ПЕРСОНАЛЬНЫЕ ДАННЫЕ: ИНСТРУКЦИЯ, ДОКУМЕНТЫ, СОГЛАСИЯ, ПОЛИТИКА, МОДЕЛЬ УГРОЗ,
ОТВЕТЫ НА ВОПРОСЫ

Персональные данные - это любая информация, относящаяся прямо или косвенно к определенному физическому лицу - субъекту персональных данных.

К основным видам персональных данных относятся:

• ФИО,
• телефоны,
• e‑mail,
• адреса проживания и регистрации,
• паспортные реквизиты и т. п.

• IP‑адреса,
• cookie‑файлы и прочая информация, передающаяся браузером при обращении к сайту.

• какие страницы смотрит пользователь, сколько времени он проводит на сайте, какие материалы просматривает и т. д.

• ФИО,
• адрес регистрации,
• место работы,
• телефон,
• e‑mail.

• раса,
• национальность,
• политические и религиозные взгляды,
• состояние здоровья,
• интимная жизнь,
• сведения о судимостях.

• физиологические или биологические признаки, применяемые для идентификации личности:
• фото,
• отпечатки,
• голос,
• генетика.

всё, что не попадает в предыдущие категории — размер заработной платы, стаж, корпоративная информация, принадлежность к группам и т. п.

Оператор – лицо, организующее и/или осуществляющее обработку персональных данных. Оператор сам определяет цели обработки, состав персональных данных и действия, совершаемые с ними.

Субъект персональных данных — это физическое лицо, к которому прямо или косвенно относятся персональные данные.

Сама обработка может осуществляться путем

• сбора,
• записи,
• систематизации,
• накопления,
• хранения,
• уточнения (обновления, изменения),
• извлечения,
• использования,
• передачи (распространения, предоставления, доступа),
• обезличивания,
• блокирования,
• удаления,
• уничтожения персональных данных.

Обработка персональных данных это любые операции с персональной информацией, которые совершает оператор: компания или предприниматель.

Примеры:

• хранение номеров клиентов в телефонной книге с указанием имени и фамилии,
• рассылка коммерческих писем по e‑mail или в мессенджере,
• сбор данных на сайте в окошке для обратной связи.

Работа по сохранению данных конфиденциальными защищает и бизнес, и права клиентов.

Мы запросим у вас информацию, удаленно подключимся к вашему компьютеру и поставим вас на учет.

До начала обработки персональных данных необходимо подать уведомление в Роскомнадзор. Исключение составляет случаи обработки персональных данных без использования средств автоматизации, то есть при непосредственном участии в обработке человека, например, мастер в сфере красоты ведет запись клиентов в бумажном блокноте (п. 8 ч. 2 ст. 22 ФЗ о персональных данных).

Порядок подачи уведомления об обработке персональных данных включает в себя:

- заполнение формы уведомления, размещенной на сайте Роскомнадзора.

- предоставление уведомление в бумажном или электронном виде по электронной подписи компании, ИП или самозанятого, либо через аутентификацию в Едином портале государственных услуг (Госуслуги).

В случае изменения сведений, содержащихся в ранее поданном уведомлении, оператор обязан сообщить об этом уполномоченному органу не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения (ч. 7 ст. 22 ФЗ о персональных данных).

В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган в течение 10 рабочих дней (ч. 7 ст. 22 ФЗ о персональных данных).

1. Разберем, какие данные собираются у вас на сайте, какие типы пользователей оставляют данные (клиенты, благотворители) и сделаем пакет конкретно под вашу компанию.
2. Подробно проконсультируем, дадим рекомендации.
3. Разработаем документы для сайта специально под вашу компанию: согласия, политику конфиденциальности, публичную оферту при необходимости.

Согласие на обработку персональных данных — это добровольное правовое основание для использования персональных данных — сбор, хранение, обработка, передача, уничтожение.

С 01.09.2025 согласие обязательно должно быть отдельным документом: нельзя указывать его в договоре, пользовательском соглашении или анкете.

Если вы передаёте личные данные третьим лицам, то вы должны получить у субъекта персональных данных отдельное письменное согласие. Это требование ФЗ-152 касается только передачи данных, осуществляемой после 1 сентября 2025 года.

• наименование получателей,
• цель передачи,
• допустимые действия с данными,
• условия/ограничения передачи.

Штрафы по ст. 13.11 КоАП РФ за отсутствие или неправильное оформление согласия:

• физлица — 10–15 тыс. ₽;
• должностные лица — 100–300 тыс. ₽;
• юрлица/ИП — 300–700 тыс. ₽.

При повторном нарушении штрафы растут:

• до 30 тыс. ₽ для граждан,
• до 500 тыс. ₽ — для должностных лиц,
• до 1 млн ₽ для ИП, до 1,5 млн ₽ для организаций.

1. Мы разберем, в каких сервисах вы собираете данные: запись на прием в яндекс-картах, социальных сетях, при приеме на работу и т.д.,
2. какие данные собираются в компании, кто оставляет данные (клиенты, сотрудники, соискатели, благотворители).
3. Разработаем Политику обработки и защиты персональных данных – полный объемный документ по персональным данным, содержащий ответы на все требования Роскомнадзора - порядка 40 страниц.
4. Разработаем Модель угроз.
5. Подробно проконсультируем, дадим рекомендации - что распечатать, как подписать, где размещать и как использовать в работе.

Каждый оператор обязан принять меры для защиты субъектов персональных данных.

Выделяют два вида мер:

1. Правовые

Создание пакета документов.

2. Организационные и технические

Совершение определенных действий для обеспечения безопасности.

При хранении персональных данных на бумажных носителях достаточно ограничить доступ физических лиц к ним, например, хранить документы в сейфе. Сами меры не перечислены в законе, они определяются и устанавливаются оператором самостоятельно.

Советуем предпринимать следующее:

- хранить бумажные носители персональных данных в отдельных помещениях с ограниченным доступом.

Хранить персональные данные, обрабатываемые в разных целях, необходимо раздельно (п. 14 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации).

- утвердить перечень лиц, имеющих доступ в помещения (п. 13 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации).

- обеспечить безопасность помещения, например, организовать охрану, установить сигнализацию, поставить решетки на окна и т.п.

Существуют конкретные требования к мерам безопасности в отношении определенных персональных данных. Например, сохранность документов по воинскому учету должна обеспечиваться в специально оборудованных помещениях и железных шкафах (п. 21 Методических рекомендаций по ведению воинского учета в организациях).

При хранении данных в электронном виде необходимо:

- определить тип угрозы безопасности персональных данных (п. 7 Требований к защите персональных данных при их обработке в информационных системах).

- исходя из типа угрозы подобрать уровень защиты персональных данных.

От этого будут зависеть меры защиты, которые необходимо предпринимать.

Требования к этим мерам установлены в п. 13-16 Постановления Правительства РФ от 01.11.2012 N 111 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Угрозы безопасности ПД — это факторы, повышающие риск несанкционированного доступа к персональным данным в процессе их обработки.

Они делятся на три типа:

1. угрозы 1‑го типа — не задокументированные возможности в системном ПО — ОС, сервисы, антивирусы;
2. угрозы 2‑го типа — незадекларированные возможности в прикладном ПО — СУБД, бухгалтерские программы и т. п.;
3. угрозы 3‑го типа — прочие уязвимости в системном и прикладном ПО.

Оператор определяет тип угроз с учётом потенциального вреда.

Уровни защиты (УЗ) персональных данных по постановлению Правительства РФ №119:

• УЗ1 — высшая степень защиты: специальные, биометрические и иные ПДн при угрозах 1‑го типа; при угрозах 2‑го типа — специальные ПДн более 100 000 нештатных лиц.
• УЗ2 — следующий уровень: обработка общедоступных ПДн при угрозах 1‑го типа; при угрозах 2‑го типа — специальные данные сотрудников/третьих лиц <100 000, общедоступные данные у иных лиц >100 000, биометрия; при угрозах 3‑го типа — специальные данные >100 000 нештатных лиц.
• УЗ3 — применим при угрозах 2 и 3‑го типов: общедоступные и иные ПДн сотрудников/третьих лиц <100 000; при угрозах 3‑го типа — специальные ПДн сотрудников/третьих лиц <100 000, иные — >100 000, плюс биометрические данные.
• УЗ4 — минимальный описанный уровень: общедоступные ПДн и иные ПДн работников/третьих лиц <100 000 при угрозах 3‑го типа.

Эти уровни помогают выбрать набор технических и организационных мер защиты в зависимости от типа обрабатываемых данных.

Эффективная защита персональных данных строится на практической и документированной системе безопасности.

Ниже — сжатые, но применимые рекомендации, которые помогут снизить риски утечек и соответствовать требованиям закона.

Классифицируйте данные по степени чувствительности

• Разделите данные на обычные, специальные категории и биометрические.
• Для каждой категории определите минимально необходимые меры защиты и срок хранения.

Жёстко контролируйте удалённый доступ сотрудников

• Внедрите VPN и многофакторную аутентификацию.
• Запретите копирование данных на личные устройства и используйте корпоративные зашифрованные хранилища.

Автоматизируйте оповещения о подозрительных событиях

• Настройте уведомления при нештатных входах, массовом скачивании данных или изменении прав доступа.
• Логи должны храниться и регулярно анализироваться.

Регулярно обновляйте программное обеспечение

• Включите плановые обновления ОС, СУБД и приложений, работающих с персональными данными.
• Применяйте патчи безопасности оперативно.

Проверяйте подрядчиков и облачные сервисы

• Запрашивайте подтверждения соответствия требованиям безопасности: сертификаты, отчёты аудита.
• Заключайте договоры с условиями ответственности и требованиями к защите данных.

Защищайте резервные копии

• Шифруйте резервные копии и храните их отдельно от основной инфраструктуры.
• Регулярно тестируйте восстановление данных.

Применяйте принцип минимизации данных

• Собирайте и храните только те сведения, которые нужны для выполнения задач.
• Очистка устаревших данных — регулярная процедура.

Анализируйте инциденты и совершенствуйте меры

• После каждого инцидента проводите анализ причин, обновляйте политики и инструкции.
• Пересматривайте права доступа и конфигурации в ответ на выявленные уязвимости.

Обработка персональных данных начинается, если вы:

• принимаете заявки, сообщения или обращения в личные сообщения;
• собираете данные через формы, лид-формы и опросы;
• проводите конкурсы, розыгрыши, акции;
• модерируете комментарии с персональными данными;
• используете пользовательский контент с идентифицируемыми лицами.

При сборе данных через формы в соцсетях Корпоративная практика рекомендует:

• определить цель обработки (заявка, обратная связь, участие в акции);
• получать согласие субъекта на обработку ПД;
• предоставлять ссылку на политику обработки персональных данных;
• не собирать избыточные данные, не связанные с целью.

Распространённая ошибка — считать, что стандартные формы соцсетей «автоматически законны». Ответственность за содержание и цели обработки несёт оператор, а не платформа.

Комментарии и сообщения могут содержать персональные данные:

• ФИО, телефоны, e-mail;
• адреса, сведения о заказах, жалобы;
• иную информацию, позволяющую идентифицировать человека.

User-Generated Content (UGC) — «пользовательский контент» — фотографии, видео, отзывы и кейсы пользователей могут содержать персональные данные.

Мы рекомендуем:

• согласие субъекта на использование контента;
• понимание целей публикации (маркетинг, репутация, реклама);
• соблюдение принципа соразмерности и минимизации данных.

Важно: репост или сохранение контента не всегда означает согласие на его коммерческое использование.

По закону оператором персональных данных является тот, кто:

• определяет цели и способы обработки;
• управляет сообществом;
• принимает решения о сборе и использовании данных.

На практике это чаще всего бизнес, а не SMM-специалист. 

1. Политика конфиденциальности.

2. Согласие на обработку персональных данных.

Мы разберем, какие данные собираются у вас на сайте, какие типы пользователей оставляют данные, разберем ваш кейс и сделаем пакет конкретно под ваш сайт.

3. Политика обработки и защиты персональных данных.

4. Регламент обработки персональных данных.

5. Модель угроз.

6. Акты об уничтожении персональных данных.

7. Акт определения уровня защищенности.

8. Акт оценки возможного вреда субъектам персональных данных.

Мы разберем, в каких сервисах вы собираете данные: запись на прием в картах, социальных сетях, при приеме на работу и т.д., какие данные собираются в компании, кто оставляет данные и сделаем пакет специально под вашу компанию.

Ответ: Нет, с 1 июля 2025 года хранить персональные данные граждан РФ в Google Таблицах запрещено. Сервисы Google обрабатывают информацию на серверах, находящихся в США, ЕС и других странах.

✅ Корпоративная практика рекомендуем использовать для таких целей Яндекс-диск.

✅ Ответ: Скорее всего вы работаете с представителями юр.лиц, а это физические лица. Если вы собираете и храните

- ФИО,

- эл.почту или

- номер телефона контактного лица, то это подпадает под сбор и обработку персональных данных. Если есть сотрудник - то вы точно оператор перс.данных.

Необходимо:

- вставать на учет в РКН и

- отработать сайт и социальные сети,

- сформировать локальные акты в компании.

Давайте сделаем все что необходимо по персональным данным, чтобы не бояться штрафов и проверок.

✅ Ответ: Почти все сайты автоматически собирают cookies-файлы, имеют анкеты обратной связи, где передаются ФИО и тел или почта для обратного звонка.

Никакие документы для сайта не нужны, если это строго информационный сайт без анкет, без возможности заказать услугу или товар на сайте, и вы не собираете cookies.

Почти всегда на сайте нужно разместить:

- согласие на сбор и обработку ПД,

- политики конфиденциальности.

Давайте сделаем все необходимое для сайта,чтобы не бояться штрафов.

✅ Ответ: Роскомнадзор начал процедуру внесения сервиса в "Черный список" и постепенно его блокирует. После полной блокировки абсолютно всем компаниям нужно будет перейти на отечественные мессенджеры.

✅ Ответ: Банковские реквизиты юридических лиц не персональные данные.

Банковские реквизиты физических лиц - персональные данные.

Все данные по юр.лицам не относятся к персональным. Субъектом персональных данных может выступать только физическое лицо (человек).