Статьи

Требования для бизнеса о защите персональных данных

Бизнес

Кому и зачем нужно соблюдать требования по защите персональных данных

Миф о том, что закон о персональных данных касается только крупных корпораций, оборачивается штрафами для небольших интернет-магазинов, онлайн-школ и даже частных специалистов. На практике действие Федерального закона №152-ФЗ распространяется на подавляющее большинство бизнеса, если он собирает, хранит или использует персональные данные хотя бы одного физического лица.
Формально исключения есть. Согласно статье 1 закона, его требования не применяются к обработке ПДн:
  • физическим лицом для личных нужд без извлечения прибыли;
  • при наличии государственной тайны;
  • в рамках журналистской, научной или литературной деятельности — при соблюдении ряда ограничений.
Однако бизнес-проекты под эти определения не подпадают. Даже одиночный ИП с лендингом и формой заявки, в которую пользователи оставляют имя и e-mail, автоматически становится оператором персональных данных и попадает под обязательства закона.
Обработка начинается не с момента "хранили в базе", а уже при сборе сведений — устно, письменно, через формы, мессенджеры, подписку или регистрацию. Даже простой сбор e-mail для e-mail-маркетинга требует законного основания (чаще — согласия пользователя) и выполнения базовых условий. Примеры, которые часто упускаются:
  • Блок "задайте вопрос" на сайте без политики конфиденциальности;
  • Онлайн-продажи через Telegram-бот с анкетой;
  • CRM-система с контактами клиентов, даже в виде Google-таблицы.
Неиспользование CRM не освобождает от ответственности. Закон не требует “сложных ИТ-систем”. Суды и Роскомнадзор рассматривают даже файл Excel, хранящийся на компьютере, как информационную систему персональных данных (ИСПДн) в случае реальной обработки сведений о клиентах.
Ключевое — не способ, а сам факт использования. Один из опасных заблуждений — «я просто фрилансер и ничего не обрабатываю». Но если вы получаете от заказчиков паспортные данные, телефоны, e-mail и храните их хотя бы в почте — вы обрабатываете ПДн.
Перекрёсток ответственности — чаще всего директор организации и/или ИП выступает оператором и несёт ответственность. Но контроль возможен и в отношении:
  • ИТ-специалистов (например, при нарушении порядка хранения или защиты данных);
  • фрилансеров и подрядчиков (при отсутствии должных договоров и инструктажа);
  • менеджеров, реагирующих на обращения пользователей и работающих с клиентскими данными.
В случае нарушения Роскомнадзор вправе наказать организацию как юридическое лицо, её руководителя — административно, а в определённых ситуациях (например, утечка данных сотен пользователей) может быть возбуждено уголовное дело.

Какие персональные данные защищает закон в 2025 году

В понимании закона, персональные данные — это любая информация, прямо или косвенно относящаяся к определённому (или определяемому) физлицу. Простая формулировка скрывает множество нюансов. На практике под защиту попадает гораздо больше, чем «ФИО и паспорт».
Базовые данные, подлежащие защите:
  • ФИО;
  • контактная информация (телефон, e-mail, адрес);
  • идентификаторы устройств (IP-адрес, cookie-файлы, User-Agent);
  • данные авторизации (логины, пароли);
  • геолокация пользователя;
  • изображения, голос, номер карты (если обрабатываются напрямую).
Особые категории персональных данных (ст. 10 ФЗ-152) требуют дополнительной защиты:
  • сведения о состоянии здоровья;
  • расовая и национальная принадлежность;
  • политические, религиозные убеждения;
  • финансовая информация (например, банкротов, кредитная история);
  • биометрия — отпечатки пальцев, сетчатка глаза, фото для распознавания лица.
Изменения в 2025 году: Роскомнадзор уточнил в методических разъяснениях, что идентификаторы устройств (включая cookies и MAC-адреса в контексте взаимодействия с веб-ресурсами) считаются персональными при возможности связать их с конкретным лицом (например, через авторизацию или форму заявки). Для сайтов с сервисами авторизации это приравнивает значительную часть технических данных к ПДн.
Анонимные данные — вне регулирования ФЗ-152. Но если совокупность информации позволяет установить личность (даже без ФИО), такие данные считаются персональными. Пример — IP-адрес из журнала посещаемости + оформленный заказ с уникальными деталями доставки.
Вывод: если вы получаете какие-либо сведения от пользователя, позволяющие его идентифицировать или взаимодействовать с ним напрямую — с высокой долей вероятности вы обрабатываете ПДн. Это накладывает обязательства.

Что должно быть на сайте, чтобы соответствовать закону о защите персональных данных

Оснащённость сайта напрямую влияет на вероятность штрафа. Роскомнадзор активно проверяет веб-ресурсы, особенно после жалоб: достаточно кнопки "Написать нам", обрабатывающей e-mail, без документации — и претензии обеспечены.
Перечень обязательных элементов сайта:
  • Политика конфиденциальности — документ, размещённый в публичном доступе (обычно в подвале сайта), содержащий:
  • перечень собираемых данных;
  • цели и основания обработки;
  • сроки хранения и условия передачи третьим лицам;
  • механизм отзыва согласия;
  • контактные сведения оператора, включая юридический адрес.
  • Форма согласия — пользователь должен явно подтвердить согласие, поставив галочку или совершив равноценное действие. Фразы типа "нажимая кнопку, вы соглашаетесь..." допустимы, но только если подпись пользовательской оферты ярко выражена и не скрыта стилем.
  • Объявление о cookies — если вы используете метрики, аналитику или маркетинговые пиксели. Оно должно сообщать о факте сбора и предоставлять возможность отказаться (при наличии функционала).
  • Защищённое соединение (HTTPS) — обязательное требование. Наличие SSL-сертификата обеспечивает шифрование канала и минимизирует риски утечки.
Типичные ошибки при оформлении форм:
  • нет отметки "обязательных полей";
  • отсутствует ссылка на политику под формой заявки;
  • нет отдельного поля согласия с обработкой;
  • поля собирают лишние данные, не нужные для цели (например, дата рождения для регистрации в рассылке).
Полезная практика — размещать политику в отдельном документе с постоянным URL-адресом, дате последнего обновления и указанием лица, ответственного за актуализацию. Не копируйте чужие шаблоны: формальные ошибки могут обернуться нарушением закона.
Проверка сайта на соответствие возможна с помощью сервисов:
  • pd.rkn.gov.ru — инструменты Роскомнадзора;
  • Скрипты проверки на наличие политики конфиденциальности и защищённого соединения (например, через SEO-анализаторы);
  • Юридический аудит или внешнюю экспертизу — разово, перед запуском проекта.
Таблица элементов:
  1. Политика конфиденциальности — обязательна;
  2. Чекбокс/подпись согласия под формами — обязательны;
  3. Cookie-баннер — если есть установка сторонних cookies;
  4. SSL-сертификат — обязательно;
  5. Контактные данные оператора — обязательно;
  6. Порядок отзыва согласия — обязателен в политике;
  7. Журнал событий (по Rkn-фрейму):: — желательно у платформ с авторизацией.
Важно: размещение самой политики — не формальность. Её тексты должны быть адаптированы под ваши процессы: форма обратной связи, география доставки, тип получаемых данных.

Как онлайн-бизнесу соблюдать закон о защите персональных данных

Соответствие онлайн-бизнеса требованиям закона — это не только сайт с политикой конфиденциальности. Это процессная и операционная работа с персональными данными: назначение ответственных, установленные процедуры, договоры с подрядчиками и защита хранимой информации. Нарушения зачастую происходят не на этапе сбора, а из-за недостаточной организации внутренней работы.
Назначение ответственного лица — базовое требование для юридических лиц. Назначается распоряжением/приказом руководителя. В малом бизнесе это может быть руководитель, ИТ-специалист или юрист. Главное — наделить полномочиями и закрепить задачи: контроль за соблюдением требований, взаимодействие с Роскомнадзором и ведение документации.
Определение целей и объёма обработки — лишние данные собирать нельзя. Закон требует принципа минимизации: только то, что необходимо для конкретной цели. Пример:
  • Цель: регистрация на вебинар. Достаточно e-mail и имени. Телефон, пол, возраст — уже избыточны.
  • Цель: оформление заказа — ФИО, телефон, адрес доставки. ID устройства или cookies необязательны, если нет аналитической цели.
Договоры с подрядчиками — если вы передаёте ПДн третьим лицам (CRM, хостинг, логистика, email-маркетинг), необходимо:
  • включить в договор положения об обработке ПДн;
  • проверить, чтобы подрядчик сам соответствовал требованиям (сертификаты, лицензии, политика ПДн);
  • уточнить статус сторон: вы — оператор, они — уполномоченные лица.
Инструктаж персонала. Даже в компании из трёх сотрудников обязателен минимум:
  • документ «Положение о персональных данных»;
  • инструктаж под роспись: кто и как обрабатывает данные, что запрещено (например, передача третьим лицам без согласия, использование для личных целей);
  • приказ об ответственности за нарушение обработки ПДн.
Хранение данных — файл Excel с клиентами на личной флешке? Это нарушение. Обсуждения в мессенджерах без защиты и регламента? Нарушение. Лучшие практики хранения:
  • использовать защищённые облачные решения с серверами в РФ (если вы обрабатываете данные россиян);
  • ограничить доступ только уполномоченным лицам с логированием и паролями;
  • регулярно обновлять платформы и антивирусы, делать резервное копирование.
Журнал учёта согласий — фиксировать, кто, когда и на что дал согласие. Особенно важно для списков рассылки и маркетинга. Это можно реализовать:
  • внутри CRM (Bitrix24, amoCRM — поддерживают фиксацию согласий);
  • через маркетинг-платформы (Pult, UniSender — сохраняют чекбоксы);
  • в Excel с метками времени при отсутствии альтернатив.

Чек-лист соответствия:

  1. Политика конфиденциальности — актуализирована, опубликована;
  2. Собираете минимум данных, необходимых для цели;
  3. Согласие — явно запрашивается, зафиксировано;
  4. Персонал инструктирован — под роспись;
  5. Назначен ответственный приказом;
  6. Заключены договоры с обработчиками, включены пункты об ответственности;
  7. Данные хранятся в защищённой среде — облаке, VPN, сервере с доступом по ролям.

Санкции и штрафы за нарушение закона

110 000 рублей за отсутствие политики конфиденциальности. 45 000 — за незащищённую форму заявки. Несколько миллионов — за утечку базы пользователей с телефонами. Это не гипотетика, а реальные штрафы, которые получают компании, забывшие поставить галочку или запротоколировать согласие.

Диапазон штрафов в 2025 году:

  • до 50 000 рублей — за отсутствие согласия на обработку ПДн (ст. 13.11 КоАП РФ);
  • до 75 000 рублей — за отсутствие уведомления Роскомнадзора о начале обработки;
  • до 100 000 рублей — за неисполнение обязанностей по защите ПДн (ст. 13.11, ч. 7);
  • до 500 000 рублей — за нарушение условий хранения, несанкционированный доступ или утечку;
  • до 1,5 млн ₽ — при повторных или системных нарушениях (определяется судом);
  • до 3 млн ₽ — в случае обработки специальных категорий без оснований (например, без согласия на обработку медицинских данных).

Кто контролирует:

  • Роскомнадзор — уполномоченна служба по защите прав субъектов ПДн, проводит плановые и внеплановые проверки;
  • Прокуратура — проверяет исполнение закона по обращениям граждан;
  • МВД — в случае наличия признаков уголовного состав (например, массовая утечка);
  • Суды — рассматривают иски пользователей о компенсации морального вреда.
Наказуемое — не только “утечка”, но и “неправильная” обработка. Показательный случай: сайт запрашивает e-mail и не размещает политику — формально, нет прямого вреда, но нарушены правила сбора. Роскомнадзор может наложить штраф, даже если данные нигде не утекли.
Ещё одна распространённая история — автоматическая интеграция данных из формы на сайте в телеграм-бот, настроенный без шифрования. Если в процессе утекут ПДн клиентов — ответственность всё равно несёт оператор (юрлицо / ИП), а не только технический подрядчик.

Типовые нарушения:

  1. Нет документации: политика, положение, согласия;
  2. Отсутствие правовых оснований — данные собираются без согласия или договора;
  3. ПДн передаются подрядчику (например, курьерской службе), но договоров нет;
  4. Личный пароль сотрудника передаётся другому — несанкционированный доступ;
  5. Данные пользователей остаются в корпоративной переписке без регламента хранения.
Важно: при претензии Роскомнадзора именно документально подтверждённые меры и аккуратно оформленные согласия могут спасти от штрафа или существенно его снизить. Отсутствие указания целей, сроков хранения, порядка удаления сведений автоматически трактуется в пользу субъекта данных.

Регистрация в Роскомнадзоре: когда и кому она нужна?

Многие предприниматели теряются: нужно ли регистрироваться как оператор персональных данных в Роскомнадзоре, если бизнес небольшой и клиентов немного? Ответ зависит не от масштабов деятельности, а от того, что именно и как вы обрабатываете.
Согласно статье 22 Федерального закона №152-ФЗ, оператор обязан уведомить Роскомнадзор о начале обработки персональных данных за исключением случаев, указанных в пункте 2 этой статьи. От регистрации освобождаются те, кто:
  • обрабатывает ПДн исключительно в рамках трудовых отношений (например, только данные своих сотрудников);
  • осуществляет обработку для целей заключения и исполнения договора;
  • не распространяет и не передает персональные данные третьим лицам;
  • не обрабатывает специальные или биометрические категории данных;
  • не использует автоматизированные средства обработки (например, полностью на бумаге — редкий случай).
Если хотя бы один из вышеперечисленных критериев не выполняется — уведомление обязательно. Типичный пример: интернет-магазин получает заявки через сайт и передает информацию в службу доставки. Это передача третьим лицам — уведомление требуется.

Процедура подачи уведомления:

  1. Зайти на сайт pd.rkn.gov.ru в раздел уведомлений.
  2. Заполнить форму: указать данные организации, цели и категории обрабатываемых ПДн, меры защиты и т. д.
  3. Подписать УКЭП (усиленной электронной подписью) или направить распечатанное уведомление почтой.
  4. Дождаться подтверждения регистрации в реестре операторов.
На практике подачу можно поручить юристу, бухгалтеру или доверенному сотруднику с электронной подписью — необходимо лишь оформление доверенности. Подача уведомления бесплатна, срок реакции — 15 рабочих дней.

Примеры:

  • Вы — блогер, собираете e-mail на вебинар через форму и используете Sendpulse — нужно подать уведомление.
  • Вы — ИП и оформляете онлайн-заказы с доставкой через СДЭК — нужно.
  • Вы — психолог, ведёте личный приём, но не используете CRM и не передаёте данные — уведомление не требуется.

Как выбрать поставщиков и сервисы, которые тоже соответствуют требованиям

Даже если вы соблюдаете все нормы закона, нарушение может произойти на стороне подрядчика. Классическая ситуация — хостинг в другой юрисдикции с данными за пределами РФ или некорректная работа облачной CRM. При этом ответственность всё равно несёт основное лицо — оператор.

Что проверять у подрядчиков:

  • Наличие политики обработки персональных данных на их сайте;
  • Размещение оборудования и серверов — в РФ или нет;
  • Прописаны ли обязанности по защите ПДн в договоре (обычно отдельными пунктами);
  • Есть ли у компании статус оператора ПДн (можно проверить по реестру Роскомнадзора);
  • Сертификаты информационной безопасности (например, ISO/IEC 27001);
  • Реальные технические меры защиты: шифрование, ограничение доступа, резервное копирование.

Что включать в договоры:

  • Пункт об обработке ПДн клиента от имени оператора;
  • Обязательства об обеспечении мер безопасности и недопущении утечки данных;
  • Описание целей обработки: подрядчик не может использовать ПДн в личных целях;
  • Обязанности удалить данные при расторжения договора;
  • Ответственность за нарушение (включая компенсацию убытков и штрафов).
Если подрядчик нарушит порядок обработки ПДн, но вы не проконтролировали его статус и действия — вся ответственность ляжет на вас как на оператора.

Мини-гид по выбору подрядчика по ПДн:

  1. Попросите реквизиты и лицензию (если это облачный сервис или оператор связи);
  2. Проверьте наличие в реестре Роскомнадзора;
  3. Уточните, где расположены сервера или дата-центры;
  4. Попросите копию политики ПДн или договор с обязательствами;
  5. Проверьте, кто несёт ответственность за защищённость (например, в SLA).
Выбирая подрядчика "по принципу удобства", бизнес рискует серьезными убытками. Лучше потратить дополнительно два часа на аудит сервиса, чем год на устранение последствий.

Что изменилось в 2025 году: важные нововведения

За 2025 год появилось несколько важных изменений, касающихся как юридической, так и технической стороны обработки ПДн.
  • Новые требования к согласию. Роскомнадзор усилил акцент на осознанное и конкретное согласие. Автоматическая активация чекбоксов, "псевдо-добровольность" (например, невозможность отправить форму без согласия) теперь признаётся нарушением.
  • Увеличение штрафов. По изменениям в КоАП РФ повышены максимальные штрафы за различные виды нарушений, включая повторное нарушение: до 500 000 ₽ для ИП и до 3 млн ₽ для юрлиц.
  • Разъяснения об IP-адресах и cookie-файлах. В 2025 году официальные материалы Роскомнадзора подтвердили: если с помощью этих данных можно идентифицировать пользователя — они считаются ПДн, и необходима соответствующая правовая основа для их обработки.
  • Рекомендации по аудиту и внутреннему контролю. Появились обновленные методики проведения внутреннего аудита по защите ПДн, с упором на контроль доступа, управление ИСПДн, инцидент-менеджмент (обработка утечек).
Всё это не только повышает требования со стороны надзорных органов, но и обязывает бизнес системно подходить к обеспечению информационной безопасности в рамках своей деятельности. Ранее "формальный подход" уже не работает — необходимо подтверждать соответствие.