Что такое персональные данные
Если вы нанимаете сотрудников, храните клиентские номера телефонов, постите скриншоты клиентов, делаете рассылки, собираете заявки с сайта или просто публикуете кейсы, то вы считаетесь оператором данных и должны соблюдать федеральный закон № 152-ФЗ от 27.07.2006.
Когда речь заходит о персональных данных, многие представляют себе что-то юридически сложное, но на деле все проще — сейчас расскажем.
Персональные данные — это не только паспорт и прописка.
Под них попадает всё, что позволяет узнать, кто перед нами: имя, фамилия, номер телефона, паспортные данные, почта, дата рождения, фото, голос в видео, должность в компании — всё это уже считается персональными данными. И если вы их собираете, храните, отправляете кому-то или просто публикуете — вы их обрабатываете. А значит, обязаны соблюдать закон.
Кто есть кто в этой истории:
Субъект — человек, чьи данные используются.
Оператор — тот, кто с этими данными что-то делает.
Обработка — любое действие с данными: сбор, хранение, систематизация, передача, удаление.
То есть, если у вас на сайте форма и кто-то оставил через неё контакты — вы уже стали оператором.
Как устроен процесс:
- Человек заполнил форму — вы собрали данные.
- Занесли в таблицу — началось хранение.
- Отправили письмо или сделали рассылку — используете.
- Удалили данные — завершили обработку.
Даже если вы просто получили контакт в личке и добавили его в эксель — это уже обработка. Не нужно думать, что закон касается только крупных агентств или баз клиентов с тысячами записей.
Пример из жизни:
Вы делаете кейс с комментарием эксперта. Он представился — имя, фамилия, должность, компания. Вы вставили это в текст, выложили на сайт. Если он не дал явного согласия — это уже потенциальное нарушение. И неважно, что все это можно найти в интернете — вы все равно использовали данные человека.
Что делать бизнесу:
— Проверьте формы на сайте: есть ли там галочка с согласием на обработку.
— Убедитесь, что текст согласия понятный и доступный.
— Не прячьте документы в футере мелким шрифтом — пусть будут выделены и вынесены на отдельную страницу.
— Храните доказательства, что человек сам согласился: скрин, лог, заявка.
Какие бывают персональные данные
Не все понимают, что относится к ПД, и чем один тип отличается от другого. А от этого зависит, какие согласия нужны, как оформлять документы и какие штрафы можно случайно получить.
1. Общедоступные данные.
Это те данные, с которыми компании сталкиваются каждый день: имя, фамилия, номер телефона, почта, адрес, дата рождения, паспортные данные, ИНН. Они базовые, но всё равно подпадают под защиту закона.
Пример: человек оставляет заявку на сайте, подписывается на рассылку или заполняет договор с фитнес-клубом. Всё, что он указывает — попадает в категорию персональных данных. А значит, обработка возможна только с его согласия.
Совет: если собираете такие данные — убедитесь, что на сайте стоит галочка «Я согласен на обработку», и под ней ссылка на политику конфиденциальности.
2. Специальные персональные данные.
Это уже не просто контактные сведения, а информация, касающаяся здоровья, национальности, религии, взглядов, интимной жизни. Закон требует особой осторожности при работе с ними.
Пример: компания проводит медосмотр перед трудоустройством или спрашивает у клиента про противопоказания перед процедурой. Даже фраза в анкете вроде «есть ли у вас хронические заболевания» — уже специальная категория. Без отдельного согласия такие вещи упоминать нельзя.
Совет: если собираете данные о здоровье — оформляйте отдельный документ с понятным и добровольным согласием. Лучше письменно, с датой и подписью.
3. Биометрические данные.
Это данные, по которым человека можно узнать без текста: фото в хорошем качестве, отпечатки пальцев, скан лица, радужка глаза. И здесь важно понимать нюанс: не каждое фото — биометрия.
Пример: если человек стоит на фоне компании на корпоративе — это еще не биометрические данные. А вот если его лицо крупно, прямо смотрит в камеру, и вы используете этот снимок на бейдже, визитке или на сайте — это уже другое дело. Особенно если система распознавания может по нему опознать человека.
Совет: если вам не жизненно важно использовать такие изображения — лучше отказаться. Или соберите отдельное согласие с пояснением, где и как будет использоваться фотография.
Главный ориентир: чем более личная информация — тем аккуратнее с ней нужно обращаться. Лучше спросить разрешения лишний раз, чем потом объяснять, почему не спросили вовсе.
Где чаще всего живут персональные данные
Многие думают, что персональные данные — это только про анкеты и договоры. А на деле они разбросаны по всем каналам, с которыми работает бизнес: от новостных публикаций до фоток с мероприятий. Просто часто никто не задумывается, что все это — зона риска.
1. Тексты: статьи, интервью, блоги, отзывы.
Любой текст, в котором упоминаются конкретные люди — потенциальный источник персональных данных.
Пример: указали ФИО автора статьи, его должность, компанию, город — этого уже достаточно, чтобы идентифицировать человека.
Совет: перед публикацией таких материалов желательно получить согласие, особенно если текст пойдёт в открытый доступ. Не только на авторское право, но и на обработку данных.
2. Документы: договоры, заявки, формы.
Работаете с самозанятыми, ИП или клиентами напрямую? Тогда вы точно видите их ФИО, паспортные данные, банковские реквизиты.
Это уже целый пакет персональных данных.
Совет: в договоре или заявке должен быть пункт о согласии на обработку данных. Без него — технически нельзя даже внести их в CRM.
3. Фото и видео: даже случайные кадры.
Провели мероприятие и выложили фотографии участников? Записали ролик для соцсетей? Если на кадре видно лицо человека, это уже персональные данные. А если он узнаваем (например, эксперт или медийная персона) — тем более.
Совет: получайте разрешение на съемку заранее. Можно прямо в форме регистрации сделать галочку с согласием на фото- и видеосъемку.
4. Рассылки и коммуникации.
Почта, смс, вотсап, телеграм, CRM, IP-адреса, cookie — все это тоже зона персональных данных. Если вы знаете, кто открыл письмо, на что кликнул, откуда зашел — это уже отслеживание конкретного человека.
Совет: добавьте чекбокс согласия в формы, где человек оставляет контакты. И обязательно указывайте, зачем именно вы собираете эти данные.
5. Аудио: звонки, голосовые, подкасты.
Если человека можно узнать по голосу — это тоже идентификатор. Записи разговоров, интервью или даже голосовые комментарии в сторис могут содержать персональные данные.
Совет: если используете аудио публично — согласие обязательно. Лучше письменное или через онлайн-форму, где все зафиксировано.
6. Соцсети: не всё, что открыто — можно использовать.
Даже если человек сам что-то выложил в открытый доступ — это не дает вам автоматического права использовать эти данные в коммерческих целях. Репостнули чужой отзыв, вставили скрин комментария, прикрепили чужую сторис — это уже работа с данными.
Совет: всегда спрашивайте разрешение, особенно если используете это в рекламных или PR-материалах.
7. Метаданные и IP-адреса.
Фотографии и файлы, сделанные на смартфон, часто содержат больше, чем кажется: координаты съемки, время, модель устройства. Даже IP-адрес может указывать на конкретного человека.
Совет: проверяйте метаданные перед публикацией, особенно если фото делались в личных ситуациях.
Что изменилось в 2025 году
Начиная с мая 2025 года закон о персональных данных перестает быть «про галочку в рассылке» и начинает реально касаться всех. Изменения вводятся поэтапно — до сентября включительно, и с каждым месяцем требований становится больше, а штрафов — выше. Разбираемся, что важно знать.
1. Штрафы стали не символическими.
Если раньше за большинство нарушений можно было отделаться предупреждением или мелким штрафом, то теперь суммы стали ощутимыми. Например:
- За обработку данных без законного основания (то есть без согласия или договора) теперь можно получить до 300 000 ₽ штрафа.
- За то, что компания не уведомила Роскомнадзор, что она оператор персональных данных — тоже до 300 000 ₽.
Совет: если вы собираете какие-либо данные — уведомите Роскомнадзор. Это бесплатно, делается за 20 минут, и за 10–15 дней вас внесут в реестр.
2. Новые правила для согласий на сайте.
С 1 сентября 2025 года ужесточаются требования к тому, как пользователь дает согласие:
Согласие должно быть отдельным — не спрятанным в пользовательском соглашении.
Должны быть отдельные чекбоксы на:
обработку персональных данных;
рассылку (если она есть).
И главное — галочки должны быть пустыми по умолчанию. Пользователь должен сам их поставить.
Автоматически отмеченные галочки — теперь прямое нарушение.
Совет: пройдитесь по всем формам на сайте. Добавьте отдельные согласия, уберите автогалочки, пропишите, зачем вы собираете данные.
3. Ужесточение контроля за передачей данных за границу.
В 2025 году в России усиливается контроль над тем, где физически хранятся персональные данные. Особенно если речь идёт о странах, признанных недружественными (например, США, Канада, Евросоюз и др.).
Что это значит на практике?
Если компания использует зарубежные сервисы (например, Google-таблицы, Notion, Slack) для хранения данных клиентов — это уже считается трансграничной передачей. Для этого требуется официальное согласие пользователя и иногда даже разрешение от Роскомнадзора.
Пример: турагент бронирует отель в другой стране и передает туда паспортные данные клиента. Он обязан уведомить клиента, получить согласие и зафиксировать это в документах. Без этого — нарушение.
Совет: если можно — лучше использовать российские сервисы для хранения данных. Это снижает риски и упрощает соответствие требованиям. Например, вместо Google Forms — Яндекс.Формы или другие локальные платформы.
Что делать бизнесу прямо сейчас:
- Проверьте, подали ли вы уведомление в Роскомнадзор. Если нет — срочно оформите.
- Пересмотрите формы на сайте и согласия: всё должно быть понятным и в отдельных документах.
- Уточните, где вы храните данные: на российских или зарубежных серверах.
- Если данные передаются за границу — добавьте формулировку об этом в согласие или поменяйте сервис на российский.
Онлайн-сервисы, отзывы в соцсетях, мессенджеры — также попадают под закон
Риски часто прячутся в самых привычных инструментах: от CRM до телеграм-бота. Всё, что кажется удобным в работе, может неожиданно стать источником проблем.
1. Иностранные платформы — это уже трансграничная передача.
Сайт собран на Webflow, WordPress или Wix? А, может, клиенту вы пишете в Вотсапе или Инстаграме*? Тогда вот вам реальность: почти со 100 % вероятностью персональные данные клиентов физически хранятся за границей.
Например, *Meta официально признана не только нежелательной организацией, но и экстремистской и запрещенной на территории России. А это уже не просто риск, а конкретная юридическая зона ответственности.
Совет: если вы только запускаете проект — сразу выбирайте российские сервисы. Если уже работаете — хотя бы поймите, где хранятся ваши данные и как это можно оформить. Иногда достаточно просто обновить согласие пользователя.
2. Отзывы клиентов — не просто текст, а уже данные.
На сайте хочется показать, что у бизнеса есть довольные клиенты. Поэтому туда добавляют отзывы с именем, городом, фото, а иногда — даже с должностью. Всё бы хорошо, но если человек не давал на это согласие — это уже обработка персональных данных без основания.
Совет: всегда запрашивайте согласие на публикацию отзыва. Достаточно зафиксировать это в переписке или в форме отзыва, где стоит галочка.
3. Раздел «наша команда»: сотрудники тоже имеют право на приватность.
Фото, должности, небольшая биография — стандартный блок на сайте компании. Но даже если человек у вас в штате, просто взять и выложить его фото без согласия нельзя. Фото и краткая информация — это тоже персональные данные.
Совет: включите в трудовой договор или отдельным документом пункт о согласии на размещение фото и информации на публичных ресурсах.
4. Скриншоты соцсетей, постов и комментариев — не всё можно использовать.
Открытый доступ в интернете не отменяет действия закона. Даже если человек сам опубликовал пост, это не дает право использовать его имя, фото или высказывание в кейсе, презентации или блоге.
Даже замазанные имена не панацея. Если человека можно узнать по другим деталям — это всё равно идентификация.
Совет: берите разрешение на использование скрина. Если это невозможно — обезличивайте: убирайте имя, фото, не указывайте город или компанию.
5. Кейсы, где указаны клиенты — особенно с должностями и логотипами.
Публикуете кейс, где есть клиент, его имя и лого его компании, комментарии из переписки? Всё это тоже подпадает под закон. Даже если вы работаете с юрлицом, но контактное лицо — физическое, его данные тоже защищены.
Совет: запросите согласие на публикацию. Это может быть отдельным письмом, формой или частью договора на оказание услуг.
6. Конкурсы в соцсетях — много данных, ноль согласий.
Сценарий: вы запускаете конкурс в соцсети, участник оставляет имя, почту, телефон. Но нигде не указано, что данные обрабатываются, нет галочек, нет ссылки на политику. Вроде бы просто розыгрыш, а по факту — нарушение.
Совет: добавьте к условиям конкурса формулировку о согласии на обработку, ссылку на политику и чекбокс — это защитит от неприятностей.
7. Чат-боты в телеграме и других мессенджерах — всё ещё зона риска.
Боты стали популярным инструментом для сбора заявок, анкет, бронирований. Но чаще всего в них нет даже намека на политику обработки данных. А ведь имя, номер телефона, почта, отправленные через бота — это всё персональные данные.
Совет: добавляйте в начало диалога ссылку на политику конфиденциальности. Если бот собирает что-то большее — предусмотрите отдельное согласие.
Если данные утекли
Самый страшный сценарий — это утечка. Пример: клиент оставил телефон на сайте, а на следующий день ему названивают пять разных компаний. Или еще хуже — чьи-то паспортные данные всплывают в открытом доступе или в даркнете.
Источники таких утечек — не только хакеры. Часто это просто халатность или отсутствие ограничений на доступ. Бывали случаи, когда базы утекали прямо из банков, налоговой или колл-центров.
Совет: если вы работаете с клиентскими данными — обязательно настройте уровни доступа, шифрование, двухфакторную аутентификацию. И не собирайте того, что вам не нужно. Чем меньше данных, тем меньше проблем.
Как собирать согласия
Что именно считается согласием?
Согласие должно быть не просто кнопкой, а осознанным действием человека, который понимает, на что он соглашается. Если раньше текст про обработку данных прятали в пользовательское соглашение или ставили галочку «по умолчанию», то теперь это считается нарушением.
Пример: На сайте стоит форма: имя, телефон, почта и одна кнопка «Отправить». Под ней — три чекбокса:
- Согласие на обработку данных
- Разрешение на рассылку
- Отдельное согласие, если данные будут использоваться в рекламе
Все галочки пустые, текст рядом — короткий и понятный, со ссылкой на политику. Только если пользователь сам их отметил, данные уходят — вот это правильно.
Где размещать документы?
Идеальное место — подвал сайта. Там должны быть:
- Политика конфиденциальности
- Пользовательское соглашение
- Шаблон согласия на обработку данных
Что обязательно должно быть в этих документах?
- Какие данные собираете (имя, почта, номер, фото и т. п.)
- Зачем они вам
- Кто будет с ними работать
- Сколько времени вы их храните
- Как человек может отозвать свое согласие
Совет: избегайте сложного канцелярского языка. Лучше пусть текст будет чуть длиннее, но понятный обычному человеку.
Как не получить штраф
1. Всегда проверяйте, нет ли в контенте персональных данных.
Перед тем как опубликовать статью, кейс, отзыв или даже банальный скриншот — стоит остановиться и задать себе простой вопрос: а нет ли здесь ФИО, фото, должности, цитаты, места работы?
Если есть — это уже персональные данные. Даже если человек известен или пост открыт для всех в соцсети.
Совет: если не уверены, лучше спросить разрешение или обезличить.
2. Не забудьте про согласие.
Устное «да» по телефону — не считается. Нужно зафиксированное согласие:
- через галочку под формой,
- в переписке,
- отдельным документе,
- в договоре.
Важно, чтобы вы могли потом показать, когда и как его получили. Это часто первое, что проверяет Роскомнадзор.
Совет: создайте шаблон согласия, который легко адаптировать под разные случаи: сайт, рассылка, публикация в блоге и т. д.
3. Если можно не показывать человека — не показывайте.
Смысл простой: обезличенные данные — не персональные.
Редактируйте скриншоты, замазывайте лица на фото, не указывайте лишнюю информацию в подписях. Так вы сэкономите кучу времени на оформление согласий и снизите риски.
Финальный чек-лист
Проведите аудит — где в компании вы работаете с персональными данными? Формы, CRM, договоры, чат-боты, соцсети, маркетинг — всё проверяем.
Подайте уведомление в Роскомнадзор — если обрабатываете данные (а вы их точно обрабатываете), лучше официально стать оператором. Это бесплатно и делается онлайн.
Проверьте формы на сайте — есть ли рядом с ними внятные, непроставленные автоматически галочки и ссылки на политику конфиденциальности?
Проверьте, где хранятся данные — если на зарубежных серверах, подумайте о переносе или оформите трансграничную передачу.
Проведите инструктаж для команды — особенно тем, кто работает с сайтами, контентом и клиентами.