Что называют персональными данными

Данные — это любая информация о человеке и его деятельности, которая позволяет установить личность:

  • фамилия, имя, отчество;
  • дата рождения;
  • телефон;
  • адрес;
  • электронная почта;
  • ссылки на социальные сети;
  • место работы;
  • должность;
  • IP-адрес;
  • история заказов;
  • предпочтения в интернет-магазинах.

Точного определения, что считать персональными данными, нет: ни Роскомнадзор, ни Минкомсвязи не смогли очертить рамки. Мы посмотрели статьи закона, судебную практику и поняли вот что: чаще всего персональные данные — это информация в связке. Например, имя, телефон или электронная почта по отдельности — простая информация. А если взять имя и телефон вместе, эта информация станет персональной:

— Ульяна, 8 (100) 000-00-01;
— Иван, 10.01.1990, визажист;
— Наталья, главный бухгалтер, ООО «Берёзка».

Всё это — информация в связках, её Роскомнадзором точно посчитает персональными данными.

Даже если человек сам отправил данные через форму, компания не имеет права их использовать без законного основания.

У интернет-магазина есть имейл-рассылка. Покупатели оставляют свои данные — имена и имейлы — и раз в неделю получают письма о скидках и акциях. Интернет-магазин хранит персональные данные и должен отчитываться перед Роскомнадзором.

Бывают случаи, когда персональными данными признают информацию без связок и без возможности идентифицировать человека. Поэтому, если есть сомнения, храните вы простую информацию о человеке или его персональные данные, лучше спросите у Роскомнадзора.

Автоматизируйте бизнес-процессы

На правах рекламы ООО «Эвотор» 2RanynRHSSt

Что нужно сделать перед тем, как начать собирать персональные данные

Нельзя просто начать собирать телефонные номера, имейлы, имена или даты рождения клиентов. Сначала нужно подготовить необходимые документы, уведомить Роскомнадзор о том, что вы будете хранить персональные данные, и назначить ответственных.

С 2025 года это касается не только ИП и юрлиц, но и самозанятых. Например, репетитор, который собирает ФИО и телефоны учеников, обязан подать уведомление.

Что нужно сделать:

Шаг 1. Подготовьте документы

В законе по-прежнему нет конкретного перечня необходимых документов. Компании и ИП могут сами решать, как именно оформлять положения и приказы — главное, чтобы этих документов было достаточно для выполнения обязанностей оператора персональных данных (ст. 18 закона 152-ФЗ). Но форма согласия теперь утверждена Роскомнадзором — и это уже не рекомендация, а требование. Остальные документы — политика, регламенты, приказы — тоже нужны. Без них вы просто не докажете, что работаете с данными по закону, если Роскомнадзор придёт с проверкой. По сути, без этого набора документов бизнесу теперь никуда. 

Вот что у вас должно быть, если хотите избежать неприятностей:

Согласие на обработку персональных данных. С 2025 года согласие на обработку персональных данных не может быть «встроено» в другие документы. Например, нельзя включать согласие в пользовательское соглашение, договор или анкету. Оно должно быть оформлено отдельно — как отдельный файл, форма или визуально обособленный блок. 

С 1 марта 2025 года действует утверждённая Роскомнадзором форма согласия. Использовать старые шаблоны и свободные формулировки больше нельзя. Независимо от формата, согласие должно содержать все обязательные элементы:

  1. Полное наименование оператора — юрлица, ИП или физлица, если вы самозанятый.
  2. Цель обработки данных, например, доставка заказа, обратная связь, участие в акции.
  3. Перечень персональных данных, например, ФИО, телефон, e-mail, адрес.
  4. Способы обработки — сбор, хранение, систематизация, передача, удаление и другие.
  5. Срок хранения данных.
  6. Право пользователя на отзыв согласия в любой момент.
  7. Способ отзыва согласия — например, через e-mail или личный кабинет.
  8. Дата и способ получения согласия.

Подтверждение согласия должно быть зафиксировано:

  • в офлайне — письменной подписью;
  • в онлайне — чекбоксом, при этом требуется лог IP, дата, ID пользователя или иные доказательства, что человек ознакомился с текстом.

Если форма не соответствует утверждённым требованиям, согласие считается недействительным. А значит, любая обработка — незаконна.

Даже если клиент давно ушёл, не спешите выбрасывать его согласие — храните как минимум три года. Это срок исковой давности, когда человек может пожаловаться или подать в суд. Если возникнет спор или придёт проверка, вы сможете доказать, что всё было по правилам.

Политика обработки и защиты персональных данных. Это обязательный документ. Он может называться по-разному: политика конфиденциальности, политика защиты персональных данных или как-то ещё. Главное, чтобы в нём было указано, какие именно данные вы храните, в каких целях их собираете и как обеспечивает конфиденциальность.

Политику нужно разместить в открытом доступе, чтобы клиенты могли её прочитать. Обычно ссылку добавляют в формы регистрации и согласия на обработку данных, а также размещают в подвале сайта.

Как составить документ, читайте в рекомендациях Роскомнадзора. Также вы можете изучить политики других компаний — и на их основе составить свою. Например:

Положение о работе с персональными данными. Это правила, по которым ваши сотрудники будут хранить, обрабатывать и использовать информацию. Правила должны соответствовать закону 152-ФЗ. Документ можно объединить с политикой обработки персональных данных.

Положение о неразглашении персональных данных. Этот документ должны подписать сотрудники. Таким образом все, кто будет иметь доступ к персональным данным, подтвердят, что не станут передавать информацию третьим лицам.

Приказы и инструкции для ответственных сотрудников. В документах указывают, у кого есть доступ к информации, где хранятся данные и как с ними работать.

Регламент по защите и удалению персональных данных. В документе должно быть описано:

  • где и как хранятся персональные данные;
  • кто имеет к ним доступ;
  • какие меры защиты применяются;
  • как и когда данные удаляются;
  • кто отвечает за удаление и фиксацию этого процесса.

Если пользователь отозвал согласие или закончился срок хранения, данные должны быть удалены. Это тоже нужно прописать в регламенте.

Также компании используют и другие документы: список документов, которые могут понадобиться. Не обязательно готовить все 34, но чем яснее будут прописаны обязательства и правила работы с персональными данными, тем меньше вопросов возникнет у Роскомнадзора.

Собирайте базу контактов, не нарушая закон

Сервис «ЭвоБонус» знает, как настроить любой вид программы лояльности — хоть бонусы, хоть скидки, хоть смс-ки в день рождения! Предложите клиенту оформить карту лояльности, а сервис на кассе сам соберёт нужную информацию и спросит согласие на обработку персональных данных — чтобы вы могли законно отправлять спецпредложения.

Попробовать бесплатно  

На правах рекламы ООО «СМАРТ СОФТ ТЕХНОЛОДЖИ» 2RanyoGANR7

Шаг 2. Подайте уведомление в Роскомнадзор

С 2025 года подать уведомление обязаны все, кто работает с персональными данными, включая тех, кто нанимает сотрудников. Уведомление подаётся один раз — перед приёмом первого сотрудника. Повторно при найме новых работников направлять его не нужно.

В уведомлении нужно указать сведения о компании и сообщить, зачем вам понадобились персональные данные (ст. 22 закона 152-ФЗ). Подать документ можно тремя способами

Форма уведомления

В течение 30 дней Роскомнадзор внесёт вас в реестр операторов персональных данных.

Если вы перестанете хранить персональные данные, об этом тоже нужно будет уведомить Роскомнадзор.

Шаг 3. Назначьте ответственных

Решите, кто у вас будет заниматься персональными данными и выпустите приказ. Например, техническим обслуживанием и защитой процесса обработки займётся системный администратор, НR-специалист ознакомит всех ответственных с новыми обязанностями и подготовленными документами, а за доработку документов, если она понадобится, будет отвечать юрист.

Готово! Как только Роскомнадзор добавит вас в реестр операторов, вы сможете законно собирать, обрабатывать и хранить информацию о клиентах.

Что будет, если нарушить закон

В 2025 году штрафы за нарушения в сфере персональных данных выросли и стали намного строже. Теперь за неправильное оформление согласий, несвоевременную подачу уведомлений и ненадёжное хранение данных можно получить серьёзные денежные наказания. Повторные ошибки и особенно утечки данных могут обойтись компаниям и предпринимателям в миллионы рублей. Закон не прощает халатности, и теперь Роскомнадзор тщательно за этим следит.

Штрафы за нарушения закона о персональных данных (ст. 13.11 КоАП)

Нарушение Физические лица (₽) Должностные лица (₽) Индивидуальные предприниматели (₽) Юридические лица (₽)
Данные собраны и хранятся без согласия пользователей 10 000 – 15 000 50 000 – 100 000 50 000 – 100 000 150 000 – 300 000
Данные собраны не с той целью, которая была заявлена 2 000 – 6 000 10 000 – 20 000 10 000 – 20 000 60 000 – 100 000
Бизнес несвоевременно подал уведомление в Роскомнадзор 5 000 – 10 000 30 000 – 50 000 30 000 – 50 000 100 000 – 300 000
Политика обработки данных отсутствует в публичном доступе 1 500 – 3 000 6 000 – 12 000 10 000 – 20 000 30 000 – 60 000
Клиентам не предоставили информацию об обработке их данных 2 000 – 4 000 8 000 – 12 000 20 000 – 30 000 40 000 – 80 000
Клиент попросил изменить/удалить неточные или незаконно полученные данные, компания не выполнила 2 000 – 4 000 8 000 – 20 000 20 000 – 40 000 50 000 – 90 000
Произошла утечка данных:
1000 – 10 000 человек 100 000 – 200 000 200 000 – 400 000 200 000 – 400 000 3 000 000 – 5 000 000
10 000 – 100 000 человек 200 000 – 300 000 300 000 – 500 000 300 000 – 500 000 5 000 000 – 10 000 000
более 100 000 человек 200 000 – 400 000 400 000 – 600 000 400 000 – 600 000 10 000 000 – 15 000 000
Бизнес вовремя не сообщил в Роскомнадзор об утечке персональных данных 50 000 – 100 000 400 000 – 800 000 400 000 – 800 000 1 000 000 – 3 000 000

Помимо штрафов, Роскомнадзор вправе применять и другие меры — от временного ограничения деятельности до блокировки доступа к ресурсам, где собираются данные, а в некоторых случаях — возбуждения уголовных дел. Поэтому важно внимательно относиться к соблюдению требований закона.

Как Роскомнадзор проверяет хранение персональных данных

Роскомнадзор присваивает всем компаниям уровни риска и в соответствии с уровнем определяет тип и график проверок. 

Уровень риска Тип проверки Периодичность проверок
Высокий Инспекционный визит или выездная проверка Раз в два года
Значительный Инспекционный визит или выездная проверка Раз в три года
Средний Инспекционный визит, документарная проверка или выездная проверка Раз в четыре года
Умеренный Документарная проверка или выездная проверка  Раз в шесть лет
Низкий Не проверяют

Оценка риска — сложный параметр. Его рассчитывают, исходя из тяжести и вероятности нарушений. Например, если компания собирает данные клиентов на сайте интернет-магазина и передаёт их на территорию иностранного государства — это самая тяжёлая группа. Если компания к тому же уже нарушала закон о персональных данных в течение последних двух лет, она попадёт в первую группу вероятности. Такой компании присвоят высокий уровень риска, а значит, проверять её будут чаще. 

Низкий риск присвоят, если компания обрабатывает персональные данные небольшого числа людей, до тысячи человек, и раньше не нарушала закон. 

Чтобы сориентироваться, к какой группе риска вас может отнести Роскомнадзор, изучите критерии в самом конце Постановления Правительства «О федеральном государственном контроле (надзоре) за обработкой персональных данных».

Для тех, кто с Эвотором

Покупайте сервисы для товарного учёта, маркировки, ЕГАИС, управления кафе и интеграции с 1С. Они помогут наладить складской учёт, контролировать и анализировать продажи, вести КУДиР, а ещё рассчитывать налоговые платежи и взносы.

На правах рекламы ООО «Эвотор» 2Ranyn3S3Tn

Частые вопросы

Я храню и обрабатываю cookie-файлы. Я оператор персональных данных?

Да, если у вас есть сайт и вы обрабатываете cookie-файлы, вы являетесь оператором персональных данных (ст. 3 закона №152-ФЗ).

Я собираю геоданные пользователей. Я оператор персональных данных? 

Да, если вы собираете геоданные пользователей, вы являетесь оператором персональных данных (ст. 3 закона №152-ФЗ).

Сервера с данными находятся за границей. Мне подавать уведомление? Переносить ли данные на российские сервера?

С 1 июля 2025 года запрещено хранить и обрабатывать персональные данные россиян в зарубежных базах данных. Все данные россиян собирают, записывают, систематизируют и хранят исключительно на серверах, расположенных в России (п. 5 ст. 18 закона №152-ФЗ)

Подытожим

📌 Персональные данные — это любая информация о человеке и его деятельности, которая позволяет установить личность. С 2025 года сюда входят даже IP-адрес, история заказов, предпочтения и другие данные.

📌 Чтобы собирать и хранить персональные данные, нужно подготовить форму согласия на обработку персональных данных, утверждённую Роскомнадзором, политику конфиденциальности и другие документы, подать уведомление в Роскомнадзор и назначить ответственных сотрудников. Согласие должно быть отдельным документом — никаких встроенных форм, оферт и автоматических галочек.

📌 Хранить и использовать персональные данные можно только с согласия клиентов, даже если они сами выложили их в интернет. Нельзя хранить лишнюю информацию — ту, которая не нужна для вашей бизнес-задачи.

📌 За нарушение закона о персональных данных грозят высокие штрафы до нескольких миллионов рублей, блокировки и уголовная ответственность.