сайт собирает только технические cookie — те, которые нужны для авторизации, оформления заказа или сохранения пользовательских настроек. Для сбора аналитики, рекламы и других необязательных данных нужно получить согласие. Предложите пользователю выбор: принять все cookie или выбрать только необходимые. Это можно реализовать через кнопки «принять всё» и «настроить».

Штраф, если нет согласия на сбор cookie: для граждан (самозанятых) от 10 000 до 15 000 ₽; для ИП — от 50 000 до 100 000 ₽; для юридических лиц — от 150 000 до 300 000 ₽.

Документы

Когда приходит запрос от Роскомнадзора, проверяют не только сайт, но и то, как выстроена работа с данными внутри. Отсутствие договоров, приказов или согласий — основание для штрафа. Вот какие документы запрашивают в первую очередь:

— Политика конфиденциальности. Описывает, какие данные собираются, зачем и на каком основании. Указывает способы и сроки хранения, перечень третьих лиц, которым передаются данные, и порядок отзыва согласия.

— Согласие на обработку данных. Может быть отдельным документом или частью политики. Включает перечень данных, цель и срок обработки, передачу третьим лицам и способ отзыва согласия — например, через форму на сайте или по email.

— Договор с подрядчиком. Обязателен, если вы передаёте базу внешнему специалисту — например, таргетологу, разработчику или администратору. В договоре фиксируют объём данных, цели обработки, распределение ответственности и ограничения по использованию.

— Приказ о назначении ответственного. Документ, в котором директор закрепляет, кто в компании отвечает за организацию обработки данных. Этот сотрудник контролирует доступы, сроки хранения и действия в случае утечки. Для ИП такой приказ не нужен.

— Приказ о допуске и инструкция. Если с базой работают другие сотрудники. В приказе указывают, кто получил доступ и с какой даты. В инструкции — как обращаться с данными, что считается нарушением и что делать при инциденте.

Политика конфиденциальности

Политику размещают на отдельной HTML-странице. Ссылки на PDF, облачные документы или доступ по запросу — не подходят. Пользователь должен легко найти и открыть документ с любого устройства.

Разместите ссылку в подвале на всех страницах сайта, а также рядом с каждой формой, где вы собираете данные. Ваша задача — показать, что документ доступен и открыт. Если его сложно найти или он не открывается — это нарушение.

Формулировки в политике должны быть конкретными. Например: «Компания собирает имя, телефон и e-mail для обратной связи и отправки материалов». Если используются сторонние сервисы — например, Метрика, пиксели, CRM или сервис рассылок — в документе указывают, какие данные они получают и с какой целью. Если компания передаёт данные подрядчикам — маркетологу, разработчику или администратору, — в политике прописывают, кому именно, в каком объёме и на каких условиях.

Также в документе описывают, как пользователь может отозвать согласие: через форму на сайте или по e-mail. Этот пункт обязателен.

Штраф за отсутствие политики конфиденциальности — для физлиц от 1 500 до 3 000 ₽; для ИП от 10 000 до 20 000 ₽; для юрлиц от 30 000 до 60 000 ₽.

Составить политику можно тремя способами: адаптировать под себя готовый шаблон, собрать текст в конструкторе или написать документ под себя с юристом. В первых двух вариантах нужно уточнить цели обработки, перечень данных, способы хранения и условия передачи.

Конструктор политики обработки персональных данных

Шаблон Бизнес-Секретов

Генератор политики обработки данных

Согласие на обработку данных

Согласие работает если пользователь понимает, на что именно соглашается, и подтверждает это действием. Всё остальное — формальность, которую легко оспорить.

Под каждой формой сбора данных размещают чекбокс. Рядом — фраза с активной ссылкой: либо на политику конфиденциальности, если условия согласия описаны там, либо на отдельную страницу с полным текстом. Галочку пользователь должен поставить сам — до отправки формы. Если она отмечена по умолчанию, такое согласие считается недействительным.

Если согласие оформляется как отдельный документ, в нём указывают: кто получает данные, зачем они обрабатываются, какие поля собираются, какие действия выполняются, кому информация передаётся, как долго она хранится, как пользователь может отозвать согласие.

Шаблон Роскомнадзора

Договор поручения при работе с подрядчиками

Нужен тем кто передаёт персональные данные третьему лицу. Например, маркетологу, разработчику или администратору. Без него такая передача считается нарушением, даже если подрядчик просто выгружает заявки из формы или настраивает рекламу.

С 30 мая 2025 года штрафы за отсутствие таких документов увеличиваются: до 300 000 ₽ для юрлиц и до 100 000 ₽ — для ИП.

В документе указывают, какие данные передаются и с какой целью подрядчик их обрабатывает. Описывают, какие действия он выполняет — хранение, выгрузка, настройка рекламы. Обязательно фиксируют срок обработки, меры защиты, запрет на передачу третьим лицам и порядок действий при отзыве согласия. После завершения работ подрядчик либо удаляет данные, либо возвращает их оператору — в зависимости от условий договора.

Приказ о назначении ответственного

Нужен, если с персональными данными работают сотрудники компании. В документе указывают, кто именно получает доступ, с какой даты и на каком основании начинает работу с базой.

К приказу обязательно прикладывают инструкцию. В ней описывают:

• какие данные может обрабатывать сотрудник — например, заявки, анкеты или обращения в почте;
• откуда он получает доступ — из CRM, таблиц, мессенджеров или e-mail;
• какие действия имеет право выполнять — просматривать, редактировать, выгружать, удалять.

Также в инструкции фиксируют, что считается нарушением — например, передача базы третьим лицам, выгрузка на личное устройство, хранение без шифрования. Отдельно прописывают, что делать при утечке или ошибке: кому сообщить, что зафиксировать и как приостановить доступ.

Инструкцию подписывает каждый сотрудник с доступом. При проверке это один из ключевых документов: он подтверждает, что доступ ограничен и вы контролируете работу с персональными данными.

Почему не стоит откладывать

Не стоит надеяться, что проверка вас не коснётся. Роскомнадзор использует автоматические системы: они находят сайты и формы, где собираются персональные данные — даже без жалоб. А формальным поводом может стать что угодно: пользователь пожаловался, конкурент решил надавить, сотрудник случайно открыл доступ к таблице с заявками.

Если к моменту проверки вы не зарегистрированы как оператор и не оформили документы — это уже нарушение. Даже если до этого всё работало спокойно и никто не жаловался.