Любая компания так или иначе обрабатывает персональные данные (ПД) своих клиентов. Чаще всего это ФИО, телефон, email, дата рождения, IP-адрес. Бизнес хранит эти данные, а потом использует для персонализации маркетинга и оказания услуг. Все эти действия попадают под обновления закона 152-ФЗ «О персональных данных», которые вступили в силу 30 мая 2025 года. И уже с 30 июня по ним начинают штрафовать.
Ещё недавно за неправильную обработку и хранение персональных данных компании получали предупреждения или символические штрафы. И то не всегда. Сейчас же штрафы выросли в сотни раз и достигают 15 млн рублей. А в некоторых случаях они оборотные: от 1% до 3% годовой выручки.
В статье мы собрали частые ошибки в работе с ПД, которые приводят к штрафам. Расскажем, как этого избежать. А если хотите глубже разобраться в вопросе и напрямую задать вопросы экспертам — приходите на бесплатный вебинар «Как избежать оборотных штрафов по 152-ФЗ и не сломать маркетинг» 30 июня.
Коротко про изменения 152-ФЗ
Обновления 152-ФЗ касаются всех, кто обрабатывает персональные данные клиентов. Это может быть компания, должностное или физическое лицо. В законе их называют операторами обработки персональных данных.
Понять, что компания — оператор ПД, можно по таким признакам:
- она оказывает услуги клиентам по договору;
- использует формы на сайте: регистрации, подписки на рассылку, обратной связи;
- собирает cookie-файлы;
- устанавливает на сайте счётчик Яндекс Метрики;
- отправляет email-рассылки.
Просто обрабатывать данные клиентов — не преступление. Проблемы начинаются, если компания не уведомляет об этом Роскомнадзор (РКН). В этом случае при любой проверке РКН увидит, что компании нет в реестре операторов, — и бизнес получит штраф. Детально о том, как подать уведомление в Роскомнадзор, рассказали в статье.
Другая частая ситуация, за которую назначают штрафы — компания допускает ошибки при работе с ПД, и из-за этого случаются утечки. Материальная ответственность в этом случае более весомая.
| Нарушение | Штраф для физлиц, в руб. | Штраф для должностных лиц, в руб. | Штраф для ИП и организаций, в руб. |
| Неподача уведомления о начале обработки ПДн | 5 тыс. – 10 тыс. | 30 тыс. – 50 тыс. | 100 тыс. – 300 тыс. первичное, до 500 тыс. повторное |
| Неподача уведомления об утечке ПДн | 50 тыс. – 100 тыс. | 400 тыс. – 800 тыс. | 1 млн – 3 млн |
| Объём утечки 1000–10 000 субъектов ПДн | 100 тыс. – 200 тыс. | 200 тыс. – 400 тыс. | 3 млн – 5 млн |
| Объём утечки 10 000–100 000 субъектов ПДн | 200 тыс. – 300 тыс. | 300 тыс. – 500 тыс. | 5 млн – 10 млн |
| Объём утечки более 100 000 субъектов ПДн | 300 тыс. – 400 тыс. | 400 тыс. – 600 тыс. | 10 млн – 15 млн |
| Повторная утечка | 400 тыс. – 600 тыс. | 800 тыс. – 1,2 млн | от 1 до 3% годовой выручки |
Оборотные штрафы зависят от правонарушения. Но они не могут быть ниже 25 млн рублей и выше 500 млн рублей.
А теперь переходим к популярным ошибкам, из-за которых происходят утечки и назначаются штрафы.
Ошибка 1. Компания хранит данные в разных местах
Суть проблемы. Персональные данные — это не только имя, фамилия, телефон и почта. Это также IP, геолокация, сведения о действиях на сайте, которые компания получает через cookie. И все эти многочисленные данные хранятся в разных сервисах.
В последнее время средний и малый бизнес подключил множество маркетинговых и аналитических облачных сервисов, каждый из которых выдаёт полезную информацию. Но в сумме из данных получается каша, потому что понять, что некий идентификатор пользователя в аналитике, cookie на сайте и запись в CRM — это один человек, без помощи CDP не представляется возможным.
Соответственно, возникают проблемы и при получении ПД — не во всех формах будет собираться согласие на обработку, и, что главнее, проблемы будут при отзыве клиентом согласия на обработку персональных данных — без единого центра, где собираются все данные, отследить все его записи не получится, и любая проверка или жалоба приведут к штрафу.
Решение. Использовать единую платформу для хранения данных всех клиентов. Так компания сможет идентифицировать пользователя в разных каналах и по запросу легко изменять или удалять его данные. А в случае проверки РКН — быстро предоставить информацию по каждому клиенту и подтвердить, что он давал согласие на обработку и использование своих персональных данных.
Такой платформой может стать CRM (Customer Relationships Management) или CDP (Customer Data Platform). Разница между ними в том, что CRM хранит историю общения с клиентом, а CDP собирает вообще все данные о клиенте из разных источников в одном месте. Подробнее про платформы для работы с ПД клиентов рассказали в статье.
2. Компания передает персональные данные непроверенным лицам
Суть проблемы. Без персональных данных невозможен маркетинг. И почти для любой рекламной кампании бизнесу нужны сторонние сервисы. Например, магазин хочет запустить email-рассылку. Он читает подборки платформ для рассылок, выбирает одну, загружает email-адреса пользователей и отправляет первое письмо.
Но через месяц эту платформу взламывают, и все 3500 загруженных email-адресов утекают. Виноватым становится магазин, потому что клиенты давали согласие на обработку ПД ему. В итоге компания получает штраф до 5 млн рублей.
А если бы магазин использовал ещё и биометрические данные — например, для оплаты покупки — за утечку могла бы грозить уголовная ответственность.
Государство создало аттестацию компаний, которые работают с существенными объёмами персональных данных, в том числе для подрядчиков типа CDP или платформ для рассылки. Если такая компания не может предъявить аттестат соответствия ФЗ-152 (не регистрацию, как оператора данных, а именно аттестат, с обозначенным уровнем секретности данных, которые она может хранить), то стоит задуматься, почему она не прошла её.
Либо компания в принципе не уделяет внимания безопасности, либо проверка со стороны органов, выполняющих аттестацию, выявила существенные уязвимости или нарушения. Доверяя данные таким компаниям, вы ставите себя в уязвимое положение — ведь при утечке данных у подрядчика штрафовать будут не его, а вас, за то, что выбрали ненадёжного партнёра (такова сложившаяся практика в судах). На рынке были и случаи, когда рассыльщики писем разорялись и выкладывали базы клиентов в открытый доступ, были и случаи серьёзных взломов сервисов и существенных утечек ПД сразу нескольких их клиентов.
Также нередки и случаи, когда ПД компания хранит практически в открытых источниках — на Google Диске с открытым доступом для всех, кто имеет ссылку. (Например, списки партнёров, которых маркетинг поздравляет с Новым годом). В этом случае вопрос утечки — только дело времени.
Решение. Всегда проверять компании, которым вы доверяете ПД клиентов: от облачных хранилищ до платформ управления рекламой. Лучше всего обращаться к подрядчикам, у которых есть аттестат от государства, подтверждающий надёжную обработку персональных данных. Также полезно проверить, чтобы в истории такого подрядчика не было утечек, и почитать о нём все доступные отзывы.
3. Компания не контролирует работу персонала
Суть проблемы. Часто утечки происходят по вине сотрудников. Кто-то делает это случайно, кто-то намеренно. Но итог один — в открытом доступе оказываются большие базы, а бизнес платит огромные штрафы.
Практика показывает, что злонамеренные действия и случайные ошибки по статистике примерно равны. Обиженный уволенный сотрудник, или тот, кому пообещали вознаграждение за слив данных — это то, о чём неприятно думать руководителю, но это всегда нужно иметь в виду.
Решение. Нельзя полностью исключить человеческий фактор. Но риски снизить реально. Для этого компания может логировать, то есть автоматически записывать действия всех, кто работает с ПД. В случае утечки получится отследить, из-за кого и почему она произошла.
Также важно, проверять, чтобы все сотрудники подписали соглашение о неразглашении, и постоянно обучать команду правилам информационной безопасности.
Важно ограничивать персоналу доступ ко всей базе ПД. Сотрудник должен иметь доступ только к тем данным, которые необходимы ему для работы с конкретным клиентом. Также помогает маскировка данных – когда при массовых выгрузках для отчётов ФИО и другие важные данные маскируются на аналогичные, но нереальные. Например, Иван Фёдорович становится Николаем Ивановичем.
Это же спасает и от случайных ошибок, которые тяжело предугадать. Кто-то забудет в транспорте флешку или ноутбук с полной выгруженной базой, кто-то для удобства зальёт это на облачный диск без пароля, чтобы отправить коллегам.
Полностью человеческий фактор предотвратить невозможно, но нужно сделать некоторые важные шаги: логирование действий всех, кто работает с ПД; подписание соглашений о неразглашении со всеми сотрудниками и регулярное обучение правилам информационной безопасности.
4. Компания неправильно собирает данные в формах на сайте
Суть проблемы. Почти у любого бизнеса на сайте есть формы, в которых клиенты оставляют свои данные. Часто такие формы нужны для регистрации на сайте, оформления заказа, подписки на рассылку. Во всех этих случаях у клиента нужно брать согласие на обработку персональных данных. И проставлять его должен сам пользователь.
Самая главная ошибка — сбор лишних данных, которые хочется знать маркетингу, но которые не необходимы для выполнения заказа. Например, очевидно, что для доставки заказа нужны ФИО и адрес, а вот кличка домашнего животного или число детей — не нужны. В этом случае вы не можете увязывать проставление галочки о согласии на сбор ПД с оказанием услуги — пользователь должен иметь возможность её снять и всё равно отправить форму.
Поэтому лучше вообще избегать при первичном сборе спрашивать те данные, которые не являются необходимыми. Лучше опросить клиента после, предоставив ему добровольное право предоставить вам какие-то дополнительные данные.
Решение. Собирать в формах только те данные, которые нужны для конкретной ситуации. При этом пользователь должен сам ставить галочки согласия на обработку ПД. А уже потом, например, в email-рассылке, компания может попросить клиента поделиться другой информацией о себе.
Чтобы форма на сайте соответствовала закону, в ней должны быть:
- чекбокс с согласием на обработку персональных данных,
- ссылка на Политику конфиденциальности, или Политику обработки персональных данных,
- чекбокс с согласием на обработку cookie.
Большинство путает два закона — ФЗ-152 о персональных данных и Закон о Рекламе и считает, что раз клиент согласился на обработку данных, то ему можно и рекламные рассылки делать, а это не так. Чаще всего, если данные собираются при заказе товара или услуги, чекбоксов должно быть три: согласие с офертой, согласие со сбором персональных данных и согласие на рекламные рассылки. И вот третий всегда является необязательным. Вы не можете отказать клиенту в оказании услуги, если он не согласился на рассылки.
Отдельный случай — когда компания заранее проставляет все галочки в чекбоксах. Это запрещено законом, и при любой жалобе пользователя компании грозит штраф. Поэтому чекбоксы всегда должны быть пустыми — клиент сам выбирает, что ему важно.
5. Компания использует для работы зарубежные сервисы
Суть проблемы. По 152-ФЗ трансграничная передача данных запрещена. Но некоторые компании по привычке или незнанию используют зарубежные инструменты для работы с клиентами. Вот только самые популярные их виды: сервисы аналитики, платформы рассылок, конструкторы чат-ботов и форм на сайте, сервисы записи клиентов на услуги, планировщики.
Здесь есть два вида рисков:
- Использование зарубежного сервиса, который имеет российское юрлицо, и кажется отечественным, но по факту обрабатывает ПД в зарубежных дата-центрах. Чтобы обезопасить себя от таких оборотней, стоит использовать только те сервисы, которые включены в реестр российского ПО.
- Использование мелких вспомогательных сервисов, когда компания даже не задумывается о том, что в маленьком виджете на сайте могут также собираться ПД. Например, основная база данных может храниться в защищённом российском CDP, но также на сайте висит форма чата поддержки или записи на встречу с менеджером по продажам, которая обрабатывается движком западного сервиса. А ведь там собираются ФИО и телефон, что тоже является ПД. И вы напрямую нарушаете закон, несмотря на то, что база клиентов вроде хранится правильно. Такой же пример — сбор персональных данных при помощи Telegram-бота. Ведь серверы Telegram находятся за рубежом. Если люди записываются на вебинар через Telegram, то это тоже нарушение.
Решение. Для начала стоит перевести сайт самой компании на российский хостинг. А потом — проверить все сервисы, которые вы используете для работы с клиентами. Они обязательно должны быть включены в реестр российского программного обеспечения.
Что делать, чтобы избежать ошибок
Прежде всего, для работы с данными клиентов лучше перейти на российскую CDP или CRM.
Вы будете иметь возможность в одном месте видеть прозрачную картину, какие именно данные клиента вы храните, и даже фиксировать факт наличия согласия на обработку ПД. Это позволит видеть, все ли ваши клиенты охвачены согласиями; не храните ли вы избыточные данные; не храните ли данные тех, кто уже прекратил отношения с вашей компанией (по закону вы обязаны удалить их данные). А также быстро и просто удалять данные тех, кто отозвал их. Это позволяет избежать множества штрафов, ну а использование российского защищённого сервиса вместо зарубежного — это уже непременное условие существования компании в рамках правового поля.
Дальнейшие действия будут зависеть от самой компании — её размера, бюджетов и количества данных. Вот что рекомендует Глеб Кащеев.
Во-первых, можно заказать внешний аудит, например, в профильных ассоциациях по защите и хранению персональных данных или у внешних компаний. Для среднего бизнеса эти расходы вполне приемлемы (особенно на фоне штрафов за утечки), но для малого бизнеса могут показаться слишком существенными.
Во-вторых, действительно стоит нанять специалиста по инфобезопасности, но тут опять-таки проблема в том, что лишняя недешёвая штатная единица в среднем бизнесе вполне приемлема, но малый бизнес такого иногда себе позволить не может.
Что же делать небольшим компаниям? Отдать обработку и хранение ПД на аутсорс. Не хранить их внутри вообще, а доверить проверенному сервису, входящему в реестр российского ПО, имеющего аттестат соответствия ФЗ-152 с высоким уровнем секретности. У таких сервисов есть и регулярные проверки, и специалисты по инфобезопасности, и разделение прав доступа к данным для ваших сотрудников.
А чтобы окончательно разобраться в теме, приходите на вебинар «Как избежать оборотных штрафов по 152-ФЗ и не сломать маркетинг». Эксперты подробно расскажут, за что будут грозить штрафы, которые начинаются 30 июня, и как их не допустить.
Также будет возможность в прямом эфире задать вопросы специалистам Роскомнадзора, юристу по 152-ФЗ, генеральному директору CDP Sendsay Глебу Кащееву.
