7 мифов о работе с персональными данными
Автор:
Юрист по работе с персональными данными
Юлия Аммосова
Несмотря на замедление работы Telegram многие продолжают им пользоваться. Но есть компании, которые не вправе коммуницировать с клиентами в иностранных мессенджерах.
С 1 июня 2025 года вступил в силу №41-ФЗ, согласно которому это запрещено:
— госкомпаниям
— госорганам
— операторам связи
— банкам
— некредитным финансовым организациям
— маркетплейсам
— владельцам соцсетей, которыми пользуются более 500 тысяч человек в сутки,
— владельцам сервисов размещения объявлений, которыми пользуются более 100 тысяч человек в сутки.
Для другого бизнеса запрета на коммуникацию в иностранных мессенджерах нет.
Запрещено ли передавать ПД через
иностранный мессенджер?
Такого запрета на данный момент нет. Более того в 2025 году РКН и Минцифры России разъяснили, что направление информации, содержащей персональные данные, посредством иностранных мессенджеров не будет являться трансграничной передачей персональных данных. Нарушения правил локализации нет. Но не стоит в полной мере опираться на эти разъяснения. Практика может поменяться.
Мы рекомендуем вам применять рискориентированный подход к данному вопросу и быть готовым к изменениям.
Основной риск при использовании мессенджеров — взлом аккаунта с утечкой переписок и данных. Рекомендуем использовать двухфакторную аутентификацию, а также не хранить сканы документов в чатах: скачали файл — сразу удалите.
РКН может установить, где размещён хостинг и инфраструктура сайта (например, через анализ IP-адресов), а также проверить, где фактически хранятся базы данных.
Первичный сбор ПД в иностранные базы не допускается.
За нарушение этого требования предусмотрены крупные штрафы - до 18 млн рублей.
Рекомендуем либо вовсе отказаться от сбора ПД в иностранные базы данных и собирать и обрабатывать их на российских серверах, либо развернуть промежуточную российскую базу данных.
РКН автоматически проверяет сайты на соблюдение требований законодательства о персональных данных. В выборку может попасть любой сайт.
Автосканер анализирует наличие и содержание политики, обязательных согласий, использование Google Analytics и других сервисов, а также факт подачи уведомления в реестр операторов.
Мы сделали собственный инструмент проверки по тем же ключевым параметрам. Закажите бесплатный экспресс-аудит — проверьте сайт до того, как это сделает Роскомнадзор.
Сейчас ситуация такая: если РКН находит на сайте Google Analytics, он не штрафует сразу. Вместо этого регулятор направляет требование о подаче уведомления о трансграничной передаче персональных данных.На текущий момент подача уведомления снимает претензии РКН.
Но тут важно понимать: практика может измениться. Если для вас использование Google Analytics особенно важно, учитывайте этот риск.
Если на вашем сайте разработано пользовательское соглашение, которое регулирует порядок регистрации пользователей, то согласие получать не нужно. Основание для обработки является пользовательское соглашение. Собирать согласие излишне и неуместно.
Это не так! Если цель обработки данных одна — отправка рекламных материалов — достаточно одного грамотно составленного согласия, которое будет учитывать требования обоих законов.
Об этом мы подробно писали ранее в этом посте.
В законе нет требования публиковать на сайте всю внутреннюю документацию по персональным данным. На сайте достаточно разместить политику, которая описывает работу именно этого сайта.
Затрагивая в политике ПД работников, вы раскрываете свои рабочие процессы. Любая ошибка или неточность сразу становятся видны РКН — а это повышает риск претензий и штрафов.
В идеальном случае на сайте остаётся только информация для пользователей, а внутренние регламенты — внутри компании.