Персональные данные (ПДн) — любая информация, которая идентифицирует человека (ст. 3 152-ФЗ). Примеры:
- ФИО, телефон, email, паспорт, адрес;
- Cookie, IP-адрес, геолокация;
- Даже отпечатки пальцев или группа крови.
Вы оператор ПДн, если:
- Собираете данные через формы заявок, регистрации, подписки;
- Используете аналитику (Google Analytics, Яндекс.Метрика);
- Храните данные сотрудников (стаж, зарплата, отпуска).
Не считаетесь оператором, только если:
- Данные анонимны (например, опрос без имени);
- Собираете техническую информацию, не связанную с личностью (но это спорно — лучше перестраховаться!).
За нарушение закона Роскомнадзор назначает административные штрафы.
- НарушениеШтраф для физлиц (₽)Штраф для ИП (₽)Штраф для юрлиц (₽)
- Не отправлено уведомление в уполномоченный орган
- 100–300
- 300–500
- 3 000–5 000
- Нет согласия людей на обработку данных
- 9 000–15 000
- 100 000–300 000
- 300 000–700 000
- Не размещены документы об обработке ПДн
- 1 500–3 000
- 10 000–20 000
- 30 000–60 000
- Использование информации не по назначению
- 2 000–4 000
- 20 000–30 000
- 40 000–80 000
- (!) За повторные нарушения суммы штрафов увеличиваются.
Реальный кейс: Салон красоты собирал номера клиентов для записи, но рассылал рекламу. Штраф — 300 000₽, так как реклама не была указана в целях обработки.
Как работать с данными легально: 4 шага
- 1. Создайте политику конфиденциальности
- Что включить:
- Какие данные собираете (например, email + cookie);
- Цели (доставка заказов, реклама — но только если есть согласие!);
- Как пользователь может отозвать согласие.
- Пример целей:
- Идентификация пользователя;
- Отправка кассовых чеков;
- Улучшение качества сервиса.
- Вот бесплатный конструктор от Tilda: https://tilda.cc/ru/privacy-generator/
- 2. Добавьте согласие на обработку данных
- Обязательно: Отдельный чекбокс в формах («Я согласен...»).
- Для cookie и рекламы: Отдельное всплывающее окно с кнопкой «Принять».
- Как это выглядит:
- 3. Отправьте уведомление в Роскомнадзор
- Заполните форму на сайте РКН → отправьте через Госуслуги.
- Проверьте реестр операторов через 30 дней: https://pd.rkn.gov.ru/operators-registry/operators-list/.
- Когда уведомлять не нужно:
- Если данные обрабатываются вручную;
- Для государственных информационных систем.
- 4. Для мобильных приложений:
- Запрашивайте только необходимые разрешения (например, геолокацию — только если она нужна для функционала);
- Добавьте политику в настройки приложения (раздел «Юридическая информация»).
Чек-лист: 5 минут на проверку
- ☑️ Есть ли политика конфиденциальности в «подвале» сайта?
- ☑️ Все формы сбора данных имеют чекбокс согласия?
- ☑️ Указаны ли цели обработки данных в политике?
- ☑️ Отправлено ли уведомление в Роскомнадзор?
Особенности для мобильных приложений
- Если у вас мобильное приложение, помимо политики конфиденциальности и согласия, важно:
- Минимизировать запросы разрешений:
- Не запрашивайте доступ к камере или геолокации, если это не нужно для работы приложения.
- Объясните пользователю, зачем нужны разрешения (например, «Доступ к камере требуется для сканирования QR-кода»).
- Обеспечить безопасность данных:
- Используйте шифрование для хранения паролей и платежных данных.
- Регулярно обновляйте приложение, чтобы устранять уязвимости.
- Соблюдать законы других стран:
- Если ваше приложение доступно в ЕС, соблюдайте GDPR (Общий регламент защиты данных).
- Для США — изучите требования COPPA (защита данных детей).
- Итог:
- Даже «безопасные» данные вроде email или номера телефона делают вас оператором ПДн. Не рискуйте — оформите документы, добавьте чекбоксы и проверьте сайт по чек-листу. Это займет 1 день, но сэкономит сотни тысяч на штрафах.