152-ФЗ Обработка персональных данных
Какое ПО необходимо для ведения деятельности
Для ведения клиентской базы в Excel с учетом законодательства РФ о персональных данных вам потребуется не столько специфическое программное обеспечение, сколько комплекс организационных мер и соблюдение установленных процедур.
В таблице ниже приведены ключевые требования и практические шаги для их выполнения.
Требование / Аспект | Что необходимо сделать | Практические инструменты и решения |
Регистрация в Реестре Роскомнадзора | Подать уведомление о начале обработки персональных данных. От этой обязанности освобождены лишь редкие случаи (например, обработка только ФИО или данных исключительно по трудовому договору) | Заполнение формы на сайте Роскомнадзора |
Разработка внутренних документов | Разработать и опубликовать на сайте Политику в отношении обработки персональных данных. Издать внутренние документы (например, Положение о защите ПДн) | Текстовый редактор (Microsoft Word). Шаблоны документов можно найти в интернете или заказать у юристов |
Получение согласия | При сборе заявок получать от клиентов согласие на обработку их данных, информируя о целях и условиях обработки | Форма согласия на сайте или в форме заявки |
Локализация данных | Обеспечить, чтобы запись, систематизация, накопление и хранение персональных данных граждан РФ велись на серверах на территории России | Хранение файла Excel на физическом сервере в РФ или использовании облачных сервисов, соответствующих требованию локализации (например, на базе российских дата-центров) |
Защита файла Excel | Принять организационные и технические меры для защиты файла от несанкционированного доступа | Пароль на файл Excel |
Назначение ответственного | Назначить приказом сотрудника, ответственного за организацию обработки ПДн и взаимодействие с контролирующими органами | Внутренний приказ по организации |
⚠️ Важные правовые аспекты и риски
Помимо технических шагов, важно понимать юридические обязанности и риски.
Работа с клиентами: По запросу клиента вы обязаны в течение 10 дней предоставить ему информацию о его персональных данных, а также исправить или уничтожить неточные, или незаконно полученные данные
Информирование Роскомнадзора: В случае утечки данных необходимо сообщить об этом в Роскомнадзор в течение 24 часов
Ответственность: С 30 мая 2025 года вводятся значительные штрафы. Например, за не уведомление Роскомнадзора об обработке ПДн штраф для юридических лиц составит до 300 тыс. рублей, а за несоблюдение требований по локализации – до 500 млн. рублей
💡 Рекомендации по организации работы
- Начните с документов: Разработайте Политику и получите согласия – это основа легальной работы.
- Защитите файл Excel: Установите надежный пароль на файл и ограничьте круг лиц, имеющих к нему доступ.
- Рассмотрите CRM-систему: Для базы в 1000 контактов использование даже простой CRM-системы может быть более практичным и безопасным, чем Excel. Многие российские CRM-системы уже соответствуют требованиям 152-ФЗ по локализации данных.
Политика в отношении обработки персональных данных
🔍 Как найти качественный шаблон:
Где искать:
- Сайты юридических компаний - многие выкладывают бесплатные образцы
- Сервисы для бизнеса (Контур.Эльба, Тинькофф Бизнес и др.)
- Госуслуги для бизнеса - иногда есть рекомендации
- Профильные форумы и сообщества предпринимателей
📝 Что искать в шаблоне:
Убедитесь, что шаблон содержит следующие обязательные разделы:
- Основные понятия и определения
- Цели обработки персональных данных
- Перечень обрабатываемых данных
- Способы и сроки обработки
- Права субъектов ПДн
- Меры защиты данных
- Контактная информация оператора
⚠️ Важные предупреждения:
- Не копируйте слепо - шаблон нужно адаптировать под вашу деятельность.
- Рекомендуется консультация юриста для финальной проверки документа.
Шаблон документа «Политика обработки персональных данных»
Можно взять этот шаблон и дополнить его под определенную специфику (вид деятельности, виды данных, технические меры и т.д.)
📘 Общие положения
Настоящая Политика обработки персональных данных (далее – «Политика») разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и иными нормативными актами, регулирующими вопросы обработки и защиты персональных данных.
- Цель Политики – установить принципы, правила и меры по обеспечению безопасности персональных данных, обрабатываемых Организацией (Оператором)
- Политика применяется ко всем персональным данным, которые Оператор получает, хранит, использует, передаёт и уничтожает в процессе своей деятельности, включая как данные, полученные до вступления Политики в силу, так и после
- Действие Политики распространяется на всех сотрудников Оператора, а также на любых иных лиц, допущенных к обработке персональных данных (например, подрядчиков, консультантов и т.д.)
- Использование услуг Оператора или взаимодействие с ним (например, через сайт, договорные отношения и т.д.) означает согласие субъекта персональных данных на обработку его персональных данных в порядке и на условиях, предусмотренных Политикой, если иное не вытекает из закона или отдельного соглашения
🔹 Основные определения
В настоящей Политике используются следующие термины:
- Персональные данные – любые сведения, относящиеся к прямо или косвенно определённому либо определяемому физическому лицу (субъекту персональных данных)
- Обработка персональных данных – любое действие (операция) или совокупность действий, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение
- Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных и определяющее цели обработки, состав, способы обработки и меры безопасности
- Субъект персональных данных – физическое лицо, которому принадлежат персональные данные
- Конфиденциальность персональных данных – обязанность не допускать их разглашения без согласия субъекта персональных данных или наличия иного законного основания.
- Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства или иностранному лицу
- Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных субъекту без использования дополнительной информации
🔹 Принципы обработки персональных данных
Обработка персональных данных должна соответствовать следующим принципам:
- законность и справедливость
- ограничение целей обработки (обработка только в целях, заранее определённых и законных)
- соразмерность (обработка только тех данных, которые необходимы для достижения целей)
- достоверность, достаточность и актуальность данных
- не объединять базы данных, если цель обработки несовместима
- хранение персональных данных не дольше, чем требуется для целей обработки (если иной срок не установлен законом)
- уничтожение или обезличивание персональных данных по достижении целей обработки или в случае утраты необходимости
🔹 Цели обработки персональных данных
В этой части перечисли конкретные цели, для которых ты обрабатываешь персональные данные.
Цель | Какие данные обрабатываются | Правовое основание обработки | Виды операций обработки |
Обеспечение исполнения договора | ФИО, контактные данные, платежные данные и др. | Ст. 6 п. 1 (исполнение договора) | сбор, хранение, передача, использование |
Оказание услуг / взаимодействие с клиентом | ФИО, контактные данные, адрес, email и др. | согласие субъекта / исполнение договора | сбор, хранение, использование, передача |
Маркетинговые рассылки | email, телефон | согласие субъекта | отправка писем, SMS, анализ откликов |
Обработка кадровых данных | ФИО, паспортные данные, образование и др. | нормы трудового законодательства | сбор, хранение, обработка, уничтожение |
🔹 Условия обработки персональных данных и правовые основания
Обработка персональных данных допускается, если существует хотя бы одно из следующих оснований:
- субъект персональных данных дал согласие на обработку своих данных
- обработка необходима для исполнения договора, стороной которого является субъект, либо для принятия мер по его заключению
- обработка необходима для исполнения обязанностей, возложенных законом
- обработка необходима для защиты прав и законных интересов Оператора или третьих лиц (если не нарушаются права субъекта)
- обработка персональных данных, доступ к которым предоставлен субъектом для распространения (общедоступные данные)
- иные основания, предусмотренные законом
🔹 Порядок сбора, хранения, передачи и обезличивания данных
- Сбор данных производится посредством форм, договоров, заявлений, электронной почты, телефонии и других каналов
- Доступ к персональным данным имеют только уполномоченные сотрудники, которые прошли соответствующие инструкции и ознакомлены с требованиями конфиденциальности
- Для защиты данных используются правовые, организационные и технические меры (шифрование, системы контроля доступа, резервное копирование, антивирусная защита и др.)
- Передача персональных данных третьим лицам (контрагентам, сервисам, подрядчикам) осуществляется только при наличии законного основания или согласия субъекта данных, и на условиях обеспечения сохранности данных
- При необходимости – осуществляется трансграничная передача, соблюдая требования закона (например, уведомление Роскомнадзора, получение гарантий от иностранной стороны и пр.)
- Обезличивание и уничтожение данных производится по достижении целей обработки или в случае утраты необходимости, если иное не установлено законом
🔹 Права субъектов персональных данных
Субъект персональных данных имеет право:
- требовать от Оператора подтверждения факта обработки своих данных
- получать доступ к своим персональным данным
- требовать уточнения, блокирования, удаления данных, если они являются неполными, устаревшими, неточными, незаконно полученными или избыточными
- отозвать своё согласие на обработку в любой момент
- требовать прекращения обработки и уничтожения данных в случаях, предусмотренных законом
- обжаловать действия или бездействие Оператора в уполномоченный орган (Роскомнадзор) или в суд
- на иные права, предусмотренные законодательством РФ
🔹 Ответственность и контроль
- Оператор несет ответственность за соблюдение положений Политики и требований законодательства в области персональных данных
- Лица, нарушившие порядок обработки данных, могут быть привлечены к дисциплинарной, административной или иной ответственности в соответствии с законодательством
- Оператор регулярно проверяет эффективность мер защиты персональных данных, проводит внутренний аудит и по необходимости вносит корректировки
🔹 Заключительные положения
- Политика может быть изменена (дополнена) оператором. Новая версия вступает в силу с момента её размещения или иного уведомления субъектов данных
- Актуальная версия Политики размещается в свободном доступе (например, на сайте Оператора)
- Все лица, работающие с персональными данными, обязаны ознакомиться с Политикой и соблюдать её положения
- По всем вопросам, касающимся обработки персональных данных, субъекты данных могут обращаться к оператору (указать контактный адрес, email и др.)
Форма согласия на обработку данных
Информация о форме согласия. Важно отметить, что с 1 сентября 2025 года вступили в силу новые правила, согласно которым согласие на обработку персональных данных должно быть оформлено отдельным документом и не может быть частью договора или пользовательского соглашения.
📝 Ключевые требования к форме согласия
Для того чтобы согласие соответствовало законодательству, в нем должны быть указаны следующие обязательные элементы:
- Информация о субъекте данных: Фамилия, имя, отчество, паспортные данные, адрес регистрации
- Сведения об операторе: Наименование вашей организации (или ФИО ИП) и ее адрес
- Цель обработки: Четко сформулированная цель, для которой собираются данные (например, "для связи с клиентом и обработки его заявки")
- Перечень обрабатываемых данных: Конкретный список данных, которые вы собираетесь обрабатывать (например, ФИО, номер телефона, адрес электронной почты)
- Способы обработки: Указание на то, что обработка будет производиться автоматизированным и/или неавтоматизированным способом
- Перечень действий с данными: Какие операции будут совершаться (сбор, запись, систематизация, накопление, хранение, использование и т.д.)
- Срок действия согласия: Период, в течение которого согласие действительно (например, "до отзыва субъектом" или "до достижения целей обработки")
- Подпись субъекта: Согласие должно быть подписано собственноручно или с помощью, усиленной квалифицированной электронной подписи
⚖️ Важные правовые аспекты
- Ответственность: За обработку данных без надлежащего согласия или с нарушением новых требований предусмотрены значительные штрафы, которые могут достигать сотен тысяч рублей
- Образцы форм: В интернете можно найти типовые формы согласия, утвержденные для различных госорганов (например, или). Они служат хорошим ориентиром по структуре и содержанию, но их необходимо адаптировать под цели именно вашей коммерческой организации
💡 Рекомендации к действиям
- Разработайте отдельный документ: Создайте бланк согласия, не привязанный к каким-либо другим документам (договорам, заявкам).
- Будьте конкретны: Четко опишите, для чего именно вы собираете данные и что с ними будете делать. Избегайте размытых формулировок.
- Проконсультируйтесь с юристом: Учитывая серьезность изменений и повышенные штрафы, рекомендую показать подготовленный вами проект согласия юристу, специализирующемуся на 152-ФЗ.
Хранение файла Excel на рабочем компьютере сотрудника в РФ
Требование закона 152-ФЗ о локализации данных часто вызывает недопонимание.
⚠️ Да, хранить файл Excel с персональными данными на рабочем компьютере сотрудника в РФ – можно, но с критически важным условием.
Это условие: рабочий компьютер физически должен находиться на территории Российской Федерации. В этом случае хранение на компьютере сотрудника считается выполнением требования о локализации, так как данные записаны (сохранены) на материальный носитель (жесткий диск), расположенный в России.
⚖️ Подробное разъяснение требований закона
Требование статьи 18 закона 152-ФЗ звучит так: «запись, систематизация, накопление, хранение персональных данных граждан РФ должны обеспечиваться с использованием баз данных, находящихся на территории Российской Федерации».
Ключевые моменты:
- «На территории РФ» относится к носителю информации, а не к его типу. Закону безразлично, является ли этот носитель сервером в дата-центре или жестким диском в компьютере под столом сотрудника. Важно его физическое местонахождение.
- Стационарный компьютер – это и есть «база данных» в контексте закона. Если данные хранятся в файле на ПК, этот ПК и является той самой базой данных, которая должна быть локализована.
- Главная проблема – не тип хранения, а безопасность. Хранение на компьютере сотрудника создает значительные риски с точки зрения защиты данных.
Сравнение рисков: Сервер vs Рабочий компьютер
Критерий | Хранение на сервере в РФ | Хранение на рабочем компьютере в РФ |
Соответствие 152-ФЗ (локализация) | Да | Да (если компьютер в РФ) |
Защита от утери/кражи | Высокая (данные централизованно защищены, резервное копирование) | Низкая (риск утери ноутбука, поломки диска, кражи ПК) |
Контроль доступа | Высокий (разграничение прав, логирование доступа) | Низкий (сотрудник может скопировать файл на флешку, отправить по почте) |
Выполнение прав субъектов (удаление, исправление) | Проще (один источник истины) | Сложнее (нужно убедиться, что файл удален со всех компьютеров) |
Практичность для команды | Удобство совместной работы (если настроено) | Неудобство (версии файлов, конфликты редактирования) |
⚖️ Официальные источники и позиция регулятора
Прямого указания «можно хранить на ПК» в законе нет, но такая трактовка следует из разъяснений Роскомнадзора и судебной практики.
- Письмо Роскомнадзора от 30 декабря 2019 г. № 07-001435/03 (и аналогичные): в своих разъяснениях регулятор постоянно акцентирует внимание на «наличии материального носителя на территории России». Сервер – это частный случай материального носителя.
- Судебная практика: Штрафы по ч. 8 ст. 13.11 КоАП РФ (за несоблюдение требований по локализации) выносятся в случаях, когда база данных находится на серверах за рубежом (например, у иностранного хостинг-провайдера). Случаев привлечения к ответственности за хранение данных на компьютере в России, если это был единственный экземпляр, в публичной практике нет.
💡 Вывод и рекомендация
С точки зрения закона: Хранить единственную копию базы данных в Excel на рабочем компьютере, который находится в офисе в России, – формально разрешено.
С точки зрения практики и безопасности – это крайне рискованно.
Что делать вам:
- Минимизируйте риски: Если выбран вариант с ПК, обязательно:
o Шифруйте диск всего компьютера (средствами Windows BitLocker или аналогами)
o Установите пароль на файл Excel
o Ограничьте доступ к компьютеру и файлу
o Регулярно делайте резервные копии файла на другой носитель (например, внешний жесткий диск), который также должен храниться в РФ
- Рассмотрите более безопасные альтернативы:
o Облако с российской локализацией: Яндекс 360, VK Работа, Р7-Офис и др. Они обеспечивают и локализацию, и встроенные механизмы безопасности
o Выделенный сервер/виртуальный сервер в российском дата-центре
o Российская CRM-система: Это идеальный вариант, так как она решает сразу все проблемы: локализацию, безопасность, удобство и выполнение прав субъектов
Таким образом, ответ на ваш вопрос: можно, но небезопасно. Если вы только начинаете и база небольшая, такой способ может быть временным решением при условии строгих мер защиты. Для долгосрочной и надежной работы лучше выбрать более надежный способ.
Бесплатное Российское ПО (CRM-система)
Переход на российскую CRM-систему – это самый правильный и безопасный шаг для ваших задач. Для вашего случая (небольшая база до 1000 контактов, сбор заявок с рекламы) есть несколько отличных бесплатных тарифов.
Вот подборка проверенных российских CRM с бесплатными тарифами, которые идеально вам подойдут:
1. Битрикс24
- Сайт: bitrix24.ru
- Бесплатный тариф: «Бесплатно» (до 12 пользователей)
- Почему подходит вам:
o Огромный функционал: Включает не только CRM, но и задачи, документы, мессенджер, телефонию
o Сбор заявок: Встроенные конструкторы форм для сайта и лендингов, которые сразу создают лиды в CRM
o Интеграция с рекламой: Интеграции с Яндекс.Директ, Google Ads и др. для отслеживания эффективности
o Полное соответствие 152-ФЗ: Данные хранятся на серверах в России по умолчанию
- Особенности: Бесплатный тариф имеет некоторые ограничения по объему диска и дополнительным функциям, но для старта и базы до 1000 контактов их более чем достаточно
2. Мегаплан
- Сайт: megaplan.ru
- Бесплатный тариф: «Бесплатно навсегда» (до 5 проектов и 100 сделок)
- Почему подходит вам:
o Простота и удобство: Очень интуитивно понятный интерфейс, легко начать работать
o Сделочная модель: Идеально заточена под воронку продаж от заявки до закрытия сделки
o Формы захвата: Есть возможность создавать формы для приема заявок с сайта
o Локализация данных: Серверы расположены в России
- Важно: Ограничение в 100 сделок (не клиентов). Если ваш цикл продаж короткий и вы будете закрывать сделки, этого может хватить надолго. Подходит для тестирования подхода
3. Компания 1С: 1С-Битрикс: CRM
- Сайт: 1c-bitrix.ru
- Условия: Бесплатный коробочный продукт (устанавливается на ваш сервер)
- Почему подходит вам:
o Полный контроль: Установка на ваш собственный сервер (или виртуальный хостинг) дает максимальный контроль и гарантию локализации
o Мощная функциональность: Полнофункциональная CRM без абонентской платы (платить нужно только за обновления техподдержки, если они нужны)
- Особенности: Требует более глубоких технических знаний для установки и поддержки, либо затрат на хостинг
4. Roistat
- Сайт: roistat.com
- Бесплатный тариф: Есть бесплатный тариф для малого бизнеса (уточняется на сайте)
- Почему подходит вам:
o Фокус на аналитике: Сильнейшая сторона – это отслеживание рекламных каналов и ROI (возврат на инвестиции). Коллтрекинг, сквозная аналитика
o Интеграция с CRM: Может работать в связке с другими системами, но имеет и свою встроенную CRM.
o Локализация: Серверы в России
Сравнение для вашего выбора
Критерий | Битрикс24 | Мегаплан |
Бесплатные возможности | Очень широкие (до 12 пользователей) | Ограниченные, но для старта хватит (до 5 проектов/100 сделок) |
Лучше всего подходит для | Командной работы, автоматизации всех процессов | Простых и понятных воронок продаж |
Сбор заявок | Отлично (встроенные формы, чаты, телефония) | Хорошо (есть формы) |
Рекомендация для вас | Наиболее вероятный выбор. Максимум функций "из коробки" без оплаты | Хороший вариант, если вам нужна очень простая CRM и у вас небольшой поток сделок |
💡 Рекомендация именно для вашей ситуации
- Начните с «Битрикс24». Это самый популярный и функциональный вариант с бесплатным тарифом. Он покроет все ваши потребности: сбор заявок с рекламы, ведение клиентской базы, напоминания о звонках и полное соответствие 152-ФЗ.
- Зарегистрируйтесь и потратьте пару часов на изучение интерфейса. Создайте форму для приема заявок и подключите ее к вашей рекламе.
- Это сразу решит проблему хранения Excel, автоматизирует сбор заявок и обезопасит вас с юридической точки зрения.
Ссылки для перехода:
Начните с бесплатных тарифов, чтобы протестировать удобство интерфейса. Вам не нужно ничего скачивать – все работает в браузере. Это самый практичный и правильный шаг вперед по сравнению с Excel.
Форма согласия на сайте или в форме заявки
Выражение «Форма согласия на сайте или в форме заявки» означает практический инструмент, с помощью которого вы получаете от клиента его прямое, информированное и конкретное разрешение на обработку его персональных данных.
Это не просто галочка, а юридически значимый механизм, который должен соответствовать строгим требованиям закона 152-ФЗ.
📜 Что это такое на практике?
Это элемент вашего сайта или всплывающего окна (попапа), который:
- Содержит текст согласия со всей обязательной информацией.
- Предоставляет пользователю способ явно выразить свое согласие (например, поставить галочку, нажать кнопку).
- Фиксирует факт, время и условия дачи согласия.
Чтобы согласие было действительным, форма должна включать следующие компоненты:
🔹 Текстовая часть с обязательной информацией:
- Ваши реквизиты (Оператор): Полное наименование вашей организации, адрес
- Цель обработки: Четкая и конкретная. Например, "для обратной связи по моему запросу", "для заключения и исполнения договора", "для отправки коммерческого предложения"
- Перечень данных: Какие именно данные вы запрашиваете. Например, "фамилия, имя, отчество, номер телефона, адрес электронной почты"
- Способы обработки: "как автоматизированным, так и неавтоматизированным способом".
- Перечень действий с данными: "сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение".
- Срок действия согласия и способ его отзыва: Например, "Согласие действует до достижения целей обработки или до отзыва мной путем направления письменного заявления по адресу [ваш адрес]"
- Предупреждение о последствиях: "Я проинформирован о том, что в случае не предоставления необходимых данных получение услуги будет невозможно"
🔹 Элемент для выражения воли пользователя (UI-компонент):
- Чекбокс (галочка) – это самый надежный и рекомендуемый вариант. Он должен быть неактивным по умолчанию. Пользователь должен самостоятельно поставить в нем галочку, что означает его активное действие по выражению согласия
- Кнопка «Я согласен» – менее предпочтительный вариант, но также используется. Важно, чтобы рядом с кнопкой был текст типа "Нажимая кнопку, я соглашаюсь на обработку персональных данных"
🔹 Ссылка на полный текст документа:
- Рядом с чекбоксом должна быть ссылка "Политика в отношении обработки персональных данных". Это важно для выполнения требования о том, что субъект ПДн должен быть ознакомлен с политикой оператора до момента дачи согласия
⚖️ Как это выглядит в свете новых правил (с 01.09.2025)?
С 1 сентября 2025 года согласие должно быть оформлено отдельным документом. Это не значит, что галочка на сайте исчезнет. Это значит, что:
- Галочка на сайте будет приводить к отображению полноценного, отдельного документа «Согласие на обработку персональных данных» (всплывающее окно или переход на отдельную страницу).
- Пользователь должен иметь возможность сохранить этот документ (например, в формате PDF).
- Текст этого документа должен содержать все обязательные реквизиты, перечисленные выше (включая ваши реквизиты, подпись и т.д.).
📘️ Пример корректной реализации на сайте
Неправильно! Галочка стоит по умолчанию или ее нет вообще
[ ] Я согласен на обработку моих персональных данных
[Поле для ввода имени]
[Поле для ввода телефона]
[Кнопка "Отправить заявку"]
Правильно! Галочка неактивна, есть ссылка на политику
[☐] Я согласен на обработку моих персональных данных в соответствии с [ссылкой: Политикой конфиденциальности]
[Поле для ввода имени]
[Поле для ввода телефона]
[Кнопка "Отправить заявку"]
💡 Рекомендация для вас
- Не копируйте первую попавшуюся форму с чекбоксом. Ее текст должен быть тщательно составлен.
- Используйте чекбокс, а не просто кнопку.
- Обязательно разместите на сайте Политику обработки ПДн и сделайте на нее ссылку рядом с формой согласия.
- Фиксируйте факт согласия. При отправке формы сохраняйте в вашей CRM или базе данных не только контакты клиента, но и отметку о том, что согласие было получено, а также дату и время этого события.
Таким образом, «форма согласия» – это ваш главный инструмент для легального начала работы с данными клиента. Ее корректная настройка критически важна для соблюдения 152-ФЗ.
Возможность отзыва согласия, реализация на практике
Право субъекта на отзыв Согласия на обработку персональных данных – одно из ключевых требований 152-ФЗ. Его реализация должна быть не просто формальной, а реальной и доступной для клиента.
Вот как это должно быть реализовано на практике, исходя из закона и рекомендаций Роскомнадзора.
📜 Требования закона (ст. 9 152-ФЗ)
- Согласие может быть отозвано субъектом в любое время.
- Оператор обязан прекратить обработку и уничтожить данные в срок, не превышающий 30 дней с даты поступления отзыва.
- О возможности отозвать согласие субъект должен быть проинформирован еще в момент его дачи.
📘️ Ключевые элементы реализации механизма отзыва
Чтобы выполнить требования, вам нужно создать и поддерживать работающий механизм, состоящий из нескольких частей.
Информирование о праве на отзыв (на этапе получения согласия)
Это первоочередное действие. В тексте вашего согласия на обработку ПДн, с которым клиент знакомится перед тем, как поставить галочку, должен быть четкий пункт примерно следующего содержания:
«Настоящее согласие может быть отозвано мной в любое время путем направления оператору письменного заявления по адресу [Юридический адрес вашей организации] или на адрес электронной почты [specailny-email@vasha-kompaniya.ru]. Обработка моих персональных данных будет прекращена в срок, не превышающий 30 (тридцати) дней с момента получения оператором отзыва, а данные уничтожены, за исключением случаев, когда обработка может продолжаться в соответствии с законодательством РФ.»
Создание простого и доступного способа для отправки отзыва
Клиент должен иметь четкое понимание, куда и как он может направить отзыв. Нельзя ограничиваться только почтовым отправлением по юридическому адресу – это сложно и неудобно.
Обязательные каналы для приема отзывов:
- Специальный адрес электронной почты: Создайте отдельный ящик, например, pd@vasha-kompaniya.ru или personaldata@.... Этот адрес должен быть указан в вашей Политике конфиденциальности и на странице с формой отзыва
- Форма обратной связи на сайте: Это самый удобный и современный способ. На вашем сайте должна быть отдельная страница (например, «Отзыв согласия на обработку персональных данных»), где клиент может заполнить форму
Процедура обработки поступившего отзыва (внутренняя инструкция)
Это самый важный этап. Вы должны иметь четкий регламент для сотрудников.
Что должно происходить после получения отзыва:
- Регистрация заявления: Фиксация факта и времени получения отзыва (например, в журнале или в той же CRM).
- Идентификация субъекта: Необходимо точно определить, чьи данные подлежат удалению. Для этого в форме отзыва нужно запросить данные, позволяющие однозначно идентифицировать человека (ФИО, email, номер телефона, который он оставлял).
- Прекращение обработки: Немедленно исключите контакты этого человека из всех рассылок (email, смс) и рекламных аудиторий.
- Уничтожение данных (в течение 30 дней): Удалите все персональные данные субъекта из всех мест хранения:
- Из CRM-системы (не просто скройте карточку, а удалите)
- Из файлов Excel (если они еще используются как архив)
- Из почты (письма с заявками от этого клиента)
- Из систем резервного копирования (это сложнее, но необходимо предусмотреть процедуру)
- Уведомление субъекта (рекомендуется): Направьте клиенту ответное письмо или уведомление о том, что его требование об отзыве получено и выполнено, данные уничтожены. Это создает дополнительное доверие и является доказательством исполнения закона.
📘️ Пример реализации на сайте
Вариант 1: Специальная страница на сайте
В подвале (футере) сайта, рядом со ссылкой на «Политику конфиденциальности», размещается ссылка «Отзыв согласия на обработку персональных данных».
На странице отзыва должна быть форма:
Заявление на отзыв согласия на обработку персональных данных
ФИО: [Поле для ввода]
Контактный телефон: [Поле для ввода]
Адрес электронной почты: [Поле для ввода]
Дополнительная информация (для точной идентификации): [Поле для ввода]
[☐] Я подтверждаю, что являюсь субъектом указанных выше персональных данных.
[Кнопка "Отправить заявление"]
Под формой можно продублировать инструкцию для отправки заявления по email или обычной почтой.
Вариант 2: Указание в подписи email-рассылок
В рассылках, которые вы отправляете клиентам, обязательно должна быть ссылка на отписку и напоминание о возможности отозвать согласие полностью.
⚠️ Важные нюансы
- Нельзя усложнять процедуру. Просьба приехать в офис с паспортом или отправить заказное письмо – это избыточные барьеры, которые могут быть признаны нарушением
- 30 дней – это максимальный срок. Старайтесь выполнять требование быстрее
- Фиксируйте все! Весь процесс от получения отзыва до удаления данных должен документироваться. Это ваша страховка в случае проверки
☑️ Вывод:
Механизм отзыва – это не просто кнопка «Отписаться от рассылки». Это комплексная процедура, включающая информирование, доступный канал связи и внутренний регламент по удалению данных. Его наличие так же важно, как и само получение согласия.
Реализация согласия не используя сайт организации
Это реальная ситуация, особенно для бизнеса, который работает через социальные сети, мессенджеры или по телефону. Закон 152-ФЗ не обязывает иметь сайт, но обязывает получать согласие и предоставлять возможность его отзыва.
📘️ Получение согласия (без сайта)
Основная идея: согласие должно быть оформлено в виде отдельного документа, с которым клиент может ознакомиться до дачи согласия.
Способы:
Электронная почта (наиболее надежный и рекомендуемый способ)
- Что делать: Вы отправляете потенциальному клиенту на email письмо, в котором:
o Текст письма: Кратко объясняете цель обращения (например, "Высылаем коммерческое предложение, как мы и договорились по телефону")
o Вложение: Прикрепляете файл с полным текстом «Согласия на обработку персональных данных» (в формате PDF или Word).
o Просьба в письме: "Для получения предложения, пожалуйста, подтвердите согласие на обработку ваших данных, ответив «Согласен» на это письмо"
- Почему это работает: email-переписка является документальным подтверждением факта получения клиентом текста согласия и его активного действия («Согласен»). У вас остается доказательство
Мессенджеры (WhatsApp, Telegram, VK)
- Что делать:
- Напишите клиенту в мессенджере текст: «Прежде чем продолжить, нам необходимо ваше согласие на обработку данных. Вышлю его файлом».
- Отправьте файл с текстом «Согласия...».
- После отправки спросите: «Ознакомились с документом? Можем ли мы обрабатывать ваши данные для подготовки коммерческого предложения?».
- Получите четкий ответ в виде текста: «Да, согласен», «Согласен», «Подтверждаю».
- Важно: Используйте только те мессенджеры, которые позволяют отправлять файлы. Скриншот текста согласия – менее формальный, но возможный вариант
«Бумажный» вариант при личной встрече
- Что делать: Распечатайте бланк «Согласия на обработку персональных данных»
- Клиент собственноручно заполняет в нем свои данные (ФИО, паспортные данные, адрес – все, что требует закон для юридической силы документа) и ставит подпись и дату
- Вы забираете один экземпляр себе, второй (если нужно) отдаете клиенту
📘️ Организация отзыва согласия (без сайта)
Здесь важно предоставить клиенту альтернативные, но столь же простые каналы связи.
Электронная почта – основной канал
- Что указать в согласии: в тексте самого документа «Согласия...» пропишите:
«Настоящее согласие может быть отозвано путем направления оператору заявления по электронной почте на адрес: personal-data@ваша-компания.ru. Обработка данных будет прекращена в течение 30 дней с момента получения отзыва.»
- Как это работает: Клиент пишет заявление в свободной форме («Отзываю согласие на обработку своих персональных данных, Иванов Иван Иванович, тел.: +7...») и отправляет его на этот специальный email
Мессенджеры и телефонные звонки (как дополнительный, но не основной канал)
- Важно понимать: Устный отзыв по телефону или сообщение в мессенджере типа «Отзываю согласие» является законным основанием для прекращения обработки
- Проблема: Такой отзыв сложно документально зафиксировать и доказать его получение в случае спора
- Рекомендация: Пропишите в согласии email как предпочтительный способ. Но если отзыв поступил через мессенджер, немедленно подтвердите его получение («Ваш отзыв получен. Данные будут удалены в течение 30 дней») и зафиксируйте это внутренним актом или заметкой в CRM
Почтовое отправление «с уведомлением» (максимально формальный способ)
- Что указать в согласии: Продублируйте почтовый адрес вашей организации для отправки заявления об отзыве
- Как это работает: Это самый формальный, но и самый медленный способ. Он служит скорее «запасным» вариантом и демонстрирует регулятору, что вы предусмотрели все возможные каналы
💡 Краткий план действий:
- Создайте документ «Согласие на обработку ПДн» в текстовом редакторе, включив в него все обязательные пункты 152-ФЗ (ваши реквизиты, цель, перечень данных и т.д.).
- Создайте специальный email типа pd@вашакомпания.ru или personaldata@....
- Пропишите в документе «Согласия...», что отзыв принимается поэтому email.
- При работе с клиентом:
o По телефону/в чате: Договариваемся об условиях.
o Следующий шаг: Отправляем ему документ «Согласие...» на email или в мессенджер.
o Получаем подтверждение: «Согласен» в ответном письме или сообщении.
o Только после этого вносим его данные в CRM/таблицу.
- При поступлении отзыва на pd@...: Регистрируем его, удаляем данные клиента из всех систем в течение 30 дней и уведомляет его об исполнении.
☑️ Главное:
Должен быть документированный процесс и фиксация как факта получения согласия, так и факта его отзыва. Электронная почта является для этого самым простым и надежным инструментом даже при отсутствии сайта.
Защита документа «Согласия на обработку персональных данных»
Вопрос, который касается юридической силы документа.
Прямого требования в законе 152-ФЗ о том, что документ "Согласие" должен быть защищен от изменений (например, с помощью ЭЦП) при передаче по email, – НЕТ. Закон не предъявляет конкретных требований к формату и способу передачи согласия, главное – чтобы его содержание соответствовало ст. 9 152-ФЗ, и вы могли доказать факт его получения от субъекта. Однако, с точки зрения доказывания в случае спора, защита документа становится критически важной.
Подробное разъяснение
⚖️ Что говорит закон?
Статья 9 152-ФЗ требует, чтобы согласие было конкретным, информированным и сознательным. Оно может быть дано в любой форме, позволяющей подтвердить факт его получения. Это может быть:
- Письменное согласие (на бумаге с подписью)
- Электронный документ, подписанный квалифицированной электронной подписью (КЭП)
- Иная форма, позволяющая подтвердить факт его получения
Передача несанкционированного файла (PDF/Word) по электронной почте как раз подпадает под категорию «иная форма».
Вывод: С юридической точки зрения, отправка файла по email и получение ответного письма с подтверждением – это допустимый способ.
📘️ В чем тогда проблема и когда нужна защита?
Проблема в доказывании. В случае проверки Роскомнадзора или судебного спора клиент может заявить: "Я не получал такого документа / Я не давал согласия / Вы изменили текст после того, как я его одобрил".
- Обычный PDF/Word без защиты: Вы можете сказать, что отправили его, а клиент подтвердил. Но клиент может оспорить содержимое файла, утверждая, что вы его подменили после его одобрения. Доказать обратное будет сложно
- Защищенный документ (например, подписанный ЭЦП): Вы получаете неоспоримое доказательство того, что конкретная версия документа была отправлена конкретному лицу в определенное время, и его содержимое не менялось
Способы защиты документа при передаче по почте (по возрастанию надежности)
Способ | Как работает | Плюсы | Минусы | Рекомендация для вашего случая |
Отправка простого файла | Высылаете PDF/WORD, клиент отвечает "Согласен" | Просто и быстро | Слабая доказательная сила. Содержимое файла можно оспорить | Минимальный, но рискованный уровень. Подходит для начала, но лучше усилить |
Защита PDF паролем от редактирования | Создаете PDF, который можно открыть, но нельзя изменить | Защищает от несанкционированного изменения файла вами или клиентом после отправки | Не доказывает факт отправки и получения. Пароль можно передать отдельно, что ослабляет защиту | Немного лучше, но все же ненадежно |
Использование сервисов с фиксацией времени и содержимого | Использование специальных сервисов для отправки документов, которые фиксируют контент и время (аналогично нотариальному заверению) | Создается независимое доказательство того, какой документ и когда был отправлен. | Требует использования сторонних сервисов, может быть платно | Хороший компромисс между простотой и надежностью |
Использование Электронной Подписи (ЭЦП) | Вы подписываете файл со своим согласием своей квалифицированной электронной подписью (КЭП) | Надежно. Подпись подтверждает, что документ создан вами и не изменялся | Не подтверждает, что клиент его получил и ознакомился. Требует наличия у вас КЭП | Надежный вариант, если у вас есть КЭП |
Полноценный обмен подписанными документами | Вы отправляете документ, подписанный вашей ЭЦП. Клиент подписывает его своей ЭЦП и возвращает | Максимальная юридическая сила. Эквивалент бумажному документу с двумя подписями | Крайне сложно реализовать на практике, так как у физических лиц редко есть КЭП | Идеал, но на практике почти нереализуемо для массовой работы |
💡 Практическая рекомендация
Учитывая, что вы только начинаете работу и база небольшая, оптимальным будет следующий компромиссный подход:
- Формат документа: Сохраняйте согласие в формате PDF. Это стандартный формат, который сложнее редактировать, чем Word.
- Фиксация в переписке: Самое главное – отправляйте файл с согласием в рамках email-переписки и обязательно получайте ответное письмо от клиента с текстовым подтверждением ("Согласен", "Подтверждаю").
- Сохраняйте всю переписку. Эта цепочка писем (исходное письмо с вложением + ответ клиента) будет вашим основным доказательством.
- Дополнительное усиление (рекомендуется): в тексте самого email-сообщения (не только в прикрепленном файле) продублируйте ключевые моменты. Это связывает ваш файл с конкретной перепиской и целью.
«Уважаемый Иван, в соответствии с законом, высылаем вам наше Согласие на обработку персональных данных (во вложении). Обработка будет производиться с целью [указать цель]. Для подтверждения согласия ответьте, пожалуйста, 'Согласен' на это письмо.»
☑️ Итог:
Прямой обязанности защищать файл электронной подписью у вас нет. Но чтобы обезопасить себя от претензий, используйте связку «PDF + email-переписка с явным подтверждением клиента». Это создаст достаточную доказательную базу для большинства ситуаций. По мере роста бизнеса можно будет рассмотреть более серьезные инструменты, такие как CRM со встроенным механизмом согласия или сервисы обмена документами.
Возможная реализация 152-ФЗ
- Внести изменения в данные в Реестре Роскомнадзора
o выписка из реестра для ПФ Верховье 📄
o уведомление об изменении сведений 📄
- Отредактировать и опубликовать на сайте документ «Политика обработки персональных данных»; шаблон 📄
- Отредактировать документ «Согласия на обработку персональных данных»; шаблон 📄
- Подключится к Российской CRM-системе для хранения персональных данных
- Реализовать «Согласие и отзыв согласия» использую ЭДО СБИС для подписи всей переписки действующим электронным сертификатом