Еще не поздно: что поможет бизнесу избежать штрафов за обработку персональных данных

2025 год — переломный в работе с персональными данными: повысились требования к информационной безопасности, появилась единая форма Согласия на обработку персональных данных и главное — выросли штрафы за нарушения. Теперь нежелание вникать в требования федерального закона может обойтись в миллионы!

Как небольшим компаниям минимизировать риски, мы узнали у руководителя арбитражной практики юридической компании Prospectacy Виктора Иванова. Спросили о популярных ошибках и смысле нововведений. Оказывается, от бюрократических сложностей бизнес может выиграть.

Прочитайте статью, даже если уверены, что не является оператором персональных данных. В процессе поймете, что ошибались. 

Штрафы в области персональных данных неизбежны? 

— С 30 мая 2025 года действуют новые штрафы за нарушения в работе с персональными данными. Уже есть уже компании, которые поплатились за легкомыслие?

— Возможно, есть, но среди наших клиентов таких не было. Роскомнадзор на специальном семинаре обещал, что сначала ведомство будет направлять требования, а после — выносить предупреждения, то есть штрафы сразу не полетят. 

Клиентам наших коллег уже поступали требования от Роскомнадзора, но обошлось без штрафов. Валового привлечения к ответственности пока нет, но точно будет позже. 

Что считать персональными данными и кто является оператором? 

— Кажется, что сейчас персональные данные — это практически все. Имя без фамилии или паспортных данных тоже является персональными данными?

— Я не люблю отвечать однозначно на вопросы, по которым есть разные точки зрения, но здесь сделаю исключение. Моя логика поможет бизнесу избежать проблем. Если вы каким-то образом можете персонифицировать лицо благодаря данным, которые собираете, значит, это персональные данные. 

Только имя — не персональные данные. Имя и место жительства — это уже персональные данные. Имя и email — вопрос более сложный, но, скорее всего, это также персональные данные. Дело в том, что с помощью адреса электронной почты можно не просто связаться с человеком, но и выяснить, с какого IP-адреса заходил этот пользователь, ведь cookie-файлы собирают 95% сайтов. 

— Если на сайте есть отзывы клиентов или партнеров с именем и фамилией — это считается публикацией персональных данных? Как в этом случае компании обезопасить себя?

— Да, считается. Чтобы соблюсти требования закона, нужно написать о возможной публикации отзывов в Политике конфиденциальности компании, и довести этот документ до сведения пользователей. Либо публиковать отзывы только анонимно.

— Кто является оператором персональных данных? Тоже практически все? 

— Так и есть. Операторами персональных данных являются все лица и компании, которые собирают персональные данные: работодатели, интернет-магазины, образовательные, медицинские организации, частные специалисты, оказывающие услуги и т. д. Причем неважно, собирают они данные на личный компьютер в простейшую таблицу или с помощью специальных программ. 

Оператор персональных данных — это фактически любая компания, у которой есть сайт. Многие считают, что операторами персональных данных являются сервисы, которые обеспечивают работу сайтов, например, Tilda. Это так, но и бизнес, который работает на домене и взаимодействует с данными пользователей, тоже является оператором. 

Если предприниматели и самозанятые записывают клиентов через стандартные приложения, в том числе на базе VK, они операторы персональных данных. Если мастера из сферы красоты, которые держат связь с клиентами через мессенджеры, соцсцети, DIKIDI или YCLIENTS, не подавали уведомлений в Роскомнадзор — они рискуют. Вероятность штрафа пока небольшая (в первую очередь в поле зрения Роскомнадзора попадают компании покрупнее), но основание для штрафа очевидно.

Самые распространенные ошибки в работе компаний с персональными данными 

— Из-за увеличения штрафов к вам стали чаще обращаться, наверняка накопилась статистика. Какую проблему можно считать самой общей? 

— За неделю до вступления поправок в силу был настоящий ажиотаж. В июне к нам продолжили обращаться за консультацией, и тогда стало очевидно распространенное заблуждение. Многие предприниматели думали, что на своем сайте-визитке никаких персональных данные не собирают, ведь там нет cookie, а формы для обратной связи они отключили. Но при этом компании работают через 1С и, следовательно, собирают персональные данные сотруднико (как минимум). Это тоже обработка персональных данных, о которой нужно было уведомить Роскомнадзор. Когда в компаниях это поняли — пошли к юристам. 

Если честно, осознание пока пришло не ко всем. Некоторые вместо работы по закону, решили, что будут просто отвечать на входящие звонки клиентов, и успокоились. Важно понимать, что Роскомнадзор будет следить и за тем, как обрабатываются персональные данные внутри компании. 

— Чтобы работать с персональными данными пользователя, нужно правильно получить от них разрешения на сайте. В этом какие ошибки обычно допускаются? 

— Часто на сайте есть Согласие на обработку персональных данных без Политики конфиденциальности и обработки персональных данных — это ошибка. Должно быть два документа: Политика конфиденциальности и Согласие. Также должно быть две галочки, которые пользователь должен поставить в знак того, что принимает условия. 

Еще раз отмечу, что Согласие — теперь отдельный документ, который нельзя включать в другие соглашения и оферты, а галочки — не должны проставляться автоматически. Важно, чтобы пользователь осознанно и явно подтвердил свое решение поделиться персональными данными. 

Часто компании публикуют Политику конфиденциальности на одной из второстепенных страниц сайта. Похожая ситуация с Согласием на обработку персональных данных: пользователь видит документ, только когда заполняет форму для отправки. Но если человек заходит на сайт, его данные уже обрабатываются, поэтому ссылки на Политику конфиденциальности и Согласие должны быть очевидными и расположены на главной странице сайта, а также в меню. 

В уведомление о cookie тоже есть важный нюанс. Часто владельцы сайтов забывают, что «Яндекс.Метрика» фиксирует IP-адрес пользователя, как только он зашел на сайт, а ведь никакого согласия еще не получено. О сборе cookie-файлов пользователя нужно предупреждать сразу. Для этого можно использовать назойливый баннер, который нельзя закрыть, если не принять условия Политики конфиденциальности. Из всех компаний, которые в последнее время к нам обратились за консультацией по работе с персональными данными, баннер был только у одной. 

— А какие моменты обычно упускают в самом документе Политики конфиденциальности и обработки персональных данных? 

— Не всегда полностью указывают данные компании, часто забывают прописать, куда обращаться, если пользователь хочет отозвать Согласие на использование своих персональных данных.

Бывает, что в Политике конфиденциальности не прописано, какие персональные данные собирает компания и для чего. 

Серьезная ошибка — не указывать информацию о серверах, где хранятся данные, и сведения о трансграничной передаче данных. О том, что данные не покидают пределов страны, тоже нужно сообщить.

— Обычно к трансграничной передаче данных относят использование на сайте Google Analytics и Google Форм. Если их отключить, можно быть спокойным, что трансграничной передачи данных нет?

— Да, если программисты вашей компании уверены, что сайт не связан ни с какими другими зарубежными сервисами (агрегаторами или планировщиками). 

Работа с персональными данными внутри компании

— Как быть небольшим компаниям, у которых нет денег на юриста, чтобы составить Политику конфиденциальности?

— Найти образец, в котором уверены, но лучше все-таки проконсультироваться с юристом. Главное — не писать Политику конфиденциальности с помощью искусственного интеллекта. Даже платные версии ИИ ориентируются на популярные материалы, а не те, что появились недавно и отражают изменения в законодательстве. Само собой, нейросети часто выдумывают информацию, и только юрист, который специализируется на работе с персональными данными, может разглядеть неточность. 

Проблема еще и в том, что в интернете очень много неправильно составленных «политик», ведь точной инструкции не было и нет. Документы писали копирайтеры, сами предприниматели, писали по наитию, с опорой на форумы, и в итоге какая-нибудь ошибочная «политика» может быть распространена по всему Рунету. 

— Как долго нужно хранить данные пользователей? 

— Персональные данные нужно хранить столько, сколько указано в Политике конфиденциальности компании. Минимальный срок — три года. Мы рекомендуем хранить пять лет. Это оптимальный срок: ни мало, ни много (десять лет хранить данные довольно трудно). К тому же пять лет хранятся документы по бухгалтерской отчетности, в которых есть персональные данные. 

— Кого в компании назначать ответственным за хранение персональных данных? 

— Назначить ответственное лицо — обязанность компании. В небольших фирмах это чаще всего директор. В крупных может быть юрист или кадровик. 

— Законодательство, а теперь еще и высокие штрафы, налагают серьезную ответственность на компании. А пользователи выиграют от этого? Они будут больше защищены? 

— В перспективе да. Долгое время у нас штрафы были настолько мизерны, что многие компании вообще не задумывались о сохранности данных сотрудников и клиентов. Сейчас мы идем по пути западных стран. Крупные международные компании давно погружены в проблему конфиденциальности и соблюдают законодательство, потому что работают по стандартам разных государств с очень большими штрафами. 

Российским руководителям важно понять, что их компании в конечном счете выигрывают от продуманной работы с персональными данными. Сейчас все зациклены на сложностях и сосредоточены на том, как юридически обезопасить себя от штрафов, а ведь частично новые правила на руку компаниям! В Политике конфиденциальности бизнес может переложить часть ответственности на пользователя. Нужно лишь честно донести до людей эту информацию и получить их согласие на обработку персональных данных.

Следующий шаг процесса — развитие технических средств защиты данных. Уже сейчас в компаниях должны об этом думать и указывать способы защиты в Политике конфиденциальности. Возможно, скоро появятся сотрудники по IT-защите данных, в крупных корпорациях такие «безопасники» уже есть. 

— Ажиотажный спрос на помощь юристов в работе с персональными данными уже спал? 

— В июне обращения были, но, конечно, меньше, чем за неделю до вступления поправок в силу. Сейчас обращаются представители компаний, которые работают в реальном секторе экономики или фиксируют данные клиентов на бумаге, но все-таки осознали, что являются операторами персональных данных.

Уверен, что будет вторая волна обращений, когда начнутся массовые привлечения по штрафам. 

Чтобы избежать проблем с Роскомнадзором, лучше заранее разобраться в законе и обратиться к юристам. В онлайн-маркетинге ситуация схожа: чем раньше получить консультацию специалистов, тем больше шансов преуспеть в продажах. Нажимаете кнопку «Обсудить проект» в правом нижнем углу страницы, если нужна помощь в работе с соцсетями, контекстной рекламой, блогом или сайтом.