31 марта 2026 г.
Согласно исследованиям рынка персональных данных в России, которые проводятся уже шестой год подряд, ИТ-компании — это те, кто наиболее подвержен рискам в части персональных данных и утечек, и одновременно те, кто больше всех вкладываются в выстраивание нормальной системы защиты данных. Рассмотрим типичные ошибки, которые встречаются как в собственной деятельности ИТ-компаний, так и в проектах их клиентов, и разберем, как их предотвратить.
Откуда берутся риски
Прежде чем говорить об ошибках, важно понять природу рисков. Основных источников два.
Первый — Роскомнадзор (РКН). Надзорный орган ежегодно анализирует десятки тысяч сайтов на соответствие законодательству о персональных данных без предварительного взаимодействия с компанией (рис. 1).
По итогам проверки компания получает письмо с перечнем нарушений и сроком на их устранение. Как вы видите, на 4 из 5 сайтов находятся нарушения.
Параллельно проводятся так называемые профилактические мероприятия: Роскомнадзор проводит звонок или выезжает (большая редкость) и запрашивает документацию, проверяет ее и выносит предписания об устранении нарушений без штрафов. Если компания в установленный срок не исправит нарушения, там уже могут быть штрафы.
Список компаний, у кого планируется такой профилактический визит, публикуются на сайтах территориальных органов РКН, например тут. Бывает, что публикуются в виде сложно читаемых сканов.
Второй источник рисков — жалобы и утечки. Жалобы могут поступать в РКН от физических лиц (особенно это актуально для B2C-сервисов), а также напрямую к вам. Если не ответите, то может подключиться Роскомнадзор и направить к вам запрос информации.
Утечки надзорный орган отслеживает через сервисы Минцифры, где есть в том числе мониторинг Даркнета. Если данные оказались в открытом доступе, компании может прийти запрос от того же Роскомнадзора. Запросят: была ли утечка, подано ли уведомление об утечке в установленные сроки (24 часа) и насколько своевременно.
Рынок становится все более осведомленным: люди активно пользуются правами субъектов персональных данных, и запросы могут поступать не только от клиентов, но и от нынешних или бывших сотрудников.
Ошибки на внешнем контуре: сайты и мобильные приложения
Именно здесь риск наиболее высок, поскольку сайты и приложения проверяются регулятором в первую очередь (посмотрите на цифру на изображении выше).
Ошибка 1. Нарушение требования локализации
Роскомнадзор проверяет где физически расположен сайт по IP-адресу. Если сервер находится за рубежом, это расценивается как нарушение требований локализации персональных данных (даже если используется CDN). Штрафы за это нарушение достигают 18 миллионов рублей и уже применяются на практике. И если раньше штрафовали только крупные западные ИТ-компании вроде Google и других, то теперь штрафы распространяются и на российские компании (точнее, компании российских граждан).
Решение: перенести сайт на российский хостинг, либо отключить зарубежный CDN. Если полный отказ от CDN невозможен, стоит подготовить информационное письмо, которое поясняет, что база данных физически располагается в России.
Ошибка 2. Отсутствие или неправильное размещение политики обработки персональных данных
Политика обработки персональных данных должна быть опубликована на всех страницах сайта, где собираются персональные данные. И да, вы можете ее назвать политика конфиденциальности (тут не как с кораблем, где как назовешь, так и поплывет).
Важно понимать: куки — тоже персональные данные по позиции РКН, и если они используются (в аналитических, маркетинговых или антифрод-целях), требование распространяется на все соответствующие страницы.
Решение: разместить ссылку на политику в футере сайта. Политика может быть оформлена в виде PDF-файла или отдельной HTML-страницы.
Принципиально важно: политика является декларацией, поэтому требовать от пользователя галочки об ознакомлении с ней не нужно, даже если вы это видите у кого-то из коллег по цеху (это не требуется по закону. Посмотрите ч.2 ст.18.1
Политику вы можете сделать, например, в сервисе Privacy Check.
Ошибка 3. Отсутствие уведомления в Роскомнадзор
Многие компании откладывают подачу уведомления об обработке персональных данных, опасаясь претензий за несвоевременность.
Однако практика показывает: РКН не штрафует компании только за факт поздней подачи, иначе бы они оштрафовали 1.5 млн компаний, кого еще нет в реестре операторов. Главное — чтобы уведомление было подано, и данные в нем совпадали с тем, что указано в политике. Не стоит бояться подавать уведомление сейчас, штрафов реальных очень мало.
Ошибка 4. Неверный выбор правового основания для обработки данных
Распространенное заблуждение — что единственным законным основанием для обработки персональных данных является согласие пользователя. Это не так: закон предусматривает множество оснований — договор (оферта), законодательство РФ и другие, всего больше 10.
Роскомнадзор при этом зафиксировал тренд на отказ от согласия как основного инструмента для сбора данных. Правовое основание должно быть четко указано в форме сбора данных: например, ссылка на оферту (если основание — закон, то достаточно отразить это в Политике, но помните, с Политикой под галочку ознакамливать необязательно).
Критически важно: нельзя встраивать согласие на обработку данных в текст оферты или политики, т.к. это прямо запрещено Законом о защите прав потребителей, Законом о персональных данных, и подтверждено судебной практикой.
Ошибка 5. Некорректная реализация cookie-баннера
Для соответствия требованиям достаточно разместить cookie-баннер, в котором сообщается, что продолжая пользоваться сайтом, пользователь соглашается на обработку своих данных. Можно добавить ссылку на политику конфиденциальности. РКН не штрафует за отсутствие технической блокировки куков до момента согласия. Главное, чтобы баннер присутствовал.
Ошибка 6. Использование западных аналитических и маркетинговых сервисов
РКН уделяет повышенное внимание использованию зарубежных веб-сервисов, таких как Google Analytics и аналогичных западных инструментов аналитики и маркетинга.
Если они используются, рекомендуется рассмотреть отказ от них или проконсультироваться со специалистом для обоснования допустимости их применения в конкретном случае.
Ошибка 7. Уведомление о трансграничной передачи
Если вы продолжаете пользоваться зарубежными сервисами (например, Zoom), не нарушая требований по локализации баз данных с ПД в России, или контрактуетесь с западными клиентами, а может даже делаете маркетинг, то нужно подать уведомление о намерении осуществлять трансграничную передачу ПД.
Ее не сложно заполнить, но это избавляет от того, что Роскомнадзор во внутренней системе будет для вашей компании считать риск обработки ПД выше, чем он есть (они по всем компаниям оценивают риски, что влияет на частоту и вид проверок).
Возможно, вы даже слышали, что это очень опасная процедура, но на самом деле это не так. Наша компания и клиенты спокойно заявили и никому не заблокировали трансграничную передачу.
Ошибки на внутреннем контуре: защита от утечек
После того, как внешний контур закрыт, необходимо заниматься внутренней защитой. Штрафы за утечки исчисляются десятками миллионов рублей, а при повторных нарушениях становятся оборотными.
Ошибка 8. Незнание того, какие данные и где хранятся
Невозможно защитить то, о чем не знаешь. Это как с похудением — без подсчета КБЖУ (калории, белки, жиры и углеводы) худеть достаточно сложно. Или как с семейным и личным бюджетами.
Сначала нужно провести аудит: понять, какие персональные данные есть в компании, где они хранятся и в каком объеме. Это можно сделать самостоятельно или с помощью внешних консультантов. По результатам аудита вам предложат вариант, как узаконить обработки данных и подсветят риски, а также способы их устранения.
Ошибка 9. Отсутствие выстроенного реагирования на инциденты
Инцидент информационной безопасности не равнозначен утечке, однако также требует четкого алгоритма действий. Необходим специалист из ИТ или информационной безопасности, который выстроит процессы мониторинга и реагирования. Сроки уведомления РКН об утечке жесткие (за 24 часа уведомить об утечке и за 48 часов о проведенном расследовании), и их нарушение само по себе влечет штраф. Вопрос «что будет, если не сообщить об утечке» звучит регулярно.
Ответ: РКН отслеживает большинство утечек через Даркнет самостоятельно. Есть случаи, когда компания, подавшая уведомление и грамотно выстроившая работу юристов и специалистов по ИБ, отделалась предупреждением. Замалчивание в этом случае — «русская рулетка» с неприятными последствиями. А попасть на оборотные штрафы до 500 млн рублей мало кто хочет.
Ключевые приоритеты
Если выстраивать работу последовательно, логика такова: сначала закрывается внешний контур (сайты и приложения — они проверяются надзорным органом в первую очередь), затем внутренний. В части инвестиций в информационную безопасность стоит учитывать, что законодательство предусматривает снижение штрафов для тех, кто вкладывает в ИБ не менее 1% от выручки.
Краткий чек-лист соответствия:
- Сайт размещен на российском хостинге или есть обоснование использования CDN;
- Политика обработки персональных данных опубликована на всех нужных страницах сайта;
- Уведомление об обработке персональных данных подано в Роскомнадзор, данные в нем совпадают с политикой;
- В формах сбора данных указано правовое основание; согласие не встроено в оферту или политику;
- Cookie-баннер присутствует на сайте;
- Зарубежные аналитические сервисы проверены или заменены;
- Уведомление о трансграничной передаче подано;
- Проведен аудит имеющихся персональных данных;
- Выстроен процесс реагирования на инциденты и уведомления РКН.
Источник: Максим Лагутин, основатель компании по защите данных Б-152
