7 мифов о работе с персональными данными

Привет, меня зовут Юлия Аммосова, я юрист по работе с персональными данными в Рунетлексе.

Перс.данные — рутина и боль бизнеса (и маркетинга в частности). Одни компании следуют всем правилам и законам, другие балансирует на полумерах, кто-то живет по принципу «пока не грянет». Парадокс в том, что почти у всех — обрывочные знания, которые либо мешают, либо создают риски.

Мы собрали 7 главных мифов о работе с персональными данными и развенчаем их прямо сейчас.

Поехали!

Не совсем так.

С 1 июня 2025 года действительно действует запрет на использование иностранных мессенджеров, но он касается не всех.

Под него подпадают:

— госкомпании

— госорганы

— операторы связи

— банки

— некредитные финансовые организации

— маркетплейсы

— владельцы соцсетей, которыми пользуются более 500 тысяч человек в сутки,

— владельцы сервисов размещения объявлений, которыми пользуются более 100 тысяч человек в сутки.

Запрещено ли передавать ПД через иностранный мессенджер?

Такого запрета на данный момент нет. Передача персональных данных через мессенджеры не считается трансграничной передачей (по текущим разъяснениям регулятора). Однако, практика может поменяться. Основной риск при использовании мессенджеров — взлом аккаунта с утечкой переписок и данных. Рекомендуем использовать двухфакторную аутентификацию, а также не хранить сканы документов в чатах: скачали файл — сразу удалите.

Узнает.

Регулятор может:

— определить хостинг по IP

— проверить, где реально лежит база данных Первичный сбор ПД в иностранные базы не допускается. За нарушение этого требования предусмотрены крупные штрафы - до 18 млн рублей. Что делать? Есть 2 варианта:

— вовсе отказаться от сбора ПД в иностранные базы данных, собирать и обрабатывать на российских серверах — развернуть промежуточную российскую базу данных

РКН автоматически проверяет сайты на соблюдение требований законодательства о персональных данных. В выборку может попасть любой сайт. Автосканер анализирует наличие и содержание политики, обязательных согласий, использование Google Analytics и других сервисов, а также факт подачи уведомления в реестр операторов.

Сканируется:

— наличие и содержание политики

— обязательные согласия

— подключённые сервисы (например, аналитика)

— факт подачи уведомления в реестр операторов

Размер бизнеса роли не играет.

Мы сделали собственный инструмент проверки по тем же ключевым параметрам. Закажите бесплатный экспресс-аудит — проверьте сайт до того, как это сделает Роскомнадзор.

Сейчас ситуация такая: если РКН находит на сайте Google Analytics, он не штрафует сразу. Регулятор направляет требование о подаче уведомления о трансграничной передаче персональных данных. Если уведомление подано — претензии снимаются.

Важно: практика может измениться. Если для вас использование Google Analytics особенно важно, учитывайте этот риск.

Не всегда. Если у вас есть пользовательское соглашение, которое регулирует регистрацию, то оно может быть основанием для обработки данных

В этом случае отдельное согласие — избыточно.

Если цель обработки данных одна — отправка рекламных объявлений — достаточно одного грамотно составленного согласия, которое будет учитывать требования обоих законов. Об этом мы подробно писали ранее в этом посте.

На сайте достаточно разместить политику, которая описывает работу именно этого сайта. Затрагивая в политике ПД работников, вы раскрываете свои рабочие процессы. Любая ошибка или неточность сразу становятся мишенью для РКН, повышается риск претензий и штрафов. В идеальном случае на сайте остаётся только информация для пользователей, а внутренние регламенты — внутри компании.

Если у вас остались вопросы или нужна помощь — пишите в комментарии или через нашу форму обратной связи. Будем рады помочь!