Персональные данные: не станьте нарушителями закона, сами того не зная
Татьяна Бурдуковская, руководитель Legal-pravicy
Каждая компания, которая хранит имена клиентов или принимает заявки через сайт, уже работает с персональными данными. Большинство руководителей об этом не думают – до первого штрафа. Разбираемся, что такое персональные данные, какие обязанности они накладывают на бизнес и что кардинально изменилось за последние два года.
Данные, которые делают человека человеком
Согласно Федеральному закону от 27.07.2006 № 152-ФЗ, персональные данные – это «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу». Закрытого перечня не существует – и это принципиально важно. Закон намеренно оставлен открытым, потому что одни и те же сведения в разных контекстах могут быть персональными данными, а могут и не быть.
Возьмем простой пример. Имя «Иван Иванов» само по себе никого не идентифицирует – тезок в стране тысячи. Но стоит добавить номер телефона или адрес – и перед нами уже конкретный человек. Именно совокупность сведений, а не отдельный ее элемент, определяет, являются ли данные персональными.
С номером телефона – отдельная история. Набор цифр сам по себе обезличен и персональными данными не считается. Но если на сайте рядом с номером стоит ФИО его владельца – это уже персональные данные, поскольку любой посетитель может идентифицировать конкретного человека.
К персональным данным относятся: ФИО в связке с контактами, паспортные данные, ИНН, СНИЛС, место работы и должность, сведения об образовании, имуществе, состоянии здоровья, семейном и социальном положении, а также cookies в браузере пользователя – при условии, что в совокупности с другими сведениями они позволяют идентифицировать человека.
Отдельную, более строгую категорию составляют биометрические данные: фотографии лиц, отпечатки пальцев, голосовые записи. Закон здесь жестче всего: использование биометрии без письменного согласия запрещено, даже если устное разрешение было получено. Важный нюанс – даже часть лица на фотографии (глаз, нос, губы) юридически считается биометрическими персональными данными.
Вы уже оператор –
знаете об этом или нет
Термин «оператор персональных данных» звучит громоздко и официально, но за ним скрывается предельно простая реальность: если вы собираете, храните или как-либо обрабатываете информацию о людях — вы оператор. Неважно, ИП вы или холдинг с десятками юрлиц. Неважно, подали ли уведомление в Роскомнадзор или нет.
Роскомнадзор придерживается однозначной позиции: организация становится оператором персональных данных в тот момент, когда начинает обрабатывать информацию. Никаких переходных периодов, никаких оговорок. Клиент заполнил форму на сайте – вы уже оператор и уже несете все соответствующие обязанности.
На практике это означает, что операторами персональных данных являются абсолютно все: розничные магазины с программами лояльности, медицинские клиники с историями болезней, образовательные учреждения, салоны красоты с журналами записи, интернет-магазины и HR-отделы любых компаний. Если хотя бы один пункт описывает вашу деятельность – у вас есть четкий набор обязанностей по закону № 152-ФЗ.
Три ключевые обязанности оператора
Закон выделяет три группы требований – их игнорирование ведёт к штрафам и репутационным потерям.
Прозрачность. Человек должен знать, какие данные вы собираете и для каких целей. Получить согласие и разъяснить цели сбора – обязательное условие законной работы с любой личной информацией. Молчаливое сохранение контактов клиента «на всякий случай» – уже нарушение.
Документация. Оператор обязан разработать и опубликовать политику обработки персональных данных. Этот документ должен содержать реальное, а не формальное описание того, что происходит с данными пользователей. Бланки согласий, договоры с подрядчиками, которым передаются данные, регламенты внутреннего доступа к базам – все это обязательная документация, а не бюрократическая опция.
Защита данных. Оператор отвечает за сохранность информации. В случае утечки компания обязана уведомить Роскомнадзор в течение 24 часов после обнаружения инцидента и сообщить о результатах расследования в течение 72 часов. Если субъект данных докажет, что его сведения получены незаконным путем – оператор обязан их уничтожить. По запросу субъекта доступ к данным должен быть заблокирован.
Регистрация
и штрафы
Чтобы работать с персональными данными легально, компания обязана подать уведомление в Роскомнадзор и войти в официальный реестр. Процедура проходит через сайт ведомства и занимает до 30 дней. Если поданный документ неполный – территориальный орган направит запрос на уточнение, и срок растянется.
Принципиальный момент: отсутствие регистрации не освобождает от ответственности. Это самостоятельное нарушение со своими санкциями. Компания, работающая с данными клиентов без уведомления, находится в зоне двойного риска – и за ненадлежащую обработку данных, и за уклонение от регистрации.
С 30 мая 2025 года в России действует обновленный порядок работы с персональными данными, существенно ужесточивший штрафы.
За утечку данных от 1 до 10 тысяч субъектов – до 3 млн рублей.
За утечку данных более 100 тысяч субъектов – до 15 млн рублей.
За повторное нарушение – до 3% годовой выручки, но не менее 15 и не более 500 млн рублей.
За публикацию фотографий клиентов без письменного согласия – до 300 тысяч рублей.
За невзаимодействие с госорганами для владельцев социальных сетей – до 5 млн рублей.
Кейс: мастер маникюра и штраф в 300 тысяч
Мастер ногтевого сервиса публикует в своем ВК фотографии работ в формате «до и после» – руки клиента крупным планом, иногда с лицом. Все делается с лучшими намерениями: показать качество работы, привлечь новых клиентов.
Роскомнадзор квалифицирует такой контент как нарушение закона о персональных данных и требований к рекламе. Фотография лица – это биометрические персональные данные. Их использование без письменного согласия запрещено, даже если клиент устно не возражал. Проверки могут быть инициированы как по жалобе самого клиента, так и по инициативе ведомства – его сотрудники вправе мониторить публичные страницы в соцсетях.
Схема регулятора: сначала направляется запрос с требованием предоставить письменное согласие клиента. Если его нет – выносится предписание и начисляется штраф. Пострадавший клиент вправе дополнительно потребовать компенсации морального вреда, если посчитает, что фото выставило его в неприглядном виде.
Выход прост: подписывать стандартную форму согласия на съемку и публикацию с каждым клиентом. Две минуты работы – и надежная защита от штрафа в 300 тысяч рублей.
Реформа согласий и отраслевые стандарты
Законодательство в сфере персональных данных переживает не косметические правки, а системную перестройку. Ключевое направление – пересмотр самой концепции «согласия на обработку данных».
Сегодня согласие – это универсальный механизм: пользователь ставит галочку, компания получает право на обработку. Регулятор считает эту модель устаревшей. В рамках второго антифрод-пакета изначально планировалось передать управление согласиями через «Госуслуги»: пользователь видел бы в личном кабинете все компании, которым выдал разрешение на обработку данных, и мог бы одним кликом его отозвать.
Бизнес встретил инициативу жёсткой критикой: огромные издержки на перестройку IT-инфраструктуры, отсутствие понятного механизма перехода, угроза сбоев в работе тысяч компаний. Наиболее радикальные положения из законопроекта были исключены. Но это не означает, что идея похоронена – законодатель по-прежнему движется в сторону сокращения роли формальных согласий и их замены структурированными правовыми основаниями.
Параллельно Роскомнадзор заявил о намерении ввести отраслевые стандарты обработки персональных данных – допустимые рамки для каждой сферы: основания, объем, сроки хранения. Первые стандарты разрабатываются для образования, здравоохранения, ЖКХ и туризма. Стандарты уберут неопределенность и дадут компаниям понятные ориентиры, однако создают риск чрезмерной унификации – бизнес-процессы даже внутри одной отрасли сильно различаются.
Социальные сети:
новые правила игры
Для владельцев страниц с аудиторией более 10 000 подписчиков введена обязательная регистрация в реестре Роскомнадзора. Незарегистрированные страницы теряют право на монетизацию и размещение рекламы, а по требованию регулятора могут быть заблокированы. Это правило распространяется не только на блогеров – под него подпадают и корпоративные страницы бизнеса.
Социальные сети и иностранные платформы теперь обязаны: хранить данные россиян исключительно на территории РФ, обеспечивать их хранение не менее трех лет, взаимодействовать с государственной системой противодействия киберпреступлениям, оформлять согласие на обработку персональных данных отдельным документом.
Роскомнадзор объявил о смене тактики: вместо штрафов ведомство переходит к техническим мерам воздействия – ограничению скорости работы и функциональности сервисов. По этой схеме уже ограничены звонки в WhatsApp, Telegram и FaceTime. Схожие меры с высокой вероятностью ожидают другие иностранные мессенджеры, не выполняющие требования о локализации данных.
Практический минимум для директора
Если хотя бы часть из описанного выше касается вашей компании – самое время перейти от осознания к конкретным действиям.
Проверьте реестр. Убедитесь, что компания включена в реестр операторов персональных данных Роскомнадзора. Если нет – это задача номер один.
Обновите документацию. Политика обработки персональных данных на сайте должна отражать реальные процессы, а не быть скопированным шаблоном. Проверьте актуальность всех форм согласий и договоров с подрядчиками.
Проведите аудит согласий. Выясните, для каких категорий данных у вас есть письменные согласия субъектов. Особое внимание – биометрике: фотографиям, голосовым записям, видеоматериалам.
Обучите сотрудников. Нарушения чаще всего случаются не из злого умысла, а по незнанию. Сотрудники маркетинга, HR и клиентского сервиса должны понимать базовые правила работы с персональными данными.
Назначьте ответственного. В компании должен быть человек, который отвечает за соблюдение требований 152-ФЗ: штатный юрист, специалист по информационной безопасности или привлеченный DPO.
Следите за изменениями. Второй антифрод-пакет, отраслевые стандарты, регулирование ИИ-контента – все это войдет в практику в ближайшие годы. Компании, начавшие адаптироваться сейчас, окажутся в значительно более выгодном положении, чем те, кто будет реагировать постфактум.
Персональные данные давно перестали быть исключительно юридической темой. Это вопрос доверия клиентов, репутации компании и финансовой устойчивости бизнеса. Законодательство в этой сфере будет только ужесточаться – и лучше войти в новую реальность подготовленным.
Legal-pravicy
тел.: +7 920 553 40 94
Реклама. ИП Бурдуковская Татьяна Александровна ИНН: 280105985496 ERID: 2VtzqwRkjED