Упоминаете людей без их согласия? Храните данные клиентов в Google Таблицах? В формах по умолчанию проставляете согласие на обработку персональных данных? Тогда вам могут грозить огромные штрафы. В Pressfeed.Журнале вместе с юристами разбираемся, как соблюсти требования 152-ФЗ и не навредить бизнесу.
Когда вы собираете электронные адреса для рассылки, используете на сайте формы обратной связи, запускаете программу лояльности, составляете договоры с физическими лицами или нанимаете персонал, вы становитесь оператором персональных данных. И это лишь малая часть сценариев.
Стоит вам хоть раз получить от человека любую информацию, по которой его можно идентифицировать, у вас появится много новых обязанностей. Нужно направить уведомление в Роскомнадзор и готовиться обрабатывать, хранить, защищать и уничтожать эти данные согласно требованиям закона «О персональных данных» 152-ФЗ.
Шон Бетрозов, практикующий адвокат Московской палаты адвокатов с многолетним опытом работы:
В медиасфере персональные данные обрабатываются практически в каждом процессе: от публикации интервью до рассылки подписчикам. К таким данным, прежде всего, относятся фамилия, имя, отчество человека, его контактные данные, фотографии, видео, голосовые сообщения, сведения о месте работы, месте проживания, а также любые другие данные, по которым можно однозначно идентифицировать человека. Это может быть не только очевидная информация, но и, например, геолокация, внешний вид, аккаунты в социальных сетях, даже скрытые данные из метаданных файлов, если они позволяют установить личность.Если такая информация собирается, хранится, передается, используется или публикуется — это и есть обработка персональных данных. А вот оператором считается то лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки. Это может быть как юридическое лицо (редакция СМИ, компания, владелец интернет-платформы), так и физическое лицо — журналист, блогер, ведущий паблика или даже администратор канала, который публикует данные от своего имени.
С 30 мая 2025 года формально работать с персональными данными больше не получится. Теперь за несоблюдение правил грозят огромные штрафы. Контроль при этом стал жестче.
Работать без обработки персональных данных — идея на грани фантастики, особенно в digital сфере и в век персонализации. В теории такой вариант возможен, если вы обрабатываете данные без использования средств автоматизации: записываете данные клиентов в блокнот, например. Сохранили контакт в телефоне — стали оператором ПД.
Если вы не в числе счастливчиков, подпадающих под исключение, нужно подготовить свой бизнес к новым реалиям. Вместе с юристами разобрались в базовых требованиях закона и доступно изложили их ниже.
Важно! Статья будет полезна не только представителям бизнеса. Всем создателям контента тоже крайне важно понимать, какую персональную информацию они вправе публиковать, а за какую можно получить повестку в суд. Мы посвятим этому вопросу отдельный раздел. Блогеры, журналисты и копирайтеры в зоне повышенного риска, ведь их нарушения на виду.
10 кейсов о росте трафика, продаж и продвижении бизнеса с помощью СМИ. Скачать!
Екатерина Цалкина, юрист в сфере IT и интеллектуальной собственности:
Последние поправки в закон по вопросу работы с персональными данными наделали шуму. Новых норм не появилось, но увеличился объем ответственности за неправильную работу с данными. Если раньше это воспринималось как «бумажная формальность», то сегодня надзор стал более активным, а жалобы пользователей обрабатываются быстрее.Особенно стоит быть внимательными малому бизнесу, экспертам и инфлюенсерам, которые часто собирают данные через викторины и гивы, ведут консультации через формы заявок на сайтах, сохраняют переписки в мессенджерах без информирования клиента, размещают в сторис отзывы, скриншоты, голосовые сообщения клиентов без согласия.Кейс из практики. Предпринимательница опубликовала сторис с благодарностью от клиента и указала его имя. Клиент написал претензию, потребовав 50 000 рублей компенсации. Досудебно удалось договориться, но публикации пришлось срочно удалить.
Что нужно для соблюдения закона «О персональных данных» 152-ФЗ
Закон «О персональных данных» приняли еще в 2006 году, поэтому ко многим его требованиям компании уже успели приспособиться. Проверьте, чего из этого вам не хватает, чтобы спать спокойно.
1. Внутренняя политика в отношении обработки персональных данных
Каждый оператор персональных данных должен разработать документ под названием «Политика в отношении обработки персональных данных» и предоставить к нему общий доступ. Часто файл размещают на сайте компании. У нас в Pressfeed.Журнале ссылка на политику находится в футере.
Документ лучше составлять с юристом. В нем должно быть минимум 12 разделов: перечень обрабатываемых данных, принципы обработки, меры по защите, ответственность, обязанности оператора и ряд других. Важно следить за обновлениями в законодательстве и своевременно вносить изменения.
Если документа нет в свободном доступе, ИП могут оштрафовать на сумму от 10 000 до 20 000 рублей, а юридическое лицо — от 30 000 до 60 000 рублей.
Дмитрий Келин, основатель и руководитель юридической компании KELIN:
Первое, что следует сделать — актуализировать документы. Если ваши согласия на обработку персональных данных, политика конфиденциальности или локальные акты составлены до декабря 2022 года, их необходимо привести в соответствие с актуальными требованиями 152-ФЗ. Например, согласие должно отражать конкретные цели обработки и действия с данными. Универсальные шаблоны не подойдут.
Смотрите также:
2. Согласия для пользователей и клиентов
Помимо «Политики в отношении обработки персональных данных», на сайте должно быть «Согласие на обработку персональных данных», которое пользователь может дать в электронном виде: поставить галочку или нажать кнопку. В офлайне его нужно получать в письменном виде. Предусмотрите возможность отзыва такого согласия. Также собирать cookie на сайте можно только с разрешения пользователя.
Сергей Соловьев, управляющий партнер юридической компании «Бугров и партнеры», юрист в сфере защиты бизнеса:
Согласие пользователя получайте через отдельный чекбокс для каждой цели обработки. Текст согласия должен быть конкретным и понятным: какие данные собираете, зачем, кому передаете, как долго храните.В соцсетях правила те же. Даже если платформа собирает данные самостоятельно, продублируйте согласие в собственной форме. Это касается любых опросов, конкурсов, сбора заявок через личные сообщения.Если работаете с CRM-системами или облачными сервисами, заключите договор поручения обработки. В нем пропишите требования статьи 6 закона 152-ФЗ. Для зарубежных сервисов обеспечьте хранение первичных копий данных в России.Настройте процедуру удаления данных после достижения целей обработки или при отзыве согласия. Закон требует удалять персональные данные, когда они больше не нужны для заявленных целей.
3. Ответственный и группа лиц с доступом к данным
Чтобы соблюсти требования законодательства, компании нужно разработать больше 20 документов. Здесь без консультации юриста не обойтись.
Ключевой — приказ о назначении ответственного за соблюдение политики в отношении обработки персональных данных. Этот сотрудник должен проводить мероприятия, которые обеспечат сохранность информации и ее использование по назначению.
Смотрите также:
Также важно утвердить список сотрудников, имеющих доступ к персональным данным. Давать его нужно обоснованно: без него работник не сможет выполнять свои обязанности, например.
Мария Стригалева, генеральный директор аудиторской компании BLCONS GROUP AUDIT DEPARTMENT:
Мы рекомендуем подходить к вопросу системно. Прежде всего важно оценить, с какими именно категориями персональных данных работает организация, в каком объеме, на каких площадках и с какой целью. Это определяет и структуру правового регулирования.На основе анализа процессов обработки данных необходимо выстроить внутренний и внешний документооборот. Как показывает практика, полный комплект документов обычно включает от 30 до 50 единиц, в том числе локальные нормативные акты, регламенты, должностные инструкции и формуляры. Ключевыми являются положения об обработке персональных данных и политика конфиденциальности. Кроме того, крайне важна регулярная подготовка и инструктаж ответственных сотрудников.
4. Защита данных от утечек
Самый важный шаг — принять меры по защите персональных данных от утечек. В офлайне проблема решается ограничением доступа в помещения с документами, идентификацией сотрудников и системой охраны, видеонаблюдения.
С хранением информации в онлайне больше сложностей. Антивирусы и пароли — база. Дальше в дело вступают специалисты по информационной безопасности, спрос на которых, кстати, стремительно растет — на 18% год к году.
Оксана Гусарова, старший юрист ООО «Деметриос Консалт»:
Юристы единогласно подчеркивают, что соблюдение норм закона о персональных данных — это не только юридическая необходимость, но и важный аспект бизнес-репутации.Примером компании, которая столкнулась с негативными последствиями утечки персональных данных, стал случай медицинского учреждения, которое не обеспечило должный уровень защиты своей базы данных. В результате данные пациентов стали доступны третьим лицам, что повлекло за собой множество судебных разбирательств и крупные штрафы.Напротив, одна из крупных ритейл-сетей разработала собственную программу обучения сотрудников по обработке персональных данных. Они внедрили технологические решения для шифрования и ограничения доступа к персональным данным, что позволило сохранить данные клиентов и избежать нарушений.
Смотрите также:
Большой гайд по репутации бренда: как оценить, повысить и управлять
5. Российские сервера
Личные данные нужно хранить на российских серверах. Условие кажется простым, особенно на фоне ухода из страны многих иностранных сервисов. Но давайте вспомним, что тот же Google Analytics автоматически собирает IP-адреса посетителей сайта, а это персональные данные. А в скольких компаниях контакты клиентов до сих пор записывают в Google Таблицы, страшно представить. И это самые очевидные примеры.
Между тем за нарушение этого условия юридическим лицам грозят штрафы от 1 млн до 6 млн рублей. Еще один повод провести полное импортозамещение.
Евгения Дашкевич, квалифицированный юрист компании BETOBELEGAL, эксперт в сфере комплексной юридической поддержки IT-бизнеса:
Нужно уточнить, не передает ли компания персональные данные клиентов за рубеж (нет ли трансграничной передачи). На такие действия требуется согласие Роскомнадзора, иначе — штрафы. При этом трансграничная передача иногда переходит без ведома компании — если на сайте (внезапно!) применяются зарубежные метрические сервисы вроде Google Analytics. Они собирают данные и сразу передают их на свои сервера за рубежом. Отвечать за это будет компания, которая не отключила сервис от своего сайта.
Смотрите также:
Российские аналоги сервисов для пиарщиков и маркетологов
6. Уведомление в Роскомнадзор
Новости об увеличившихся штрафах за неправильную работу с персональными данными наделали немало шумихи. Теперь компаниям придется дорого заплатить за несоблюдение закона — до нескольких десятков миллионов.
Если не отправить в Роскомнадзор уведомление об обработке или сделать это несвоевременно, тоже положен штраф. Если до изменений это было максимум 5 000 рублей для юридических лиц, после — до 300 000 рублей.
Отправлять уведомление нужно до начала обработки данных. Сделать это можно тремя способами:
- Отправить онлайн, подписав электронной подписью.
- Отправить онлайн после авторизации через Госуслуги.
Также важно подавать информацию обо всех изменениях через отдельную форму. Делать это не позднее 15 числа месяца, следующего за месяцем, в котором произошли обновления.
Проверить статус уведомления можно здесь, на включение в реестр уйдет до 30 дней. После этого данные о вас как об операторе персональных данных появится в открытом доступе.
Татьяна Звенигородская, старший юрист ООО «Аксор»:
В 2025 году требования к сбору и обработке персональных данных в России ужесточились. Все ИП и юрлица, обрабатывающие персональные данные, обязаны зарегистрироваться в реестре операторов Роскомнадзора. Это касается как владельцев интернет-магазинов и корпоративных сайтов, так и администраторов аккаунтов в соцсетях, где собираются данные пользователей (например, через формы обратной связи, опросы, подписки).
Что важно знать авторам контента
Журналисты, блогеры, копирайтеры не только обрабатывают персональные данные, они их часто публикуют на широкую аудиторию. Цитаты, упоминания, фото и видео с человеком, — все это охраняется законом.
В идеальных условиях на любое использование личных данных в публикациях нужно получать письменное согласие. В противном случае изменять их так, чтобы человека нельзя было идентифицировать: использовать псевдоним, скрывать лицо, редактировать голос.
Некоторые исключения (полный перечень):
- вы делитесь общественно значимой информацией;
- обнародованные данные уже находились в открытом доступе до публикации материала;
- вы выполняете работу журналиста в зарегистрированном СМИ и при этом не нарушаете права лица, чьими личными данными поделились в материале.
Что качается фото и видео. Если человек попал в кадр при съемке общего плана в общественных местах, получать разрешение не нужно. Если же акцент сделан именно на нем, то нужно обязательно. Тем более, когда указано имя, должность или другие сведения, которые помогут идентифицировать героя.
Смотрите также:
Какие законы нужно знать, если вы работаете в СМИ
Будьте готовы, что даже при соблюдении законодательства, упомянутый в материале человек может обратиться в редакцию или администрацию площадки с просьбой удалить личную информацию. И чаще всего ему пойдут на встречу. Ведь главный принцип — не нарушать права объекта персональных данных.
Еще важный момент. Переписка с пользователем — персональные данные, которые нельзя размещать без согласия. Даже если в них положительный отзыв о вашей компании или успешный кейс.
Дмитрий Келин, основатель и руководитель юридической компании KELIN:
Необходимо согласие на упоминание в СМИ и в материалах блогеров. Публикация имени, фотографии или любой другой информации, позволяющей идентифицировать человека, требует его согласия. Это касается как традиционных СМИ, так и блогов в социальных сетях. Отсутствие согласия может привести к судебным искам о компенсации морального вреда.У нас были случаи, когда блогеров привлекали к ответственности за публикацию фотографий людей без их разрешения, даже если эти снимки были сделаны в общественном месте.
Александр Баукен, юрист, генеральный директор ЮК ООО «Баукен и Партнеры»:
При использовании фотографии на сайте, в соцсетях, в блоге важно понимать, что сама по себе фотография не является персональными данными, так как не позволяет идентифицировать конкретного человека. Но как только к фотографии вы добавите ФИО, должность, телефон, то речь уже пойдет о персональных данных.Отдельно хочется затронуть проблему «репостов». По сложившейся судебной практике размещение персональных данных в социальных сетях не делает их автоматически общедоступными, следовательно, требуется согласие субъекта на обработку информации. Делая репосты, в которых есть персональные данные, надо либо обезличивать их, либо получать согласие субъекта.
Кристина Янковская, заместитель руководителя юридического отдела АО «Интернет-Проекты» (Sendsay):
Распространенной ловушкой для СМИ является отсылка к «публичным и общественным» интересам в случае возникновения споров о правомерности публикации персональных данных субъектов без их согласия.Например, в 2018 году Верховный Суд РФ по делу о привлечении главного редактора к административной ответственности за распространение персональных данных о субъекте подтвердил выводы нижестоящих судов о том, что у газеты отсутствовали основания для распространения в СМИ в статье «Сотрудник ФСБ извинился перед пенсионером», персональных данных (фамилия, имя, место работы, звание) в отсутствие на то согласия последнего.Суд указал на то, что в рассматриваемом случае публикация персональных данных, позволяющих идентифицировать личность героя упомянутой публикации с детальным описанием обстоятельств происшествия и его личными взаимоотношениями с другим лицом, посягает на гарантированное статьей 23 Конституции Российской Федерации право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также нарушает требование статьи 24 Конституции Российской Федерации о том, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. (Постановление Верховного Суда РФ от 28.06.2018 N 74-АД18-11).
Сергей Соловьев, управляющий партнер юридической компании «Бугров и партнеры», юрист в сфере защиты бизнеса:
Закон о СМИ дает журналистам право публиковать персональные данные без согласия при наличии общественного интереса. Материалы о коррупции, нарушениях закона, действиях чиновников, — все это подпадает под исключение.Блогеры такой привилегии лишены. Им нужно согласие на использование персональных данных, если информация не относится к общедоступной. Исключение — информация, добровольно опубликованная самим человеком в открытых источниках.Использование фотографий и видео регулируется статьей 152.1 Гражданского кодекса. Публичные фигуры в профессиональном контексте и съемка в общественных местах без акцента на конкретное лицо разрешены. Во всех остальных случаях нужно согласие.Журналисты вправе не указывать источник информации для защиты общественных интересов. Но при публикации данных несовершеннолетних требуется согласие родителей, даже если ребенок — участник преступления.
Смотрите также:
Как журналисту находить экспертов и героев, чтобы создавать сильные тексты
Кратко
Чтобы не нарушать закон «О персональных данных», отправьте уведомление в Роскомнадзор, опубликуйте политику обработки персональных данных, назначьте ответственного и разработайте внутренние нормативы.
На сайте сделайте обязательным действие пользователя для согласия на обработку персональных данных и файлов cookie. Перенесите все личные данные на российские сервера и в отечественные сервисы. Защитите данные от утечек.
Если добавляете личную информацию в публикации, запрашивайте письменное разрешение или берите данные из открытых источников. И обязательно консультируйтесь с юристом.
P.S. Если вы не готовы сами делать контент, искать для него темы, героев и форматы, мы можем все сделать за вас. У Pressfeed есть услуга — «Создание контента для корпоративных блогов». Мы напишем статьи для вашего блога или для СМИ с учетом требований законодательства. Оставляйте заявку на бесплатную консультацию по этой ссылке.