❓Что чаще всего становится проблемой при проверке?

📝Несоответствие между документами и реальными процессами.

Что стоит проверить уже сейчас
🔎соответствует ли политика обработки ПД реальным процессам;
🔎корректно ли оформлены согласия;
🔎учтены ли CRM, аналитика и подрядчики;
🔎актуально ли уведомление в Роскомнадзор;
🔎совпадают ли документы с фактической работой сайта и компании.

Если вы хотите понять, есть ли у вашей компании уязвимые места, напишите нам
@drchelp_bot

#персональныеданные #152ФЗ #аудитПДн #комплаенс

📝Да. Хранение, систематизация и использование данных в CRM-системах или облачных сервисах являются формами обработки персональных данных. Такие процессы должны быть отражены в документах и соответствовать требованиям законодательства.

❓Нужно ли уведомлять Роскомнадзор?

📝Да, при этом важно не только подать уведомление, но и следить за тем, чтобы фактические процессы соответствовали заявленным сведениям.

❓Можно ли использовать одно универсальное согласие “на всё”?

📝Нет. Согласия должны быть конкретными, информированными и соответствовать целям обработки данных. Особенно если речь идет о рекламе, аналитике или передаче данных третьим лицам.

❓Если утечки данных не было, значит нарушений тоже нет?

📝Нет, претензии часто возникают именно из-за формальных нарушений: устаревших политик, некорректных согласий, несоответствия документов фактическим процессам.

❓Проверяют ли малый бизнес?

📝Да. Размер компании не имеет принципиального значения. Если бизнес обрабатывает персональные данные, он находится в сфере регулирования.

FAQ по персональным данным

Мы регулярно получаем похожие вопросы от владельцев сайтов, онлайн-сервисов и IT-компаний. Собрали самые частые.

❓Если на сайте просто форма заявки, то это уже обработка персональных данных?

📝Да. Имя, телефон, e-mail и иные контактные данные относятся к персональным данным.
Даже если вы «просто перезваниваете клиенту», компания уже считается оператором персональных данных.

❓Если на сайте установлена только аналитика (например, Метрика), это тоже считается обработкой?

📝Во многих случаях да. Системы аналитики могут обрабатывать информацию о посетителях сайта, включая технические идентификаторы и поведенческие данные. В зависимости от ситуации такие сведения могут относиться к персональным данным или использоваться для идентификации пользователя.

❓Если данные хранятся в CRM или облачном сервисе, то это считается обработкой?

Возможные последствия для бизнеса:

- потеря трафика и клиентов;
- приостановка работы сайта;
- срочная переработка сайта и документов;
- дополнительные расходы на восстановление доступа;
- репутационные риски.

Для снижения рисков целесообразно:

✏️провести правовой аудит сайта;
сопоставить фактические процессы с документами;
✏️актуализировать согласия и политику обработки данных;
✏️проверить работу сторонних сервисов и подрядчиков;
✏️подготовить модель реагирования на возможные претензии.

Если хотите понять, какие риски есть именно у вашего сайта, напишите нам @drchelp_bot

#персональныеданные #аудитсайта #152ФЗ #комплаенс

Блокировка сайта за нарушения в обработке персональных данных - это уже практика

Сегодня доступ к сайту могут ограничить не только из-за контента, но и из-за нарушений законодательства о персональных данных.

🚨Если выявляется незаконное размещение персональных данных, обработка без правовых оснований или неисполнение требований регулятора, ресурс может быть внесен в соответствующий реестр, а доступ к нему ограничен в установленном порядке.

На практике основаниями могут стать:
📍сбор персональных данных без надлежащих согласий;
📍несоответствие фактической обработки заявленным целям;
📍отсутствие или некорректность документов;
📍игнорирование предписаний регулятора.

Проверьте себя:
- есть ли на сайте корректные формы согласия (без галочек по умолчанию);
- соответствует ли политика обработки ПД работе сайта;
- учтены ли аналитика, cookies и сторонние сервисы;
- отражена ли передача данных подрядчикам;
- актуально ли уведомление в Роскомнадзор.

Если хотя бы один пункт вызывает сомнения, то риск уже есть.

Если есть сомнения хотя бы по одному пункту, это зона повышенного риска.

Для снижения рисков целесообразно:
🔎определить правовые основания обработки биометрических данных;
🔎проверить и при необходимости переработать согласия;
🔎проанализировать архитектуру хранения и передачи данных;
🔎проверить договоры с подрядчиками и поставщиками решений;
🎯привести документы и фактические процессы в соответствие.

Биометрия - это уже не «инновация», а зона отдельного регулирования. Ошибки в этой сфере обходятся дороже и чаще становятся предметом проверок.

Мы помогаем бизнесу оценить риски и выстроить корректную модель работы:
- проверим правовые основания обработки
- проанализируем согласия и документы
- оценим договоры с подрядчиками
- дадим практические рекомендации по устранению рисков

@drchelp_bot
#персональныеданные #биометрия #комплаенс #152ФЗ

Биометрия в бизнесе: вход по лицу стал стандартом

🧑🏻Системы прохода по лицу, голосу или отпечатку сегодня активно используются в офисах, на складах и в жилых комплексах. Это удобно и ускоряет процессы.

📍Однако необходимо понимать, что биометрические данные относятся к специальной категории персональных данных, и требования к их обработке значительно строже, чем к обычным ПД.

Также важно учитывать, что внимание со стороны регуляторов повышенное.

На практике мы регулярно видим ситуацию, когда:
- система уже внедрена и используется;
- данные сотрудников или пользователей собираются;
🚨но правовая модель обработки не выстроена.

Если вы используете биометрию, ответьте на вопросы:
✏️оформлены ли отдельные согласия именно на биометрические данные;
✏️понимаете ли вы, где и как хранятся биометрические данные;
✏️есть ли правовое основание для их обработки (а не «по умолчанию»);
✏️оформлены ли отношения с подрядчиком (если система внешняя);
✏️отражена ли обработка биометрии в документах и уведомлении.

В текущих условиях целесообразно:

✏️проверить, на каких площадках размещается реклама;
✏️оценить правовой статус используемых ресурсов;
✏️учитывать возможные ограничения доступа со стороны Роскомнадзора;
✏️пересмотреть рекламные каналы при наличии рисков.

На практике многие компании продолжают использовать привычные каналы продвижения, не учитывая изменения в регулировании. Однако именно такие ситуации могут стать основанием для претензий со стороны ФАС.

* принадлежат компании Meta Platforms Inc., деятельность которой признана экстремистской и запрещена на территории РФ.

#реклама #ФАС #комплаенс #интернетправо

Реклама на заблокированных ресурсах: позиция ФАС

📍ФАС России обратила внимание, что  согласно ч. 10.7 ст. 5 Федерального закона «О рекламе», распространение рекламы на информационных ресурсах, доступ к которым ограничен в соответствии с законодательством РФ не допускается.

🎯Речь идет не только об Инстаграм*, Фейсбук*, но и YouTube, VPN-сервисах, мессенджеров, в отношении которых действую ограничения.

Таким образом, даже если ресурс фактически продолжает использоваться аудиторией, сам факт ограничения доступа может повлечь риски с точки зрения рекламного законодательства.

Ответственность несут как рекламодатель, так и рекламораспространитель. То есть риски возникают как у бизнеса, размещающего рекламу, так и у агентств/подрядчиков.

✏️ Политика обработки ПД (соответствует ли она реальным процессам, указаны ли все категории данных, отражена ли передача подрядчикам, описана ли трансграничная передача, если есть).

✏️ Cookies, аналитика и маркетинг (Есть ли корректное уведомление и механизм согласия?)

✏️ Передача данных третьим лицам (CRM, хостинг, email-рассылки, облачные сервисы - оформлены ли договоры поручения обработки? Проблема в том, что у многих компаний документы «для галочки», а сайт работает иначе. И именно это становится основанием для штрафов.

✏️ Аудит сайта по 152-ФЗ
Мы проводим комплексную проверку сайта на соответствие требованиям законодательства.

Что входит:

📍Анализ функционала сайта и сценариев сбора данных

📍Проверка согласий и оснований обработки

📍Анализ уведомления в Роскомнадзор

📍Проверка политики и локальных актов

📍Отчет с выявленными рисками и конкретными рекомендациями

Если хотите понять, какие риски есть именно у вашего сайта, напишите нам @drchelp_bot

#персональныеданные #аудитсайта #152ФЗ #комплаенс

Сайт и 152-ФЗ: что проверяют в первую очередь и за что чаще всего штрафуют

Сегодня проверки по персональным данным все чаще начинаются именно с сайта. И в фокусе не дизайн, а юридическая часть.

🎯Если на сайте есть формы заявок, аналитика, онлайн-оплата, вы уже оператор персональных данных.

Вот что проверяется в первую очередь:

✏️ Согласия пользователей (отсутствие «галочек по умолчанию», возможность отзыва согласия и т.д.). Это один из самых частых поводов для претензий.

✏️ Законность оснований обработки. Очень часто компании ссылаются на одно, а по факту действует другое.

✏️ Уведомление в Роскомнадзор (Подано ли оно? Соответствуют ли указанные цели реальной работе сайта? Многие подают уведомление «один раз и навсегда», но процессы меняются.)

Мы помогаем бизнесу провести такую проверку и привести процессы в соответствие требованиям законодательства.

В услугу входит:
🔎анализ фактической обработки персональных данных
🔎проверка локальных актов и сопутствующих документов
подготовка отчета с выявленными рисками
практические рекомендации по их устранению

Формат работы - дистанционный.

Если хотите оценить текущее состояние процессов обработки персональных данных в вашей компании, напишите нам @drchelp_bot

#персональныеданные #аудитПДн #комплаенс

🚨Если хотя бы по одному пункту есть сомнения, то это потенциальная зона риска.

На практике часто встречается ситуация, когда документы формально присутствуют, но фактические процессы им не соответствуют. Именно такие несоответствия чаще всего становятся основанием для претензий.

🚨Штрафы, предписания и в отдельных случаях ограничение доступа к сайту - это уже сложившаяся практика.

Рекомендуемые действия

Для снижения рисков целесообразно:

✏️ провести сопоставление фактических процессов обработки данных с оформленными документами;
✏️ проверить корректность и актуальность уведомления в Роскомнадзор;
✏️ актуализировать согласия и политику обработки персональных данных;
✏️ оценить участие третьих лиц (подрядчиков, сервисов, CRM);
✏️ выявить потенциальные основания для претензий со стороны регулятора.

Почему бизнесу стоит проверить себя уже сейчас

За последний год контроль за обработкой персональных данных заметно усилился. Проверки стали чаще, а формальные ошибки больше не остаются без внимания.

📍Роскомнадзор активнее проводит проверки, в том числе по формальным основаниям. Риски возникают, если документы оформлены некорректно или фактические процессы не соответствуют заявленным. Несвоевременно поданные уведомления также могут стать основанием для претензий.

Проблема в том, что о нарушениях компании часто узнают уже в ходе проверки, когда времени на системное исправление практически нет.

Быстрая самопроверка
Ответьте на несколько вопросов:
📝 есть ли актуальное уведомление в Роскомнадзор и соответствует ли оно текущим процессам;
📝 отражает ли политика обработки ПД реальные процессы компании;
📝 корректно ли оформлены согласия на сайте;
учитывается ли обработка данных через аналитику, CRM и подрядчиков;
📝 оформлены ли внутренние документы и регламенты.

Персональные данные: почему бизнесу снова стоит обратить на них внимание

Начинаем серию постов о персональных данных.

Эта тема уже несколько лет находится в фокусе регулирования, но за последнее время внимание к ней заметно усилилось.

🔹Проверки стали чаще, требования к обработке данных строже, а формальные нарушения все чаще становятся основанием для претензий.

При этом многие компании уверены, что у них «все в порядке»: на сайте есть политика, согласие на обработку данных и пара документов.

🚨На практике же часто оказывается, что реальные процессы внутри компании отличаются от того, что указано в документах или уведомлении Роскомнадзора.

В этой серии постов разберем наиболее частые ситуации, с которыми сейчас сталкивается бизнес:
• усиление проверок Роскомнадзора
• аудит сайтов по 152-ФЗ
• обработка биометрических данных
• риски блокировки сайта из-за нарушений ПД

📍Будем разбирать и объяснять, на что стоит обратить внимание уже сейчас.

В честь праздника наша компания дарит всем дамам скидку 15% на наши услуги в течение всей праздничной недели! 💌

📑 Кроме того, предусмотрены так называемые «белые списки» - перечни критически важных сервисов, доступ к которым должен сохраняться даже при введении ограничений.

Для онлайн-бизнеса важен другой аспект.

🌀 Работа сервисов напрямую зависит от каналов связи, дата-центров и платежной инфраструктуры, поэтому компаниям важно учитывать возможные риски перебоев и иметь резервные сценарии работы.

Во многом дальнейшая практика будет зависеть от того, как именно будут применяться полномочия регулятора.

⁉️Что означает Постановление №1667 на практике для пользователей и бизнеса.

📍Важно понимать, что документ не вводит автоматических массовых ограничений доступа к интернету.

А вот, если ресурс признается источником угрозы, к нему могут применяться ограничения.

То есть речь идет о механизме реагирования на угрозы устойчивости и безопасности сети.

На практике это может означать:
ограничение доступа к отдельным сайтам - блокировку прокси или VPN, ограничения для некоторых хостингов или мессенджеров.

При этом большинство интернет-сервисов продолжит работать в обычном режиме.

📍Ограничения должны применяются точечно и при наличии конкретного источника угрозы.

Меры направлены на защиту и устойчивость сети, а решения принимаются совместно с Минцифры и ФСБ.

📍Главное изменение - расширен перечень угроз.

Теперь к ним относятся не только кибератаки и аварии, но и такие угрозы как
🌀 обход блокировок
🌀 использование нелегальных VPN и хостингов
🌀 работа мессенджеров без идентификации пользователей
🌀 распространение информации, доступ к которой подлежит ограничению.

В последнее время было много вопросов о регулировании интернета и полномочиях Роскомнадзора.

Мы на эту тему не писали, поэтому коротко разберем один из ключевых документов -
📍Постановление Правительства №1667 от 27 октября 2025 года.

Документ обновил правила централизованного управления сетью связи общего пользования.

Сам механизм управления сетью существовал и раньше. Однако постановление расширило основания и порядок его применения.

Эти меры реализуются через ТСПУ (технические средства противодействия угрозам) - оборудование операторов связи, которое позволяет фильтровать и маршрутизировать интернет-трафик.

В рамках этого режима могут применяться такие меры как
🧩 изменение маршрутов передачи трафика
🧩 фильтрация трафика
🧩 ограничение доступа к отдельным ресурсам
🧩в отдельных случаях изоляция российского сегмента интернета.