Привет!

С 26 по 30 января проходит ежегодная неделя защиты конфиденциальности данных (Data Privacy Week), поэтому мы решили подготовить для вас полезный материал по персональным данным.

Меня зовут Илья Башкиров, я юрист по ИБ InfoWatch, и сегодня хочу поделиться статьёй в двух актах. Акт 1 — обзор опыта и судов 2025 года: кого, за что и как штрафовали и на что стоит обратить внимание. Акт 2 — небольшой гайд по front-end-privacy-compliance, то есть по работе с персональными данными, формами согласий и кукисов, политиками и прочим на сайтах и в приложениях.

Предлагаю начать с обзора судебных решений в формате «кого», «за что» и «как» штрафовали за персональные данные. Правда, в другом порядке. Сначала…

«За что» — статистика нарушений

Чаще всего в решениях судов встречается ч.1 ст. 13.11. Она устанавливает ответственность за нарушение основных принципов обработки данных (незаконные сбор и обработка), а также включает небольшие утечки (до 1000 субъектов). Второй по популярности стала ч.4 той же статьи, которая предусматривает ответственность за неполные ответы на запросы субъектов или их игнорирование. Эти два нарушения формируют больше половины практики. Оставшаяся доля разделена на решения по прочим частям статьи в примерно равных долях.

Дальше — «кого» привлекали к ответственности

Если говорить о том, кого привлекают к ответственности, то обычно это предприятия малого и среднего бизнеса, и лишь пятая часть дел связана с крупными организациями: банками, логистическими компаниями, операторами сотовой связи. Но их чаще привлекали как раз за непредоставление данных по запросу или по специфическим, узким статьям. 

Отличились и традиционные рекордсмены по искам о нарушении персональных данных — коллекторские агентства, ТСЖ, управляющие компании и СНТ. Они и раньше создавали основной поток жалоб субъектов. Причина в том, что последствия нарушения конфиденциальности со стороны этих организаций наиболее ощутимы для субъекта. И сами эти организации не очень озабочены вопросом privacy compliance. По внутренним ощущениям, РКН также очень внимательно смотрит в сторону иностранных компаний (по понятным причинам) и онлайн-образования. Хотя и обычным, физическим, более того, государственным образовательным учреждениям тоже досталось. Но у них, по слухам, проходил плановый мониторинг на стыке 2024 и 2025 годов. 

Финальный вопрос — «как» штрафовали

Дело в том, что не штрафовали. 

Чуть больше чем в половине дел суды ограничивались предупреждением. Немного про него. Сначала в административном процессе устанавливается, виновен оператор или нет. Если ответ — «да, виновен», суд приступает к определению наказания. В ст. 13.11 они денежные — то есть в форме штрафа. Но если судья по какой-либо причине посчитает, что штраф будет чрезмерным или чересчур обременительным, он может заменить его на предупреждение. В таком случае организация признается виновной в нарушении, но не получает штрафа. При этом акция единоразовая — второе нарушение законодательства о персональных данных гарантированно приведет к штрафу. 

Что же до самих штрафов за 2025 год, то они были сравнительно небольшими, иногда даже меньше минимального значения. Крупный штраф получила МТС за повторное нарушение основных принципов обработки ПДн — 300 000 руб. В «чистой игре», то есть среди дел, начатых именно в 2025, это — самый крупный штраф. 

А что же с теми самыми огромными штрафами, которыми всех пугали в начале года? 

Их нет. А утечки были, крупные утечки, причем не только в сводках экспертов по ИБ, но и в судах. В деле А40-263126/2025 рассматривали утечку целых 26 миллионов записей, а штраф был 150 000. То есть минимальным по новым правилам игры. 

Причина в том, что под новые штрафы попадают только утечки, допущенные после вступления изменений в силу, то есть с 01.06.2025. Так что в 2025 еще можно было защищаться, утверждая, что утечка была совершена в первом полугодии. 

В 2026 эта тактика уже неэффективна. 

Вроде бы, «кого», «за что» и «как» разобрали. Но нет, есть еще вопрос, как РКН обнаружил нарушение. 

Если говорить об утечке, то, за редким исключением, оператор сам уведомлял контрольно-надзорную службу об этом. Простая математика — штраф за неуведомление — от 1 до 3 миллионов, а за небольшую утечку (до 1000 человек) — 150-300 тысяч. Так что увед��млять регулятора в любом случае экономически целесообразно. Правда, с ростом размера утечки ставки в этой игре меняются. В делах по остальным нарушениям РКН узнавал либо после обращения субъекта ПДн (а их за год было больше 1500 — рекордное количество за 10 лет), либо в результате собственных проверок. Они, кстати, автоматизированы — нарушения на сайте могут быть выявлены через парсинг.

Теперь обсудим то, что делать, чтобы не получить штраф. А после этого уже рассмотрим практику по утечкам и возможные тактики в суде.

Что делать, чтобы не получить штраф

Малому и среднему бизнесу мы рекомендуем обратить внимание в первую очередь на организационный элемент безопасности. Это дешево и, в условиях небольшого коллектива и объема данных, вполне эффективно. Кстати, у совсем малого бизнеса может не быть информационных систем, но могут быть утечки. Пример — дело №55-36038/2025, в котором посетитель сфотографировал и распространил журнал посещений оператора. Суд посчитал, что оператор не обеспечил базовой безопасности «базы данных» — поэтому он виноват в утечке. Почему — разберем ниже, когда будем говорить об утечках.

У бизнеса чуть побольше и среднего информационные системы есть, но объем данных все еще небольшой. Здесь мы рекомендуем в первую очередь провести методическую работу с сотрудниками и озаботиться разграничением доступа к данным. Сделать это можно и без специализированного ПО, хотя бы на уровне настройки сетевого доступа, PAM и AD DC. 

В организационном аспекте у малого бизнеса есть еще одна насущная проблема — недостаток корпоративных on-prem-систем сотрудники компенсируют инициативным использованием привычных им ресурсов. А это — прямой путь в утечки, нарушение локализации и так далее. Поэтому мы и рекомендуем методическую работу с сотрудниками, возможно даже в формате создания хэндбуков и шпаргалок «что можно/что нельзя». Доступные крупному бизнесу в автоматическом режиме фишки вроде обезличивания, дробления баз и контроля каналов в малом бизнесе придется делать вручную. 

Также малому и среднему бизнесу следует обратить внимание на содержание сайта. Через сайт ловят на простых ошибках, за которые обиднее всего. 

  • Вы юрлицо (не ИП/СЗ) — а политика опубликована? 

  • Личный кабинет есть — а есть ли пользовательское соглашение, позволяющее вам обрабатывать данные из ЛК в целях исполнения договора? 

  • Используете согласие — уверены, что нельзя обрабатывать на основании договора? а в форме галочки не стоят заранее? 

  • Собираете кукис — используете локализованную технологию? 

  • Сделали куки-баннер? А он закрывается «крестиком» или кнопкой «согласен»?

Перед крупным бизнесом стоят уже другие, крупные задачи. Практика намекает, что нужно задаться вопросом предоставления субъектам полных и объективных ответов на их запросы, автоматического контроля работы с клиентами-физлицами и блокированием каналов передачи данных, обезличивания данных при обработке. А еще — подумать об актуальности данных при предоставлении услуг. 

Но кто я такой, чтобы давать советы крупному бизнесу. Бесплатно. Поэтому давайте разберем практику утечек персональных данных.

Утечки — бумажная безопасность не защищает, но выручает

Как мы уже сказали, утечки могут быть даже в случае отсутствия информационных систем. Но в этом блоке мы поговорим о привычных «цифровых утечках». Исследуя судебные решения, мы обнаружили три наиболее распространенные причины таких утечек: кибератака, умышленные и случайные действия сотрудника. 

Открытие? Нет. Занятно, но на все три причины утечки суды отвечали одинаково: утечка — это ваша проблема. Но это если упрощать. 

Операторы в защите ссылались на то, что утечка произошла из-за действий третьих лиц (кибератака/умышленные действия внутреннего нарушителя), а значит, вины оператора нет). Говорить так операторам позволяли два дела от 2023 года («Спортмастера» и «АльфаСтрахование»), в которых суд прекратил производство по нарушению режима данных из-за того, что в деле не было состава административного правонарушения — виноваты хакеры, а не оператор. Теперь же суды утверждают, что во всем и всегда виноват сам оператор. 

Почему так?

Подсказку (а точнее, прямое указание на причину) мне дало дело №А39-7047/2025. В нем суд, говоря об опасности утечки, высказал следующую мысль: «социальная опасность нарушения персональных данных выражается не во вреде, который может быть причинен субъектам, а в пренебрежительном отношении оператора к исполнению своих публично-правовых обязанн��стей в отношении исполнения законодательства о ПДн». 

И все встает на свои места. Суды действительно рассматривают кибератаки как нормальный деловой риск. Но «пропустил кибератаку» не равно «виноват в утечке». 

Аналогично с другими причинами утечек. 

Во всех решениях прослеживается общий тренд — суды исследуют то, насколько ответственно оператор подходил к вопросу защиты персональных данных. Но операторы, ссылаясь на кибератаку как обстоятельство, исключающее их ответственность, забывали доказать то, что они сделали все, чтобы ее предотвратить. Да, граница «всего, что можно» судами не установлено. Особенно тревожно звучит дело №А40-36038/2025, в котором данные ушли через фотографию рабочего экрана на личный телефон сотрудника. Функционал для защиты от таких атак есть в редком и дорогостоящем ПО, но оператор все равно был признан виновным в утечке. А в одном деле я нашел цитату, близкую к такой: боитесь кибератак? – так не собирайте данные.

Тем не менее, можно ли отстоять свои интересы? 

Можно. Вот идея, как это сделать.

Шаг первый — надо доказать, что вы готовились к утечке. В этом нам поможет первая безопасная бумага — модель угроз. Если в ней прописан конкретный тип произошедшего инцидента, то оператор уже может говорить: Уважаемый Суд! (именно так, не «Ваша Честь!» — это только в уголовке), инцидент — не случайность, мы ответственные, мы знали о том, что такое может произойти…

Вот на этой фразе главное — не осечься. Поэтому сразу... 

Шаг второй и еще одна безопасная бумага — акт оценки уровня защищенности, акт введения СЗИ в эксплуатацию или что-то иное, что поможет продолжить сказанную выше фразу словами …и мы готовились. Нужно показать, что на каждый тип атаки у вас было решение: организационное или техническое. В идеале — техническое. Уже это позволит суду сделать вывод вроде: хм, вроде бы, здравый оператор, он, как минимум, не пренебрегает своими публично-правовыми обязанностями по защите ПДн. 

Но тут у суда возникает совершенно резонный вопрос. А если вы защитились — то как тогда произошла утечка? И тут мы перехватываем инициативу! 

Шаг третий — акт расследования инцидента и технический паспорт СЗИ. Да, мы будем валить все на машину. Такой акт может создать внутренняя комиссия в порядке, предусмотренном корпоративным регламентом, а можно закупить соответствующую экспертизу. Лишним не будет, особенно в крупных утечках. 

Так вот. Наша цель — дать максимально логичный и исключающий нашу вину ответ на вопрос «почему произошла утечка». И вот он — потому что технические средства защиты несовершенны, а нарушитель намеренно действовал для того, чтобы эти системы превзойти или обойти. Но для этого нужна четкая, абсолютно прямая и подтвержденная актами и документами линия: модель угроз — тип угрозы — мера противодействия — техническое расследование. 

По опыту дел 2023 года, такая линия защиты позволит… достичь 80% успеха. Еще 19% — это работа оператора после утечки: остановка инцидента, работа с субъектами, сообщение в РКН и так далее. А 1% — это везение, подход конкретного судьи и цвет костюма вашего представителя (прим. ред. бежевые – пижонство). 

Оператор, принявший все разумные и пропорциональные меры по противодействию угрозам, имеет все шансы получить скидку на штраф, отделаться предупреждением или вовсе получить закрытое дело без признания его вины. Потому суды делают акцент на выполнение публично-правовой обязанности. 

А полной безопасности не существует.

Бонус — удобная памятка формата 101

Выше я писал о хэндбуках, которые помогают оперативно подготовиться, ничего не забыть и не упустить. Держите.

Если у вас на сайте или в продукте используются рекомендательные технологии

Персональные данные – это хайп, а вот рекомендательные технологии сейчас не на слуху. Тем не менее, за нарушение требований к ним можно получить достаточно неприятное последствие – блокировку рес��рса. Из приятно – соответствовать требованиям к рекомендательным технологиям не сложно. Сейчас расскажу, как

Рекомендательные технологии - это любые алгоритмы, которые формируют пользователю ленту на основе его лайков, интересов, просмотров и прочих радостей. Сюда же относятся точечные рекомендации товаров, музыки, фильмов. Тут мы имеем дело с 149-ФЗ «Об информации», который говорит о том, что под его требования попадают как сайты, так и приложения.

Оформляем предупреждения

  1. На всех страницах сайта и приложения, где используются рекомендательные технологии, разместите текст «На информационном ресурсе применяются рекомендательные технологии». Прямо вот так дословно скопируйте. В идеале — поставьте и в футер сайта (приложения), и обязательно в личный кабинет пользователя.

  2. Разработайте «Правила применения рекомендательных технологий».

  3. Сделайте специальный почтовый ящик на вашем домене для направления вам вопросов, претензий и юридически значимой информации.

  4. В эти Правила впишите название вашей организации (если вы ИП или СЗ — то ваши ФИО).

  5. Опубликуйте эти правила целиком на отдельной странице. Активную ссылку на них пропишите в текст из пункта 1. Получится примерно вот так

Что ещё важно — в шапке этих правил обязательно разместите текст «На информационном ресурсе при применении информационных технологий предоставления информации осуществляется сбор, систематизация и анализ сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации».

Давайте нагляднее на примере с пунктами.

  1. Расширенный текст-предупреждение (согласно ч. 2 Требований РКН)

  2. Описание процесса работы рекомендательных технологий, а также их типа (внутренняя или внешняя, персонифицированная или неперсонифицированная).

  3. Описание способов сбора данных о предпочтениях пользователя.

  4. Перечень данных, которые собираются и используются алгоритмом.

  5. Результаты выдачи алгоритма и где они могут быть показаны.

  6. Контактные данные и почта.

Обратите внимание, что сам алгоритм писка на ресурсе — это не рекомендательная технология. Поэтому все требования закона насчет рекомендательных сервисов не касаются тех сайтов и приложений, в которых пользователь просто сам вводит конкретный поисковый запрос или лично задаёт при писке расширенные параметры. 

А вот выдача таких результатов — уже рекомендательная технология. 

В этой связи есть три важных запрета, касающихся рекомендалок.

  1. Рекомендательные технологии должны учитывать возрастные ограничения и нормы морали. Скажем, если ваш магазин продает косметику и товары 18+, то нужно ограничить алгоритм, чтобы тот не подбрасывал рекомендации взрослых товаров тому пользователю, который ещё не подтвердил соответствующий возраст.

  2. Рекомендательные технологии не должны основываться на персональных данных, которые собраны без ведома пользователя или без его согласия. В случае персонифицированных рекомендаций, основанных на cookies, нужно уведомить пользователя об их использовании.

  3. Нельзя с помощью алгоритма предлагать пользователю запрещенную информацию или информацию ограниченного доступа. Это уже требование не к технологиям, а именно к самому ресурсу, наполнение которого не должно содержать запрещенной информации.

Если вы работаете с персональными данными

То нужно соблюдать принцип соответствия четырём главным элементам.

  1. Цель — конкретная, самостоятельная задача, которая стоит перед обработкой персональных данных. Обычно позволяет выбрать одно основание обработки.

  2. Объём — то, сколько данных вам нужно для достижения поставленной цели. Указывайте лишь те данные, которые реально нужны для бизнес-процесса. Никаких данных «про запас».

  3. Основание — то, почему вы вообще можете обрабатывать данные. По умолчанию-то их обрабатывать нельзя. Перечень оснований (условий) установлен в ст. 6 152-ФЗ.

  4. Срок — как долго вы можете хранить и обрабатывать персданные. По умолчанию данные должны быть удалены после достижения цели.

На сайте нужно разместить политику обработки персональных данных. Как и в примере выше — понятную, заметную и непротиворечивую, в футере сайта, ЛК или разделе «Правовая информация». С точки зрения формальностей такая политика должна быть принята на уровне ЛНА вашей компании. 

Вот что должно быть в самой Политике:

  1. какие задачи (цели) стоят перед обработкой данных;

  2. какие данные вы собираете (категории данных);

  3. чьи данные вы собираете (категории субъектов);

  4. срок, в течение которого обрабатываются данные и момент, когда вы перестаете обрабатывать данные;

  5. способы обработки данных, предусмотренные ФЗ;

  6. то, как вы защищаете персональные данные (назначение ответственного за обработку, защищенное хранение данных, разграничение доступа к местам их хранения, парольная политика);

  7. порядок и сроки прекращения обработки персональных данных и их удаления;

  8. порядок обработки специальных категорий персональных данных (религия, здоровье, политическая позиция, убеждения и похожее), а также биометрических персональных данных в формате «обрабатываем в таком-то порядке/не обрабатываем».

Чисто с визуальной точки зрения такое удобнее подавать табличкой, например.

Помните, что такая Политика — довольно динамический документ, который надо поддерживать в актуальном состоянии, а не «один раз разместили и забыли». 

Для изменения Политики включите в нее положение: Оператор имеет право вносить изменения в Политику и обязуется актуализировать ее в случае изменения процессов сбора и обработки данных. Хорошей практикой будет указать дату редакции Политики. Если вы передаете данные другим компаниям или поручаете им их обработку (отдаете обработку на аутсорс), укажите перечень таких компаний в Политике. Иногда такой перечень размещают в ка��естве отдельной вкладки для удобства обновления.

Согласия

С 2025 года согласие стало условием-аутсайдером. РКН перестало устраивать его повсеместное использование. В этом есть смысл – никто не читает тексты и условия, а крупный бизнес вписывает туда все, что нужно ему (а не пользователю), чтобы иметь подстраховку для любой, даже чрезмерной обработки. Теперь же согласие используется там, где ни одно другое условие не применимо. И тем не менее, его следует разобрать. Как минимум, чтобы понять основные принципы: активную форму, акцепт в цифровой сфере – это понадобится при разборе кукисов.

Первое требование к согласию — его активная форма. В Интернетах различие между активной и пассивной формами достаточно банально:

  1. Пользователь должен сам согласиться с формой. Для чего он сам проставляет галочку в пустое поле. Это — активное согласие, и это правильно.

  2. Пользователь должен снять заранее проставленную галочку, если он не согласен с формой. Это — пассивное согласие, это неправильно.

Следующее – содержание согласия, или его информативность. Оно должно включать:

  1. цель сбора персональных данных;

  2. перечень собираемых данных;

  3. данные оператора;

  4. срок обработки данных;

  5. отсылку к Политике;

  6. перечень действий с данными.

Размещаем согласие на обработку персональных данных

Самое важное — получить согласие на обработку персданных надо до того, как вы эту обработку начнёте. Вроде бы, логично, верно? Делают ли так все? Нет.

  1. Согласие должно быть получено до начала сбора данных.

  2. Согласие сопровождается активным действием, log-файл которого можно сохранить в качестве доказательства получения согласия. Самый простой и эффективный способ – простановка галочки в незаполненное окошко.

  3. Содержание согласия — довольно длинный текст. Для его размещения удобно использовать один из двух методов:

Кстати, немного оффтоп, но я заметил, что ИТ и юридические команды имеют одну общую и очень позитивную черту — рассказывать об участниках коллектива на сайте или в соцсетях. Но тут есть маленький нюанс, страница «О команде» — это распространение персональных данных. 

Вот как привести эту страницу и этот процесс в соответствие законодательству:

  1. Включаем в политику обработки данных цель «ведение корпоративных соцсетей и сайта».

  2. Указываем перечень данных: фамилия, имя, должность и изображение субъекта.

  3. Делаем согласие субъекта с текстом – Я _____ соглашаюсь на обработку моих данных: (копируем пункт 2. выше) с целью (копируем п. 1. выше). В согласии обязательно вписываем ссылки на сайт и соцсети. Также должно быть поле для запретов на обработку данных при их распространении, которое субъект может заполнить самостоятельно по своему желанию.

  4. Если субъект вписал указал запреты на обработку своих данных, вы должны разместить их так же, как и сами данные.

Нагляднее:

Нечитаемая без хорошей лупы надпись под аватаркой — «Субъект установил запрет на любые действия неограниченного круга лиц с указанными выше данными, кроме доступа к данным посредством нашего сайта».

Кстати, про аватарку — такая фотка сотрудника не является биометрией, в ней нет векторов и вы не используете её для удостоверения личности. В этом случае можно использовать её как обычные (иные) персональные данные. Не нужно лишний раз вписывать в Политику обработку биометрических персональных данных — это приведет к проблемам.

— А печеньку?

У нас было несколько законов о персональных данных, стремление им соответствовать, политика обработки персданных и удобные формочки. Не то, чтобы без этого было совсем никак, но если уж начал этим заниматься, то к делу надо подходить серьёзно

В общем, вот мы и добрались до Cookies. Главный вопрос тут — а это персональные данные? Да. А споры об их правовой природе и глубине их анонимизации оставим моим коллегам. Сами же мы просто защитимся от штрафов, причем крупных, за не-локализацию.

Особенно важно обратить внимание на эти требования:

  1. Локализация. Сбор персональных данных граждан РФ должен осуществляться с использованием баз данных на территории России. Вывод: нельзя использовать зарубежные облачные cookie-сервисы, в первую очередь Google Analytics и reCaptcha.

  2. Выбор цели и основания. Cookies, как и другие персональные данные, нельзя собирать просто так. Вам надо корректно определить цель и подобрать под нее верное основание сбора и обработки данных. Вывод: нужно определить ��ель сбора cookies и выбрать под каждую цель законное основание.

  3. Информирование. Персональные данные должны собираться открыто и в заранее установленном порядке. Вывод: нужно предупредить пользователя о сборе cookies, внести сведения о них в Цели обработки ПДн и направить уведомление в РКН.

Что вам грозит за неправильное хранение печенек

Самое дорогое в списке — нарушение требований по локализации, тут можно вполне себе выхватить штраф до 6 000 000 рублей (ч. 8 ст. 13.11 КоАП). 

За отсутствие правильного основания тоже можно получить штраф — но уже до 300 000 рублей по ч. 1 ст. 13.11, а вот за отсутствие Политики (информирования) — до 60 000 руб. (ч. 3 ст. 13.11 КоАП). Правильный выбор основания зависит от того, с какой целью и какой тип cookies используется на сайте.

Суды и РКН разделили кукис на две категории — по смыслу их применения на сайте. Технические и метрические.

Технические — те, без которых работа сайта невозможна. К ним относятся файлы, которые собираются на сайте для его корректного отображения, а также для таких операций, как сохранение избранного или товаров в корзине. Цель использования таких файлов – непосредственное обеспечение работы сайта. К ним суды и РКН предъявляют пониженное внимание. 

Основания обработки таких файлов — законный интерес, исполнение договора (пользовательского соглашения).

Метрические — цель их использования — аналитика действий пользователя, оптимизация сайта, профилирование. В конечном итоге они связаны с получением прибыли оператором, а не удобством пользователя. Поэтому РКН и Суды обращают на них особенное внимание. К ним относятся файлы, которые используются для сбора данных об активности пользователя, его предпочтениях, а также для его идентификации.

К таким файлам относятся файлы третьей стороны, например, Яндекс.Метрика.

Для каждого типа cookies нужно выбрать подводящее основание (условия) обработки данных. Зачастую используют эти:

Небольшая подсказка — самым частым основанием все же является исполнение договора. Какого? Пользовательского соглашения сайта или приложения. Именно туда можно (и нужно) вписать, какие типы cookies и для чего вам нужны. 

Cookie-баннер

Чтобы соответствовать требованиям законодательства, вам надо показывать тот самый надоедливый баннер о сборе кук.  Это элемент 2 в 1: и форма предупреждения (информирования) о сборе данных, и форма акцепта.

Доказательство нажатия аналогичное — это либо log-файл, либо такой пользовательский путь, который не позволяет пользоваться сайтом, не нажав её.

В Пользовательском соглашении хорошо бы расписать, каки именно куки вы используете и зачем. Например, 

А можно пойти дальше и указать даже временные параметры используемых файлов.

В идеале — дайте пользователю знать, что он может сам, вот этими руками, на уровне браузера ограничить тому или иному сайту возможность сбора кукисов. Можно прямо со ссылкой на раздел справки популярных браузеров.


Уведомляем РКН

Регулятор надо уведомить о том, что вы собираете кукисы. Это можно сделать, добавив в общее уведомление вот такую информацию:

Чек-лист по cookies

Чтобы точно ничего не забыть, проверьте себя по пунктам. 

  • Перечень cookies для бизнес-целей определен, выделены обязательные и метрические

  • Выбран российский метрический сервис для аналитики

  • Установлен баннер о сборе cookies на сайте. Он показывается везде при первом посещении сайта.

  • Баннер с согласием/акцептом условий не закрывается никак кроме нажатия кнопки принятия.

  • В баннере есть ссылка на документ, в котором описан порядок сбора и обработки cookies

  • В этом документе-по-ссылке есть сведения о субъектах данных (посетители сайта), типе данных (cookie- файлы), цели и составе данных.

  • Перечислены все третьи лица, которые обрабатывают cookies, их реквизиты (название, ИНН, адрес) и цели обработки

  • На каждой странице сайта есть ссылка на Политику обработки ПДн

  • В документах для посетителей есть инструкция по блокировке сбора файлов cookie и их удаления на уровне устройства и браузера

  • В реестре операторов РКН есть информация по обработке Оператором cookies (или направлено уведомление)

Резюмируя

В обще��, вот как на сегодня обстоят дела в правовом поле, когда речь идёт о персональных данных и всем, что с ними связано. Надеюсь, вам было интересно и полезно. Кстати, если хотите иметь под рукой наглядные гайды по персональным данным в формате PDF, да и в целом быть в курсе новостей по этой теме, заглядывайте в наш ТГ-канал.

А если у вас остались какие-то вопросы или уточнения — пишите в комментариях, постараюсь ответить.