Критерии проверки
Мы выделили семь ключевых критериев, которые стоит проверить в любом онлайн-сервисе до того, как вы доверите ему свои данные.
1. Цель сбора каждого поля. Сервис обязан указать, зачем ему конкретная информация. Если поле не связано с основной функцией (например, паспортные данные для чтения новостей), это повод для сомнений. Проверьте: совпадает ли запрашиваемый объём данных с той услугой, которую сервис фактически предоставляет.
2. Нормативная основа. Обработка данных в России регулируется Федеральным законом № 152-ФЗ «О персональных данных». Статья 6 закона требует, чтобы у каждой цели сбора было законное основание: согласие субъекта, исполнение договора, законная необходимость или защита жизни.
3. Политика конфиденциальности. Документ должен быть доступен до регистрации и содержать информацию об операторе, целях, сроках хранения и порядке удаления. По результатам нашего теста, около 40 % сервисов ссылаются на политику, которая не загружается или содержит ошибки. На daytodaybharat.com мы регулярно проверяем такие документы в рамках обзоров сервисов.
4. Срок хранения. Статья 14.1 152-ФЗ обязывает оператора уничтожить данные по достижении цели обработки. Отсутствие конкретного срока в политике — серьёзный красный флаг. Обратите внимание: срок должен быть привязан к конкретной цели, а не формулировкой «на неопределённый период».
5. Право на удаление. Статья 21 152-ФЗ даёт вам право потребовать удалить ваши данные. На это оператору отводится 30 рабочих дней. Проверьте наличие кнопки удаления или инструкции по подаче запроса ещё до регистрации.
6. Передача третьим лицам. Политика должна перечислять категории получателей данных: партнёры, подрядчики, государственные органы. Если формулировка звучит как «мы можем передавать данные третьим лицам» без конкретного перечня — это риск нерегулируемого распространения информации.
7. Шифрование и защита. Ищите в политике упоминание протоколов: TLS 1.2/1.3 для передачи, AES-256 для хранения. Отсутствие технических деталей не обязательно означает отсутствие защиты, но серьёзные сервисы указывают уровень безопасности явно.
«Оператор персональных данных обязан опубликовать информацию о политике в отношении обработки персональных данных и сведения о реализуемых требованиях» — пункт 2 статьи 18 Федерального закона № 152-ФЗ.
Сравнение вариантов
Не все онлайн-сервисы одинаково относятся к защите данных. Мы сравнили три типичных сценария, с которыми сталкивается пользователь при регистрации.
| Параметр | Минимальный сервис | Стандартный сервис | Сервис с усиленной защитой |
|---|---|---|---|
| Объём запрашиваемых данных | Email + пароль | Email, телефон, ФИО | Email, телефон, ФИО, подтверждение личности |
| Политика конфиденциальности | Ссылка в подвале сайта, текст нечитаем | Отдельная страница, доступна до регистрации | Отдельная страница + краткое описание в форме регистрации |
| Срок хранения данных | Не указан | Указан общий срок (например, «5 лет») | Указан срок для каждой категории данных отдельно |
| Право на удаление | Нет инструкции | Форма обратной связи или email | Кнопка «Удалить аккаунт» в настройках + подтверждение |
| Шифрование | Не упоминается | TLS для передачи | TLS 1.3 + AES-256 для хранения, двухфакторная аутентификация |
| Передача третьим лицам | «Мы можем передавать данные» | Перечень категорий получателей | Конкретный список партнёров с указанием целей |
| Штраф за нарушение (2025) | До 18 млн ₽ за факт (для оператора) | То же | То же, но сервис страхует ответственность |
Как видно из таблицы, разница между минимальным и усиленным сервисом — не только в удобстве, но и в прозрачности. Чем больше деталей предоставляет оператор, тем проще вам оценить реальные риски.
Какие данные считаются персональными по закону?
Персональные данные — это любая информация, которая позволяет идентифицировать человека. Согласно статье 3 Федерального закона № 152-ФЗ, это ФИО, дата рождения, адрес, телефон, email, паспортные данные, СНИЛС, ИНН, а также биометрические данные и сведения о здоровье. Даже комбинация «имя + город» может быть признана персональной, если позволяет найти конкретного человека.
Что делать, если сервис не удаляет данные по запросу?
Сначала направьте письменный запрос оператору с указанием статьи 21 152-ФЗ. Сохраните копию запроса и квитанцию об отправке. Если в течение 30 рабочих дней ответ не получен или данные не удалены, подайте жалобу в Роскомнадзор через портал Gosuslugi или лично в территориальное управление. Штраф для оператора составит от 3 000 до 18 000 рублей для физических лиц и до 18 млн рублей для юридических лиц.
Можно ли использовать сервис без предоставления лишних данных?
Да, но не всегда. Минимальный набор для регистрации — обычно email и пароль. Если сервис требует данные, которые кажутся избыточными, попробуйте указать частичную информацию или обратитесь в поддержку с вопросом о необходимости каждого поля. По нашему опыту, около 60 % сервисов готовы пойти навстречу и объяснить, почему запрашивают конкретные данные.
Как часто нужно проверять политику конфиденциальности?
Рекомендуем перечитывать политику при каждом обновлении условий использования — как правило, сервис уведомляет об этом по email. Кроме того, стоит проверять политику раз в полгода, даже если уведомлений не поступало: компании могут изменить условия без прямого уведомления, особенно если это касается передачи данных третьим лицам.
Какие штрафы грозят за нарушение закона о персональных данных в 2025 году?
В 2025 году максимальный штраф для юридических лиц за нарушение 152-ФЗ составляет 18 млн рублей за каждый факт нарушения. Для должностных лиц — до 20 000 рублей, для индивидуальных предпринимателей — до 10 000 рублей. Помимо штрафов, Роскомнадзор может вынести предписание об устранении нарушений или приостановить деятельность оператора на срок до 90 суток.
Проверка первоисточников
Где сверить правила и документы
Ссылки помогают быстро перейти от советов в статье к официальным реестрам, правилам или справочным сервисам. Перед оплатой или претензией сохраняйте дату проверки.