Клиентская база — важный актив маркетолога. Ведь, если не собирать персональные данные клиентов и не работать с базой покупателей, окупить маркетинговый бюджет будет крайне сложно. Однако важно помнить, что компании обязаны соблюдать требования законодательства и обеспечивать безопасность хранения этих данных, тем более, что с 30 мая 2025 года значительно ужесточается ответственность за нарушения в этой области. И в этой статье мы проведем обзор основных нюансов в работе с персональными данными (ПДн) и дадим рекомендации по их соблюдению.
Почему ужесточается законодательство?
В 2024 году утекло более 700 млн записей с персональными данными российских граждан. Эти данные активно используются в мошеннических схемах, ведь чем больше информации о нас попадает в руки мошенников, тем изощрённее их схемы обмана, доверчивее жертвы и тем больше ущерб наносится нам — субъектам персональных данных. Ужесточение законодательства в этой области направлено именно на решение этой проблемы.
По мнению главы комитета Госдумы по информационной безопасности Сергея Боярского, ужесточение законодательства простимулирует бизнес, IT-компании и представителей отрасли вкладывать ресурсы и средства в обеспечение безопасности персональных данных граждан на своих платформах. Именно поэтому в ноябре 2024 года был подписан закон, значительно ужесточающий ответственность в области персональных данных. При этом требования закона практически не изменились. Основные изменения касались именно санкций за их неисполнение. Теперь внушительные суммы штрафов значительно повышают целесообразность инвестирования в информационную безопасность, учитывая высокую стоимость данных услуг.
Какие данные относятся к персональным?
Для начала стоит разобраться с терминологией и обсудить, что же такое персональные данные. Определение им дано в Федеральном законе № 152-ФЗ. Согласно этому закону, персональные данные — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Это могут быть любые сведения, позволяющие идентифицировать конкретное лицо. Закрытого списка типов данных, подпадающих под категорию персональных данных, не существует. В зависимости от контекста одни и те же данные могут считаться персональными, а могут и не считаться. Например, email-адрес, содержащий фамилию и год рождения, часто признается персональными данными, тогда как адрес вроде «солнышко@домен.ру» таковым не является.
Существуют также особые категории персональных данных — специальные и биометрические. Их обработка требует соблюдения особых условий. К таким данным относятся, например, сведения о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Сведения о факте обращения гражданина за медицинской помощью, состоянии его здоровья и диагнозе, другие данные, полученные при его медицинском обследовании и лечении, считаются врачебной тайной и дополнительно защищены Федеральным законом № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
Реестр операторов по обработке ПДн
Первая обязанность компании по работе с ПДн появляется уже в момент её регистрации, при условии, если она собирается, например, нанимать в свой штат сотрудников или собирать клиентские данные. Ведь по всех этих случаях уже идёт обработка ПДн, а, значит, компания обязана уведомить Роскомнадзор о намерении с ними работать.
Эта обязанность в законодательстве существует уже очень много лет, однако раньше за её нарушение не было санкций. Могли разве что прислать требование с просьбой его устранить. С 30-ого же мая 2025 года устанавливается штраф за неподачу уведомления от 100 000 до 300 000 руб. Если вы еще не включены в него, можете обратиться за помощью к экспертам Ассоциации по защите и хранению персональных данных, сооснователем которой является и сервис DashaMail.
В уведомлении указывается: чьи (сотрудников, кандидатов, клиентов, посетителей сайта и т.д.) и какие именно персональные данные будут собираться и обрабатываться, какая цель обработки этих данных, где расположены серверы, будет ли происходить их трансграничная передача, кто является ответственным лицом и т. д. Все эти сведения заносятся в открытый Реестр операторов по обработке ПДн. Не забывайте поддерживать эту информацию в актуальном состоянии. За необновление сведений в реестре операторов ПДн также с 30 мая 2025 года будет налагаться штраф от 100 000 до 300 000 рублей.
Стоит отметить, что в последние годы Роскомнадзор фиксирует тенденцию к сбору избыточных персональных данных. Особенно этим грешат отделы маркетинга. Маркетологи стремятся собрать как можно больше информации о клиентах, чтобы лучше сегментировать аудиторию и персонализировать предложения. Однако такой подход приводит к тому, что утечки данных становятся всё более чувствительными. Законодатель видит в этом риски и потому настоятельно рекомендует компаниям собирать лишь те персональные данные, которые действительно необходимы для выполнения обязательств по договору. И теперь за обработку данных, несоответствующих целям их сбора, предусмотрен штраф в размере от 150 000 до 300 000 рублей.
В целом, в маркетинге есть возможность сегментации и персонализации предложений и без сбора дополнительных ПДн. Выявлять интересы и потребности можно, например, анализируя их активность в рассылках и на сайте.
Читайте в блоге DashaMail: Как сегментировать базу, если есть только email-адреса подписчиков?
Ещё одно важное требование Роскомнадзора — это обработка персональных данных исключительно на серверах, расположенных на территории Российской Федерации. За нарушение данного требования предусмотрены значительные штрафы: от 1 миллиона до 6 миллионов рублей за первое нарушение и от 6 до 18 миллионов рублей за повторное. Суммы впечатляют.
Отметим, что данное требование не ново и уже давно закреплено в законодательстве. Тем не менее, многие компании пренебрегали этой нормой, что обернулось для них серьёзными проблемами в 2022 году, когда зарубежные сервисы начали массово блокировать аккаунты российских пользователей. Те, кто использовал иностранные системы (хостинги, CMS, CRM, ESP и т.д.), оказались в затруднительном положении и лишились своего актива в виде клиентской базы. Теперь, помимо утраты данных, им грозит ещё и крупный штраф. Таким образом, законодатель стимулирует переход на отечественные сервисы.
Требования к локализации ужесточаются. Если ранее было достаточно обеспечить сбор и первичную обработку данных на территории РФ (например, иметь резервную копию), дальнейшая передача данных на зарубежные серверы не запрещалась, то с 1 июля 2025 года такая практика станет недопустимой.
Для осуществления трансграничной передачи персональных данных необходимо получить разрешение от Роскомнадзора. Мы обязаны обосновать необходимость такой передачи. Например, туристическая компания, оказывающая услуги клиентам, вынуждена передавать данные о них принимающей стороне. Это соответствует целям договора, поэтому Роскомнадзор примет уведомление и внесёт информацию о трансграничной передаче данных в Реестр.
За непредставление уведомления в Роскомнадзор о намерении обрабатывать персональные данные, предоставление недостоверных сведений или необновление информации, а также за отсутствие уведомления о трансграничной передаче данных, теперь предусмотрены штрафы в размере от 100 000 до 300 000 рублей.
Реестр является открытым, поэтому обязательно проверяйте в нём всех своих подрядчиков, которым вы передаёте клиентские базы. Обратите внимание на наличие или отсутствие трансграничной передачи данных, уточните, чьи и какие данные обрабатываются, узнайте местоположение серверов… Обработка ваших баз должна осуществляться на основании поручения, цели обработки — оказание услуг по договору. Вы также обязаны получить согласие субъектов персональных данных на передачу их информации вашим подрядчикам. Как правило, перечень таких партнеров указывается в политике обработки персональных данных на вашем сайте. Давайте обсудим этот документ подробнее.
Политика обработки персональных данных
Политика обработки персональных данных обязательно должна находиться в открытом доступе на вашем сайте. Штраф за непредоставление неограниченного доступа к этому документу составляет от 30 000 до 60 000 рублей для юридических лиц.
В Политике должны быть подробно описаны все цели обработки персональных данных. Для каждой цели отдельно указывается какие конкретно и чьи персональные данные подлежат обработке, методы их обработки, сроки хранения, порядок уничтожения данных при достижении целей или возникновении иных законных оснований.
Ссылка на Политику данных должна быть во всех точках сбора персональных данных на сайте: в формах подписки, при регистрации, при оформлении заявок на консультации или обратные звонки и т.д. Обязательно предусмотрите использование чек-боксов для получения явного согласия на обработку данных.
Если вы передаете ПДн третьим лицам, то их перечень должен быть также указан в Согласии или Политике. Этот список не может быть открытым. Субъект персональных данных должен быть уведомлен обо всех организациях, которым вы передаёте информацию о нём, — вы обязаны перечислить всех конкретных партнёров. В противном случае вас ждёт штраф в размере от 30 000 до 60 000 рублей, аналогичный наказанию за отсутствие Политики на сайте.
Обратите внимание на приведённый выше пример. Последняя организация, указанная в списке партнёров, — Google LLC. Дело в том, что Роскомнадзор однозначно трактует сведения, передаваемые в Гугл Аналитику, как персональные данные. А это значит, если вы используете данный инструмент на своём сайте, мы обязаны получить согласие на это у субъектов ПДн, а также уведомить РКН о трансграничной передаче данных, обосновав её необходимость.
И, конечно, ссылка на Политику обработки персональных данных должна быть указана в уведомлении об использовании файлов куки на сайте. Создать его можно с помощью сервиса LeadPlan. Уведомить посетителей сайта необходимо и об использовании рекомендательных технологий, так как современные ML-модели уже могут знать о нас больше нас самих. История о предсказании беременности клиентки на основе истории её покупок до того, как она сама узнала о своём положении, яркое тому доказательство.
Если же вы работаете со специальными персональными данными, то согласие на их обработку должно быть получено обязательно в простой письменной форме, если их обработка происходит не на основании уже прописанных в законе (ч. 2 ст. 10 Федерального закона «О персональных данных» и в ч. 4 ст. 13 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации») случаев. Такое согласие может быть подписано и с помощью простой ЭП, но просто галочкой в чек-боксе обойтись уже нельзя. Обработка персональных данных без письменного согласия, когда оно требуется, карается штрафом в размере от 300 000 до 700 000 рублей за первое нарушение и от 1 миллиона до 1,5 миллиона рублей — за повторное (ч. 2 и 2.1 ст. 13.11 КоАП РФ).
Проверка контрагентов
Итак, при передаче ПДн подрядчикам важно быть уверенными в их благонадежности и локализованности. Ассоциация по защите и хранению персональных данных даёт следующие базовые рекомендации по их проверке:
- Компания зарегистрирована в РФ и принимает оплату в РФ.
- Компания включена в Реестр операторов ПДн.
- В реестре указано, что Компания по Поручению обрабатывает клиентские базы с ПДн.
- Сервера, где обрабатываются ПДн, находится на территории РФ и отсутствует их трансграничная передача (либо же вы должны получать на неё разрешение тоже).
- На сайте есть Политика в отношении ПДн, и они готовы подписать Поручение на обработку ПДн ваших клиентов.
У сервиса DashaMail Поручение на обработку ПДн включено в условия Договора и изложено в разделе 9 оферты. Наш сервис полностью соответствует требованиям законодательства, что подтверждается аттестацией ФСТЭК.
Проверьте всех своих контрагентов, которым передаются персональные данные: CRM-системы, CMS-платформы, хостинговые провайдеры, сервисы рассылок и др. Все они должны быть перечислены в вашей Политике обработки ПДн или Согласии на обработку данных. Избегайте использования зарубежных сервисов, так как это противоречит законодательству о локализации данных и влечет за собой крупные штрафы. Роскомнадзор последовательно усиливает контроль над соблюдением правил, стремясь минимизировать трансграничную передачу данных.
Утечки
Ужесточение законодательства в области персональных данных и дальнейшее ограничение трансграничной передачи направлены на повышение информационной безопасности и суверенитета Российской Федерации. Эти меры должны существенно сократить случаи, когда персональные данные граждан России попадали напрямую и добровольно в распоряжение компаний, неподконтрольных Роскомнадзору.
Однако остаётся проблема утечек. Чтобы уменьшить их количество, необходимо стимулировать бизнес вкладывать средства в технические меры защиты баз данных. С этой целью с 30 мая 2025 года значительно увеличиваются штрафы. Кроме того, недавно был разработан порядок уведомления Роскомнадзора об инцидентах. О факте утечки необходимо сообщать в течение 24 часов с момента её обнаружения. Нарушение этого требования повлечёт за собой штраф от 1 до 3 миллионов рублей. Ниже представлена таблица новых штрафов, вступающих в силу с 30 мая 2025 года, связанных с утечками:
Для понимания контраста: ранее максимальный штраф за утечку составлял всего 60 000 рублей. Новые санкции значительно увеличивают риски и, следовательно, повышают целесообразность увеличения расходов на информационную безопасность.
Для дополнительной мотивации к вложениям в информационную безопасность законодатель вводит смягчающие обстоятельства при повторных утечках. Они применяются при одновременном выполнении следующих условий:
- Ежегодные расходы оператора на мероприятия по обеспечению информационной безопасности, проводимые лицензированными организациями ФСТЭК, составляют не менее 0,1% от суммы выручки или размера собственных средств (капитала) в течение трёх лет.
- Оператор соблюдает требования по защите персональных данных при их обработке в информационных системах, что подтверждено документально в течение последних 12 месяцев.
- Отсутствуют обстоятельства, отягчающие административную ответственность.
К обстоятельствам, отягчающим административную ответственность, относятся:
- продолжение противоправного поведения, несмотря на требование уполномоченных лиц прекратить его;
- лицо, совершившее административное правонарушение, считается подвергнутым административному наказанию за аналогичные правонарушения согласно статьям 13.6, 13.12 Кодекса Российской Федерации об административных правонарушениях.
Важно отметить, что утечки часто происходят не из-за хакерских атак, а вследствие человеческого фактора. Персонал – это слабое звено, с которым необходимо проводить постоянную работу. Следите за тем, чтобы разработанные протоколы по работе с персональными данными применялись на практике в ваших бизнес-процессах. Сотрудники должны быть осведомлены о требованиях законодательства и своей личной ответственности. Регулярно проводите обучение и проверки, контролируя соблюдение правил работы с персональными данными.
С 11 декабря 2024 года в Уголовный кодекс введена статья 272.1, устанавливающая уголовную ответственность за сбор, передачу и хранение данных, полученных незаконным путем, включая создание ресурсов для их распространения. Эта мера направлена на борьбу с последствиями утечек, чтобы предотвратить неправомерное использование уже опубликованных в открытых источниках баз данных. Например, если руководитель попросит вас провести таргетированную рассылку по слитой базе, переложить вину на него не удастся. Напротив, это станет отягчающим обстоятельством, свидетельствующим о наличии предварительного сговора.
Сбор персональных данных для отправки рекламных рассылок
При работе с SaaS-сервисами для проведения рекламных рассылок важно убедиться, что ваш подрядчик соответствует требованиям Федерального закона № 152-ФЗ. Однако маркетологам также необходимо учитывать положения Федерального закона № 38-ФЗ «О рекламе».
Собирая базу подписчиков, мы обязаны получать подтверждение согласия абонента на получение рекламных рассылок (статья 18 Закона № 38-ФЗ). Важно помнить, что такое согласие не может быть навязываемым условием при заключении договора или включённым в политику обработки персональных данных. Данный пункт должен быть выделен отдельно и носить добровольный характер, то есть отказ от получения рассылок не должен препятствовать заключению договора.
Например, при оформлении заказа мы обязаны разместить 2 отдельных чек-бокса: отдельно обязательный для оформления заказа с ссылками на условия договора и Политику в отношении ПДн и опциональный с согласием на получение рекламных рассылок.
Важно отметить, что чек-бокс с согласием на получение рассылок не должен быть предпроставленным. Посетитель сайта должен совершить активное действие для изъявления желания на такую коммуникацию. Нельзя делать и пустой чек-бокс для простановки галочки, чтобы, наоборот, отказаться от рассылок.
Если вы создаете отдельную форму подписки, то, согласно требованиям Федерального закона № 152-ФЗ «О персональных данных», как и в любых других формах сбора персональных данных, необходимо включить ссылку на Политику обработки ПДн. В формах подписки от DashaMail вы просто указываете её в настройках, и она добавляется в ваш виджет.
О том, как добавить ссылку на Политику обработки персональных данных в формы, созданные в сервисе LeadPlan, читайте в их Базе Знаний.
За отправку рассылки без предварительного получения согласия налагается штраф от 100 000 до 500 000 рублей (КоАП РФ, статья 14.3, п.1).
Стоит отметить, что закон не определяет конкретный формат доказательства согласия. Это может быть как бумажная анкета, так и аудиозапись телефонного разговора или другой способ фиксации. Главное условие — чтобы в доказательстве ясно указывалось, кто и на что даёт согласие. Однако почтовые провайдеры, особенно в контексте email-рассылок, требуют определённого технического формата подтверждения, известного как double opt-in. Этот метод предполагает, что контакт добавляется в базу подписчиков не сразу после заполнения формы на сайте, а только после того, как пользователь подтвердит своё намерение через клик в специальном письме.
Читайте в блоге DashaMail: Double Opt-In или Single Opt-In: какое подтверждение подписки на рассылку выбрать?
Письма с двойным подтверждением (Double Opt-In, DOI) удобны тем, что история их отправки и взаимодействия с ними сохраняется в цифровом формате. Такие доказательства согласия легко найти и представить при необходимости. Помимо этого, база контактов получается более качественной, ведь в неё невозможно случайно добавить недействительные или ненужные адреса. Почтовая репутация, соответственно, улучшается.
Что касается Федерального закона № 38-ФЗ «О рекламе», стоит отметить, что на рассылки не распространяется требование о маркировке рекламы. Это требование применяется к рекламе в интернете и регулируется статьей 18.1. Рассылки же классифицируются как реклама в рамках собственной сети электросвязи. Наличие доказательств согласия на коммуникацию с лихвой компенсирует необходимость маркировки.
Чек-лист для проверки сайта
В завершение статьи предлагаем провести аудит вашего сайта и проверить его соответствие основным требованиям законодательства:
- Политика обработки персональных данных: Она доступна в открытом доступе на сайте.
- Формы сбора данных: Во всех формах сбора персональных данных, включая уведомление о куках и использовании рекомендательных систем, присутствует ссылка на Политику.
- Рекламные рассылки: При сборе данных для проведения рекламных рассылок пользователи ставят галочку в соответствующих чек-боксах или заполняют специальную форму подписки, содержащую ссылку на Политику обработки персональных данных.
- Перечень третьих лиц: В Политике или Согласии перечислены все третьи лица, которым передаются собранные персональные данные.
- Локализация данных: Данные, собираемые на сайте, хранятся на серверах, расположенных на территории Российской Федерации.
- Регистрация в реестре: Ваша организация включена в Реестр операторов по обработке персональных данных.
Ниже приведена также сводная таблица с новыми штрафами за нарушения в области персональных данных:
Будьте социально ответственными перед своими клиентами, внимательно следите за соблюдением требований законодательства и вдумчиво подходите к выбору подрядчиков.
Загрузка...