Изменения в законе о персональных данных: вопрос-ответ с юристом
Авторы статьи:
Анна Бессмертная (Юрист Callibri, эксперт IT's LEGAL.pro)
Максим Абрамович (Редактор Callibri)
С 30 мая 2025 года действуют новые правила для обработки персональных данных. Штрафы выросли, а Роскомнадзор будет проверять компании чаще и строже. Подробнее мы писали в нашей предыдущей статье. В ней рассказали самое важное: про виды нарушений, размеры штрафов, а главное — что делать бизнесу.
Что делать с розыгрышами в чат-ботах Telegram? Они собирают персональные данные, а после окончания бот публикует ник победителя.
Розыгрыши в Telegram-ботах — это обработка персональных данных, и на неё нужно получить согласие участников. Согласие можно оформить в правилах конкурса. Укажите, что вы обрабатываете данные и можете раскрыть ник победителя. Это защитит от претензий.
Можно собирать данные в Google Таблицах?
Первичный сбор данных в Google Таблицах недопустим с 1 июля 2025 — это считается трансграничной передачей при сборе. Можно сначала собирать данные на российский сервер (например, через Яндекс.Формы), а затем переносить в Google Таблицы для внутренней обработки. При этом оператор должен уведомить о трансграничной передаче.
Как правильно собирать согласие на cookie?
Закон не требует сложных баннеров с выбором типов cookie. Достаточно уведомить посетителя о сборе данных, дать ссылку на правила их обработки или на политику конфиденциальности — в ней нужно описать, какие данные собираются.
Считается ли сайт на домене .com иностранной площадкой?
Сам по себе домен (.com, .ru, .eu) не определяет, является ли сайт иностранной площадкой. Важно, какая компания является оператором данных, куда физически собираются данные или на какую территорию размещается реклама.
Если сайт на домене .com собирает данные на сервер в России (например, Яндекс Cloud), это не трансграничная передача. Если реклама ориентирована на российскую аудиторию, её нужно маркировать токенами и оплатить 3% сбора, независимо от домена.
Нужно ли заявлять самописную платформу как центр обработки данных?
Если самописная платформа собирает данные и хранится на вашем сервере (например, в офисе), её нужно заявить как отдельный центр обработки данных в уведомлении РКН. В форме на сайте ведомства можно указать несколько центров, включая ваш сервер, с адресом офиса или регистрации компании.
Законны ли холодные звонки и рассылки без согласия?
Холодные звонки и рассылки без согласия на обработку персональных данных — нарушение. Если база для звонков или рассылок получена от партнера, убедитесь, что:
* партнёр собрал данные легально,
* получил согласие на рекламную коммуникацию и передачу данных третьим лицам (то есть вам) именно для рекламной коммуникации.
В договоре с партнёром укажите условие, что он гарантирует легальность сбора данных и компенсирует возможные штрафы в случае нарушений. Если база собрана без согласия и не оформлена, использовать её — риск.
Можно использовать WhatsApp Business в косметологии?
Если компания оказывает медицинские услуги, для которых нужна лицензия на медицинскую деятельность — ей нельзя использовать иностранные мессенджеры. Дело в том, что таким компаниям передают чувствительные данные — например, медицинский анамнез — через переписку. Это может быть признано трансграничной передачей данных.
Для косметологии ситуация сложнее: если услуги требуют медицинской лицензии (например, некоторые виды лазерной эпиляции), использовать WhatsApp для общения с клиентами запрещено. Если услуги не лицензируются как медицинские, запрета нет.
В любом случае при передаче персональных данных через WhatsApp Business нужно уведомить РКН о трансграничной передаче.
