Содержание
Если у вас интернет-магазин, блог с комментариями, имейл-рассылка, сайт или есть наёмные работники, вы подпадаете под закон о хранении персональных данных. Вам нужно отчитываться перед Роскомнадзором о том, как вы храните данные людей. Если этого не сделать, придётся заплатить штраф, порой достигающий нескольких миллионов рублей.
Что называют персональными данными
Данные — это любая информация о человеке и его деятельности, которая позволяет установить личность:
- фамилия, имя, отчество;
- дата рождения;
- телефон;
- адрес;
- электронная почта;
- ссылки на социальные сети;
- место работы;
- должность;
- IP-адрес;
- история заказов;
- предпочтения в интернет-магазинах.
Точного определения, что считать персональными данными, нет: ни Роскомнадзор, ни Минкомсвязи не смогли очертить рамки. Мы посмотрели статьи закона, судебную практику и поняли вот что: чаще всего персональные данные — это информация в связке. Например, имя, телефон или электронная почта по отдельности — простая информация. А если взять имя и телефон вместе, эта информация станет персональной:
— Ульяна, 8 (100) 000-00-01;
— Иван, 10.01.1990, визажист;
— Наталья, главный бухгалтер, ООО «Берёзка».
Всё это — информация в связках, её Роскомнадзором точно посчитает персональными данными.
Даже если человек сам отправил данные через форму, компания не имеет права их использовать без законного основания.
У интернет-магазина есть имейл-рассылка. Покупатели оставляют свои данные — имена и имейлы — и раз в неделю получают письма о скидках и акциях. Интернет-магазин хранит персональные данные и должен отчитываться перед Роскомнадзором.
Бывают случаи, когда персональными данными признают информацию без связок и без возможности идентифицировать человека. Поэтому, если есть сомнения, храните вы простую информацию о человеке или его персональные данные, лучше спросите у Роскомнадзора.
Что нужно сделать перед тем, как начать собирать персональные данные
Нельзя просто начать собирать телефонные номера, имейлы, имена или даты рождения клиентов. Сначала нужно подготовить необходимые документы, уведомить Роскомнадзор о том, что вы будете хранить персональные данные, и назначить ответственных.
С 2025 года это касается не только ИП и юрлиц, но и самозанятых. Например, репетитор, который собирает ФИО и телефоны учеников, обязан подать уведомление.
Что нужно сделать:
Шаг 1. Подготовьте документы
В законе по-прежнему нет конкретного перечня необходимых документов. Компании и ИП могут сами решать, как именно оформлять положения и приказы — главное, чтобы этих документов было достаточно для выполнения обязанностей оператора персональных данных (ст. 18 закона 152-ФЗ). Но форма согласия теперь утверждена Роскомнадзором — и это уже не рекомендация, а требование. Остальные документы — политика, регламенты, приказы — тоже нужны. Без них вы просто не докажете, что работаете с данными по закону, если Роскомнадзор придёт с проверкой. По сути, без этого набора документов бизнесу теперь никуда.
Вот что у вас должно быть, если хотите избежать неприятностей:
✅ Согласие на обработку персональных данных. С 2025 года согласие на обработку персональных данных не может быть «встроено» в другие документы. Например, нельзя включать согласие в пользовательское соглашение, договор или анкету. Оно должно быть оформлено отдельно — как отдельный файл, форма или визуально обособленный блок.
С 1 марта 2025 года действует утверждённая Роскомнадзором форма согласия. Использовать старые шаблоны и свободные формулировки больше нельзя. Независимо от формата, согласие должно содержать все обязательные элементы:
- Полное наименование оператора — юрлица, ИП или физлица, если вы самозанятый.
- Цель обработки данных, например, доставка заказа, обратная связь, участие в акции.
- Перечень персональных данных, например, ФИО, телефон, e-mail, адрес.
- Способы обработки — сбор, хранение, систематизация, передача, удаление и другие.
- Срок хранения данных.
- Право пользователя на отзыв согласия в любой момент.
- Способ отзыва согласия — например, через e-mail или личный кабинет.
- Дата и способ получения согласия.
Подтверждение согласия должно быть зафиксировано:
- в офлайне — письменной подписью;
- в онлайне — чекбоксом, при этом требуется лог IP, дата, ID пользователя или иные доказательства, что человек ознакомился с текстом.
Если форма не соответствует утверждённым требованиям, согласие считается недействительным. А значит, любая обработка — незаконна.
Даже если клиент давно ушёл, не спешите выбрасывать его согласие — храните как минимум три года. Это срок исковой давности, когда человек может пожаловаться или подать в суд. Если возникнет спор или придёт проверка, вы сможете доказать, что всё было по правилам.
✅ Политика обработки и защиты персональных данных. Это обязательный документ. Он может называться по-разному: политика конфиденциальности, политика защиты персональных данных или как-то ещё. Главное, чтобы в нём было указано, какие именно данные вы храните, в каких целях их собираете и как обеспечивает конфиденциальность.
Политику нужно разместить в открытом доступе, чтобы клиенты могли её прочитать. Обычно ссылку добавляют в формы регистрации и согласия на обработку данных, а также размещают в подвале сайта.
Как составить документ, читайте в рекомендациях Роскомнадзора. Также вы можете изучить политики других компаний — и на их основе составить свою. Например:
- политика обработки и защиты персональных данных компании «Эвотор»,
- политика конфиденциальности Ozon,
- политика обработки персональных данных интернет-магазина Tasty Coffee.
✅ Положение о работе с персональными данными. Это правила, по которым ваши сотрудники будут хранить, обрабатывать и использовать информацию. Правила должны соответствовать закону 152-ФЗ. Документ можно объединить с политикой обработки персональных данных.
✅ Положение о неразглашении персональных данных. Этот документ должны подписать сотрудники. Таким образом все, кто будет иметь доступ к персональным данным, подтвердят, что не станут передавать информацию третьим лицам.
✅ Приказы и инструкции для ответственных сотрудников. В документах указывают, у кого есть доступ к информации, где хранятся данные и как с ними работать.
✅ Регламент по защите и удалению персональных данных. В документе должно быть описано:
- где и как хранятся персональные данные;
- кто имеет к ним доступ;
- какие меры защиты применяются;
- как и когда данные удаляются;
- кто отвечает за удаление и фиксацию этого процесса.
Если пользователь отозвал согласие или закончился срок хранения, данные должны быть удалены. Это тоже нужно прописать в регламенте.
Также компании используют и другие документы: список документов, которые могут понадобиться. Не обязательно готовить все 34, но чем яснее будут прописаны обязательства и правила работы с персональными данными, тем меньше вопросов возникнет у Роскомнадзора.
Собирайте базу контактов, не нарушая закон
Шаг 2. Подайте уведомление в Роскомнадзор
С 2025 года подать уведомление обязаны все, кто работает с персональными данными, включая тех, кто нанимает сотрудников. Уведомление подаётся один раз — перед приёмом первого сотрудника. Повторно при найме новых работников направлять его не нужно.
В уведомлении нужно указать сведения о компании и сообщить, зачем вам понадобились персональные данные (ст. 22 закона 152-ФЗ). Подать документ можно тремя способами:
- распечатать уведомление и отправить в региональное управление Роскомнадзора,
- заполнить форму на сайте и подписать электронной подписью;
- подать через Госуслуги.
В течение 30 дней Роскомнадзор внесёт вас в реестр операторов персональных данных.
Если вы перестанете хранить персональные данные, об этом тоже нужно будет уведомить Роскомнадзор.
Шаг 3. Назначьте ответственных
Решите, кто у вас будет заниматься персональными данными и выпустите приказ. Например, техническим обслуживанием и защитой процесса обработки займётся системный администратор, НR-специалист ознакомит всех ответственных с новыми обязанностями и подготовленными документами, а за доработку документов, если она понадобится, будет отвечать юрист.
Готово! Как только Роскомнадзор добавит вас в реестр операторов, вы сможете законно собирать, обрабатывать и хранить информацию о клиентах.
Что будет, если нарушить закон
В 2025 году штрафы за нарушения в сфере персональных данных выросли и стали намного строже. Теперь за неправильное оформление согласий, несвоевременную подачу уведомлений и ненадёжное хранение данных можно получить серьёзные денежные наказания. Повторные ошибки и особенно утечки данных могут обойтись компаниям и предпринимателям в миллионы рублей. Закон не прощает халатности, и теперь Роскомнадзор тщательно за этим следит.
Штрафы за нарушения закона о персональных данных (ст. 13.11 КоАП)
| Нарушение | Физические лица (₽) | Должностные лица (₽) | Индивидуальные предприниматели (₽) | Юридические лица (₽) |
|---|---|---|---|---|
| Данные собраны и хранятся без согласия пользователей | 10 000 – 15 000 | 50 000 – 100 000 | 50 000 – 100 000 | 150 000 – 300 000 |
| Данные собраны не с той целью, которая была заявлена | 2 000 – 6 000 | 10 000 – 20 000 | 10 000 – 20 000 | 60 000 – 100 000 |
| Бизнес несвоевременно подал уведомление в Роскомнадзор | 5 000 – 10 000 | 30 000 – 50 000 | 30 000 – 50 000 | 100 000 – 300 000 |
| Политика обработки данных отсутствует в публичном доступе | 1 500 – 3 000 | 6 000 – 12 000 | 10 000 – 20 000 | 30 000 – 60 000 |
| Клиентам не предоставили информацию об обработке их данных | 2 000 – 4 000 | 8 000 – 12 000 | 20 000 – 30 000 | 40 000 – 80 000 |
| Клиент попросил изменить/удалить неточные или незаконно полученные данные, компания не выполнила | 2 000 – 4 000 | 8 000 – 20 000 | 20 000 – 40 000 | 50 000 – 90 000 |
| Произошла утечка данных: | ||||
| 1000 – 10 000 человек | 100 000 – 200 000 | 200 000 – 400 000 | 200 000 – 400 000 | 3 000 000 – 5 000 000 |
| 10 000 – 100 000 человек | 200 000 – 300 000 | 300 000 – 500 000 | 300 000 – 500 000 | 5 000 000 – 10 000 000 |
| более 100 000 человек | 200 000 – 400 000 | 400 000 – 600 000 | 400 000 – 600 000 | 10 000 000 – 15 000 000 |
| Бизнес вовремя не сообщил в Роскомнадзор об утечке персональных данных | 50 000 – 100 000 | 400 000 – 800 000 | 400 000 – 800 000 | 1 000 000 – 3 000 000 |
Помимо штрафов, Роскомнадзор вправе применять и другие меры — от временного ограничения деятельности до блокировки доступа к ресурсам, где собираются данные, а в некоторых случаях — возбуждения уголовных дел. Поэтому важно внимательно относиться к соблюдению требований закона.
Как Роскомнадзор проверяет хранение персональных данных
Роскомнадзор присваивает всем компаниям уровни риска и в соответствии с уровнем определяет тип и график проверок.
| Уровень риска | Тип проверки | Периодичность проверок |
|---|---|---|
| Высокий | Инспекционный визит или выездная проверка | Раз в два года |
| Значительный | Инспекционный визит или выездная проверка | Раз в три года |
| Средний | Инспекционный визит, документарная проверка или выездная проверка | Раз в четыре года |
| Умеренный | Документарная проверка или выездная проверка | Раз в шесть лет |
| Низкий | Не проверяют | — |
Оценка риска — сложный параметр. Его рассчитывают, исходя из тяжести и вероятности нарушений. Например, если компания собирает данные клиентов на сайте интернет-магазина и передаёт их на территорию иностранного государства — это самая тяжёлая группа. Если компания к тому же уже нарушала закон о персональных данных в течение последних двух лет, она попадёт в первую группу вероятности. Такой компании присвоят высокий уровень риска, а значит, проверять её будут чаще.
Низкий риск присвоят, если компания обрабатывает персональные данные небольшого числа людей, до тысячи человек, и раньше не нарушала закон.
Чтобы сориентироваться, к какой группе риска вас может отнести Роскомнадзор, изучите критерии в самом конце Постановления Правительства «О федеральном государственном контроле (надзоре) за обработкой персональных данных».
Для тех, кто с Эвотором
Частые вопросы
Я храню и обрабатываю cookie-файлы. Я оператор персональных данных?
Да, если у вас есть сайт и вы обрабатываете cookie-файлы, вы являетесь оператором персональных данных (ст. 3 закона №152-ФЗ).
Я собираю геоданные пользователей. Я оператор персональных данных?
Да, если вы собираете геоданные пользователей, вы являетесь оператором персональных данных (ст. 3 закона №152-ФЗ).
Сервера с данными находятся за границей. Мне подавать уведомление? Переносить ли данные на российские сервера?
С 1 июля 2025 года запрещено хранить и обрабатывать персональные данные россиян в зарубежных базах данных. Все данные россиян собирают, записывают, систематизируют и хранят исключительно на серверах, расположенных в России (п. 5 ст. 18 закона №152-ФЗ)
Подытожим
📌 Персональные данные — это любая информация о человеке и его деятельности, которая позволяет установить личность. С 2025 года сюда входят даже IP-адрес, история заказов, предпочтения и другие данные.
📌 Чтобы собирать и хранить персональные данные, нужно подготовить форму согласия на обработку персональных данных, утверждённую Роскомнадзором, политику конфиденциальности и другие документы, подать уведомление в Роскомнадзор и назначить ответственных сотрудников. Согласие должно быть отдельным документом — никаких встроенных форм, оферт и автоматических галочек.
📌 Хранить и использовать персональные данные можно только с согласия клиентов, даже если они сами выложили их в интернет. Нельзя хранить лишнюю информацию — ту, которая не нужна для вашей бизнес-задачи.
📌 За нарушение закона о персональных данных грозят высокие штрафы до нескольких миллионов рублей, блокировки и уголовная ответственность.