Всё, что нужно знать о персональных данных

Закон о персональных данных существует уже почти 20 лет. И за его нарушение всегда были штрафы.

Но с 30 мая 2025 года все стало намного серьезнее. Вот что наши читатели спрашивали о персональных данных.

В России есть закон о персональных данных. Чтобы собирать, обрабатывать и хранить данные о сотрудниках, подписчиках на рассылку и посетителях сайта, нужно почти всегда получать их согласие, а сами данные хранить в России.

За нарушение закона штрафуют. С 30 мая 2025 штрафы выросли до 15—20 млн рублей, а у бизнеса стало больше обязанностей. В частности, уведомить Роскомнадзор нужно не в процессе работы с персональными данными, а до ее начала.

Закон о персональных данных нужен тем, чьи данные собирают, обрабатывают и хранят. Цель закона — защитить интересы и права этих людей.

Конституция гарантирует каждому человеку неприкосновенность частной жизни, тайну переписки и телефонных переговоров. Даже без закона о персональных данных нельзя обрабатывать, хранить и распространять информацию о человеке без его согласия  .

Отдельная глава про персональные данные есть в трудовом кодексе: работодатели не могут свободно распоряжаться информацией о сотрудниках.

Однако персональные данные оставляют постоянно: чтобы оформить заказ в интернет-магазине, взять кредит в банке, устроить ребенка в детский сад, зарегистрироваться в соцсети или подписаться на рассылку. Когда человек оставляет свои данные, он должен быть уверен, что его адрес не разместят в открытом доступе, а телефон не передадут кому-то без разрешения. А тот, кто обрабатывает персональные данные, хочет гарантий, что на него не подадут в суд за рекламную рассылку и не оштрафуют за утечку.

Закон о персональных данных заставляет всех принимать дополнительные меры предосторожности, но и защищает он тоже всех.

Да, закон нужно соблюдать всем, кто обрабатывает чьи-то персональные данные. Оператором может быть юридическое лицо, ИП, государственный орган или обычный человек, который создал и администрирует форум по интересам  .

Любое из этих действий — это обработка персональных данных. Любой, кто этим занимается, — оператор.

Нет, в таких случаях согласие не нужно. Под действие закона не подпадают персональные данные, которые обрабатывают для личных и семейных нужд  . Это могут быть контакты нужных людей в телефонном справочнике, визитки коллег и партнеров, профили друзей во «Вконтакте».

Это исключение действует, только если не нарушаются права этих людей. Например, их данные не оставляют в банке как контакты для связи при оформлении кредита, не публикуют в общем доступе без разрешения или не передают рекламодателям.

Если в ней человек может ввести свои персональные данные — то да.

В законе нет исключений по поводу формы и способа сбора персональных данных. И уточнения, что именно является сбором, тоже нет. При этом есть модельный закон о персональных данных, который носит рекомендательный характер. В нем сказано, что сбор — это документально оформленная процедура получения данных о человеке. Форма обратной связи подходит под это определение.

Важно, какие данные передает посетитель через эту форму, можно ли по ним прямо или косвенно идентифицировать человека и нанести ему вред в случае утечки и распространения.

Если посетитель сайта указывает в форме свое имя, фамилию, телефон и электронную почту — это персональные данные. Тот, кто эти данные получает, обрабатывает и хранит, считается оператором персональных данных и должен соблюдать закон.

По закону персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Если понимать буквально, то персональными данными можно считать что угодно. Юристы спорят по этому поводу уже много лет.

Минцифры конкретизировало то, что и так очевидно, — к персональным данным относятся: ФИО человека, дата и место рождения, реквизиты паспорта, адрес и телефон, ИНН и СНИЛС, семейное, имущественное и социальное положение, должность, сведения об образовании и доходах. И это не закрытый перечень.

Фотографии, аудио- и видеозаписи, отпечатки пальцев — это биометрические персональные данные  .

Адрес электронной почты, по мнению Минцифры, тоже могут признать персональными данными.

Чтобы не рисковать, лучше сделать так.

Если вы где-либо с какой-нибудь целью собираете любую информацию о любых людях, нужно зафиксировать их согласие и подготовить документы. Если это сделать для страховки, даже когда не надо, ничего страшного не будет. А если этого не сделать, могут быть претензии от пользователей и Роскомнадзора.

Владелец сайта обязан быть оператором персональных данных и соблюдать закон. Он разрешает собирать персональные данные и передавать их кому-то на обработку  . Владелец сайта может передать данные клиентов вебмастеру, интернет-магазин — сервису рассылки.

Тот, кому он передаст данные на обработку, отдельное разрешение получать не должен, а соблюдать закон — должен.

Отвечать за соблюдение закона перед посетителями сайта будет его владелец.

Владельца сайта Роскомнадзор и суд будут определять по совокупности данных. Если на сайте размещена информация о конкретном юридическом лице или ИП, спросят с него. Если таких данных нет, спросят с администратора домена.

Роскомнадзор узнает о нарушениях двумя способами:

• сам проведет проверку;
• отреагирует на чью-то жалобу.

Если Роскомнадзор обнаружит нарушения, сайт могут заблокировать, а владельца оштрафуют.

По закону операторы обязаны хранить персональные данные на российских серверах  . Есть несколько исключений, но это частности. Любой интернет-магазин или сервис по подписке должен хранить базу с персональными данными граждан в России.

Потом можно передавать эти данные за границу. Это законно, но при определенных условиях. Иначе нельзя было бы бронировать гостиницы и покупать билеты на самолет за рубежом.

Роскомнадзор может потребовать предоставить подтверждение по поводу места хранения баз данных. Например, договор с дата-центром, хостингом или документы на собственный сервер. Если выяснится, что персональные данные хранятся с нарушениями и не в России, будут проблемы.

Кроме закона о персональных данных есть требования Федеральной службы по техническому и экспортному контролю и ФСБ. Еще к проверке может подключиться прокуратура. Им хватит полномочий, чтобы узнать, где на самом деле хранятся данные, и разобраться с нарушениями.

Закон о персональных данных нужно соблюдать, если сайт используется для работы на территории РФ.

Вот некоторые признаки этого:

• доменное имя связано с РФ;
• есть русскоязычная версия сайта;
• расчет за товары или услуги происходит в рублях, доставка возможна на территорию РФ;
• потребители содержимого сайта — россияне;
• есть реклама на русском, которая ведет на этот сайт.

Если есть какое-то сочетание этих факторов, оператор персональных данных должен соблюдать закон, даже если это иностранная компания. А это значит, что документы об обработке данных должны быть на русском языке и понятны в РФ. На нерезидентов за пределами страны наш закон о персональных данных не распространяется.

Как определять гражданство посетителя, закон не объяснил. Операторам предложили решать эту проблему самостоятельно. А если четкой позиции и инструментов нет, стоит соблюдать закон в отношении всех персональных данных, которые собрали на территории России.

Дублировать те же документы на иностранных языках для россиян нет смысла. Но подобные правила обработки действуют не только в России. Есть конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера. Так что, если собираете данные иностранцев, подумайте, как соблюдаете закон страны их местонахождения.

В Европе за однократное нарушение правил обработки персональных данных штрафуют на сотни тысяч евро. В России максимальный штраф с 30 мая 2025 года — 20 млн рублей.

Закон о персональных данных защищает данные только физических лиц. Он не распространяется на данные о компаниях. Но то, что указано в форме обратной связи, — это формальность. Важно, какие данные и с какой целью собирает владелец сайта.

Если это на самом деле название компании и телефон офиса, такая информация не подпадает под действие закона. Но если сайт собирает почтовые адреса и телефоны сотрудников компаний, чтобы потом делать по ним рассылку или передавать их третьим лицам, могут быть проблемы как со стороны этих сотрудников, так и от Роскомнадзора.

Уведомлять Роскомнадзор должны все операторы персональных данных. Исключения перечислены в части 2 статьи 22 закона о персональных данных.

Это не нарушение закона. Тогда оператором персональных данных выступает социальная сеть. Каждый, кто там зарегистрировался, дал согласие на публикацию, обработку и использование его данных.

Все согласились на то, что эти данные «Вконтакте» передает своим партнерам и рекламодателям. И на то, что любой пользователь может ссылаться, упоминать и отмечать на фотографиях кого захочет в рамках их настроек безопасности. Это законно, и за это отвечает ВК, а не пользователи.

Так устроена любая соцсеть и общедоступные справочники.

Нет, столб оштрафовать нельзя. Юридическим лицом он не является. А люди, которые читают такие объявления и записывают номера телефонов, чтобы продать рога, не операторы персональных данных и не подпадают под действие закона.

Геннадий сам сделал свои данные общедоступными, чтобы купить рога оленя. А те, кто позвонит ему на этот счет, используют телефон в личных целях.

Если телефон Геннадия запишет микрофинансовая организация и начнет присылать ему рекламу быстрых займов, то ее можно привлечь к ответственности. Геннадий не давал ей согласия на обработку персональных данных для рекламы.

Человека, который случайно увидел телефон Геннадия, записал его в телефонную книгу или даже позвонил Геннадию с предложением купить рога, привлечь к ответственности нельзя.

Если человек передает свои персональные данные какому-то ресурсу, даже с рекламной целью, этот ресурс должен соблюдать закон. Он обязан предупредить пользователя, зачем собирает персональные данные, что будет с ними делать, где публиковать, кому передавать.

Чтобы подать объявление на «Авито», нужно зарегистрироваться и подтвердить номер телефона. Без регистрации объявление подать нельзя.

«Авито» объясняет, что использует данные, чтобы размещать их на сайте, информационных ресурсах, передавать своим партнерам, проводить конкурсы и проверять личность пользователя. Еще «Авито» может передавать данные пользователей за границу и отдавать их на обработку каким-то третьим лицам и честно об этом пишет. Это законно.

Нет такого правила, что если человек сам разместил данные в общем доступе на каком-то ресурсе, то с ними можно делать что угодно: распространять, обрабатывать и хранить у себя без разрешения.

Оператор общедоступных данных тоже обязан подавать уведомление в Роскомнадзор, а также получать согласие, обеспечивать безопасность и удалять данные по требованию их владельца.

Нельзя брать любое соглашение и использовать его на своем сайте, но можно посмотреть, как сделали другие, и использовать этот опыт.

Согласие на обработку персональных данных должно быть конкретным, однозначным, информированным и сознательным  . Молчание или отсутствие возражений на обработку персональных данных — это не согласие.

Главное, чтобы можно было доказать, что это согласие получено и посетитель понимал, на что он соглашается.

У каждого оператора должны быть цели. Интернет-магазин собирает данные об адресах, чтобы доставить товар; сервис по подписке просит указать электронную почту, чтобы отправлять письма; медицинский центр систематизирует данные о состоянии здоровья; школа — данные о семье.

Собирать, обрабатывать и хранить можно только те персональные данные, которые соответствуют цели. У «Ламоды», «Главреда», «Библио-глобуса» и детского сада цели разные. А если собирать лишние данные, за это могут оштрафовать.

Получить согласие на обработку персональных данных недостаточно. Нужно соблюдать семь принципов обработки и правильно оформлять внутренние документы.

Лучше сделать это один раз и с помощью юриста, чем платить штрафы государству и возмещать моральный вред.

Изучите закон. Он сложный, там много непонятного, а какие-то вопросы вообще не объясняются. Если не можете разобраться сами, попросите юриста, которому доверяете.

На некоторые вопросы отвечает Минкомсвязи — эти разъяснения тоже лучше изучить лично. Можно там же задать вопрос по своей ситуации или написать в Роскомнадзор.

Разместите на сайте пользовательское соглашение, политику конфиденциальности, оферту или еще какой-то документ, откуда посетитель поймет, какие данные вы собираете, что с ними делаете, куда передаете, как храните и когда удаляете. Внимательно относитесь к формулировкам: они пригодятся в суде.

Формируйте базу с персональными данными на российских серверах. Потом можете передавать данные за границу, если это законно, обоснованно и безопасно.

Обеспечьте техническую безопасность данных и защитите их от утечки.

Оформите внутренние документы. Их много. Это приказы, распоряжения, инструкции и подписки. Это нужно сделать один раз, но правильно. При проверке Роскомнадзор имеет право их потребовать и проверить.

Подайте уведомление в Роскомнадзор, если не попадаете под исключения из статьи 22 закона о персональных данных. Если попадаете под исключения, оформите документы так, чтобы это было понятно при визуальной проверке и к вам не придрались.

Если у вас нет сайта, вы тоже можете быть оператором персональных данных. Необязательно собирать их автоматизированным способом и через интернет. Когда вы берете на работу сотрудника, вы тоже обрабатываете персональные данные. Правильно оформляйте документы.

Это нормальная мировая практика. Чтобы его соблюдать, не нужно тратить много денег. И бояться штрафов тоже не нужно. Если один раз все правильно оформить и аккуратно относиться к информации о других людях, вам ничего не грозит.

Каждый из нас — субъект персональных данных. Этот закон защищает и наши данные тоже. И если кто-то его нарушит, можно подать в суд, заблокировать сайт-нарушитель, потребовать удалить информацию о себе и даже получить компенсацию.