Что такое персональные данные и как с ними работать

Что такое персональные данные

Российский закон намеренно определяет персональные данные максимально широко.

Такой информацией может быть не только фамилия, имя, отчество, номер паспорта или ИНН, но и геолокация пользователя или его история заказов на сайте. Часто эти данные позволяют идентифицировать человека не сами по себе, а только в сочетании друг с другом.

Поэтому в законе и говорится как об определённом, так и об определяемом лице.

Определённое лицо — это когда вы точно знаете, что человек с конкретными Ф. И. О. или номером телефона и есть ваш клиент. А определяемое лицо — это когда какой-то идентификатор (например, ID или логин) в вашей CRM-системе может дать более полную информацию о клиенте, например его адрес или список последних заказов. Или если вы ещё не знаете конкретного человека, но, собрав дополнительные сведения о нём, сможете его идентифицировать. Так, на основе адресов, куда человек заказывал товары последние несколько раз, можно предположить, где он живёт или работает.

Исчерпывающего списка того, что считается персональными данными, не существует. 

У предпринимателей обычно копится такая информация:

• Ф. И. О.;
• номера телефонов;
• электронные почты;
• паспортные данные;
• домашние и рабочие адреса;
• даты рождения;
• гражданство;
• ИНН;
• СНИЛС;
• данные платёжных карт и банковские реквизиты.

Кроме того, если у вас есть сайт, то вы обрабатываете технические идентификаторы, которые могут обладать свойствами персональных данных, например IP-адреса и содержимое файлов cookies.

В какой момент вы получаете персональные данные

Бизнес чаще всего работает с данными клиентов, деловых партнёров и сотрудников.

Если вы продаёте товары или оказываете услуги, вам необходимо идентифицировать своих клиентов. Например, вы просите покупателя заполнить форму на сайте, где он указывает свои контактные данные.

Заключая договор с поставщиком или подрядчиком, вы также узнаёте персданные. Несмотря на то что в законе говорится о физических лицах, он касается и данных ваших деловых партнёров — индивидуальных предпринимателей, самозанятых и представителей юридических лиц.

Принимая на работу сотрудника, вы получаете о нём много сведений и тоже несёте за это ответственность. Обработку персональных данных сотрудников регулирует не только Федеральный закон «О персональных данных», но и глава 14 Трудового кодекса РФ.

С 30 мая 2025 года все персональные данные нужно локализовать. Это значит, что если вы собираете данные россиян через зарубежные сервисы (например, Telegram или Google Forms) — вам нужно хранить всю информацию в базе данных, которая физически находится в России. За нарушение правил для ИП и юрлиц ввели штрафы — от 1 млн до 18 млн ₽. Чтобы избежать наказания, перенесите всё в российскую базу или перейдите на платформы, которые работают с российскими серверами.

Главные правила для тех, кто собирает и использует персданные

Всем кто имеет дело с персональными данными, важно соблюдать несколько правил:

1. Чтобы собирать персональные данные, нужно правовое основание — например, согласие.
2. Необходимо заранее обозначить цель обработки персональных данных — иначе по закону вы не сможете их использовать. Информацию нужно будет просто уничтожить.
3. Использовать персданные можно только с той целью, с которой они получены.

4. Данные должны надёжно храниться. Например, договоры с партнёрами стоит держать в помещении, куда не может зайти любой сотрудник или гость.
5. Хранить данные «на всякий случай» или дольше, чем это объективно необходимо, — запрещено.

Собрали в таблице типичные ошибки при работе с персональными данными и штрафы, которые за них можно получить.

*Подробная информация о штрафах собрана в ст. 13.11. Кодекса РФ об административных правонарушениях.

Как начать собирать персданные

Как только вы начинаете собирать и обрабатывать персданные, вы автоматически становитесь оператором персональных данных. Чтобы всё было по закону, нужно заранее оформить документы и подать уведомление в Роскомнадзор.

Составить документы для работы с персональными данными

В зависимости от ситуации, специфики и размера бизнеса вам могут понадобиться несколько документов, например:

• политика в отношении обработки персональных данных — обязательный документ, который потребует Роскомнадзор;
• правила работы с персональными данными — список правил для сотрудников, его можно включить в текст политики;
• согласие на обработку персональных данных — документ для клиентов, который они должны прочесть и принять перед тем, как передавать вам персданные;
• положение о неразглашении персональных данных — внутренний документ, который подписывают сотрудники.

Политика в отношении обработки персональных данных — главный источник информации и для людей, чьи данные вы собираете, и для Роскомнадзора. В этом документе говорится, какую информацию вы обрабатываете, как и с какой целью.

В политике нужно указать:

• список персональных данных, которые вы используете, и их категории — общедоступные, биометрические, специальные или иные;
• цели, в которых вы обрабатываете эти данные;
• категории лиц, чьи данные вы собираете;
• способы и сроки обработки и хранения данных;
• порядок уничтожения персональных данных.

Документ должно быть легко найти — проще всего разместить его на вашем сайте. Если сайта нет, стоит держать распечатанную политику в офисе или магазине, например в уголке потребителя. Кроме того, важно дать прочитать текст всем сотрудникам под подпись.

Если политика по обработке данных недоступна для клиентов — например, не опубликована на сайте — бизнес заплатит штраф: юрлица — от 30 000 до 60 000 ₽, ИП — от 10 000 до 20 000 ₽. А если клиент напрямую спросил у вас, какие данные вы храните, а вы не ответили или нарушили срок для ответа — штраф может достигать 80 000 ₽.

Подать уведомление в Роскомнадзор

Уведомлять Роскомнадзор об обработке персональных данных должны практически все — не только юрлица, но и ИП и самозанятые.

Этого можно не делать в единственном случае — если вы не используете ни компьютер, ни любые программы, а записываете персданные на бумаге.

Подать уведомление можно в электронном виде, если у вас есть электронная подпись или личный кабинет на Госуслугах, или в бумажном — письмо необходимо выслать по адресу того управления, которое относится к вам территориально.

Во всех случаях форма уведомления одинаковая — она выложена на сайте Роскомнадзора. После того как Роскомнадзор рассмотрит заявление, информация о вас появится в списке операторов персональных данных. Кроме наименования, в нём будет указан ваш юридический адрес, номер телефона и адрес электронной почты.

Если не уведомить Роскомнадзор о том, что вы начали обрабатывать персданные, поменяли цели обработки или передаёте сведения за границу, можно получить штраф — от 100 000 до 300 000 ₽ для юрлиц. Это касается и тех случаев, когда вы просто забыли сделать это вовремя.

Уведомить Роскомнадзор необходимо до того, как вы начнёте собирать персональные данные.

Если что-то изменилось, например вы стали работать с более широким перечнем персданных, нужно подать уточнённое уведомление не позднее 15-го числа месяца, следующего за тем, когда возникли изменения. Если вы перестаёте обрабатывать персональные данные, то у вас есть 10 рабочих дней, чтобы информировать об этом Роскомнадзор.

Получить согласие на обработку персональных данных

Вопреки популярному мнению, есть случаи, когда обрабатывать персональные данные можно и без согласия.

Например, оно не требуется:

• если персданные необходимы для исполнения закона: например, чтобы отправить информацию о сотрудниках в налоговую;
• если данные нужны, чтобы соблюсти договор с клиентом: например, вы создаёте клиенту личный кабинет на сайте на основании пользовательского соглашения (оферты). Но при этом вы не можете включить в оферту согласие на получение рекламы, его придётся получать отдельно, — об этом регулярно предупреждает ФАС России.

Полный список легальных оснований для обработки персональных данных можно найти в законе «О персональных данных».

Если согласие на обработку персональных данных вам всё же необходимо, важно помнить о следующем:

1. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Старайтесь включать в него условия, которые содержатся в части 4 статьи 6 Федерального закона «О персональных данных».
2. Не делайте согласие бессрочным — ограничивайте срок его действия в соответствии со здравым смыслом и вашими реальными потребностями.
3. Помните, что даже если человек дал согласие, он может отозвать его в любое время, не объясняя причины. По общему правилу вы должны удалить данные в течение 30 календарных дней. Обязательно опишите, как можно отозвать согласие, — например, на какой адрес отправлять отзыв, что нужно в нём указать. Также продумайте план действий на этот случай.
4. Если не удалить персданные вовремя — например, после отзыва согласия или по требованию Роскомнадзора — это может закончиться штрафом. Суммы варьируются: от 20 000 до 40 000 ₽ для ИП и от 50 000 до 90 000 ₽ для юрлиц за первое нарушение. При повторных нарушениях наказание ужесточается: от 50 000 до 100 000 ₽ для ИП и от 300 000 до 500 000 ₽ для компаний.

Согласие можно получать как в бумажной, так и в электронной форме.

Иногда закон требует, чтобы согласие было обязательно в письменном виде: например, это касается обработки сведений о состоянии здоровья. Но если у вас интернет-магазин, то, разумеется, не нужно требовать от клиентов скан-копий подписанных ими согласий. Покупателям достаточно поставить галочку в чекбоксе на сайте. Имейте в виду: в спорной ситуации именно вам придётся доказывать, что согласие получено. На этот случай можно хранить лог-файлы или в принципе запретить регистрироваться в магазине и оформлять покупки тем, кто не поставил галочку.

Ответственность за утечку персональных данных

Если произошла утечка, бизнесу важно как можно быстрее уведомить об этом Роскомнадзор. Если этого не сделать — штраф составит от 1 до 3 млн ₽.

Под утечкой понимается любая несанкционированная передача данных, в том числе случайная.

За сам факт утечки могут назначить дополнительный штраф, даже если вы направили уведомление Роскомнадзору. Его размер зависит от количества затронутых данных и их категории:

• за первую утечку обычных персданных (Ф. И. О, телефон, адрес электронной почты) — от 3 до 15 млн ₽ в зависимости от количества субъектов и идентификаторов;
• за повторную — от 1 до 3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽;
• за утечку специальных категорий персональных данных (к ним относятся данные о состоянии здоровья, наличии судимости и др.) — от 10 до 15 млн ₽ уже при первом случае, а за повторный — от 25 млн до 500 млн ₽;

Самые низкие штрафы назначают за утечку обычных персональных данных, таких как Ф. И. О., телефон или email.

Самые высокие штрафы предусмотрены за утечку специальных данных (информация о здоровье, национальности, религиозных или политических убеждениях, об интимной жизни) и биометрии. Такие сведения больше всего затрагивают личную жизнь человека, поэтому ответственность за них серьёзнее.

Последние годы власти уделяют всё больше внимания защите персональных данных. Поэтому, чтобы избежать проблем и штрафов в будущем, лучше сразу подготовить несколько документов и зарегистрироваться в реестре Роскомнадзора.

Подписаться на сообщество в Telegram

Подписаться на сообщество «ВКонтакте»