6 августа 2025 г.

С 2025 года Роскомнадзор ужесточил контроль за сайтами и теперь использует автоматическую проверку на базе ИИ. Это значит, что под прицелом абсолютно все компании, которые собирают ПДн через Интернет. Как отследить, насколько соответствует компания требованиям 152-ФЗ, объяснила Мария Уханова, консультант по защите персональных данных компании Б-152.

Как быстро выявить нарушения в бизнесе?

В первую очередь проверьте сайт компании, так как именно там чаще всего встречаются типичные ошибки.

Самая распространённая проблема — отсутствие ссылок на согласие на обработку ПДн, а также на политику в формах сбора или в футере сайта. Или эти документы есть, но без конкретики: сведения неполные или неактуальные, не указаны цели обработки, сроки хранения или третьи лица, которым передаются данные.

Неудобный доступ к политике — это тоже нарушение. Например, если ссылка на документ спрятана в подвале сайта мелким шрифтом, с ним нельзя ознакомиться, его невозможно скачать или распечатать. Нельзя ставить галочку согласия по умолчанию, человек должен кликнуть по форме сам. Важно дать возможность пользователям выразить явное согласие на обработку его данных.

Избыточные данные собирать незаконно — например, при оформлении заказа на шкаф не нужны паспортные данные или реквизиты счёта. Убедитесь, что вы просите заполнить только те поля, о которых говорите в политике и согласии и которые вам необходимы для реализации цели. Проверьте все формы сбора данных:

  • регистрация аккаунта,

  • получение консультации,

  • заказ товаров и услуг,

  • публикация отзывов,

  • подписка на маркетинговые рассылки.

Если нельзя отказаться от маркетинговых рассылок — это тоже нарушение. В 2025 году нужно очень осторожно работать с отзывами . Пользователей обязательно нужно предупреждать о том, что отзыв будет размещен в открытом доступе, а их имена и контакты можно публиковать только после получения согласия.

Cookie-файлы тоже относятся к персональным данным, поэтому с ними связаны ещё 3 нарушения.

  • Отсутствует баннер или всплывающее окно с запросом согласия на использование cookies.

  • Пользователь не может отказаться от необязательных cookies — аналитических или рекламных данных.

  • Нет чёткого объяснения, какие именно данные собираются и для чего.

Нарушения, не связанные с сайтом

Вы неправильно работаете с ПДн в 4 случаях.

  1. Нет разграничения доступа к ПДн по отделам и должностям — их может посмотреть или скопировать любой сотрудник.

  2. Документы с ПДн хранятся на открытых полках, так как есть риск несанкционированного доступа

  3. Документы по ПДн сделаны для галочки и не соответствуют действительности. Например, не совпадают тип собираемых данных, цели, сроки хранения и т. д.

  4. Компания не подавала или не обновляла уведомление в Роскомнадзор об обработке персональных данных.

Что делать для минимизации рисков?

Проведите аудит текущего состояния самостоятельно или с привлечением внешних специалистов, чтобы выявить все несоответствия, риски и уязвимости, а также оценить критичность каждого нарушения и определить приоритеты

Обновите и приведите в порядок документы и процедуры.

  • Внутренние документы по обработке и защите персональных данных, в т. ч. Политику конфиденциальности, Положение, Инструкцию ответственного за обработку и защиту ПДн в компании.

  • Уведомление в Роскомнадзор.

  • Формы согласий.

  • Поручения на обработку ПДн подрядчиками.

Организуйте контроль доступа и хранения данных. Для этого определите, кому из сотрудников доступ к ПДн необходим для работы и к каким именно сведениям. Остальным не выдавайте пароли и ключи. Файлы и документы с ПДн храните в защищённых местах, куда не могут зайти посторонние или сотрудники без права доступа.

Помните, что процессы в компании и требования законодательства подвижны, непостоянны. Поэтому периодически проверяйте актуальность документов, процессов, чтобы вовремя обнаружить и устранить риски.

Источник: Мария Уханова, консультант по защите персональных данных компании Б-152