Если сомневаетесь, соответствуют ли ваши рассылки закону о персональных данных — эта статья для вас. С 30 мая 2025 года законодательство стало жёстче: там, где было предупреждение или штраф в несколько тысяч, теперь придётся платить сотни тысяч рублей. А за утечку данных — миллионы.
Мы изучили изменения в законодательстве и разобрались, как правильно собирать, обрабатывать и хранить персональные данные, не нарушая закон.
Что такое персональные данные (ПДн)
Они начинаются там, где заканчивается анонимность. Даже email-адрес — это уже персональные данные, если его можно связать с конкретным человеком. Однако если данные связать нельзя, то почтовый адрес не будет считаться персональной информацией.
| ✅ Персональные данные | ✖ Не персональные данные |
| Имя + почта | Должность + адрес почты |
| Имя + номер телефона | Никнейм + номер телефона |
В работе с клиентами бизнес обрабатывает различные персональные данные. Например:
- email-адрес;
- ФИО подписчика;
- номер телефона;
- IP-адрес и данные о действиях на сайте.
Разберёмся, что конкретно требует российское законодательство в вопросе хранения и обработки данных.
Ключевые требования закона 152-ФЗ
Если вы собираете, храните или как-то ещё работаете с данными клиентов, то считаетесь оператором персональных данных — лицом, которое организует и осуществляет обработку информации.
Первое, что нужно сделать — подать уведомление в Роскомнадзор о начале обработки. Без регистрации в реестре операторов любая работа с данными клиентов считается нарушением. Но есть исключения — не уведомлять РКН могут:
- Компании, которые используют государственные информационные системы ПДн, созданные для защиты безопасности государства и общественного порядка.
- Бизнес, который работает без средств автоматизации (таблиц, CRM, CDP и прочих систем, куда выгружаются данные).
А также закон может не действовать в некоторых случаях, связанных с транспортной безопасностью.
После передачи данных в реестр, компании нужно соблюдать требования закона:
- Получать согласие на обработку. Это нужно сделать до начала взаимодействия с людьми. Например, через чекбокс с согласием в форме подписки на рассылку.
- Обеспечить безопасность. Компания обязана защищать персональные данные от неправомерного доступа и утечек. Например, ограничивать доступ сотрудников к базам данных, обеспечивать техническую защиту серверов и систем хранения.
- Локализовать хранение на территории РФ. Персональные данные россиян должны храниться на серверах в России. С 1 июля 2025 года ужесточились требования: запрещено использование зарубежных сервисов для первичного сбора и обработки данных. Это касается Google Analytics, Google Tag Manager, Meta Pixel, Hotjar, форм Google и других популярных инструментов. Если данные сразу уходят на иностранный сервер — это нарушение.
- Предоставлять информацию. По запросу клиента компания обязана рассказать, как обрабатывает его данные.
- Предоставлять право на удаление. Если клиент попросит, компания должна удалить его данные.
Подробнее о том, как компании нужно организовать соблюдение этих требований, рассказали в большом гайде «Персональные данные и их обработка — сбор, хранение, передача, подача уведомления в РКН».
Теперь рассмотрим санкции, предусмотренные за нарушение этих требований.
Что будет, если нарушить закон о защите персональных данных
С 30 мая 2025 года ответственность за нарушения ужесточилась. Это происходит не на пустом месте — за последний год произошло несколько крупных утечек. Например, в январе 2025 года из «АльфаСтрахование-Жизнь» утекли данные 500 тысяч клиентов, включая email-адреса. Месяцем ранее «Почта России» потеряла базу с 26 миллионами записей. А в ноябре 2024 года хакеры выложили 29-гигабайтный архив с данными 96 миллионов пользователей онлайн-казино.
