Кейсы Услуги Журнал
Разделы сайта
О компании
Кейсы Команда Вакансии Мероприятия
Услуги
Аудит
Скоро
Стратегия
Скоро
Аналитика и отчётность
Скоро
Лидогенерация
Скоро
Продакшн
Скоро
Продукты
Letteros Grids Agency
Skill2Skill
Скоро
Mailfit Academy Журнал Swords
Наши Телеграмы
Mailfit — блог о CRM Канал с кейсами CRM Party CRM News Swords Скриншот дня
Соцсети
Behance Dribble Дзен
Обсудить задачи
Контакты
Личный кабинет
Скоро
Главная  /  Блог / 

Персональные данные: обязанности компаний в 2025

Персональные данные: обязанности компаний в 2025

Персональные данные: обязанности компаний в 2025

Клиенты охотнее доверяют компаниям, которые бережно относятся к их информации. Поэтому для бизнеса защита персональных данных может стать конкурентным преимуществом. Особенно — сейчас, когда Роскомнадзор усиливает контроль, штрафы растут в разы, а проверяют не только крупные корпорации, но и малый бизнес. Нарушение требований может обойтись в сотни тысяч рублей, а в некоторых случаях — в миллионы. 

Разбираемся, как собирать и использовать персональные данные правильно.

Что такое персональные данные

Персональные данные — это любая информация, которая относится к определённому или определяемому физическому лицу. Это сведения, которые позволяют установить личность напрямую.

Например, просто «Иван Иванов» — это обычное имя. Но если добавить к нему телефон, email или адрес, эти сведения станут персональными данными: они позволяют идентифицировать конкретного человека. Даже если в документе нет имени, но по комбинации полей можно определить, о ком речь — это уже персональные данные. 

Ещё есть контентные данные — любые сведения, которые могут прямо или косвенно характеризовать пользователя. Например, история заказов или точный адрес доставки в сочетании с телефоном. В маркетинге чаще работают с идентификаторами, чтобы связаться с клиентом, сегментировать аудиторию и настроить рекламу.

Согласно ст. 3 Федерального закона № 152-ФЗ «О персональных данных», персональные данные — это любые сведения о физлице, прямо или косвенно указывающие на его личность.

Закон устанавливает, что оператор данных обязан соблюдать конфиденциальность и обеспечить правомерность обработки, а также получить согласие субъекта данных.

Какие бывают персональные данные

Все персональные данные делятся на две большие группы: обычные и специальные.

Обычные — это стандартные ФИО, телефон, адрес, email, паспортные данные, ИНН, фотографии. С ними работают почти все компании, от магазинов до агентств.

Специальные (особо чувствительные) — сведения, раскрывающие состояние здоровья, национальность, расовую принадлежность, политические или религиозные взгляды, философские взгляды, интимную жизнь. Их обработка под особым контролем. Закон требует письменного согласия.

Специальными также считаются биометрические данные. Это физиологические и биологические особенности человека, на основании которых можно установить его личность (например, отпечатки пальцев, запись голоса или изображение лица). Их обработка также требует письменного согласия.

В повседневной работе такие данные встречаются чаще, чем кажется. Пропускная система с распознаванием лиц — это полноценная работа с биометрией, для которой нужен отдельный порядок хранения.

Кто отвечает за обработку персональных данных

Есть два ключевых игрока: оператор и обработчик (он же процессор).

Оператор организует обработку персональных данных, решает, зачем их собирать и как с ними работать. Он определяет цели, состав данных и операции, которые будут с ними совершаться.

Обработчик действует по поручению оператора и использует данные только для выполнения конкретной задачи, указанной в договоре.

Если происходит утечка, первым к ответственности привлекут оператора. Но обработчика тоже накажут, если он нарушил условия договора или допустил ошибки при работе с информацией.

Допустим, интернет-магазин нанял CRM-агентство для рассылки писем клиентам. Базу клиентов передаёт магазин, он же определяет, что писать и когда отправлять. Магазин в этой паре — оператор. Агентство — обработчик, потому что работает с базой по конкретному поручению и не может использовать её для своих проектов.

Чтобы роли были понятны всем и не возникало споров, в договоре с подрядчиком стоит проверить информацию:

  • кто является оператором, а кто — обработчиком;
  • как оформлено поручение на обработку персональных данных;
  • чёткое описание целей обработки и перечня данных;
  • запрет использовать базу в личных или сторонних целях;
  • требования к защите — шифрование, ограничение доступа, хранение на серверах в России;
  • ответственность за нарушение условий, включая штрафы.

Что важно знать о законодательной базе в 2025 году

Федеральный закон № 152-ФЗ «О персональных данных» определяет, что относится к персональным данным, как их нужно защищать и как можно обрабатывать. Недавно в него внесли поправки.

Уведомление в Роскомнадзор фактически стало обязательным для всех, кто обрабатывает персональные данные — даже если просто размещает форму обратной связи на сайте. А ещё выросли штрафы!

  1. За утечку данных. До 15 миллионов рублей, в зависимости от масштаба (количество пострадавших или идентификаторов). За повторное нарушение штраф уже будет оборотным.
  2. За утечку биометрических данных (отпечатки, голос, лицо). До 20 миллионов. За повторное нарушение — оборотный штраф. 
  3. За неподачу уведомления или непрозрачные действия. Штраф для организаций и ИП — от 100 000 до 300 000 рублей по ст. 13.11 КоАП РФ.

Но штрафы — это далеко не всё. Компаниям также грозят внеплановая проверка, предписание, блокировка ресурсов, потеря репутации и невозможность участвовать в тендерах.

Где следить за официальной информацией 

Основной регулятор — Роскомнадзор. Именно он ведёт реестр операторов персональных данных, публикует формы уведомлений и разъяснения.

КонсультантПлюс и Гарант — правовые системы, там быстро публикуют новые нормы, тексты самих законов и комментарии. 

Ещё пригодятся официальные сайты и блоги юридических экспертов, которые рассказывают о важных обновлениях доступным языком.

Как легально собирать персональные данные

CRM-маркетинг основан на персонализированной коммуникации, а значит, невозможен без работы с персональными данными. Однако компания должна помнить: обработка информации о клиентах — строго регулируемая деятельность.

Прежде чем собирать сведения в CRM, необходимо определить правовые основания. Основные — два.

1. Согласие субъекта. Клиент должен осознанно и добровольно дать согласие на обработку персональных данных. Оформляется отдельным документом или электронной формой и должно содержать указание на конкретные цели: участие в программе лояльности, получение рекламных рассылок, обработку истории заказов для персональных предложений. Согласие не может быть «спрятано» в пользовательском соглашении, оно должно быть выражено явно.

2. Исполнение договора. Иногда данные можно собирать и без отдельного согласия, если они необходимы для исполнения обязательств по договору. Например, обработка ФИО и адреса доставки для выполнения заказа. Однако использование этих же данных для рассылки рекламных сообщений уже потребует отдельного согласия.

При сборе данных нельзя требовать больше информации, чем необходимо для достижения заявленной цели. Для подписки на email-рассылку достаточно адреса электронной почты, а для накопительной карты — имени и телефона.

Как легально использовать персональные данные

Сегментировать базу, персонализировать предложения, анализировать поведение клиента допустимо только в пределах целей, обозначенных при получении согласия.

Например, если согласие было получено на участие в программе лояльности, использовать данные для передачи партнёрам в рекламных целях нельзя: для этого потребуется отдельное разрешение.

Особое внимание уделяется чувствительным категориям персональных данных — сведениям о здоровье, религиозных убеждениях, биометрическим характеристикам. Их обработка в маркетинге практически всегда недопустима. Исключение — случаи, когда данные обезличены и не позволяют идентифицировать конкретное лицо.

Законодательство также требует локализации: персональные данные граждан России должны храниться и обрабатываться на серверах, расположенных в России. Использование зарубежных CRM-сервисов допустимо при условии, что данные физически находятся на российских площадках, а трансграничная передача осуществляется с учётом требований закона.

Техническая сторона защиты включает:
— защищённые каналы связи (HTTPS);
— системы разграничения доступа;
— резервное копирование;
— мониторинг утечек.

Кроме того, на сайте или в приложении компании должна быть размещена политика конфиденциальности. Это публичный документ, который объясняет клиентам, какие данные собираются, для чего они используются, каким образом защищаются и как можно отозвать согласие.

Как стать оператором персональных данных

Любая организация, ИП или самозанятый, которые обрабатывают персональные данные, ещё до начала обработки обязаны отправить уведомление в Роскомнадзор. Можно выбрать один из способов отправки уведомления:
— через сайт Роскомнадзора с квалифицированной электронной подписью;
— через портал Госуслуг, если у вас есть подтверждённая учётная запись;
— в территориальном управлении Роскомнадзора с распечатанной формой.

Подготовка

  1. Разберитесь, какие данные будете собирать и хранить. Например, анкету клиента, регистрацию на сайте, резюме кандидатов.
  2. Составьте реестр обработок. Это список, где указано, какие данные собирают, для чего, кто имеет к ним доступ и где они хранятся.
  3. Назначьте ответственного по персональным данным. Это может быть юрист, HR или руководитель компании, если компания маленькая.

Заполнение уведомления

Используйте онлайн-форму на сайте Роскомнадзора.

  1. Наименование и реквизиты компании. Тут всё как в ЕГРЮЛ.
  2. Цели обработки. Максимально конкретно — например, рассылка новостей подписчикам.
  3. Категории субъектов. Клиенты, партнёры, сотрудники — перечень зависит от цели.
  4. Перечень данных. Фамилия, имя, телефон, email, адрес, фото — зависит от цели обработки. 
  5. Правовое основание. Форма РКН предлагает более 10 правовых оснований. Наиболее распространённые в бизнес-сфере — это «Для достижения целей, предусмотренных законом», «Для исполнения договора» и «С согласия субъекта».
  6. Описание мер безопасности. Например, доступ по паролям, антивирус, шифрование бэкапов.
  7. Наличие трансграничной передачи. Если данные уходят за рубеж, нужно это указать.

После заполнения можно отправить уведомление прямо через сайт, подписав его электронной подписью.

Получение статуса

Через 30 дней, но обычно раньше, статус можно проверить в открытом реестре операторов на сайте Роскомнадзора. Если компания появилась в списке, значит, регистрация прошла успешно.

Дальше останется обновлять данные, если в работе с персональными данными что-то изменится — например, появятся новые категории клиентов или изменятся цели обработки.

Почему защита персональных данных особенно важна сегодня

1. Контроль усиливается

В последние годы в России всё внимательнее следят за соблюдением требований по обработке персональных данных. Нарушения ведут к административным штрафам и блокировкам.

2. Число киберугроз увеличивается

Утечки баз данных сегодня стали одной из самых острых проблем. Используя чужие персональные данные, мошенники могут оформлять кредиты, наносить репутационный ущерб, оказывать влияние на личную или деловую сферу ваших клиентов.

3. Социальная значимость информации растёт

Персональные данные используются для построения цифровых профилей, оценки платёжеспособности, целевого маркетинга, даже политического влияния. Они стали ценным ресурсом сами по себе.

Кроме того, неправомерная обработка персональных данных влечёт последствия вплоть до уголовной ответственности — например, ст. 137 УК РФ «Нарушение неприкосновенности частной жизни».

FAQ

Юристы KELIN ответили нам на частые вопросы о персональных данных.

Нужно ли уведомлять Роскомнадзор, если я собираю только email-адреса для рассылок?

Да. Даже один адрес электронной почты — это уже персональные данные.

Как правильно формулировать согласие в форме на сайте?

Чтобы не ошибиться и предотвратить все вопросы со стороны РКН, у каждой формы целесообразно разместить чек-бокс со ссылками на согласия. Примерная формулировка: «Даю согласие на обработку персональных данных [ссылка на текст согласия]. Подробнее об обработке данных в Политике [ссылка на политику]».

Можно ли хранить номер телефона клиента без его ИНН?

Да, но телефон всё равно считается персональными данными. Если хранение номера выходит за рамки договора с клиентом — на это необходимо получить согласие. 

Нужно ли уведомлять Роскомнадзор, если данные обрабатывает только подрядчик?

Да, уведомление в любом случае надо направить. 

Что делать, если клиент попросил удалить его данные?

Компания должна прекратить обработку данных в течение 30 дней с даты получения отзыва.

Есть случаи, когда обработка может продолжаться даже после отзыва (например, если это необходимо в целях выполнения требований законодательства).

Нужно ли каждый год заново подавать уведомление в Роскомнадзор?

Нет. Обновлять сведения нужно только при изменении данных: цели, категорий субъектов, перечня информации или способов обработки.

Можно ли собирать фото клиентов для соцсетей без согласия?

Нет. В данной ситуации обработка возможна только при наличии письменного согласия.

Что будет, если забыть уведомить Роскомнадзор?

Штраф для компаний — до 300 000 рублей, для должностных лиц — до 50 000 рублей.

Заказать услугу

Подождите...
Форма отправляется

Или напишите прямо в личку