Android

От политики конфиденциальности до Роскомнадзора: Как легально работать с персональными данными. Полное руководство для сайтов и приложений

Персональные данные (ПДн) — любая информация, которая идентифицирует человека (ст. 3 152-ФЗ). Примеры:

  • ФИО, телефон, email, паспорт, адрес;
  • Cookie, IP-адрес, геолокация;
  • Даже отпечатки пальцев или группа крови.

Вы оператор ПДн, если:

  • Собираете данные через формы заявок, регистрации, подписки;
  • Используете аналитику (Google Analytics, Яндекс.Метрика);
  • Храните данные сотрудников (стаж, зарплата, отпуска).

Не считаетесь оператором, только если:

  • Данные анонимны (например, опрос без имени);
  • Собираете техническую информацию, не связанную с личностью (но это спорно — лучше перестраховаться!).

За нарушение закона Роскомнадзор назначает административные штрафы.

  • НарушениеШтраф для физлиц (₽)Штраф для ИП (₽)Штраф для юрлиц (₽)
  • Не отправлено уведомление в уполномоченный орган
  • 100–300
  • 300–500
  • 3 000–5 000
  • Нет согласия людей на обработку данных
  • 9 000–15 000
  • 100 000–300 000
  • 300 000–700 000
  • Не размещены документы об обработке ПДн
  • 1 500–3 000
  • 10 000–20 000
  • 30 000–60 000
  • Использование информации не по назначению
  • 2 000–4 000
  • 20 000–30 000
  • 40 000–80 000
  • (!) За повторные нарушения суммы штрафов увеличиваются.
  • Реальный кейс: Салон красоты собирал номера клиентов для записи, но рассылал рекламу. Штраф — 300 000₽, так как реклама не была указана в целях обработки.
  • Как работать с данными легально: 4 шага

  • 1. Создайте политику конфиденциальности
  • Что включить:
    • Какие данные собираете (например, email + cookie);
    • Цели (доставка заказов, реклама — но только если есть согласие!);
    • Как пользователь может отозвать согласие.
  • Пример целей:
    • Идентификация пользователя;
    • Отправка кассовых чеков;
    • Улучшение качества сервиса.
  • Вот бесплатный конструктор от Tilda: https://tilda.cc/ru/privacy-generator/
  • 2. Добавьте согласие на обработку данных
    • Обязательно: Отдельный чекбокс в формах («Я согласен...»).
    • Для cookie и рекламы: Отдельное всплывающее окно с кнопкой «Принять».
  • Как это выглядит:
  • 3. Отправьте уведомление в Роскомнадзор
  • Когда уведомлять не нужно:
    • Если данные обрабатываются вручную;
    • Для государственных информационных систем.
  • 4. Для мобильных приложений:
    • Запрашивайте только необходимые разрешения (например, геолокацию — только если она нужна для функционала);
    • Добавьте политику в настройки приложения (раздел «Юридическая информация»).
  • Чек-лист: 5 минут на проверку

    • ☑️ Есть ли политика конфиденциальности в «подвале» сайта?
    • ☑️ Все формы сбора данных имеют чекбокс согласия?
    • ☑️ Указаны ли цели обработки данных в политике?
    • ☑️ Отправлено ли уведомление в Роскомнадзор?
  • Особенности для мобильных приложений

  • Если у вас мобильное приложение, помимо политики конфиденциальности и согласия, важно:
    • Минимизировать запросы разрешений:
      • Не запрашивайте доступ к камере или геолокации, если это не нужно для работы приложения.
      • Объясните пользователю, зачем нужны разрешения (например, «Доступ к камере требуется для сканирования QR-кода»).
    • Обеспечить безопасность данных:
      • Используйте шифрование для хранения паролей и платежных данных.
      • Регулярно обновляйте приложение, чтобы устранять уязвимости.
    • Соблюдать законы других стран:
      • Если ваше приложение доступно в ЕС, соблюдайте GDPR (Общий регламент защиты данных).
      • Для США — изучите требования COPPA (защита данных детей).
  • Итог:
  • Даже «безопасные» данные вроде email или номера телефона делают вас оператором ПДн. Не рискуйте — оформите документы, добавьте чекбоксы и проверьте сайт по чек-листу. Это займет 1 день, но сэкономит сотни тысяч на штрафах.

Обсудим ваш проект?

Бесплатный бриф, оценка и рекомендации по стеку.

Оставить заявку