Кому и зачем нужно соблюдать требования по защите персональных данных
Миф о том, что закон о персональных данных касается только крупных корпораций, оборачивается штрафами для небольших интернет-магазинов, онлайн-школ и даже частных специалистов. На практике действие Федерального закона №152-ФЗ распространяется на подавляющее большинство бизнеса, если он собирает, хранит или использует персональные данные хотя бы одного физического лица.
Формально исключения есть. Согласно статье 1 закона, его требования не применяются к обработке ПДн:
- физическим лицом для личных нужд без извлечения прибыли;
- при наличии государственной тайны;
- в рамках журналистской, научной или литературной деятельности — при соблюдении ряда ограничений.
Однако бизнес-проекты под эти определения не подпадают. Даже одиночный ИП с лендингом и формой заявки, в которую пользователи оставляют имя и e-mail, автоматически становится оператором персональных данных и попадает под обязательства закона.
Обработка начинается не с момента "хранили в базе", а уже при сборе сведений — устно, письменно, через формы, мессенджеры, подписку или регистрацию. Даже простой сбор e-mail для e-mail-маркетинга требует законного основания (чаще — согласия пользователя) и выполнения базовых условий. Примеры, которые часто упускаются:
- Блок "задайте вопрос" на сайте без политики конфиденциальности;
- Онлайн-продажи через Telegram-бот с анкетой;
- CRM-система с контактами клиентов, даже в виде Google-таблицы.
Неиспользование CRM не освобождает от ответственности. Закон не требует “сложных ИТ-систем”. Суды и Роскомнадзор рассматривают даже файл Excel, хранящийся на компьютере, как информационную систему персональных данных (ИСПДн) в случае реальной обработки сведений о клиентах.
Ключевое — не способ, а сам факт использования. Один из опасных заблуждений — «я просто фрилансер и ничего не обрабатываю». Но если вы получаете от заказчиков паспортные данные, телефоны, e-mail и храните их хотя бы в почте — вы обрабатываете ПДн.
Перекрёсток ответственности — чаще всего директор организации и/или ИП выступает оператором и несёт ответственность. Но контроль возможен и в отношении:
- ИТ-специалистов (например, при нарушении порядка хранения или защиты данных);
- фрилансеров и подрядчиков (при отсутствии должных договоров и инструктажа);
- менеджеров, реагирующих на обращения пользователей и работающих с клиентскими данными.
В случае нарушения Роскомнадзор вправе наказать организацию как юридическое лицо, её руководителя — административно, а в определённых ситуациях (например, утечка данных сотен пользователей) может быть возбуждено уголовное дело.
Какие персональные данные защищает закон в 2025 году
В понимании закона, персональные данные — это любая информация, прямо или косвенно относящаяся к определённому (или определяемому) физлицу. Простая формулировка скрывает множество нюансов. На практике под защиту попадает гораздо больше, чем «ФИО и паспорт».
Базовые данные, подлежащие защите:
- ФИО;
- контактная информация (телефон, e-mail, адрес);
- идентификаторы устройств (IP-адрес, cookie-файлы, User-Agent);
- данные авторизации (логины, пароли);
- геолокация пользователя;
- изображения, голос, номер карты (если обрабатываются напрямую).
Особые категории персональных данных (ст. 10 ФЗ-152) требуют дополнительной защиты:
- сведения о состоянии здоровья;
- расовая и национальная принадлежность;
- политические, религиозные убеждения;
- финансовая информация (например, банкротов, кредитная история);
- биометрия — отпечатки пальцев, сетчатка глаза, фото для распознавания лица.
Изменения в 2025 году: Роскомнадзор уточнил в методических разъяснениях, что идентификаторы устройств (включая cookies и MAC-адреса в контексте взаимодействия с веб-ресурсами) считаются персональными при возможности связать их с конкретным лицом (например, через авторизацию или форму заявки). Для сайтов с сервисами авторизации это приравнивает значительную часть технических данных к ПДн.
Анонимные данные — вне регулирования ФЗ-152. Но если совокупность информации позволяет установить личность (даже без ФИО), такие данные считаются персональными. Пример — IP-адрес из журнала посещаемости + оформленный заказ с уникальными деталями доставки.
Вывод: если вы получаете какие-либо сведения от пользователя, позволяющие его идентифицировать или взаимодействовать с ним напрямую — с высокой долей вероятности вы обрабатываете ПДн. Это накладывает обязательства.
Что должно быть на сайте, чтобы соответствовать закону о защите персональных данных
Оснащённость сайта напрямую влияет на вероятность штрафа. Роскомнадзор активно проверяет веб-ресурсы, особенно после жалоб: достаточно кнопки "Написать нам", обрабатывающей e-mail, без документации — и претензии обеспечены.
Перечень обязательных элементов сайта:
- Политика конфиденциальности — документ, размещённый в публичном доступе (обычно в подвале сайта), содержащий:
- перечень собираемых данных;
- цели и основания обработки;
- сроки хранения и условия передачи третьим лицам;
- механизм отзыва согласия;
- контактные сведения оператора, включая юридический адрес.
- Форма согласия — пользователь должен явно подтвердить согласие, поставив галочку или совершив равноценное действие. Фразы типа "нажимая кнопку, вы соглашаетесь..." допустимы, но только если подпись пользовательской оферты ярко выражена и не скрыта стилем.
- Объявление о cookies — если вы используете метрики, аналитику или маркетинговые пиксели. Оно должно сообщать о факте сбора и предоставлять возможность отказаться (при наличии функционала).
- Защищённое соединение (HTTPS) — обязательное требование. Наличие SSL-сертификата обеспечивает шифрование канала и минимизирует риски утечки.
Типичные ошибки при оформлении форм:
- нет отметки "обязательных полей";
- отсутствует ссылка на политику под формой заявки;
- нет отдельного поля согласия с обработкой;
- поля собирают лишние данные, не нужные для цели (например, дата рождения для регистрации в рассылке).
Полезная практика — размещать политику в отдельном документе с постоянным URL-адресом, дате последнего обновления и указанием лица, ответственного за актуализацию. Не копируйте чужие шаблоны: формальные ошибки могут обернуться нарушением закона.
Проверка сайта на соответствие возможна с помощью сервисов:
- pd.rkn.gov.ru — инструменты Роскомнадзора;
- Скрипты проверки на наличие политики конфиденциальности и защищённого соединения (например, через SEO-анализаторы);
- Юридический аудит или внешнюю экспертизу — разово, перед запуском проекта.
Таблица элементов:
- Политика конфиденциальности — обязательна;
- Чекбокс/подпись согласия под формами — обязательны;
- Cookie-баннер — если есть установка сторонних cookies;
- SSL-сертификат — обязательно;
- Контактные данные оператора — обязательно;
- Порядок отзыва согласия — обязателен в политике;
- Журнал событий (по Rkn-фрейму):: — желательно у платформ с авторизацией.
Важно: размещение самой политики — не формальность. Её тексты должны быть адаптированы под ваши процессы: форма обратной связи, география доставки, тип получаемых данных.
Как онлайн-бизнесу соблюдать закон о защите персональных данных
Соответствие онлайн-бизнеса требованиям закона — это не только сайт с политикой конфиденциальности. Это процессная и операционная работа с персональными данными: назначение ответственных, установленные процедуры, договоры с подрядчиками и защита хранимой информации. Нарушения зачастую происходят не на этапе сбора, а из-за недостаточной организации внутренней работы.
Назначение ответственного лица — базовое требование для юридических лиц. Назначается распоряжением/приказом руководителя. В малом бизнесе это может быть руководитель, ИТ-специалист или юрист. Главное — наделить полномочиями и закрепить задачи: контроль за соблюдением требований, взаимодействие с Роскомнадзором и ведение документации.
Определение целей и объёма обработки — лишние данные собирать нельзя. Закон требует принципа минимизации: только то, что необходимо для конкретной цели. Пример:
- Цель: регистрация на вебинар. Достаточно e-mail и имени. Телефон, пол, возраст — уже избыточны.
- Цель: оформление заказа — ФИО, телефон, адрес доставки. ID устройства или cookies необязательны, если нет аналитической цели.
Договоры с подрядчиками — если вы передаёте ПДн третьим лицам (CRM, хостинг, логистика, email-маркетинг), необходимо:
- включить в договор положения об обработке ПДн;
- проверить, чтобы подрядчик сам соответствовал требованиям (сертификаты, лицензии, политика ПДн);
- уточнить статус сторон: вы — оператор, они — уполномоченные лица.
Инструктаж персонала. Даже в компании из трёх сотрудников обязателен минимум:
- документ «Положение о персональных данных»;
- инструктаж под роспись: кто и как обрабатывает данные, что запрещено (например, передача третьим лицам без согласия, использование для личных целей);
- приказ об ответственности за нарушение обработки ПДн.
Хранение данных — файл Excel с клиентами на личной флешке? Это нарушение. Обсуждения в мессенджерах без защиты и регламента? Нарушение. Лучшие практики хранения:
- использовать защищённые облачные решения с серверами в РФ (если вы обрабатываете данные россиян);
- ограничить доступ только уполномоченным лицам с логированием и паролями;
- регулярно обновлять платформы и антивирусы, делать резервное копирование.
Журнал учёта согласий — фиксировать, кто, когда и на что дал согласие. Особенно важно для списков рассылки и маркетинга. Это можно реализовать:
- внутри CRM (Bitrix24, amoCRM — поддерживают фиксацию согласий);
- через маркетинг-платформы (Pult, UniSender — сохраняют чекбоксы);
- в Excel с метками времени при отсутствии альтернатив.
Чек-лист соответствия:
- Политика конфиденциальности — актуализирована, опубликована;
- Собираете минимум данных, необходимых для цели;
- Согласие — явно запрашивается, зафиксировано;
- Персонал инструктирован — под роспись;
- Назначен ответственный приказом;
- Заключены договоры с обработчиками, включены пункты об ответственности;
- Данные хранятся в защищённой среде — облаке, VPN, сервере с доступом по ролям.
Санкции и штрафы за нарушение закона
110 000 рублей за отсутствие политики конфиденциальности. 45 000 — за незащищённую форму заявки. Несколько миллионов — за утечку базы пользователей с телефонами. Это не гипотетика, а реальные штрафы, которые получают компании, забывшие поставить галочку или запротоколировать согласие.
Диапазон штрафов в 2025 году:
- до 50 000 рублей — за отсутствие согласия на обработку ПДн (ст. 13.11 КоАП РФ);
- до 75 000 рублей — за отсутствие уведомления Роскомнадзора о начале обработки;
- до 100 000 рублей — за неисполнение обязанностей по защите ПДн (ст. 13.11, ч. 7);
- до 500 000 рублей — за нарушение условий хранения, несанкционированный доступ или утечку;
- до 1,5 млн ₽ — при повторных или системных нарушениях (определяется судом);
- до 3 млн ₽ — в случае обработки специальных категорий без оснований (например, без согласия на обработку медицинских данных).
Кто контролирует:
- Роскомнадзор — уполномоченна служба по защите прав субъектов ПДн, проводит плановые и внеплановые проверки;
- Прокуратура — проверяет исполнение закона по обращениям граждан;
- МВД — в случае наличия признаков уголовного состав (например, массовая утечка);
- Суды — рассматривают иски пользователей о компенсации морального вреда.
Наказуемое — не только “утечка”, но и “неправильная” обработка. Показательный случай: сайт запрашивает e-mail и не размещает политику — формально, нет прямого вреда, но нарушены правила сбора. Роскомнадзор может наложить штраф, даже если данные нигде не утекли.
Ещё одна распространённая история — автоматическая интеграция данных из формы на сайте в телеграм-бот, настроенный без шифрования. Если в процессе утекут ПДн клиентов — ответственность всё равно несёт оператор (юрлицо / ИП), а не только технический подрядчик.
Типовые нарушения:
- Нет документации: политика, положение, согласия;
- Отсутствие правовых оснований — данные собираются без согласия или договора;
- ПДн передаются подрядчику (например, курьерской службе), но договоров нет;
- Личный пароль сотрудника передаётся другому — несанкционированный доступ;
- Данные пользователей остаются в корпоративной переписке без регламента хранения.
Важно: при претензии Роскомнадзора именно документально подтверждённые меры и аккуратно оформленные согласия могут спасти от штрафа или существенно его снизить. Отсутствие указания целей, сроков хранения, порядка удаления сведений автоматически трактуется в пользу субъекта данных.
Регистрация в Роскомнадзоре: когда и кому она нужна?
Многие предприниматели теряются: нужно ли регистрироваться как оператор персональных данных в Роскомнадзоре, если бизнес небольшой и клиентов немного? Ответ зависит не от масштабов деятельности, а от того, что именно и как вы обрабатываете.
Согласно статье 22 Федерального закона №152-ФЗ, оператор обязан уведомить Роскомнадзор о начале обработки персональных данных за исключением случаев, указанных в пункте 2 этой статьи. От регистрации освобождаются те, кто:
- обрабатывает ПДн исключительно в рамках трудовых отношений (например, только данные своих сотрудников);
- осуществляет обработку для целей заключения и исполнения договора;
- не распространяет и не передает персональные данные третьим лицам;
- не обрабатывает специальные или биометрические категории данных;
- не использует автоматизированные средства обработки (например, полностью на бумаге — редкий случай).
Если хотя бы один из вышеперечисленных критериев не выполняется — уведомление обязательно. Типичный пример: интернет-магазин получает заявки через сайт и передает информацию в службу доставки. Это передача третьим лицам — уведомление требуется.
Процедура подачи уведомления:
- Зайти на сайт pd.rkn.gov.ru в раздел уведомлений.
- Заполнить форму: указать данные организации, цели и категории обрабатываемых ПДн, меры защиты и т. д.
- Подписать УКЭП (усиленной электронной подписью) или направить распечатанное уведомление почтой.
- Дождаться подтверждения регистрации в реестре операторов.
На практике подачу можно поручить юристу, бухгалтеру или доверенному сотруднику с электронной подписью — необходимо лишь оформление доверенности. Подача уведомления бесплатна, срок реакции — 15 рабочих дней.
Примеры:
- Вы — блогер, собираете e-mail на вебинар через форму и используете Sendpulse — нужно подать уведомление.
- Вы — ИП и оформляете онлайн-заказы с доставкой через СДЭК — нужно.
- Вы — психолог, ведёте личный приём, но не используете CRM и не передаёте данные — уведомление не требуется.
Как выбрать поставщиков и сервисы, которые тоже соответствуют требованиям
Даже если вы соблюдаете все нормы закона, нарушение может произойти на стороне подрядчика. Классическая ситуация — хостинг в другой юрисдикции с данными за пределами РФ или некорректная работа облачной CRM. При этом ответственность всё равно несёт основное лицо — оператор.
Что проверять у подрядчиков:
- Наличие политики обработки персональных данных на их сайте;
- Размещение оборудования и серверов — в РФ или нет;
- Прописаны ли обязанности по защите ПДн в договоре (обычно отдельными пунктами);
- Есть ли у компании статус оператора ПДн (можно проверить по реестру Роскомнадзора);
- Сертификаты информационной безопасности (например, ISO/IEC 27001);
- Реальные технические меры защиты: шифрование, ограничение доступа, резервное копирование.
Что включать в договоры:
- Пункт об обработке ПДн клиента от имени оператора;
- Обязательства об обеспечении мер безопасности и недопущении утечки данных;
- Описание целей обработки: подрядчик не может использовать ПДн в личных целях;
- Обязанности удалить данные при расторжения договора;
- Ответственность за нарушение (включая компенсацию убытков и штрафов).
Если подрядчик нарушит порядок обработки ПДн, но вы не проконтролировали его статус и действия — вся ответственность ляжет на вас как на оператора.
Мини-гид по выбору подрядчика по ПДн:
- Попросите реквизиты и лицензию (если это облачный сервис или оператор связи);
- Проверьте наличие в реестре Роскомнадзора;
- Уточните, где расположены сервера или дата-центры;
- Попросите копию политики ПДн или договор с обязательствами;
- Проверьте, кто несёт ответственность за защищённость (например, в SLA).
Выбирая подрядчика "по принципу удобства", бизнес рискует серьезными убытками. Лучше потратить дополнительно два часа на аудит сервиса, чем год на устранение последствий.
Что изменилось в 2025 году: важные нововведения
За 2025 год появилось несколько важных изменений, касающихся как юридической, так и технической стороны обработки ПДн.
- Новые требования к согласию. Роскомнадзор усилил акцент на осознанное и конкретное согласие. Автоматическая активация чекбоксов, "псевдо-добровольность" (например, невозможность отправить форму без согласия) теперь признаётся нарушением.
- Увеличение штрафов. По изменениям в КоАП РФ повышены максимальные штрафы за различные виды нарушений, включая повторное нарушение: до 500 000 ₽ для ИП и до 3 млн ₽ для юрлиц.
- Разъяснения об IP-адресах и cookie-файлах. В 2025 году официальные материалы Роскомнадзора подтвердили: если с помощью этих данных можно идентифицировать пользователя — они считаются ПДн, и необходима соответствующая правовая основа для их обработки.
- Рекомендации по аудиту и внутреннему контролю. Появились обновленные методики проведения внутреннего аудита по защите ПДн, с упором на контроль доступа, управление ИСПДн, инцидент-менеджмент (обработка утечек).
Всё это не только повышает требования со стороны надзорных органов, но и обязывает бизнес системно подходить к обеспечению информационной безопасности в рамках своей деятельности. Ранее "формальный подход" уже не работает — необходимо подтверждать соответствие.