полезное

Новые правила работы с данными: как избежать штрафа

Как 420-ФЗ и 421-ФЗ изменят лидогенерацию — и какие меры нужно принять руководителям бизнеса и маркетологам

Оглавление

Скоро изменятся правила работы с персональными данными и ужесточится наказание за их нарушения, вплоть до оборотных штрафов. Это касается всех, кто работает с данными, в том числе маркетологов. Разберём новые нормы и расскажем, как к ним подготовиться.

Что случилось

С 11 декабря 2024 года вступил в силу 421-ФЗ об уголовной ответственности за утечки персональных данных. А с 30 мая 2025 года в силу вступят поправки в КоАП — 420-ФЗ, который предусматривает «оборотные» штрафы за утечки персональных данных. Вот что это значит для бизнеса и какими штрафами для юрлиц это грозит:


  • Пора уведомить РКН. Если вы обрабатываете любые персональные данные, вы должны подать уведомление в Реестр операторов персональных данных. За неуведомление, необновление сведений в реестре, а также за неуведомление о трансграничной передаче данных — штраф от 100 до 300 тысяч рублей.
  • Нужно следить за тем, что и зачем вы собираете. За обработку данных, несовместимую с целями их сбора и не предусмотренную законом могут оштрафовать до 300 тысяч рублей впервые и до 500 тысяч рублей повторно. Собирать слишком много данных тоже нельзя.
  • Нельзя хранить и обрабатывать данные за рубежом. Трансграничная передача данных разрешена только если это необходимо для бизнеса. Например, вы турагент и передаёте список постояльцев администрации зарубежного отеля. В других случаях — нельзя. За это штраф от 1 до 6 млн рублей за первое нарушение, за повторные — до 18 млн.
  • Нельзя собирать и обрабатывать данные без согласия. За это, а также за некорректную форму согласия — штраф от 300 до 700 тысяч рублей, за повторные нарушения — до 1,5 млн.
  • Пора обновить политику. За отсутствие или некорректное содержание политики обработки персональных данных на сайте — штраф до 60 тысяч рублей.
  • Придётся отчитываться перед пользователями. Если подписчик спросит, что происходит с его персональными данными, а вы не ответите ему в течение 10 рабочих дней или проигнорируете, вас ждёт штраф до 80 000 рублей.

Ответственность за утечки

Отдельно разберём, что грозит в случае утечки персональных данных в результате кибератаки или по любой другой причине:


  • За неуведомление РКН об утечке от 1 до 3 млн рублей. На уведомление после утечки у вас есть 24 часа, на уведомление о том, что расследование проведено — 72 часа. Это не рабочие дни, а астрономические сутки. Для отправки уведомления есть форма на ЕСИА.
  • За утечку персональных данных в зависимости от размера базы от 3 до 15 млн рублей впервые, повторно — 1−3% годовой выручки за прошлый период (от 20 до 500 млн рублей).
  • За утечку специальных категорий персональных данных — от 10 до 15 млн рублей впервые, повторно — 1−3% годовой выручки за прошлый период.
Специальные категории персональных данных — это сведения о здоровье, гендерная и расовая принадлежность, политические и религиозные предпочтения, сведения интимного характера (всё, что касается половой жизни) и др.
  • За утечку биометрических данных — от 15 до 20 млн рублей за первый раз.
А ещё за сбор, передачу и хранение данных, полученных незаконным путём, можно получить:

  • Штраф до 300 тысяч рублей
  • Принудительные работы до 4 лет
  • Лишение свободы до 4 лет

К незаконным путям относятся, например, парсинг адресов на сайтах или покупка базы.

Кого это касается

Новые нормы касаются всех. Если вы:

  • поместили на сайт любую форму регистрации или обратной связи;
  • делаете любые рассылки — email, WhatsApp, push-уведомления;
  • принимаете заказы через свой интернет-магазин.

А также:

  • ведёте блог, где можно оставлять комментарии;
  • проводите вебинары с доступом по записи;
  • наняли хотя бы одного сотрудника и храните любую информацию о нём где угодно;

по мнению РКН, вы оператор персональных данных. Большая часть маркетинговых задач, особенно связанных с лидогенерацией, предполагает сбор и обработку персональных данных.
Персональные данные — любая информация, которая прямо или косвенно относится к физическому лицу и позволяет его идентифицировать.

Например:

  • ФИО
  • Номер телефона
  • Адрес e-mail
  • Дата рождения
  • Локация
  • Фотография
  • Ссылка на личный сайт или аккаунт в мессенджере/соцсети
  • Файлы cookie

Важно: История заказов и товары в брошенной корзине — это тоже персональные данные, так как они привязаны к аккаунту пользователя. А история просмотра страниц и клики являются персональными данными, если они привязаны к IP-адресу.

То есть если вы просто считаете переходы по ссылке через UTM-метки без отслеживания через cookie и сбора IP-адресов — это не сбор ПД. А если вы смотрите те же самые переходы через Яндекс Метрику и при этом не настроили анонимизацию данных — это сбор ПД.

Что нужно сделать руководителю бизнеса

Часть мер, которые нужно принять до 30 мая, чтобы не получить штраф от Роскомнадзора — зона ответственности руководителя компании. Рассмотрим подробнее.

Шаг 1. Подать уведомление в РКН

Это нужно сделать первым делом, даже если у вас на сайте лежит устаревшая политика конфиденциальности. Подать уведомление, чтобы войти в реестр операторов персональных данных, можно на сайте Роскомнадзора по ссылке. На сайте нужно заполнить большую форму и указать, что за данные вы собираете, зачем, и как их обрабатываете.
Важно: распространённая проблема, из-за которой после 30 мая тоже можно получить штраф — ответственного за организацию обработки персональных данных либо нет, либо для галочки назначен генеральный директор.

На роль ответственного можно назначить и юридическое лицо — например, если вы все задачи отдали на аутсорс компании, которая занимается защитой персональных данных.

Шаг 2. Разработать и опубликовать политику конфиденциальности

Политика конфиденциальности — это публичный документ, который раскрывает, что вы делаете с данными на сайте: какие собираете, на каком основании, как и зачем используете и с помощью каких инструментов обрабатываете.

О каких данных надо написать:

  • Всё, что вы собираете через формы — если на сайте форм несколько, про каждую можно написать отдельно. Основанием для сбора будет согласие на обработку персональных данных. Характер данных зависит от конкретной формы.
  • Всё, что вы собираете через встроенные инструменты на сайте. Например, если на сайте есть чатбот с формой для email-адреса.
  • Всё, что вы делаете с cookie-файлами. Пишем, какие именно куки собираем и зачем.

Что ещё стоит добавить:

  • Срок хранения данных. Например, как скоро удаляются куки или как часто вы чистите базу от неактуальных контактов.
  • Список третьих лиц. Это все физические и юридические лица, которые прямо или косвенно участвуют в сборе и обработке персональных данных. Например, если вы считаете клики с помощью Яндекс Метрики, вам нужно будет добавить в этот список ООО «Яндекс». Под это подпадают даже самозанятые подрядчики. Например, если у вас работает самозанятой email-маркетолог, придётся его указать в качестве третьего лица.
  • Безопасность данных. Пункт о том, что данные защищены в соответствии с законом 152-ФЗ «О персональных данных».
  • Трансграничная передача данных. Только если это нужно для ведения бизнеса — в остальных случаях передавать данные на зарубежные сервера и зарубежным третьим лицам нельзя.
  • Ваши контакты. Достаточно электронной почты, куда можно обратиться по поводу персональных данных. Можно добавить юридический адрес и номер телефона.

На что ещё обратить внимание:

  • Домен размещения политики. Политика конфиденциальности должна быть в том же домене, что и ваш основной сайт. Например, http://company.ru/policy.
  • Размещение ссылок на политику. Ссылка на политику должна быть в футере сайта и везде, где вы собираете персональные данные: в формах, чат-боте и куки-баннере.

Политика конфиденциальности обычно пишется в свободной форме. Чтобы подготовить актуальный документ быстрее, можно использовать конструкторы — например, Privacy Check ещё и автоматически обновляет документ в соответствии с новыми нормами. Ещё свои конструкторы есть у некоторых CMS — например, у Тильды.

Шаг 3. Разработать согласие на обработку персональных данных

Данные нельзя собирать без оснований. Для данных, которые понадобятся для маркетинговых активностей, самое распространённое основание — согласие пользователя на обработку персональных данных. Это отдельный документ, который должен быть на сайте.

В согласии на обработку персональных данных напишите:

  • Какие данные обрабатываете и зачем
  • Какие операции с ними проводите (хранение, изменение, удаление и др.)
  • Список третьих лиц (включая юридические)
  • Сроки обработки персональных данных
  • Возможность отзыва согласия и как это сделать

Как и политика конфиденциальности, согласие должно лежать в том же домене, где ваш основной сайт. Жёстких требований к структуре документа нет, но он должен быть:

  • конкретным — чётко указывать, зачем вы собираете данные;
  • предметным — чётко указывать, какие данные вы будете обрабатывать;
  • информированным — пользователь должен понимать кто и как будет обрабатывать его данные;
  • сознательным — без принуждения (нельзя блокировать доступ к сайту, если пользователь отказал в сборе cookies, например);
  • однозначным — согласие должно быть выражено чётко и недвусмысленно, активным действием (то есть никаких предустановленных галочек).
Хорошие примеры согласия на обработку персональных данных: Б-152, Selectel.

Шаг 4. Разработать пользовательское соглашение

Для онлайн-сервисов и платформ рекомендуем разработать пользовательское соглашение. Это письменная «сделка» между владельцем платформы и всеми пользователями. Соглашение считается заключённым, когда пользователь, например, зарегистрировался на сайте или скачал приложение и авторизовался в нём.

Что должно быть в соглашении:

  • Права и обязанности сторон
  • Условия предоставления и прекращения услуг
  • Правила использования сервиса и ответственность за их нарушение
  • Порядок разрешения споров
  • Порядок возврата средств, если сервис платный
Например, так выглядит пользовательское соглашение Mailganer.
Важно: Новые законы не требуют обязательного наличия этого документа. Но соглашение поможет защитить вас от потребительского терроризма и ограничить ответственность, если вы непредумышленно навредили пользователю.

Шаг 5. Проверить подрядчиков

Если вы передаёте данные третьим физическим и юридическим лицам (например, загружаете адреса в сервис рассылок), проверьте их. Они должны:

  • Иметь регистрацию в РФ и принимать оплату в РФ
  • Входить в реестр Операторов персональных данных
  • В реестре иметь запись, что они занимаются обработкой клиентских данных
  • Хранить данные на российских серверах
  • Иметь актуальную Политику в отношении персональных данных
  • До начала работы с вами подписать Поручение на обработку персональных данных
Сервис рассылок Mailganer работает в соответствии с ФЗ-152. Мы храним все данные на территории РФ, включены в Реестр операторов персональных данных и следим за актуальностью Политики конфиденциальности.

Шаг 6. Разработать хотя бы базовую ОРД

ОРД — это организационно-распределительная документация. Полный пакет документов — это большой список. Здесь приводить его не будем, поскольку статья про меры, которые можно принять быстро. За полным списком обратитесь к штатным или сторонним юристам со специализацией на защите данных.

Кроме Политики, Согласия на обработку и Поручения на обработку (для третьих лиц), не будет лишним подготовить:

  • Протокол на случай утечки данных — подробное описание того, что сотрудники компании должны делать при утечке данных. Документ нужен, чтобы вовремя уведомить РКН, и чтобы у вас был отлаженный процесс мониторинга и реагирования. Для отслеживания утечек можно подписаться на канал dataleak в Телеграме.
  • Локальные акты, которые устанавливают порядок и условия уничтожения персональных данных.
  • Приказ о назначении ответственного за организацию обработки персональных данных.

Что нужно сделать маркетологу

Новые нормы не означают, что теперь совсем нельзя собирать лиды — но маркетологу нужно проверить, что сайт, формы и процедура сбора и обработки данных соответствуют закону. Вот на что важно обратить внимание до 30 мая.

Шаг 1. Проверить куки-баннер

Куки-баннер — это поп-ап согласие на сбор cookie-файлов для веб-аналитики и других целей. С учётом новых норм следить за формулировками в баннере особенно важно. Вот что обязательно должно там быть:

  • Цель сбора куки. Так подробно, как в политике конфиденциальности, расписывать не надо. Достаточно одного предложения — например, «Мы используем cookie-файлы, чтобы сделать сайт удобнее для вас».
Хороший пример лаконичного баннера, в котором есть всё необходимое. Источник: Палиндром
  • Ссылка на политику. Нужна, потому что подробно цель сбора cookies вы в баннере не распишете.
  • Информация об отключении. В России часто пишут «Отключить сбор cookies можно в настройках браузера». Можно сразу дать пользователю возможность настроить, какие куки сайт может собирать.
  • Кнопка согласия. Если пользователь нажал на эту кнопку, сбор cookies с его устройства становится законным.
Хороший пример баннера с возможностью настройки cookies. Если у вас не прописана отдельная политика для куки-файлов, можете дать ссылку на политику конфиденциальности. Источник: Flowwow
Важно: куки-баннер должен отображаться в мобильной версии сайта тоже.

Шаг 2. Проверить формы на сайте

Мы уже упомянули, что согласие пользователя — самое частое основание сбора данных для маркетинговых активностей. Важно, чтобы возможность активного согласия или отказа от сбора данных была везде, где вы их собираете.

В таблице расписали, с чем пользователь должен согласиться и как он может своё согласие подтвердить.
С чем согласиться
Как согласиться
Политика обработки персональных данных
Чекбоксы со ссылкой на политику во всех формах сбора персональных данных — или приписка «Нажимая на кнопку, вы соглашаетесь с…»
Обработка персональных данных, в том числе третьими лицами
Чекбокс со ссылкой на согласие во всех формах сбора персональных данных — или приписка «Нажимая на кнопку, вы соглашаетесь с…»
Передача персональных данных третьим лицам
Прописать в согласии на обработку и политике конфиденциальности
Получение рекламных, информационных и других материалов
Если собираете адреса на сайте: подтверждения подписки через double opt-in достаточно

Если собираете адреса офлайн (например, через визитки на конференции): загрузить список в базу и отправить всем письмо-подтверждение с объяснением «вы получили это письмо, потому что…», затем удалить из базы всех, кто не дал согласие
Важно: Новые правила не требуют отдельные чекбоксы для согласия с политикой и на обработку персональных данных — нажатие кнопки уже подтверждает согласие. Но лучше их сделать, чтобы не возникло спорных ситуаций с законом и пользователями.
Хороший пример согласия и с политикой, и с обработкой персональных данных в анкете для лидогенерации. Источник: Б-152

Шаг 3. Исключить трансграничную передачу данных

Под трансграничной передачей данных понимается любой перенос данных на зарубежные сервера. Под запрет подпадает использование для хранения и обработки персональных данных:

  • Облачных хранилищ (Google Drive)
  • SaaS-сервисов для маркетинга — например, программы для рассылок, CRM-системы, и др. (SendPulse, Mailchimp)
  • CMS и хостингов (Wix, Shopify, GoDaddy)
  • Сервисов для аналитики (Google Analytics)
  • Конструкторов форм для сбора персональных данных (Jotform, Google Forms)
  • Чатботов и мессенджеров, встроенных в сайт (Manychat и др.)
  • Платформ для вебинаров (ClickMeeting)
  • Софта для проджект-менеджмента и управления данными (Google Sheets, Trello, и др.)

Отдельно стоит обратить внимание на CDN (Content Delivery Networks). Это географически распределённая инфраструктура для загрузки контента на сайт, которая нужна, чтобы всё быстро грузилось и нормально отображалось.

Даже если ваш сайт хранится в России и сделан на российской CMS, через CDN может происходить передача данных за рубеж. Чтобы обнаружить такие утечки, используйте утилиту tcpdump для анализа трафика. Если нашли зарубежный трафик, перейдите на российского провайдера CDN — например, Selectel.

Шаг 4. Не собирать лишние данные

С 30 мая могут оштрафовать за избыточный сбор данных и сбор, который не соответствует целям. В контексте маркетинга под это подпадает сбор данных «про запас» без дальнейшего использования в кампаниях.

Представьте онлайн-магазин спортивных товаров. Чтобы доставить покупку пользователю, он должен при регистрации взять у него данные: ФИО, адрес доставки, контакты. Это не избыточный сбор. Ещё он хранит историю просмотров и заказов, чтобы присылать персонализированные предложения. Это тоже не избыточный сбор.

А теперь представим, что при регистрации пользователю нужно заполнить длинную форму и рассказать про любимые виды спорта, текущий вес, желаемый результат и частоту тренировок. Эти данные маркетолог собирает «на будущее» и пока не придумал, что с ними делать. В кампаниях они пока не используются и не факт, что будут. Это избыточный сбор персональных данных.

Резюмируем

С 30 мая 2025 года Роскомнадзор будет строже следить за тем, что компании делают с данными — новые законы ужесточают наказания за утечки и другие нарушения. Это касается всех, кто работает с любыми данными сотрудников и клиентов, особенно маркетологов.

Вот что стоит сделать руководителю компании, чтобы не получить штраф за лидогенерацию:

  • Подать уведомление в РКН о том, что вы оператор персональных данных.
  • Разработать документацию для сайта политику конфиденциальности и согласие на обработку персональных данных.
  • Разработать пользовательское соглашение для защиты от потребительского терроризма, опционально, но рекомендовано онлайн-платформам и сервисам.
  • Проверить подрядчиков все третьи лица, которые работают с данными, должны находиться в РФ, принимать оплату в РФ и хранить данные на территории РФ.
  • Разработать ОРД — документацию, которая регулирует обращение с данными в вашей компании.

А вот как к новым нормам могут подготовиться маркетологи:

  • Проверить куки-баннер — он должен содержать ссылку на политику, цель сбора куки, информацию об отключении и кнопку согласия. Также он должен отображаться в мобильной версии сайта.
  • Проверить формы на сайте — везде, где вы собираете данные, должны быть ссылки на политику конфиденциальности и согласие на сбор персональных данных. Также должна быть возможность выразить согласие активным действием и отозвать его в любой момент.
  • Исключить трансграничную передачу данных — теперь нельзя пользоваться зарубежным софтом для хранения и других операций с данными, включая CDN, инструменты аналитики и конструкторы форм.
  • Не собирать лишние данные — с пользователя надо спрашивать только то, что точно будете использовать, никакого накопления «про запас».
Пишет для глоссария, Разъяснительной и внешних площадок. Подписана на все рассылки на свете, чтобы брать примеры для статей из личного ящика.
Дарья Журавлёва
Редактор Mailganer
10.04.2025
дата публикации
10.04.2025
дата последнего обновления