ru en
MVP
Масштабирование бизнеса
EXIT — IPO — preIPO
+7 (495) 120-28-16 info@zarlaw.ru
+7 (495) 120-28-16 info@zarlaw.ru
задать вопрос
ru en
Главная Новости и статьи Топ критических ошибок в работе с персональными данными на сайте: что бизнес не замечает до проверки РКН

Топ критических ошибок в работе с персональными данными на сайте: что бизнес не замечает до проверки РКН

Большинство компаний уверены, что у них «всё в порядке с персональными данными»:

  • есть политика конфиденциальности;
  • есть согласие на обработку ПДн;
  • компания в реестре Роскомнадзора.

И в 90% случаев проверка показывает, что это не так. Причём речь не о сложных нарушениях. Речь о базовых вещах, которые видны даже при экспресс проверке. И именно так проверяет регулятор.

Как это выглядит на практике

Проверка сайта начинается не с документов. РКН просто открывает сайт и за 5–10 минут видит:

  • как устроены формы;
  • есть ли отдельное согласие;
  • совпадают ли данные и документы.

И в этот момент большинство нарушений становится очевидным.

Почему это стало критичным в 2026 году

Требования к персональным данным больше не ограничиваются «наличием документов» на сайте. Сейчас проверяется:

  • как фактически собираются данные;
  • на что пользователь даёт согласие;
  • совпадает ли это с содержанием документов.

Нарушения в области персональных данных грозят не только штрафами - соблюдение 152-ФЗ становится фильтром:

  • при включении сайта в белый список;
  • при работе с корпоративными заказчиками (контрагентами);
  • при due diligence инвестором.

Подробнее об этом: читайте здесь.

Наши услуги

Что показывает аудит сайта на практике

Приведем пример аудита одного из сайтов:

Ошибка №1. Согласие не акцептуется пользователем

Правило! Согласно ст. 9 152-ФЗ, согласие должно быть:

  • выражено отдельно;
  • осознанно;
  • явно.

Фиксация согласия может быть сделана путем нажатия кнопки или проставления чек-бокса. Каждое такое действие должно логироваться владельцем сайта (т.е важно формировать log-файл, который фиксирует дату совершения действия).

Часто мы встречаем вместо этого такие фразы «Указанное согласие вступает в силу с момента моего перехода на сайт».

Последствия:

  • обработка персональных данных может быть признана незаконной;
  • включая уже собранную базу.

Ошибка №2. Одно согласие на всё

Правило! «1 цель - 1 согласие». Это означает, что в согласии нельзя собрать все цели - важно разделять их с учетом конкретных форм сбора данных.

Во время аудитов мы видим иное. Бизнес считает, что лучше сделать одно согласие на все процессы, зачем плодить документы, в которых отличается только состав данных и цели.

В результате:

  • регистрация;
  • заявки;
  • использование сервиса;
  • коммуникации.

Объединяются в один документ. Для РКН такое согласие лишь подчеркивает, что закон не соблюдается.

Последствия:

  • штраф;
  • оспаривание согласия;
  • невозможность легально использовать данные.

Ошибка №3. Несоответствие данных и согласия

Правило! В тексте согласия перечень данных должен точно соответствовать форме, в которой собираются данные.

Но на практике типовая ситуация:

  • в форме собирается минимум данных;
  • в согласии прописан расширенный перечень.

Это нарушение принципа соразмерности (ст. 5 152-ФЗ).

Риск:

  • данные считаются собранными без законного основания.

Ошибка №4. Подмена согласия политикой

Правило! Политика обработки ПДн должна быть доступна с любой страницы сайта. А вот акцептовать должен именно «согласие» как отдельный документ.

На практике:

  • пользователь видит ссылку «согласие»;
  • при переходе открывается политика.

Отдельного согласия нет. Это одна из самых распространённых ошибок.

Последствия:

  • согласие считается недействительным;
  • вся обработка — незаконной.

Ошибка №5. Нет согласия на рекламную рассылку

Правило! Собирать данные для рекламных рассылок только через согласие (а не просто в форме).

В жизни в согласии часто указано:

  • информирование;
  • взаимодействие.

Но: отдельного согласия на рекламу нет.

Это уже нарушение закона о рекламе.

Риск:

  • штрафы + блокировка коммуникаций.

Ошибка №6. Нет связи между формами, документами и процессами

Правило! Все должно быть синхронизировано: и документы, и пользовательский путь.

Это ключевая системная проблема. На сайте:

  • формы работают сами по себе;
  • документы существуют отдельно;
  • процессы не синхронизированы.

В итоге: юридическая модель не отражает реальность.

Что важно понять

Проблема не в документах. Проблема в отсутствии архитектуры обработки данных. И именно это сейчас проверяется:

  • регулятором;
  • клиентами;
  • инвесторами.

Как это связано с «белым списком»

Формально требования к включению связаны с инфраструктурой. Но на практике проверяется и внешний контур сайта:

  • согласия;
  • формы;
  • политика;
  • логика сбора данных.

Это становится критерием допуска.

Как проверить свой сайт

Ровно так, как это делает регулятор:

  • открыть формы;
  • посмотреть согласия;
  • сравнить с документами.

Мы подробно разобрали подход: читайте здесь.

Главный вывод

Ошибки в ПДн — это не «юридическая формальность». Это риск потери:

  • пользовательской базы;
  • клиентов;
  • сделок.

И именно поэтому проверка сайта на ПДн — это не проверка документов, а проверка бизнес-модели.

Проверка сайта

Если вы хотите понять, какие риски уже есть: ссылка на анкету.

+7 (495) 120-28-16
пн-пт, 10:00–19:00 (по Москве)
info@zarlaw.ru

ЗАДАТЬ ВОПРОС

Куки
Продолжая использовать наш сайт, Вы соглашаетесь на обработку файлов cookie. Данные обрабатываются для предоставления наших услуг и улучшения качества работы нашего веб-сайта и сервисов.