Цифровая гигиена 2026: все что нужно знать о персональных данных клиентов

Штрафы за персональные данные — это про IT-гигантов и утечки баз? А между тем, Роскомнадзор уже штрафует за благодарственные письма, Telegram-ники и даже хранение email в Excel — и делает это всё чаще. Как обезопасить себя от проверок, судов и штрафов, рассказала Юлия Марченко, эксперт по правовым вопросам компании АПИ «Воробьевы горы».

Почему персональные данные — это не просто формальность?

Думаете, что закон о персональных данных — это что-то из мира IT, юристов и государственных структур? Но если вы просто ведёте Telegram-канал, продаёте курсы или принимаете заказы через сайт, вас это тоже касается.

С 2024–2025 годов контроль за обработкой персональных данных (ПДн) в России перешёл на новый уровень. Это уже не «рекомендации» и не «формальности для галочки», а вопрос операционной устойчивости и юридической безопасности бизнеса. И штрафы теперь получают не только банки и телекомы, а любой, кто хранит email клиента в Excel, публикует отзыв с ФИО или ведёт переписку в Telegram.

По данным Роскомнадзора, в 2024 году количество проверок в отношении малого и среднего бизнеса выросло на 67%. А штрафы до 18 млн руб. теперь выписывают даже за «бытовые» нарушения. Почему это происходит именно сейчас, и как не перейти черту закона в отношении данных ваших клиентов? Разбираемся вместе с экспертами Demis Group и АПИ «Воробьевы Горы».

Сегодня данные стали стратегическим ресурсом. Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 — основной инструмент защиты национального цифрового суверенитета. Государство стремится локализовать данные граждан внутри страны и исключить их передачу иностранным юрисдикциям. Для бизнеса это означает одно: любая операция с данными клиента или сотрудника — это юридически значимое действие, даже если вы этого не осознаёте.

Где поджидают риски:

• Вы опубликовали благодарственное письмо от клиента с подписью и печатью? Это распространение ПДн (п. 5 ст. 3 152-ФЗ). Без отдельного согласия — нарушение.
• Клиент сам написал вам в Telegram, а вы сохранили его @username в CRM? Если по нику можно идентифицировать человека (а в 90% случаев — можно), это ПДн. Обработка без согласия — штраф по ст. 13.11 КоАП РФ. А также трансграничная передача персональных данных, т.к. Telegram Group Inc., зарегистрирована на Британских Виргинских островах.
• Используете Google Analytics или Figma с реальными данными клиентов? Это трансграничная передача ПДн в США — запрещена без уведомления Роскомнадзора и согласия субъекта (ст. 12 152-ФЗ). Письма Минцифры и практика РКН это подтверждают.
• На сайте нет cookie-баннера, согласия на обработку персональных данных или политика конфиденциальности устарела? Нарушение принципа информированности (ч. 1 ст. 14 152-ФЗ). Штраф — до 75 тыс. руб. для ИП, до 300 тыс.руб. — для юрлиц.

Почему же вас могут оштрафовать, даже если «все так делают»? Потому что штрафуют не за инструменты, а за процессы. Не за то, что вы используете Telegram или Excel, а за то, как вы это делаете.

Статья 6 Закона 152-ФЗ чётко говорит: обработка ПДн допускается только при наличии одного из законных оснований — например, согласия субъекта или необходимости для исполнения договора. Если основания нет — есть нарушение. И не важно, «не со зла» вы это сделали или «в интересах клиента».

Реклама в поиске и ее маркировка

Вы когда-нибудь замечали, как в поисковой выдаче Яндекса над платными объявлениями вместо слова «Реклама» вдруг появляется значок «₽», а потом — надпись «Промо»? Кажется, это просто смена дизайна, но на самом деле — это юридическая битва между IT-гигантом и государством, и от её исхода зависит, получите ли вы штраф в 1 миллион рублей за свою рекламную кампанию.

Всё начинается с Федерального закона № 38-ФЗ «О рекламе». Его статья 3 требует, чтобы любая реклама была чётко и однозначно обозначена как таковая — «без специальных знаний непосредственно в момент её восприятия». Проще говоря, пользователь, увидевший объявление, должен сразу понять, что это платный материал, а не органический результат поиска. Это право потребителя на осознанный выбор — и оно защищено законом. А статья 5 Закона «О рекламе» прямо запрещает маскировать рекламу под другую информацию. Если пользователь не может отличить рекламу от обычного контента — это нарушение.

Почему ФАС воевала с Яндексом (и выиграла)

Изначально Яндекс использовал термины «Спецразмещение» и «Промо». Звучит нейтрально, почти как рекомендация. Но Федеральная антимонопольная служба (ФАС) усмотрела в этом введение потребителя в заблуждение.

В официальных разъяснениях ФАС подчеркивала: «Термин «Спецразмещение» не позволяет потребителю понять, что это реклама. Он может воспринимать такой результат как «особо отобранный» или «проверенный», что нарушает принцип добросовестной конкуренции и право потребителя на достоверную информацию».

В 2023–2024 годах ФАС возбудила дела против Яндекса и Google. Под давлением регулятора Яндекс был вынужден заменить «Спецразмещение» на «Реклама» — самый прозрачный и юридически безопасный вариант. Но в апреле 2025 года Яндекс снова экспериментирует — сначала заменяет «Реклама» на символ «₽», а затем — на «Промо». Оба варианта вызывают вопросы у юристов и регуляторов: «₽» — вообще не несёт смысловой нагрузки. Это символ валюты, а не обозначение рекламы. «Промо» — хоть и понятно маркетологам, но для рядового пользователя (особенно пожилого или неискушённого в англицизмах) может быть неочевидным.

Так что же будет, если ваша реклама некорректно обозначена?

Если реклама будет признана ненадлежащей (то есть неочевидной для потребителя), рекламодателя, то есть вас, могут оштрафовать по части 4.1 статьи 14.3 КоАП РФ:

• для должностных лиц — до 50 000 руб.
• для ИП — до 200 000 руб.
• для юридических лиц — до 1 000 000 руб.

И да — штрафуют именно рекламодателя, а не Яндекс. Платформа — лишь технический посредник. Ответственность за содержание объявления лежит на вас.

Как проверить свою рекламу и не получить штраф:

• Запустите поиск по своим ключевым запросам — как выглядят ваши объявления? Видно ли сразу, что это реклама?

• Покажите выдачу неподготовленному человеку (например, родственнику или другу). Спросите: «Это реклама или обычный результат?» Если он сомневается — у вас проблема.

• Используйте визуальные акценты в объявлении: если платформа позволяет, добавьте в текст фразу «Это реклама» или «Платное размещение» — для подстраховки.

• Следите за обновлениями интерфейса Яндекс.Директ — если маркировка снова поменяется, не поленитесь проверить, насколько она соответствует закону.

Google Analytics: разрешен или нет?

Вы всё ещё используете Google Analytics на своём сайте? Если да — вы рискуете получить штраф до 18 млн руб. Это прямое следствие требований Федерального закона № 152-ФЗ «О персональных данных», а также позиции Роскомнадзора и Минцифры.

Google Analytics — не только удобный инструмент аналитики, но и сервис, который по умолчанию собирает, обрабатывает и передаёт персональные данные российских пользователей на серверы в США. А это — прямое нарушение закона.

Все начинается со статьи 12 Закона 152-ФЗ — она регулирует трансграничную передачу персональных данных. Согласно этой статье, передача ПДн за пределы РФ допускается только при соблюдении одного из условий:

• Страна получатель обеспечивает адекватный уровень защиты данных — США в этот список не входит.
• Получено письменное согласие субъекта ПДн — с указанием конкретного получателя, цели, сроков и перечня передаваемых данных.
• Передача необходима для исполнения договора, стороной которого является субъект ПДн.

Письмо Минцифры России от 12.05.2025 № П25-44929 прямо указывает: при использовании Google Analytics данные пользователей, включая IP-адреса и поведенческие метрики, передаются на серверы Google в США — что является трансграничной передачей ПДн.

Почему IP-адрес и поведение на сайте — это ПДн?

IP-адрес, особенно в связке с другими данными (время посещения, страницы, геолокация, тип устройства), позволяет идентифицировать пользователя — хотя бы косвенно. Это подтверждается судебной практикой:

• Определение Восьмого кассационного суда от 30.08.2022 № 88-15380/2022: IP-адрес может быть признан ПДн, если позволяет установить лицо.
• Апелляционное определение Московского городского суда от 22.08.2022 № 33-32777/2022: сбор IP-адресов без согласия — нарушение закона.

Когда Google Analytics собирает поведение пользователя — какие страницы он открывал, сколько времени провёл, откуда пришёл — он формирует профиль поведения. А профиль поведения — это тоже ПДн (п. 11 ст. 3 Закона 152-ФЗ — иная информация, позволяющая идентифицировать лицо).

Роскомнадзор давно не просто предупреждает, но и выносит предписания и штрафует.

Один из самых громких случаев — Аэрофлот. Регулятор обязал авиакомпанию отключить Google Analytics и перейти на российские решения, поскольку передача данных в США нарушала 152-ФЗ.

Аналогичные предписания получали:

• Банки и страховые компании.
• Онлайн-ритейлеры.
• Маркетинговые агентства.
• Даже государственные учреждения.

Штрафы по статье 13.11 КоАП РФ могут достигать:

• для должностных лиц — до 200 000 руб.
• для ИП — до 500 000 руб.
• для юридических лиц — до 18 000 000 руб. (при повторном нарушении).

А можно ли использовать Google Analytics легально? Теоретически — да. Чтобы легализовать это, нужно:

• Направить уведомление в Роскомнадзор о трансграничной передаче (форма утверждена Приказом РКН № 180 от 28.10.2022[ЕН3.1]).
• Обеспечить защиту данных — включая шифрование, логирование доступа, DLP-системы и т.д.
• Получить от каждого пользователя письменное согласие на передачу его данных в США — с указанием целей, сроков, перечня данных и наименования получателя (Google LLC).

На практике же это означает:

• На каждой странице сайта — попап: «Вы согласны, что ваши данные уйдут в США?».
• Отказ = блокировка Google Analytics для этого пользователя.
• Ведение журналов согласий.
• Регулярная отчётность в РКН.

Технически это практически невозможно, убивает юзабилити и конверсию, а также экономически нецелесообразно. Поэтому наилучшей альтернативой становится переход на отечественные сервисы.

Что же на самом деле считается персональными данными?

Под это определение попадает всё, что позволяет прямо или косвенно идентифицировать человека — даже если вы этого не осознаёте. Статья 3 Федерального закона № 152-ФЗ говорит: «Персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу».

Ключевые слова здесь — «косвенно» и «определяемому». Это значит: даже если вы не знаете, кто человек, но можете его найти — это уже ПДн. И за их обработку без согласия — штраф.

IP-адрес, геолокация, Telegram-ник — это ПДн?

Начнём с самого спорного — IP-адреса. Судебная практика по этому вопросу неоднозначна, но тенденция ясна: если IP-адрес привязан к конкретному пользователю в конкретный момент времени — это ПДн. Дело в том, что в связке с другими данными (время посещения, поведение на сайте, город) IP-адрес позволяет создать профиль пользователя, а профиль поведения — это тоже ПДн.

Геолокация сама по себе — не ПДн. Но если вы знаете, что пользователь каждый день в 9:00 находится в офисе на Ленинском проспекте, а в 19:00 — дома в ЖК, вы легко можете установить, кто это, особенно если добавить данные из соцсетей.

Telegram-ник — ещё один подводный камень. Письмо Управления Роскомнадзора по ЦФО от 24.09.2024 № 75084-02-11/77 гласит: «Идентификатор пользователя Telegram без дополнительной информации не является ПДн». Но, если ник — @ivanov_ivan, или вы сохранили его в CRM с привязкой к реальному человеку, или легко найти через поиск — это уже ПДн. Особенно если вы используете его для коммуникации с клиентом.

В любом случае, если по данным можно найти человека в Google или Яндекс — это персональные данные. Даже если вы этого не делали — возможность есть, а значит, нужно согласие, даже если человек сам написал вам.

Бытовые нарушения, за которые реально штрафуют

Самые частые и болезненные штрафы приходят именно за бытовые нарушения — те, что происходят каждый день в CRM, Telegram, Excel и Figma. Их не видно, пока не придет проверка, но стоят они довольно дорого.

Статья 13.11 КоАП РФ — основная, по которой штрафуют за ПДн.

Штрафы:

• для ИП — до 500 000 руб.
• для юрлиц — до 18 000 000 руб. (при повторном нарушении)
• для должностных лиц — до 200 000 руб.

И чаще всего штрафуют не за злой умысел, а за небрежность, незнание и формальный подход. Технологии у всех одинаковые, а вот штрафы — нет.

Самые опасные нарушения — и почему они приводят к реальным штрафам:

1. Клиент сам написал, можно добавлять его в CRM?

Нет. Только если цель — ответить ему.

Статья 6, п. 5 Закона 152-ФЗ: обработка допускается без согласия, если необходима для исполнения договора.

2. Хранение данных в Google Таблицах, Figma, Dropbox.

Это трансграничная передача ПДн — и она запрещена.

Статья 12 Закона 152-ФЗ: передача ПДн за рубеж допускается только в безопасные страны (США — не в списке) или с согласием субъекта.

3. Переписка с клиентами в Telegram / WhatsApp.

Да, удобно, но незаконно, если не обеспечена защита данных.

Ник, история переписки, номер телефона — всё это ПДн. Хранятся они на личном телефоне сотрудника, не шифруются, не удаляются. При увольнении — уходят с сотрудником.

Статья 19 Закона 152-ФЗ: оператор обязан обеспечить конфиденциальность и безопасность ПДн. Если сотрудник теряет телефон — это утечка. Штраф — до 75 000 руб. для ИП (ч. 1 ст. 13.11 КоАП РФ).

4. Отсутствие cookie-баннера и неактуальная политика конфиденциальности.

Это нарушение принципа информированности.

Часть 1 статьи 14 Закона 152-ФЗ: субъект ПДн должен быть проинформирован о целях обработки.

5. Персональные данные на сайте

На вашей онлайн-площадке есть простая форма обратной связи? Тогда вы — оператор персональных данных и должны выполнять требования законодательства.

Да, даже если просите посетителя указать только имя и номер телефона, чтобы перезвонить. Получить согласие на обработку персональных данных все равно необходимо: без нее работать с ПД нельзя.

6. Доступ к ПДн у всех сотрудников.

Это нарушение принципа конфиденциальности.

Статья 19 Закона 152-ФЗ: доступ к ПДн должен быть ограничен. Бухгалтеру не нужна база клиентов — только реквизиты для платежей. Менеджеру — только его клиенты.

7. Игнорирование запросов клиентов.

Это прямое нарушение прав субъекта ПДн. Статья 14 Закона 152-ФЗ: клиент имеет право запросить свои данные, исправить их или удалить. У вас есть 30 дней на ответ. Проигнорировали — штраф до 100 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

8. «У нас маленький бизнес — нас не заметят»

Это самое опасное заблуждение.

Роскомнадзор использует автоматизированные системы для мониторинга сайтов. Проверяет наличие политики, cookie-баннера, маркировки рекламы. Жалобы клиентов — лишь верхушка айсберга. В 2024 году 67% проверок МСП инициированы не жалобами, а автоматическими системами Роскомнадзора.

Где еще можно узнать о нарушениях, которые не всегда известны маркетологам и юристам, но ведут к штрафам и рискам? На платформе Правоберег.

Правоберег — это сервис с вебинарами, статьями и конкретными решениями юридических вопросов.

Зачем регистрироваться в Правобереге?

- экономьте время на поиск конкретных решений. Система подберет для вас нужный материал для вашей ситуации или отправит на Линию консультации, где вам ответит «живой» эксперт;

- каждый месяц Правоберег собирает 3000 вопросов реальных специалистов, анализирует их и дает ответы.

Регистрируйтесь по ссылке и изучайте материалы в удобно формате, находите решения быстро, даже ув самых сложных ситуациях, требующих решительных действий.

Кейсы, отзывы и логотипы — когда гордость превращается в нарушение

Все мы гордимся кейсами с известными брендами, отзывами от топ-менеджеров, благодарственными письмами с печатью и подписью — это главное доказательство нашей экспертизы. Мы выкладываем их на сайт, в соцсети, показываем инвесторам и совершенно искренне считаем, что делаем это во благо и себе, и клиенту. Но в 2025 году искренность не защищает от штрафа, более того — именно гордость за проект часто становится самым очевидным и легко доказуемым нарушением закона о персональных данных.

Пункт 5 статьи 3 Федерального закона № 152-ФЗ чётко определяет: «Распространение персональных данных — это действия, направленные на раскрытие персональных данных неопределённому кругу лиц». Публикация на сайте, в соцсетях, в презентации — это распространение. А для распространения требуется отдельное, конкретное, оформленное по форме согласие.

Почему благодарственное письмо — это юридическая бомба замедленного действия

Представьте: клиент прислал вам письмо на фирменном бланке. В нём — восторженный отзыв, подпись генерального директора, печать компании. Вы его сканируете, красиво верстаете и публикуете с подписью: «Смотрите, как мы классно работаем!»

С юридической точки зрения, вы только что совершили три нарушения:

• Изменили цель обработки данных. Клиент передал вам письмо для внутреннего использования — архивации, отчёта, выражения благодарности. Вы же используете его для маркетинга — совершенно иной цели.

Статья 6, п. 1 Закона 152-ФЗ: для смены цели обработки требуется отдельное согласие.

• Раскрыли персональные данные неопределённому кругу лиц. ФИО, должность, подпись — всё это позволяет идентифицировать конкретного человека. Особенно если компания небольшая или отрасль узкая.

Определение Курганского областного суда от 07.09.2017 № 33-2984/2017: «Фамилия, имя, отчество, должность — относятся к персональным данным».

• Нарушили принцип конфиденциальности.

Статья 7 Закона 152-ФЗ: оператор обязан обеспечивать конфиденциальность ПДн. Публикация в открытом доступе — прямое нарушение этого принципа.

Многие ошибочно полагают: если клиент сам прислал отзыв или письмо — значит, дал согласие на публикацию. Это опасное заблуждение. Часть 1 статьи 10.1 Закона 152-ФЗ: «Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно от иных согласий». Это значит, что согласие должно быть письменным (электронная подпись, скан с мокрой подписью — всё подходит). Оно должно содержать:

• Конкретный перечень данных, которые разрешены к публикации (ФИО, должность, цитаты, фото).
• Цель — «для размещения на сайте, в соцсетях, в маркетинговых материалах».
• Срок действия согласия и способы отзыва.
• Наименование оператора — вашей компании.

Логотип тоже не украшение, а объект интеллектуальной собственности. Вы думаете, что если логотип клиента уже был в переписке или контракте, его можно смело использовать в кейсе? Это ещё одна ловушка. Статья 1484 Гражданского кодекса РФ: «Товарный знак (логотип) удостоверяет, что товары или услуги принадлежат одному лицу. Использование без разрешения правообладателя запрещено». Факт того, что клиент прислал вам логотип для оформления документов или макетов не даёт вам права использовать его в маркетинге.

Это два разных правовых поля:

• Рабочее использование — в рамках исполнения договора.
• Публичное использование — в рекламных целях, для привлечения новых клиентов.

Как делать правильно: три простых правила

• Обезличивайте кейсы. Вместо: «Проект для Ивана Петрова, директора по маркетингу ООО “Ромашка”» → «Проект для крупного ритейлера в сфере beauty».
• Уберите ФИО, должности, уникальные идентификаторы. Оставьте отрасль, гео, масштаб — этого достаточно для доверия. Получайте согласие ДО публикации.
• Не надейтесь на устные договорённости. Используйте шаблон согласия по Приказу № 18. Лучше — включите его в договор как приложение: «Клиент даёт согласие на публикацию кейса с использованием обезличенных данных и логотипа (при наличии отдельного разрешения)».
• Храните согласия. Если придет проверка, вы должны предъявить документ.

Я же не со зла: смягчают ли благие намерения ответственность?

Вы сделали всё с лучшими намерениями: опубликовали отзыв, чтобы показать клиенту, как вы цените его доверие; переслали базу на личную почту, чтобы доделать проект ночью; использовали логотип в презентации, чтобы подчеркнуть масштаб работы. Никто не пострадал, более того — клиент был доволен. Так почему же за это могут оштрафовать? И главное — почему ваши благие намерения не станут оправданием в глазах закона?

Ответ прост и жёсток одновременно: закон защищает процедуры, а не намерения. Федеральный закон № 152-ФЗ «О персональных данных» и Кодекс об административных правонарушениях не спрашивают, зачем вы нарушили, а ответственность наступает независимо от того, хотели вы причинить вред или, наоборот, стремились сделать что-то полезное.

Статья 2.1 КоАП РФ чётко определяет административное правонарушение как «противоправное, виновное действие (или бездействие)». А статья 2.2 КоАП РФ уточняет: вина может быть не только умышленной, но и неосторожной — когда вы не предвидели последствий, хотя должны были и могли их предвидеть.

Другими словами:

• «Я не знал» — не защита.
• «Я не со зла» — не смягчающее обстоятельство.
• «Всё для клиента» — не оправдание.

Законодатель исходит из простой логики: если каждый оператор будет сам решать, «что полезно» субъекту персональных данных, это уничтожит саму идею конфиденциальности. Право распоряжаться своими данными принадлежит гражданину, а не вам. Ваше субъективное мнение о том, что «ему это понравится» или «это в его интересах», не отменяет его право сказать «нет».

Вот типичные примеры, которые часто встречаются в практике:

• Не получили согласие на рассылку — штраф, даже если рассылка была полезной и клиент её читал.
• Опубликовали отзыв без согласия — штраф, даже если клиент потом сказал: «Да ладно, мне всё равно».
• Хранили данные в Google Таблицах — штраф, даже если никто их не украл и не видел.

Что действительно может смягчить наказание

Смягчающие обстоятельства есть, но они влияют только на размер штрафа, а не на сам факт нарушения. Согласно статье 4.2 КоАП РФ, к ним относятся:

• Раскаяние нарушителя.
• Добровольное прекращение противоправного поведения.
• Добровольное возмещение ущерба или устранение последствий.
• Совершение правонарушения в состоянии сильного душевного волнения.
• Совершение в силу стечения тяжёлых жизненных обстоятельств.

В таких случаях ваше «не со зла» может быть квалифицировано как неосторожность — и это может повлиять на размер штрафа.

Что НЕ является смягчающим обстоятельством

Многие предприниматели и маркетологи искренне заблуждаются, полагая, что следующие аргументы помогут избежать ответственности. Это не так:

• «В интересах клиента» — закон стоит на страже права гражданина, а не вашего мнения о его интересах. Если согласия нет — право нарушено.
• «Отсутствие жалоб» — Роскомнадзор проводит плановые и автоматизированные проверки. В 2024 году 67% проверок МСП инициированы без жалоб — через мониторинг сайтов и рекламы.
• «Отсутствие коммерческой выгоды» — вы могли не заработать на нарушении, но это не отменяет самого факта несоблюдения процедуры. Закон защищает процесс, а не результат.
• «Все так делают» — отсутствие штрафов у конкурентов не означает легальности. Просто на них ещё не пожаловались или они лучше скрывают нарушения.

Если вы все же получили уведомление от Роскомнадзора или жалобу от клиента — не игнорируйте. Ваша реакция в первые 72 часа может существенно снизить риски и размер штрафа. Вот что нужно сделать:

1. Устраните нарушение немедленно — удалите данные, отзовите публикацию, перенесите базу в защищённое хранилище.
2. Проведите внутренний аудит — найдите причину нарушения и устраните её на системном уровне.
3. Подготовьте пояснения — покажите, что вы не действовали умышленно, приняли меры, обучили сотрудников.
4. Обратитесь к юристу — на стадии предписания или судебного разбирательства это первая необходимость.
5. Внедрите превентивные меры — обновите политики, настройте CRM, проведите обучение, чтобы нарушение не повторилось.

Цифровая гигиена — это просто

Работать с персональными данными в 2026 году — вовсе не страшно. Это не требует юридического образования, сертификатов или дорогостоящих консультантов, а только культуры цифровой гигиены — регулярных, простых, но осознанных действий, которые становятся частью повседневной работы, как чистка зубов или резервное копирование файлов.

Мы разобрали, где прячутся главные риски: в маркировке рекламы, в Google Analytics и других популярных приложениях, в Telegram-никах, в благодарственных письмах, в CRM и даже в Figma. Во всех этих случаях штрафы — не результат злого умысла, а следствие небрежности, привычек и отсутствия системного подхода. Закон не наказывает за технологии — он наказывает за отсутствие контроля над процессами.

Цифровая гигиена — это три простых принципа:

• Не гадайте — проверяйте. Перед тем как опубликовать, переслать, сохранить или загрузить, задайте себе один вопрос: «Могу ли я по этим данным найти конкретного человека?». Если да — это персональные данные. А для их обработки нужно основание: согласие, договор или закон.
• Не надейтесь на «авось» — документируйте. Устные договорённости, галочки в формах, общие политики из интернета — не работают. Получайте согласия в письменной форме в виде отдельного документа, подписывайте поручения с обработчиками, ведите журналы доступа, храните доказательства. Если пришла проверка, вы должны показать не «как у всех», а «как у нас».
• Не усложняйте — автоматизируйте. Настройте роли в CRM, внедрите cookie-баннер, используйте российскую аналитику, обезличивайте данные перед загрузкой в облако, проводите раз в квартал 30-минутный аудит: «Что изменилось? Что сломалось? Кто имеет доступ?».

На самом деле Роскомнадзор не враг, он не гонится за каждым ИП или агентством, а лишь реагирует на жалобы, нарушения и формальный подход. Если у вас есть работающие процессы, актуальные документы и обученные сотрудники — вы вне зоны риска.

Что еще почитать о ПНд в ПРАВОБЕРЕГе

Подборка практических статей от АПИ «Воробьевы горы» и сервиса ПРАВОБЕРЕГ:

• Обработка персональных данных: как уведомить Роскомнадзор, чтобы не получить штраф
• Трансграничная передача персональных данных
• Что делать для снижения риска утечки персональных данных
• Реклама в интернете: кто платит сбор 3%

Реклама. АО АПИ «ВГ» ИНН 7706573045. ERID: 2VtzqwvY89i