В этом году Роскомнадзор (РКН) сам проводил открытые мероприятия, включая День открытых дверей, тематический вебинар с участием Юрия Контемирова, а также активно выступал на конференциях и на встречах с отраслевыми и бизнес-ассоциациями. Были и интересные разъяснения от РКН, оказывавшие влияние на компании. И да, их можно найти в Комплайтеке.
В ходе обсуждений представители РКН поделились с privacy-комьюнити актуальными подходами к применению законодательства о персональных данных (ПД), разъяснили спорные вопросы и обозначили позиции. Славно, что обошлось без резонансных нововведений. В то же время акценты, сделанные РКН, позволяют оценить вектор развития практики и потенциальные риски для бизнеса. Далее приведены позиции РКН, которые, на наш взгляд, оказались как наиболее обременительными для бизнеса, так и существенно упрощающие ему жизнь.
Обработка ПД через единый сайт
Иногда несколько компаний работают через единый сайт или приложение, например, авиакомпании с партнёрскими программами, сети отелей, холдинги и группы компаний. В таких случаях пользователь должен ясно понимать, какой именно оператор собирает его данные в конкретный момент, для какого процесса и в какой форме сбора.
РКН придерживается позиции, что, если в политике и формах сбора ПД не указано, кто именно является оператором для конкретного процесса / формы, то нарушается принцип информированности субъекта. А это влечет за собой ответственность по ч. 1 ст. 13.11 КоАП РФ. Таким образом, по мнению РКН, для соблюдения выполнения принципа информированности необходимо разделить формы сбора ПД субъекта.
С учетом изложенного РКН последовательно усиливает акцент на информированности субъектов, и требование чётко указывать оператора при работе через единый сайт выглядит логичным. Однако для бизнеса это не всегда означает лишь косметические правки, а зачастую – необходимость пересобрать интерфейсы и маршруты данных. Мера в целом позитивная – она действительно снижает риск введения пользователя в заблуждение, но при этом повышает операционную нагрузку на бизнес.
Необходимо разделить формы сбора ПД субъекта на едином сайте и в приложении, предоставить актуальные ссылки на релевантные документы оператора и обновить политику при необходимости.
Штрафы за неуведомление
Штраф налагается, прежде всего, за отсутствие уведомления об обработке ПД, а не за его позднее представление. Неуведомление может повлечь за собой ответственность, предусмотренную новой ч. 10 ст. 13.11 КоАП РФ, а именно штраф для юридических лиц в размере до 300 000 рублей.
Несмотря на то, что к 30 мая 2025 года случился огромный приток кандидатов на включение в реестр операторов, многие компании все еще вне радаров РКН, поскольку не захотели подавать уведомление. Первая практика по штрафам за неуведомление о начале обработки ПД уже начала появляться, поэтому ожидаем продолжение миграции операторов в реестр РКН. Лучше так, чем платить штраф за «латентное операторство». К тому же новая арбитражная практика показывает, что даже неактуализация сведений в реестре рассматривается арбитражными судами как существенное обстоятельство, не говоря уже о том, что в рамках мониторинга сайтов сервисов РКН такие нарушения легко выявляются.
Из-за большой загруженности РКН не все операторы, подавшие уведомление о начале обработки ПД, были включены в реестр операторов. Поэтому если уведомление было подано еще до 30 мая, но оператора по какой-то причине все еще не включили в реестр, то рекомендуем убедиться, что на руках есть доказательства отправки уведомления. Если совсем тревожно ожидание, то можно обратиться в соответствующее управление для актуализации информации. Такое тоже иногда помогает.
Необходимо подать уведомление о начале обработки ПД и актуализировать сведения об обработке ПД оператором в случае, если данные в реестре не соответствуют реальным процессам.
Трансграничная передача и локализация
С 1 июля 2025 года действуют обновленные правила локализации. На первый взгляд, при сборе ПД использовать зарубежные базы данных стало еще больше нельзя. Эта правка породила много дискуссий о том, как правильно трансграничить, чтобы такая передача не стала триггером для РКН.
Напомним, что под трансграничной передачей данных понимается (1) передача ПД (2) на территорию иностранного государства (3) иностранному лицу. Мы привыкли, что деловая переписка с зарубежным контрагентом (даже преддоговорная), зарубежные командировки работников, а также, разумеется, удаленный доступ из иного государства к ИТ-системам российских компаний и сбор метрик с использованием зарубежных сервисов являются трансграничной передачей ПД.
Ок, но, как оказалось, по свежей версии РКН не является трансграничной передачей ПД:
Если трансграничную передачу данных осуществляет обработчик, то это все так же является риском оператора. В этой связи, привлекая обработчика к сбору ПД, надо убедиться не использует ли он, например, для этого зарубежные сервисы.
Какие-то из вышеописанных позиций действительно привносят для рынка неожиданную НЕясность. Во всяком случае, самый безопасный вариант для бизнеса – это уже ставшие традиционными минимизация зарубежных технических решений, сбор ПД через локализованные базы данных и передача ПД зарубеж с соблюдением требования по уведомлению РКН.
Также не стоит забывать и про подачу уведомления о трансграничной передаче данных. Казалось бы, какие санкции могут быть применены к компании за неуведомление помимо запрета такой передачи? Часть 10 статьи 13.11 КоАП – ответим вам мы, а суд согласится. Уже появилась первая практика, где к ответственности был привлечен директор образовательного агентства за неуведомление о трансграничной передаче данных детей при организации их поездки зарубеж. Штраф был заменён на предупреждение в связи с наличием смягчающих обстоятельств. Однако сам факт ответственности уже является тревожным звонком для бизнеса.
Необходимо убедиться, что (1) сбор данных осуществляется через локализованные базы, (2) используемые подрядчики и сервисы не передают ПД за рубеж без, как минимум, уведомления оператора, (3) все случаи трансграничной передачи отражены в уведомлении в РКН, а при необходимости – подано отдельное уведомление о трансграничной передаче данных.
Мультиоператорское согласие
Как бы нетрадиционно это ни звучало, но единое согласие сразу на нескольких операторов вполне допустимо. Конечно, не без условий. Во-первых, должны совпадать цели и сроки обработки ПД всеми операторами. Во-вторых, категории ПД и перечень действий с ними могут различаться, и тогда такие различия должны быть чётко зафиксированы в тексте согласия. Третье условие – в согласии необходимо указать всех операторов и прочие условия по № 152-ФЗ.
Если какое-либо условие не выполняется, то обработка может квалифицироваться как осуществляемая без согласия субъекта, что повлечёт ответственность по ч. 1 ст. 13.11 КоАП РФ.
Это удобный инструмент для бизнеса, но все же есть и нюанс. Позиция о допустимости такого мультисогласия в устах РКН, к сожалению, крайне волатильная. Поэтому его использование сопряжено с долей риска признания обработки неправомерной. Но, разумеется, необходимо смотреть на каждый бизнес-процесс с учетом всех обстоятельств и нюансов.
От себя добавим, что мультиоператорское согласие еще влечет и не самые простые процессы по отзыву согласий. Возникает вопрос о возможности «гранулярного» отзыва согласия. Тут, на наш взгляд, подход все же должен быть традиционным – субъекту должна быть предоставлена возможность отозвать согласие адресно, то есть у конкретного оператора. Если такой опции нет и отзыв возможен только целиком, согласие фактически превращается в «пакетное»: либо субъект сохраняет обработку у всех операторов, либо прекращает её сразу у всех. В этой конструкции субъект не может прекратить обработку у одного оператора, сохранив её у других, что ограничивает свободу волеизъявления и создаёт риск признания обработки неправомерной в части отдельного оператора.
При использовании мультиоператорского согласия необходимо удостовериться, что (1) цели и сроки обработки совпадают у всех операторов, (2) различия в категориях ПД и операциях (действиях) чётко зафиксированы в тексте, а также (3) указаны все операторы и прочие условия, необходимые согласно 152-ФЗ. Рекомендуем также предусмотреть адресный отзыв: субъект имеет возможность прекратить обработку у конкретного оператора, не отзывая согласие целиком.
Отдельность согласия
С 1 сентября 2025 года согласие должно оформляться отдельным документом или отдельным элементом в интерфейсе (самостоятельный чек-бокс или отдельная бумажная форма). То есть, согласия всегда должны были быть отдельными в этом смысле, но теперь, видимо, еще более отдельными!
Не признаются отдельным согласием его включение в, например, трудовой / иной договор или текст других документов (пользовательское соглашение на веб-сайте, анкета соискателя при поиске кандидата на позицию и др.).
Само по себе это правило имеет негативную коннотацию, поскольку усложняет работу бизнеса с согласиями, однако ключевой положительный момент – КН считает допустимым размещение текста согласия на оборотной странице иного документа (например, договора) при условии, что субъекту предоставляется возможность дать согласие на обработку своих ПД вне зависимости от подписания договора.
Стоит отметить, что, во-первых, само по себе требование отдельности согласия не ново, поскольку логично вытекает из базовых требований к нему. Но это нововведение явно свидетельствует о том, что теперь за соблюдением этого правила будут следить несколько строже. Во-вторых, согласия медленно, но верно становятся всё более неэкологичным инструментом для бизнеса. Это в том числе обусловлено проектом Антифрод-2 который сделает работу с большинством согласий нелегким и дорогостоящим занятием. А борьба РКН с культом согласий лишь убеждает в истинности этого тезиса.
Согласие необходимо оформлять отдельно от других документов. Его можно оформлять на оборотной стороне такого документа, на отдельном листе или форме.
Согласие на поручение – не согласие на обработку ПД
Наконец-то подтвердилось, согласие субъекта на поручение обработки ПД и согласие субъекта на обработку его ПД – все согласия, но совсем разные сущности, которые не надо смешивать.
Согласие на поручение – это подтверждение субъекта, что, например, в рамках исполнения договора с ним оператор вправе привлекать третьих лиц в качестве обработчиков.
Почему это важно? Потому что при привлечении обработчика оператор действует в интересах исполнения договора с субъектом. Поэтому допустимо закрепить условия поручения прямо в договоре с субъектом, если по своей природе привлечение третьего лица необходимо для оказания услуги (например, провайдер платежного сервиса, сервис верификации личности, ИТ-подрядчик). В такой конструкции субъект выражает согласие на само поручение в рамках основного договора, и дополнительное согласие на обработку ПД в пользу обработчика получать не требуется. Обработчик действует строго в рамках инструкций оператора и не становится самостоятельным оператором в отношении этих данных.
Таким образом, согласие на поручение – это именно элемент механики исполнения, например, договора с субъектом, а не самостоятельное согласие на обработку ПД. Разграничение этих институтов явно соответствует политике РКН по борьбе с культом согласий.
Вывод
РКН старается выстраивать модель регулирования, в которой ценится не формальное соблюдение требований закона, а качество юридической конструкции и прозрачность процессов. По сути, регулятор переводит дискуссию из плоскости «галочек» в область реального управления рисками и ответственности бизнеса.
Для компаний это означает необходимость не просто обновить формы согласий или положения о передаче данных, а встроить требования в операционную модель: от проектирования IT-систем до договорных отношений и взаимодействия с иностранными контрагентами. Иначе даже точечные недочёты – будь то «неотдельное» согласие, неуведомление об обработке ПД или отсутствие полного информирования субъекта – могут стать системной проблемой и причиной серьезной ответственности.
Таким образом, подходы РКН в чем-то становятся более зрелым и детализированным, а бизнесу предстоит перестраивать практики так, чтобы соответствие требованиям было не временной мерой, а устоявшейся привычкой.
Полезные материалы
День открытых дверей РКН:
– Презентация А. Кононенко
– Презентация М. Вагнер
– Презентация Н. Веселихин
Наши инсайдеры:
– Инсайдер РКН к семинару Ю.Е. Контемирова
– Инсайдер РКН ко Дню открытых дверей РКН
– Инсайдер РКН в Telegram
– Инсайдер РКН про локализацию, трансграничную передачу и поручение
Сервис по поиску разъяснений регуляторов – Комплайтека.
В ходе обсуждений представители РКН поделились с privacy-комьюнити актуальными подходами к применению законодательства о персональных данных (ПД), разъяснили спорные вопросы и обозначили позиции. Славно, что обошлось без резонансных нововведений. В то же время акценты, сделанные РКН, позволяют оценить вектор развития практики и потенциальные риски для бизнеса. Далее приведены позиции РКН, которые, на наш взгляд, оказались как наиболее обременительными для бизнеса, так и существенно упрощающие ему жизнь.
Обработка ПД через единый сайт
Иногда несколько компаний работают через единый сайт или приложение, например, авиакомпании с партнёрскими программами, сети отелей, холдинги и группы компаний. В таких случаях пользователь должен ясно понимать, какой именно оператор собирает его данные в конкретный момент, для какого процесса и в какой форме сбора.
РКН придерживается позиции, что, если в политике и формах сбора ПД не указано, кто именно является оператором для конкретного процесса / формы, то нарушается принцип информированности субъекта. А это влечет за собой ответственность по ч. 1 ст. 13.11 КоАП РФ. Таким образом, по мнению РКН, для соблюдения выполнения принципа информированности необходимо разделить формы сбора ПД субъекта.
С учетом изложенного РКН последовательно усиливает акцент на информированности субъектов, и требование чётко указывать оператора при работе через единый сайт выглядит логичным. Однако для бизнеса это не всегда означает лишь косметические правки, а зачастую – необходимость пересобрать интерфейсы и маршруты данных. Мера в целом позитивная – она действительно снижает риск введения пользователя в заблуждение, но при этом повышает операционную нагрузку на бизнес.
Необходимо разделить формы сбора ПД субъекта на едином сайте и в приложении, предоставить актуальные ссылки на релевантные документы оператора и обновить политику при необходимости.
Штрафы за неуведомление
Штраф налагается, прежде всего, за отсутствие уведомления об обработке ПД, а не за его позднее представление. Неуведомление может повлечь за собой ответственность, предусмотренную новой ч. 10 ст. 13.11 КоАП РФ, а именно штраф для юридических лиц в размере до 300 000 рублей.
Несмотря на то, что к 30 мая 2025 года случился огромный приток кандидатов на включение в реестр операторов, многие компании все еще вне радаров РКН, поскольку не захотели подавать уведомление. Первая практика по штрафам за неуведомление о начале обработки ПД уже начала появляться, поэтому ожидаем продолжение миграции операторов в реестр РКН. Лучше так, чем платить штраф за «латентное операторство». К тому же новая арбитражная практика показывает, что даже неактуализация сведений в реестре рассматривается арбитражными судами как существенное обстоятельство, не говоря уже о том, что в рамках мониторинга сайтов сервисов РКН такие нарушения легко выявляются.
Из-за большой загруженности РКН не все операторы, подавшие уведомление о начале обработки ПД, были включены в реестр операторов. Поэтому если уведомление было подано еще до 30 мая, но оператора по какой-то причине все еще не включили в реестр, то рекомендуем убедиться, что на руках есть доказательства отправки уведомления. Если совсем тревожно ожидание, то можно обратиться в соответствующее управление для актуализации информации. Такое тоже иногда помогает.
Необходимо подать уведомление о начале обработки ПД и актуализировать сведения об обработке ПД оператором в случае, если данные в реестре не соответствуют реальным процессам.
Трансграничная передача и локализация
С 1 июля 2025 года действуют обновленные правила локализации. На первый взгляд, при сборе ПД использовать зарубежные базы данных стало еще больше нельзя. Эта правка породила много дискуссий о том, как правильно трансграничить, чтобы такая передача не стала триггером для РКН.
Напомним, что под трансграничной передачей данных понимается (1) передача ПД (2) на территорию иностранного государства (3) иностранному лицу. Мы привыкли, что деловая переписка с зарубежным контрагентом (даже преддоговорная), зарубежные командировки работников, а также, разумеется, удаленный доступ из иного государства к ИТ-системам российских компаний и сбор метрик с использованием зарубежных сервисов являются трансграничной передачей ПД.
Ок, но, как оказалось, по свежей версии РКН не является трансграничной передачей ПД:
- передача ПД гражданину РФ, как и лицу, находящемуся на территории России, через иностранный мессенджер;
- использование Google-таблиц для производственных целей с предварительно собранными ПД через локализованную базу данных.
Если трансграничную передачу данных осуществляет обработчик, то это все так же является риском оператора. В этой связи, привлекая обработчика к сбору ПД, надо убедиться не использует ли он, например, для этого зарубежные сервисы.
Какие-то из вышеописанных позиций действительно привносят для рынка неожиданную НЕясность. Во всяком случае, самый безопасный вариант для бизнеса – это уже ставшие традиционными минимизация зарубежных технических решений, сбор ПД через локализованные базы данных и передача ПД зарубеж с соблюдением требования по уведомлению РКН.
Также не стоит забывать и про подачу уведомления о трансграничной передаче данных. Казалось бы, какие санкции могут быть применены к компании за неуведомление помимо запрета такой передачи? Часть 10 статьи 13.11 КоАП – ответим вам мы, а суд согласится. Уже появилась первая практика, где к ответственности был привлечен директор образовательного агентства за неуведомление о трансграничной передаче данных детей при организации их поездки зарубеж. Штраф был заменён на предупреждение в связи с наличием смягчающих обстоятельств. Однако сам факт ответственности уже является тревожным звонком для бизнеса.
Необходимо убедиться, что (1) сбор данных осуществляется через локализованные базы, (2) используемые подрядчики и сервисы не передают ПД за рубеж без, как минимум, уведомления оператора, (3) все случаи трансграничной передачи отражены в уведомлении в РКН, а при необходимости – подано отдельное уведомление о трансграничной передаче данных.
Мультиоператорское согласие
Как бы нетрадиционно это ни звучало, но единое согласие сразу на нескольких операторов вполне допустимо. Конечно, не без условий. Во-первых, должны совпадать цели и сроки обработки ПД всеми операторами. Во-вторых, категории ПД и перечень действий с ними могут различаться, и тогда такие различия должны быть чётко зафиксированы в тексте согласия. Третье условие – в согласии необходимо указать всех операторов и прочие условия по № 152-ФЗ.
Если какое-либо условие не выполняется, то обработка может квалифицироваться как осуществляемая без согласия субъекта, что повлечёт ответственность по ч. 1 ст. 13.11 КоАП РФ.
Это удобный инструмент для бизнеса, но все же есть и нюанс. Позиция о допустимости такого мультисогласия в устах РКН, к сожалению, крайне волатильная. Поэтому его использование сопряжено с долей риска признания обработки неправомерной. Но, разумеется, необходимо смотреть на каждый бизнес-процесс с учетом всех обстоятельств и нюансов.
От себя добавим, что мультиоператорское согласие еще влечет и не самые простые процессы по отзыву согласий. Возникает вопрос о возможности «гранулярного» отзыва согласия. Тут, на наш взгляд, подход все же должен быть традиционным – субъекту должна быть предоставлена возможность отозвать согласие адресно, то есть у конкретного оператора. Если такой опции нет и отзыв возможен только целиком, согласие фактически превращается в «пакетное»: либо субъект сохраняет обработку у всех операторов, либо прекращает её сразу у всех. В этой конструкции субъект не может прекратить обработку у одного оператора, сохранив её у других, что ограничивает свободу волеизъявления и создаёт риск признания обработки неправомерной в части отдельного оператора.
При использовании мультиоператорского согласия необходимо удостовериться, что (1) цели и сроки обработки совпадают у всех операторов, (2) различия в категориях ПД и операциях (действиях) чётко зафиксированы в тексте, а также (3) указаны все операторы и прочие условия, необходимые согласно 152-ФЗ. Рекомендуем также предусмотреть адресный отзыв: субъект имеет возможность прекратить обработку у конкретного оператора, не отзывая согласие целиком.
Отдельность согласия
С 1 сентября 2025 года согласие должно оформляться отдельным документом или отдельным элементом в интерфейсе (самостоятельный чек-бокс или отдельная бумажная форма). То есть, согласия всегда должны были быть отдельными в этом смысле, но теперь, видимо, еще более отдельными!
Не признаются отдельным согласием его включение в, например, трудовой / иной договор или текст других документов (пользовательское соглашение на веб-сайте, анкета соискателя при поиске кандидата на позицию и др.).
Само по себе это правило имеет негативную коннотацию, поскольку усложняет работу бизнеса с согласиями, однако ключевой положительный момент – КН считает допустимым размещение текста согласия на оборотной странице иного документа (например, договора) при условии, что субъекту предоставляется возможность дать согласие на обработку своих ПД вне зависимости от подписания договора.
Стоит отметить, что, во-первых, само по себе требование отдельности согласия не ново, поскольку логично вытекает из базовых требований к нему. Но это нововведение явно свидетельствует о том, что теперь за соблюдением этого правила будут следить несколько строже. Во-вторых, согласия медленно, но верно становятся всё более неэкологичным инструментом для бизнеса. Это в том числе обусловлено проектом Антифрод-2 который сделает работу с большинством согласий нелегким и дорогостоящим занятием. А борьба РКН с культом согласий лишь убеждает в истинности этого тезиса.
Согласие необходимо оформлять отдельно от других документов. Его можно оформлять на оборотной стороне такого документа, на отдельном листе или форме.
Согласие на поручение – не согласие на обработку ПД
Наконец-то подтвердилось, согласие субъекта на поручение обработки ПД и согласие субъекта на обработку его ПД – все согласия, но совсем разные сущности, которые не надо смешивать.
Согласие на поручение – это подтверждение субъекта, что, например, в рамках исполнения договора с ним оператор вправе привлекать третьих лиц в качестве обработчиков.
Почему это важно? Потому что при привлечении обработчика оператор действует в интересах исполнения договора с субъектом. Поэтому допустимо закрепить условия поручения прямо в договоре с субъектом, если по своей природе привлечение третьего лица необходимо для оказания услуги (например, провайдер платежного сервиса, сервис верификации личности, ИТ-подрядчик). В такой конструкции субъект выражает согласие на само поручение в рамках основного договора, и дополнительное согласие на обработку ПД в пользу обработчика получать не требуется. Обработчик действует строго в рамках инструкций оператора и не становится самостоятельным оператором в отношении этих данных.
Таким образом, согласие на поручение – это именно элемент механики исполнения, например, договора с субъектом, а не самостоятельное согласие на обработку ПД. Разграничение этих институтов явно соответствует политике РКН по борьбе с культом согласий.
Вывод
РКН старается выстраивать модель регулирования, в которой ценится не формальное соблюдение требований закона, а качество юридической конструкции и прозрачность процессов. По сути, регулятор переводит дискуссию из плоскости «галочек» в область реального управления рисками и ответственности бизнеса.
Для компаний это означает необходимость не просто обновить формы согласий или положения о передаче данных, а встроить требования в операционную модель: от проектирования IT-систем до договорных отношений и взаимодействия с иностранными контрагентами. Иначе даже точечные недочёты – будь то «неотдельное» согласие, неуведомление об обработке ПД или отсутствие полного информирования субъекта – могут стать системной проблемой и причиной серьезной ответственности.
Таким образом, подходы РКН в чем-то становятся более зрелым и детализированным, а бизнесу предстоит перестраивать практики так, чтобы соответствие требованиям было не временной мерой, а устоявшейся привычкой.
Полезные материалы
День открытых дверей РКН:
– Презентация А. Кононенко
– Презентация М. Вагнер
– Презентация Н. Веселихин
Наши инсайдеры:
– Инсайдер РКН к семинару Ю.Е. Контемирова
– Инсайдер РКН ко Дню открытых дверей РКН
– Инсайдер РКН в Telegram
– Инсайдер РКН про локализацию, трансграничную передачу и поручение
Сервис по поиску разъяснений регуляторов – Комплайтека.