От политики конфиденциальности до Роскомнадзора: Как легально работать с персональными данными. Полное руководство для сайтов и приложений
Android
iOS
18.03.2025
Персональные данные (ПДн) — любая информация, которая идентифицирует человека (ст. 3 152-ФЗ). Примеры:
- ФИО, телефон, email, паспорт, адрес;
- Cookie, IP-адрес, геолокация;
- Даже отпечатки пальцев или группа крови.
Вы оператор ПДн, если:
- Собираете данные через формы заявок, регистрации, подписки;
- Используете аналитику (Google Analytics, Яндекс.Метрика);
- Храните данные сотрудников (стаж, зарплата, отпуска).
Не считаетесь оператором, только если:
- Данные анонимны (например, опрос без имени);
- Собираете техническую информацию, не связанную с личностью (но это спорно — лучше перестраховаться!).
За нарушение закона Роскомнадзор назначает административные штрафы.
- Какие данные собираете (например, email + cookie);
- Цели (доставка заказов, реклама — но только если есть согласие!);
- Как пользователь может отозвать согласие.
- Идентификация пользователя;
- Отправка кассовых чеков;
- Улучшение качества сервиса.
- Обязательно: Отдельный чекбокс в формах («Я согласен...»).
- Для cookie и рекламы: Отдельное всплывающее окно с кнопкой «Принять».
- Заполните форму на сайте РКН → отправьте через Госуслуги.
- Проверьте реестр операторов через 30 дней: https://pd.rkn.gov.ru/operators-registry/operators-list/.
- Если данные обрабатываются вручную;
- Для государственных информационных систем.
- Запрашивайте только необходимые разрешения (например, геолокацию — только если она нужна для функционала);
- Добавьте политику в настройки приложения (раздел «Юридическая информация»).
- Минимизировать запросы разрешений:
- Не запрашивайте доступ к камере или геолокации, если это не нужно для работы приложения.
- Объясните пользователю, зачем нужны разрешения (например, «Доступ к камере требуется для сканирования QR-кода»).
- Используйте шифрование для хранения паролей и платежных данных.
- Регулярно обновляйте приложение, чтобы устранять уязвимости.
- Соблюдать законы других стран:
- Если ваше приложение доступно в ЕС, соблюдайте GDPR (Общий регламент защиты данных).
- Для США — изучите требования COPPA (защита данных детей).
| Нарушение | Штраф для физлиц (₽) | Штраф для ИП (₽) | Штраф для юрлиц (₽) |
|---|---|---|---|
| Не отправлено уведомление в уполномоченный орган | 100–300 | 300–500 | 3 000–5 000 |
| Нет согласия людей на обработку данных | 9 000–15 000 | 100 000–300 000 | 300 000–700 000 |
| Не размещены документы об обработке ПДн | 1 500–3 000 | 10 000–20 000 | 30 000–60 000 |
| Использование информации не по назначению | 2 000–4 000 | 20 000–30 000 | 40 000–80 000 |
(!) За повторные нарушения суммы штрафов увеличиваются.
Реальный кейс: Салон красоты собирал номера клиентов для записи, но рассылал рекламу. Штраф — 300 000₽, так как реклама не была указана в целях обработки.
Как работать с данными легально: 4 шага
1. Создайте политику конфиденциальности
Что включить:
Пример целей:
Вот бесплатный конструктор от Tilda: https://tilda.cc/ru/privacy-generator/
2. Добавьте согласие на обработку данных
Как это выглядит:
3. Отправьте уведомление в Роскомнадзор
Когда уведомлять не нужно:
4. Для мобильных приложений:
Чек-лист: 5 минут на проверку
☑️ Есть ли политика конфиденциальности в «подвале» сайта?
☑️ Все формы сбора данных имеют чекбокс согласия?
☑️ Указаны ли цели обработки данных в политике?
☑️ Отправлено ли уведомление в Роскомнадзор?
Особенности для мобильных приложений
Если у вас мобильное приложение, помимо политики конфиденциальности и согласия, важно:
Обеспечить безопасность данных:
Итог:
Даже «безопасные» данные вроде email или номера телефона делают вас оператором ПДн. Не рискуйте — оформите документы, добавьте чекбоксы и проверьте сайт по чек-листу. Это займет 1 день, но сэкономит сотни тысяч на штрафах.
