Новые правила работы с данными: как избежать штрафа

Скоро изменятся правила работы с персональными данными и ужесточится наказание за их нарушения, вплоть до оборотных штрафов. Это касается всех, кто работает с данными, в том числе маркетологов. Разберём новые нормы и расскажем, как к ним подготовиться.

С 11 декабря 2024 года вступил в силу 421-ФЗ об уголовной ответственности за утечки персональных данных. А с 30 мая 2025 года в силу вступят поправки в КоАП — 420-ФЗ, который предусматривает «оборотные» штрафы за утечки персональных данных. Вот что это значит для бизнеса и какими штрафами для юрлиц это грозит:

• Пора уведомить РКН. Если вы обрабатываете любые персональные данные, вы должны подать уведомление в Реестр операторов персональных данных. За неуведомление, необновление сведений в реестре, а также за неуведомление о трансграничной передаче данных — штраф от 100 до 300 тысяч рублей.
• Нужно следить за тем, что и зачем вы собираете. За обработку данных, несовместимую с целями их сбора и не предусмотренную законом могут оштрафовать до 300 тысяч рублей впервые и до 500 тысяч рублей повторно. Собирать слишком много данных тоже нельзя.
• Нельзя хранить и обрабатывать данные за рубежом. Трансграничная передача данных разрешена только если это необходимо для бизнеса. Например, вы турагент и передаёте список постояльцев администрации зарубежного отеля. В других случаях — нельзя. За это штраф от 1 до 6 млн рублей за первое нарушение, за повторные — до 18 млн.
• Нельзя собирать и обрабатывать данные без согласия. За это, а также за некорректную форму согласия — штраф от 300 до 700 тысяч рублей, за повторные нарушения — до 1,5 млн.
• Пора обновить политику. За отсутствие или некорректное содержание политики обработки персональных данных на сайте — штраф до 60 тысяч рублей.
• Придётся отчитываться перед пользователями. Если подписчик спросит, что происходит с его персональными данными, а вы не ответите ему в течение 10 рабочих дней или проигнорируете, вас ждёт штраф до 80 000 рублей.

Отдельно разберём, что грозит в случае утечки персональных данных в результате кибератаки или по любой другой причине:

• За неуведомление РКН об утечке — от 1 до 3 млн рублей. На уведомление после утечки у вас есть 24 часа, на уведомление о том, что расследование проведено — 72 часа. Это не рабочие дни, а астрономические сутки. Для отправки уведомления есть форма на ЕСИА.
• За утечку персональных данных — в зависимости от размера базы от 3 до 15 млн рублей впервые, повторно — 1−3% годовой выручки за прошлый период (от 20 до 500 млн рублей).
• За утечку специальных категорий персональных данных — от 10 до 15 млн рублей впервые, повторно — 1−3% годовой выручки за прошлый период.

• За утечку биометрических данных — от 15 до 20 млн рублей за первый раз.

А ещё за сбор, передачу и хранение данных, полученных незаконным путём, можно получить:

• Штраф до 300 тысяч рублей
• Принудительные работы до 4 лет
• Лишение свободы до 4 лет

К незаконным путям относятся, например, парсинг адресов на сайтах или покупка базы.

Новые нормы касаются всех. Если вы:

• поместили на сайт любую форму регистрации или обратной связи;
• делаете любые рассылки — email, WhatsApp, push-уведомления;
• принимаете заказы через свой интернет-магазин.

А также:

• ведёте блог, где можно оставлять комментарии;
• проводите вебинары с доступом по записи;
• наняли хотя бы одного сотрудника и храните любую информацию о нём где угодно;

по мнению РКН, вы оператор персональных данных. Большая часть маркетинговых задач, особенно связанных с лидогенерацией, предполагает сбор и обработку персональных данных.

Часть мер, которые нужно принять до 30 мая, чтобы не получить штраф от Роскомнадзора — зона ответственности руководителя компании. Рассмотрим подробнее.

Это нужно сделать первым делом, даже если у вас на сайте лежит устаревшая политика конфиденциальности. Подать уведомление, чтобы войти в реестр операторов персональных данных, можно на сайте Роскомнадзора по ссылке. На сайте нужно заполнить большую форму и указать, что за данные вы собираете, зачем, и как их обрабатываете.

Политика конфиденциальности — это публичный документ, который раскрывает, что вы делаете с данными на сайте: какие собираете, на каком основании, как и зачем используете и с помощью каких инструментов обрабатываете.

О каких данных надо написать:

• Всё, что вы собираете через формы — если на сайте форм несколько, про каждую можно написать отдельно. Основанием для сбора будет согласие на обработку персональных данных. Характер данных зависит от конкретной формы.
• Всё, что вы собираете через встроенные инструменты на сайте. Например, если на сайте есть чатбот с формой для email-адреса.
• Всё, что вы делаете с cookie-файлами. Пишем, какие именно куки собираем и зачем.

Что ещё стоит добавить:

• Срок хранения данных. Например, как скоро удаляются куки или как часто вы чистите базу от неактуальных контактов.
• Список третьих лиц. Это все физические и юридические лица, которые прямо или косвенно участвуют в сборе и обработке персональных данных. Например, если вы считаете клики с помощью Яндекс Метрики, вам нужно будет добавить в этот список ООО «Яндекс». Под это подпадают даже самозанятые подрядчики. Например, если у вас работает самозанятой email-маркетолог, придётся его указать в качестве третьего лица.
• Безопасность данных. Пункт о том, что данные защищены в соответствии с законом 152-ФЗ «О персональных данных».
• Трансграничная передача данных. Только если это нужно для ведения бизнеса — в остальных случаях передавать данные на зарубежные сервера и зарубежным третьим лицам нельзя.
• Ваши контакты. Достаточно электронной почты, куда можно обратиться по поводу персональных данных. Можно добавить юридический адрес и номер телефона.

На что ещё обратить внимание:

• Домен размещения политики. Политика конфиденциальности должна быть в том же домене, что и ваш основной сайт. Например, http://company.ru/policy.
• Размещение ссылок на политику. Ссылка на политику должна быть в футере сайта и везде, где вы собираете персональные данные: в формах, чат-боте и куки-баннере.

Политика конфиденциальности обычно пишется в свободной форме. Чтобы подготовить актуальный документ быстрее, можно использовать конструкторы — например, Privacy Check ещё и автоматически обновляет документ в соответствии с новыми нормами. Ещё свои конструкторы есть у некоторых CMS — например, у Тильды.

Данные нельзя собирать без оснований. Для данных, которые понадобятся для маркетинговых активностей, самое распространённое основание — согласие пользователя на обработку персональных данных. Это отдельный документ, который должен быть на сайте.

В согласии на обработку персональных данных напишите:

• Какие данные обрабатываете и зачем
• Какие операции с ними проводите (хранение, изменение, удаление и др.)
• Список третьих лиц (включая юридические)
• Сроки обработки персональных данных
• Возможность отзыва согласия и как это сделать

Как и политика конфиденциальности, согласие должно лежать в том же домене, где ваш основной сайт. Жёстких требований к структуре документа нет, но он должен быть:

• конкретным — чётко указывать, зачем вы собираете данные;
• предметным — чётко указывать, какие данные вы будете обрабатывать;
• информированным — пользователь должен понимать кто и как будет обрабатывать его данные;
• сознательным — без принуждения (нельзя блокировать доступ к сайту, если пользователь отказал в сборе cookies, например);
• однозначным — согласие должно быть выражено чётко и недвусмысленно, активным действием (то есть никаких предустановленных галочек).

Для онлайн-сервисов и платформ рекомендуем разработать пользовательское соглашение. Это письменная «сделка» между владельцем платформы и всеми пользователями. Соглашение считается заключённым, когда пользователь, например, зарегистрировался на сайте или скачал приложение и авторизовался в нём.

Что должно быть в соглашении:

• Права и обязанности сторон
• Условия предоставления и прекращения услуг
• Правила использования сервиса и ответственность за их нарушение
• Порядок разрешения споров
• Порядок возврата средств, если сервис платный

Если вы передаёте данные третьим физическим и юридическим лицам (например, загружаете адреса в сервис рассылок), проверьте их. Они должны:

• Иметь регистрацию в РФ и принимать оплату в РФ
• Входить в реестр Операторов персональных данных
• В реестре иметь запись, что они занимаются обработкой клиентских данных
• Хранить данные на российских серверах
• Иметь актуальную Политику в отношении персональных данных
• До начала работы с вами подписать Поручение на обработку персональных данных

ОРД — это организационно-распределительная документация. Полный пакет документов — это большой список. Здесь приводить его не будем, поскольку статья про меры, которые можно принять быстро. За полным списком обратитесь к штатным или сторонним юристам со специализацией на защите данных.

Кроме Политики, Согласия на обработку и Поручения на обработку (для третьих лиц), не будет лишним подготовить:

• Протокол на случай утечки данных — подробное описание того, что сотрудники компании должны делать при утечке данных. Документ нужен, чтобы вовремя уведомить РКН, и чтобы у вас был отлаженный процесс мониторинга и реагирования. Для отслеживания утечек можно подписаться на канал dataleak в Телеграме.
• Локальные акты, которые устанавливают порядок и условия уничтожения персональных данных.
• Приказ о назначении ответственного за организацию обработки персональных данных.

Новые нормы не означают, что теперь совсем нельзя собирать лиды — но маркетологу нужно проверить, что сайт, формы и процедура сбора и обработки данных соответствуют закону. Вот на что важно обратить внимание до 30 мая.

Куки-баннер — это поп-ап согласие на сбор cookie-файлов для веб-аналитики и других целей. С учётом новых норм следить за формулировками в баннере особенно важно. Вот что обязательно должно там быть:

• Цель сбора куки. Так подробно, как в политике конфиденциальности, расписывать не надо. Достаточно одного предложения — например, «Мы используем cookie-файлы, чтобы сделать сайт удобнее для вас».

Мы уже упомянули, что согласие пользователя — самое частое основание сбора данных для маркетинговых активностей. Важно, чтобы возможность активного согласия или отказа от сбора данных была везде, где вы их собираете.

В таблице расписали, с чем пользователь должен согласиться и как он может своё согласие подтвердить.

Под трансграничной передачей данных понимается любой перенос данных на зарубежные сервера. Под запрет подпадает использование для хранения и обработки персональных данных:

• Облачных хранилищ (Google Drive)
• SaaS-сервисов для маркетинга — например, программы для рассылок, CRM-системы, и др. (SendPulse, Mailchimp)
• CMS и хостингов (Wix, Shopify, GoDaddy)
• Сервисов для аналитики (Google Analytics)
• Конструкторов форм для сбора персональных данных (Jotform, Google Forms)
• Чатботов и мессенджеров, встроенных в сайт (Manychat и др.)
• Платформ для вебинаров (ClickMeeting)
• Софта для проджект-менеджмента и управления данными (Google Sheets, Trello, и др.)

Отдельно стоит обратить внимание на CDN (Content Delivery Networks). Это географически распределённая инфраструктура для загрузки контента на сайт, которая нужна, чтобы всё быстро грузилось и нормально отображалось.

Даже если ваш сайт хранится в России и сделан на российской CMS, через CDN может происходить передача данных за рубеж. Чтобы обнаружить такие утечки, используйте утилиту tcpdump для анализа трафика. Если нашли зарубежный трафик, перейдите на российского провайдера CDN — например, Selectel.

С 30 мая могут оштрафовать за избыточный сбор данных и сбор, который не соответствует целям. В контексте маркетинга под это подпадает сбор данных «про запас» без дальнейшего использования в кампаниях.

Представьте онлайн-магазин спортивных товаров. Чтобы доставить покупку пользователю, он должен при регистрации взять у него данные: ФИО, адрес доставки, контакты. Это не избыточный сбор. Ещё он хранит историю просмотров и заказов, чтобы присылать персонализированные предложения. Это тоже не избыточный сбор.

А теперь представим, что при регистрации пользователю нужно заполнить длинную форму и рассказать про любимые виды спорта, текущий вес, желаемый результат и частоту тренировок. Эти данные маркетолог собирает «на будущее» и пока не придумал, что с ними делать. В кампаниях они пока не используются и не факт, что будут. Это избыточный сбор персональных данных.

С 30 мая 2025 года Роскомнадзор будет строже следить за тем, что компании делают с данными — новые законы ужесточают наказания за утечки и другие нарушения. Это касается всех, кто работает с любыми данными сотрудников и клиентов, особенно маркетологов.

Вот что стоит сделать руководителю компании, чтобы не получить штраф за лидогенерацию:

• Подать уведомление в РКН о том, что вы оператор персональных данных.
• Разработать документацию для сайта — политику конфиденциальности и согласие на обработку персональных данных.
• Разработать пользовательское соглашение — для защиты от потребительского терроризма, опционально, но рекомендовано онлайн-платформам и сервисам.
• Проверить подрядчиков — все третьи лица, которые работают с данными, должны находиться в РФ, принимать оплату в РФ и хранить данные на территории РФ.
• Разработать ОРД — документацию, которая регулирует обращение с данными в вашей компании.

А вот как к новым нормам могут подготовиться маркетологи:

• Проверить куки-баннер — он должен содержать ссылку на политику, цель сбора куки, информацию об отключении и кнопку согласия. Также он должен отображаться в мобильной версии сайта.
• Проверить формы на сайте — везде, где вы собираете данные, должны быть ссылки на политику конфиденциальности и согласие на сбор персональных данных. Также должна быть возможность выразить согласие активным действием и отозвать его в любой момент.
• Исключить трансграничную передачу данных — теперь нельзя пользоваться зарубежным софтом для хранения и других операций с данными, включая CDN, инструменты аналитики и конструкторы форм.
• Не собирать лишние данные — с пользователя надо спрашивать только то, что точно будете использовать, никакого накопления «про запас».