База знаний

Персональные данные: как выполнить требования Роскомнадзора

Дата создания 21 мая’26 Дата обновления 21 мая’26 15 минут
31
Что такое «Моё дело»?
Cервис онлайн-бухгалтерии для предпринимателей.
Узнать подробнее
Содержание
Устали заниматься бухгалтерией?
Попробовать Моё дело
Ведём бухгалтерию за вас
Берём на себя налоги, кадры, отчётность — всё вовремя и без ошибок
Оставить заявку

Если бизнес собирает, хранит, использует или передаёт персональные данные, он становится оператором персональных данных и должен соблюдать требования Федерального закона № 152-ФЗ «О персональных данных».

В этой статье разберём, какие требования Роскомнадзора нужно выполнить компании или ИП, как подать уведомление об обработке персональных данных, какие документы подготовить, когда обновлять сведения и за какие ошибки можно получить штраф.

Что такое персональные данные

Персональные данные — это сведения, которые относятся к конкретному физическому лицу или позволяют его определить. Закон № 152-ФЗ регулирует обработку таких данных и устанавливает обязанности оператора: законно собирать данные, объяснять цели обработки, защищать сведения, отвечать на запросы граждан и уведомлять Роскомнадзор в установленных случаях.

К персональным данным относят:

  • ФИО;
  • номер телефона;
  • адрес электронной почты;
  • дата рождения;
  • паспортные данные;
  • адрес регистрации или доставки;
  • ИНН, СНИЛС;
  • сведения о зарплате и трудовой деятельности;
  • данные из заявок, анкет, договоров, CRM и личных кабинетов;
  • cookie и иные онлайн-идентификаторы, если по ним можно прямо или косвенно определить пользователя.

Важно: персональные данные — не только паспорт или СНИЛС. Обычная форма «Имя + телефон» на сайте тоже означает, что компания обрабатывает персональные данные.

Кто должен выполнять требования Роскомнадзора

Требования Роскомнадзора выполняет оператор персональных данных. Оператор — это компания, ИП или организация, которые определяют цели обработки персональных данных, состав данных и действия с ними.

Бизнес становится оператором персональных данных, если:

  • принимает заявки с сайта;
  • ведёт базу клиентов;
  • оформляет договоры с физлицами;
  • нанимает сотрудников;
  • собирает резюме кандидатов;
  • ведёт email-рассылку;
  • использует CRM, телефонию, онлайн-чат, сквозную аналитику;
  • хранит данные клиентов в облачных сервисах;
  • передаёт данные бухгалтерии, банку, курьерской службе, подрядчику или сервису рассылок.

Пример: интернет-магазин принимает заказ через сайт. Покупатель оставляет имя, телефон, email и адрес доставки. Магазин использует эти данные для оформления заказа и передаёт адрес курьерской службе. Значит, интернет-магазин — оператор персональных данных.

Какие требования Роскомнадзора нужно выполнить

У бизнеса должна быть не одна «галочка согласия», а рабочая система обработки персональных данных. Роскомнадзор смотрит не только на документы, но и на фактические процессы: кто имеет доступ к данным, где данные хранятся, кому данные передаются и как компания действует при инциденте.

Требование Что нужно сделать
Определить цели обработки Понять, зачем компания собирает персональные данные: заявки, договоры, доставка, трудовые отношения, рассылка
Назначить ответственного Закрепить сотрудника или руководителя, который отвечает за обработку персональных данных
Подготовить документы Политика обработки персональных данных, согласия, внутренние положения, поручения обработчикам
Подать уведомление в Роскомнадзор До начала обработки направить уведомление, если ситуация не попадает под исключения из ч. 2 ст. 22 закона № 152-ФЗ
Опубликовать политику на сайте Разместить документ в открытом доступе, особенно если данные собираются через сайт
Получать согласия, когда они нужны Отдельно оформлять согласия на рассылку, обработку специальных данных, распространение данных
Обеспечить защиту данных Ограничить доступ, настроить пароли, разграничить права, вести учёт носителей и сервисов
Соблюдать локализацию При сборе данных граждан РФ использовать базы данных на территории России
Уведомлять об инцидентах При утечке или неправомерном доступе сообщать в Роскомнадзор в установленные сроки
Актуализировать сведения Обновлять уведомление, если изменились цели, категории данных, адреса баз или способы обработки

Главная задача — показать, что персональные данные обрабатываются законно, прозрачно и под контролем.

Как подать уведомление в Роскомнадзор

Оператор персональных данных до начала обработки обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные, если конкретная ситуация не попадает под исключения из ч. 2 ст. 22 закона № 152-ФЗ. Уведомление подают через Портал персональных данных Роскомнадзора.

В уведомлении указывают:

  • наименование компании или ФИО ИП;
  • адрес оператора;
  • цели обработки персональных данных;
  • категории персональных данных;
  • категории субъектов: клиенты, сотрудники, кандидаты, подрядчики;
  • правовые основания обработки;
  • перечень действий с данными;
  • меры защиты;
  • сведения о местонахождении баз данных;
  • дату начала обработки.

Важно: если компания уже работает с персональными данными, но не подала уведомление, лучше не ждать проверки. Нужно провести аудит, подготовить сведения и направить уведомление в Роскомнадзор.

Когда нужно обновлять уведомление в Роскомнадзор

Уведомление в Роскомнадзор нельзя подать один раз и забыть. Если изменились сведения, которые оператор указал в уведомлении, нужно направить обновление не позднее 15-го числа месяца, следующего за месяцем изменений. Если обработка персональных данных прекращена, оператор должен уведомить Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки.

Обновить уведомление нужно, если компания:

  • начала собирать новые категории данных;
  • добавила новую цель обработки;
  • запустила личный кабинет;
  • подключила новый сервис рассылок, CRM или коллтрекинг;
  • изменила адрес хранения баз данных;
  • начала передавать данные новому подрядчику;
  • изменила меры защиты;
  • прекратила обработку персональных данных.

Пример: компания раньше собирала только заявки с сайта, а потом запустила программу лояльности и стала хранить даты рождения клиентов. Появилась новая категория данных и новая цель обработки. Значит, уведомление в Роскомнадзор нужно актуализировать.

Какие документы по персональным данным нужны бизнесу

Для выполнения требований Роскомнадзора компании нужен комплект документов. Состав зависит от размера бизнеса, количества сервисов, категории данных и процессов обработки.

Минимальный комплект документов:

  • Политика обработки персональных данных. Документ объясняет, какие данные собирает компания, зачем собирает, как обрабатывает, кому передаёт и как защищает.
  • Согласие на обработку персональных данных. Согласие нужно, когда обработку нельзя обосновать договором, законом или другим основанием из 152-ФЗ.
  • Согласие на рекламную рассылку. Рассылка требует отдельного согласия. Нельзя прятать согласие на рекламу внутри общей формы заявки.
  • Информация о cookie и онлайн-идентификаторах. Если сайт использует cookie, аналитику, пиксели, рекламные идентификаторы или похожие технологии, нужно уведомить пользователя и проверить, возникает ли обработка персональных данных. Если через cookie можно прямо или косвенно определить пользователя, такие данные нужно учитывать в документах и интерфейсе сайта.
  • Положение об обработке персональных данных. Внутренний документ для сотрудников: кто отвечает за данные, как предоставляется доступ, где хранятся документы, что делать при запросе субъекта.
  • Приказ о назначении ответственного. Компания назначает лицо, которое контролирует обработку персональных данных и взаимодействие с Роскомнадзором.
  • Поручение на обработку персональных данных. Документ нужен, если данные обрабатывает подрядчик: бухгалтерия на аутсорсинге, CRM-сервис, колл-центр, курьерская служба, хостинг-провайдер.
  • Журнал или реестр обработки персональных данных. В реестре удобно фиксировать цели, категории данных, системы хранения, ответственных и сроки удаления.

Документы должны соответствовать фактическим процессам. Если политика обещает хранить данные только в России, а база заявок фактически уходит в зарубежный сервис, документ не защитит компанию при проверке.

Как оформить согласие на обработку персональных данных

Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Пользователь должен понимать, кто обрабатывает данные, какие данные собираются, зачем они нужны и как можно отозвать согласие.

В согласии указывают:

  • ФИО или наименование оператора;
  • адрес оператора;
  • цель обработки;
  • перечень персональных данных;
  • действия с персональными данными;
  • срок действия согласия;
  • способ отзыва согласия;
  • сведения о передаче данных третьим лицам, если такая передача есть.

Нельзя использовать формулировку «согласен на всё». Роскомнадзор может посчитать такое согласие неконкретным.

Пример правильной логики: для формы обратного звонка компания собирает имя и телефон, чтобы связаться с пользователем по заявке. Для рекламной рассылки компания получает отдельное согласие, потому что цель обработки уже другая.

Что должно быть на сайте

Если сайт собирает персональные данные, требования Роскомнадзора нужно выполнить прямо в интерфейсе сайта. Недостаточно просто разместить политику в футере.

На сайте должны быть:

  • ссылка на политику обработки персональных данных;
  • чекбокс согласия рядом с формой заявки, если обработка строится на согласии;
  • отдельный чекбокс для рекламной рассылки;
  • понятный текст под формой;
  • уведомление о cookie и онлайн-идентификаторах, если сайт их использует;
  • контакты оператора для запросов по персональным данным;
  • актуальные реквизиты компании или ИП.

Пример текста под формой: Нажимая кнопку «Отправить», я соглашаюсь на обработку персональных данных в соответствии с Политикой обработки персональных данных.

Для рассылки лучше использовать отдельную формулировку: Я соглашаюсь получать информационные и рекламные сообщения.

Важно: чекбокс согласия не должен быть заранее проставлен. Пользователь должен сам выразить согласие.

Как соблюдать локализацию персональных данных

При сборе персональных данных граждан России оператор должен обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение данных с использованием баз данных, находящихся на территории РФ. За нарушение локализации для юрлиц предусмотрен штраф от 1 млн до 6 млн ₽, а за повторное нарушение — от 6 млн до 18 млн ₽ по ч. 8 и 9 ст. 13.11 КоАП РФ.

Что проверить:

  • где находится хостинг сайта;
  • где хранится база заявок;
  • где размещена CRM;
  • куда попадают данные из онлайн-чата;
  • где хранятся записи звонков;
  • какие сервисы рассылок и аналитики подключены;
  • есть ли трансграничная передача данных.

Если компания использует иностранный сервис, нужно отдельно проверить, не происходит ли первичная запись и хранение данных граждан РФ за пределами России.

Когда нужно уведомлять о трансграничной передаче данных

Трансграничная передача персональных данных — это передача данных на территорию иностранного государства. Такая передача возможна, например, при использовании зарубежной CRM, сервиса рассылок, облачного хранилища, аналитики или службы поддержки.

С 1 марта 2023 года операторы до начала трансграничной передачи персональных данных обязаны направить в Роскомнадзор отдельное уведомление. Для этого на Портале персональных данных размещена специальная форма.

Перед трансграничной передачей нужно:

  • определить, какие данные передаются за рубеж;
  • указать страну получателя;
  • проверить, кто получает данные;
  • оценить меры защиты;
  • подать уведомление в Роскомнадзор;
  • отразить передачу в политике и согласиях, если это требуется для конкретной схемы обработки.

Если компания не уверена, есть ли трансграничная передача, нужно начать с карты сервисов: сайт, CRM, телефония, аналитика, рассылки, облачные документы, техподдержка.

Что делать при утечке персональных данных

Если произошла неправомерная или случайная передача, предоставление, распространение или доступ к персональным данным, оператор должен действовать быстро. Роскомнадзор указывает два ключевых срока: в течение 24 часов нужно сообщить об инциденте, предполагаемых причинах, вреде и принятых мерах; в течение 72 часов — направить результаты внутреннего расследования.

Порядок действий при инциденте:

  • Зафиксировать дату и время обнаружения инцидента.
  • Ограничить доступ к скомпрометированным данным.
  • Назначить ответственного за расследование.
  • Определить, какие данные затронуты.
  • Проверить, сколько субъектов могло пострадать.
  • Подать первичное уведомление в Роскомнадзор в течение 24 часов.
  • Провести внутреннее расследование.
  • Подать дополнительное уведомление в течение 72 часов.
  • Устранить причину инцидента.
  • Обновить меры защиты и внутренние инструкции.

Важно: при утечке нельзя ограничиваться техническим исправлением. Для Роскомнадзора важно, чтобы оператор выполнил обязанность по уведомлению и мог подтвердить расследование.

Какие штрафы грозят за нарушения

Штрафы за персональные данные зависят от нарушения. Ответственность установлена ст. 13.11 КоАП РФ: за незаконную обработку, отсутствие политики, нарушение требований к согласию, нарушение локализации, неподачу уведомления, несообщение об инциденте и утечки персональных данных.

Нарушение Норма КоАП РФ Штраф для юрлица
Обработка персональных данных с нарушением требований закона ч. 1 ст. 13.11 от 150 000 до 300 000 ₽
Повторное нарушение по общему составу ч. 1.1 ст. 13.11 от 300 000 до 500 000 ₽
Обработка без письменного согласия, когда оно обязательно, или с нарушением требований к согласию ч. 2 ст. 13.11 от 300 000 до 700 000 ₽
Повторное нарушение требований к согласию ч. 2.1 ст. 13.11 от 1 млн до 1,5 млн ₽
Нет опубликованной политики обработки персональных данных ч. 3 ст. 13.11 от 30 000 до 60 000 ₽
Не предоставили субъекту информацию об обработке персональных данных ч. 4 ст. 13.11 от 40 000 до 80 000 ₽
Не уточнили, не заблокировали или не уничтожили данные по законному требованию ч. 5 ст. 13.11 от 50 000 до 90 000 ₽
Повторно не уточнили, не заблокировали или не уничтожили данные ч. 5.1 ст. 13.11 от 300 000 до 500 000 ₽
Нарушили локализацию баз данных граждан РФ ч. 8 ст. 13.11 от 1 млн до 6 млн ₽
Повторно нарушили локализацию ч. 9 ст. 13.11 от 6 млн до 18 млн ₽
Не подали или несвоевременно подали уведомление об обработке персональных данных ч. 10 ст. 13.11 от 100 000 до 300 000 ₽
Не уведомили Роскомнадзор об инциденте ч. 11 ст. 13.11 от 1 млн до 3 млн ₽
Утечка данных от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов ч. 12 ст. 13.11 от 3 млн до 5 млн ₽
Утечка данных от 10 000 до 100 000 субъектов или от 100 000 до 1 млн идентификаторов ч. 13 ст. 13.11 от 5 млн до 10 млн ₽
Утечка данных более 100 000 субъектов или более 1 млн идентификаторов ч. 14 ст. 13.11 от 10 млн до 15 млн ₽
Повторная утечка персональных данных ч. 15 ст. 13.11 от 1% до 3% совокупного размера выручки, но не менее 20 млн и не более 500 млн ₽

Для бизнеса самый опасный риск — не формальный штраф за документ, а утечка данных. После изменений, внесённых Федеральным законом № 420-ФЗ, за отдельные утечки и повторные утечки появились крупные фиксированные и оборотные штрафы.

Инструкция: как выполнить требования Роскомнадзора

Шаг 1. Проведите аудит персональных данных. Составьте список всех мест, где компания собирает и хранит персональные данные. Включите сайт, CRM, бухгалтерию, кадровые документы, почту, мессенджеры, телефонию, облачные папки, рассылки и базы подрядчиков.

Результат шага — карта персональных данных: какие данные есть у компании, зачем они нужны, где хранятся и кто имеет доступ.

Шаг 2. Определите цели и основания обработки. Для каждой категории персональных данных укажите цель обработки. Например, данные клиента нужны для договора и доставки, данные сотрудника — для трудовых отношений, email подписчика — для рассылки.

Результат шага — понятная логика обработки. Компания не собирает лишние данные и может объяснить каждое поле в форме.

Шаг 3. Проверьте сайт. Проверьте все формы: заявка, обратный звонок, подписка, регистрация, личный кабинет, чат, квиз. Рядом с каждой формой должны быть корректные согласия и ссылки на документы. Результат шага — сайт не собирает персональные данные «молча».

Шаг 4. Подготовьте документы. Обновите политику обработки персональных данных, согласия, внутреннее положение, приказы и поручения подрядчикам. Документы должны совпадать с реальными процессами.

Результат шага — у компании есть доказательная база на случай проверки.

Шаг 5. Подайте уведомление в Роскомнадзор. Проверьте, есть ли компания в реестре операторов персональных данных. Если уведомления нет и ситуация не относится к исключениям из ч. 2 ст. 22 закона № 152-ФЗ, подготовьте сведения и направьте уведомление через портал Роскомнадзора.

Результат шага — компания выполняет обязанность оператора и снижает риск штрафа за неподачу уведомления.

Шаг 6. Проверьте подрядчиков. Посмотрите, кто получает доступ к персональным данным: бухгалтерия, CRM, IT-подрядчик, маркетинговое агентство, курьерская служба, колл-центр. С каждым обработчиком нужно оформить поручение или включить условия обработки в договор.

Результат шага — передача данных третьим лицам становится управляемой.

Шаг 7. Настройте защиту. Ограничьте доступ к данным по ролям, включите сложные пароли и двухфакторную аутентификацию, уберите общие аккаунты, настройте резервное копирование, проверьте права бывших сотрудников.

Результат шага — персональные данные защищены не только на бумаге, но и технически.

Шаг 8. Подготовьте порядок действий при инциденте. Назначьте ответственного, сделайте инструкцию на случай утечки и заранее определите, кто подаёт уведомление в Роскомнадзор. При инциденте времени мало: первичное сообщение нужно отправить в течение 24 часов.

Результат шага — компания не теряет время при утечке и соблюдает сроки уведомления.

Частые ошибки бизнеса

Ошибка 1. Считать, что персональные данные есть только у крупных компаний. Даже ИП с формой заявки на сайте может быть оператором персональных данных. Ошибка 2. Копировать политику с чужого сайта. Чужая политика не отражает реальные цели, сервисы, подрядчиков и базы данных компании. Ошибка 3. Использовать один чекбокс на всё. Согласие на обработку заявки и согласие на рекламную рассылку — разные цели. Их лучше разделять. Ошибка 4. Не проверять CRM и облачные сервисы. Если данные уходят в зарубежный сервис, может возникнуть вопрос локализации и трансграничной передачи. Ошибка 5. Не обновлять уведомление. Компания меняет сайт, сервисы и процессы, но сведения в реестре Роскомнадзора остаются старыми. Ошибка 6. Не готовиться к утечке. При инциденте важно уложиться в 24 и 72 часа. Без инструкции и ответственного это сложно.

Пример: как малому бизнесу привести персональные данные в порядок

ИП оказывает услуги ремонта и принимает заявки через сайт. В форме клиент оставляет имя, телефон и комментарий. Заявки попадают в CRM, а менеджер связывается с клиентом по телефону.

Что нужно сделать ИП:

  • описать цель обработки — обработка заявок и связь с клиентами;
  • разместить на сайте политику обработки персональных данных;
  • добавить чекбокс согласия под формой, если обработка строится на согласии;
  • проверить, где находится CRM и база заявок;
  • подать уведомление в Роскомнадзор, если нет исключения;
  • ограничить доступ к CRM только сотрудникам, которым данные нужны для работы;
  • оформить договор с подрядчиком, если сайт или CRM обслуживает внешняя компания.

Результат: ИП понимает, какие персональные данные собирает, зачем они нужны и как защищаются. При проверке можно показать не только документы, но и понятный процесс.

Чек-лист: готов ли бизнес к требованиям Роскомнадзора

Проверьте себя:

  • известно, какие персональные данные собирает компания;
  • определены цели обработки персональных данных;
  • назначен ответственный за персональные данные;
  • подготовлена политика обработки персональных данных;
  • политика опубликована на сайте;
  • формы сайта содержат корректные согласия;
  • рекламная рассылка оформлена отдельным согласием;
  • подано уведомление в Роскомнадзор или подтверждено законное исключение;
  • сведения в уведомлении актуальны;
  • проверена локализация баз данных;
  • проверены подрядчики и сервисы;
  • оформлены поручения на обработку данных;
  • доступ к данным ограничен по ролям;
  • есть инструкция на случай утечки;
  • сотрудники знают, что делать с запросами субъектов персональных данных.

Частые вопросы

Нужно ли подавать уведомление в Роскомнадзор, если на сайте есть только форма заявки?

В большинстве случаев оператор должен подать уведомление в Роскомнадзор до начала обработки персональных данных. Исключения нужно проверять по ч. 2 ст. 22 закона № 152-ФЗ. Если сайт собирает имя, телефон, email или другие сведения о пользователе, компания обрабатывает персональные данные.

Можно ли работать без согласия на обработку персональных данных?

Иногда можно. Например, персональные данные могут обрабатываться для исполнения договора или требований закона. Но если компания использует данные для рассылки, маркетинга или иных целей, которые не вытекают из договора, согласие обычно нужно оформлять отдельно.

Нужно ли отдельное согласие на рассылку?

Да. Рекламная или информационная рассылка — отдельная цель обработки. Без отдельного согласия рассылка повышает риск претензий по персональным данным и рекламе.

Нужно ли получать согласие на cookie?

Зависит от того, какие cookie использует сайт и можно ли по ним прямо или косвенно определить пользователя. Если cookie, аналитика, пиксели или рекламные идентификаторы связаны с обработкой персональных данных, оператору нужно отразить такую обработку в документах и интерфейсе сайта.

Что делать, если персональные данные уже собираются, а уведомление не подано?

Нужно провести аудит, проверить исключения из ч. 2 ст. 22 закона № 152-ФЗ, подготовить сведения и при необходимости подать уведомление в Роскомнадзор. Чем дольше компания откладывает уведомление, тем выше риск штрафа за невыполнение или несвоевременное выполнение обязанности.

Нужно ли уведомлять Роскомнадзор об утечке?

Да, если произошла неправомерная или случайная передача, предоставление, распространение или доступ к персональным данным. Первичное уведомление направляют в течение 24 часов, результаты внутреннего расследования — в течение 72 часов.

Коротко

  • Если бизнес собирает данные клиентов, сотрудников, кандидатов или пользователей сайта, он должен выполнять требования Роскомнадзора: подать уведомление или подтвердить законное исключение, подготовить документы, настроить согласия, защитить базы, проверить подрядчиков и заранее прописать порядок действий при утечке.
  • Формальный подход больше не работает: штрафы за нарушения и утечки стали выше, а требования к операторам — строже. Чтобы снизить риски, начните с аудита: какие персональные данные есть у компании, где они хранятся, зачем используются и кому передаются. После этого можно обновить документы, сайт, уведомление в Роскомнадзор и внутренние процессы.
picture
Время — деньги. Не отвлекайтесь на самостоятельное ведение бухучёта.
Позвольте профессионалам «Моё дело» освободить вас от рутинных задач с бухгалтерией и налогами. Посвятите своё время тому, что действительно важно.
Подробнее
Удобная
Онлайн-бухгалтерия
Ведите учёт сами: сервис автоматически
рассчитает налоги и подготовит отчёты
Попробовать бесплатно

Другие публикации по теме

Популярные статьи

Подпишитесь на новостную рассылку

Заполните поля формы, чтобы получать новости законодательства, советы по снижению налогов и кейсы.

Нажимая на кнопку, я даю Согласие на обработку и Согласие на распространение персональных данных

Спасибо! Подтвердите подписку на почте.

Передайте бухгалтерию специалистам
Напишите нам в месседжеры и получите консультацию прямо сейчас. Или оставьте заявку, и мы перезвоним в ближайшее время.
Пожалуйста, пройдите проверку!
Пожалуйста, нажмите "Отправить код" для получения кода по СМС

Нажимая на кнопку, я даю Согласие на обработку и Согласие на распространение персональных данных

*Поля обязательны для заполнения

Спасибо за обращение!
Получите предложение с лучшей ценой — мы перезвоним вам на номер, указанный в заявке. Не пропустите звонок.
До 10 000 ₽

Дарим за рекомендацию
«Моего дела» друзьям

Скидка 25%

Получит ваш друг по рекомендации

Подробнее
Техническая поддержка
support@moedelo.org
E-mail для связи
info@moedelo.org
Всё на сайте - для Вас, cookies — для нас. Мы собираем cookies, чтобы сделать сайт еще удобнее. Продолжая пользоваться сайтом, Вы соглашаетесь на сбор и использование нами cookies. Ограничить или запретить сбор cookies можно в настройках Вашего браузера.
хорошо

Управляйте бизнесом на ходу

Финансы, документы,
контрагенты — всегда под рукой

Скачать бесплатное приложение