+7 (495) 150-10-59
Войти
Зарегистрироваться
Мы используем cookie для улучшения работы сайта. Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie в соответствии с Политикой конфиденциальности.
Принять
Блог

Персональные данные клиента: сбор, обработка и требования законодательства

Клиентская база — один из ценнейших активов для бизнеса. И для построения стратегии, конечно, нужны сбор персональных данных клиентов и системная работа с базой покупателей. Но здесь важно помнить о требованиях законодательства и защите информации. И это не формальность — с 30 мая 2025 года штрафы за нарушения выросли настолько, что игнорировать правила стало рискованно.
В статье — как правильно работать с персональными данными, чтобы защитить и свой бизнес, и доверие клиентов.

Почему закон становится строже

В 2024 году утекло больше 700 миллионов записей с личными данными россиян. Представьте масштаб: ваше имя, телефон, email-адрес попадают в руки мошенников. Чем больше информации о человеке они получают, тем убедительнее выглядят их схемы, тем легче жертве попасться на удочку.
Законодатель решил, что компаниям нужна мотивация вкладываться в защиту данных. По словам Сергея Боярского, главы комитета Госдумы по информационной безопасности, ужесточение закона должно подтолкнуть бизнес серьёзнее относиться к безопасности. В ноябре 2024 года появился новый закон — сами требования остались прежними, но санкции за их нарушение теперь внушительные.

Что относится к персональным данным

Начнём с базы. Персональные данные по ФЗ-152 — это любая информация, которая прямо или косвенно относится к конкретному человеку. Звучит широко, потому что так и есть. В зависимости от контекста одни и те же данные могут быть персональными или нет.
Например, email вроде ivanov.1985@mail.ru часто считается персональными данными, потому что содержит фамилию и год рождения. А адрес sunshine123@mail.ru таковым не является — невозможно определить конкретного человека.
К персональным данным обычно относятся:
  • ФИО
  • Номер телефона
  • Email
  • Паспортные данные
  • Адрес проживания
  • Дата рождения
  • IP-адрес
  • Фотография
  • Профиль в соцсетях
Есть и особые категории — специальные и биометрические данные. Их обработка требует дополнительных условий. Сюда входят сведения о расе, национальности, политических взглядах, религии, состоянии здоровья. Медицинские данные дополнительно защищены отдельным законом № 323-ФЗ как врачебная тайна.

Реестр операторов персональных данных — первый шаг

Обязанность компании по работе с данными появляется уже в момент регистрации. Если вы нанимаете сотрудников или собираете информацию о клиентах — вы уже обрабатываете персональные данные. А значит, обязаны уведомить Роскомнадзор о намерении с ними работать.
Раньше за неподачу уведомления могли прислать предупреждение с просьбой исправиться. С 30 мая 2025 года за это есть штраф от 100 000 до 300 000 рублей. Если ещё не включены в реестр операторов персональных данных — стоит поторопиться.
В уведомлении указывается:
  • Чьи данные собираются (сотрудников, клиентов, посетителей сайта)
  • Какие конкретно данные
  • Цель их обработки
  • Где расположены серверы
  • Будет ли трансграничная передача персональных данных
  • Кто ответственное лицо
Все эти сведения заносятся в открытый реестр операторов персональных данных Роскомнадзор. Важно поддерживать информацию актуальной — за необновление данных теперь тоже штрафуют на сумму от 100 000 до 300 000 рублей.

Собирайте только то, что действительно нужно

Роскомнадзор фиксирует тревожную тенденцию — компании собирают избыточные персональные данные. Особенно этим грешат маркетологи, когда хотят узнать о клиентах больше для сегментации и персонализации.
Звучит логично, но есть проблема: чем больше данных хранится, тем опаснее становится их утечка. Законодатель рекомендует собирать только те сведения, которые необходимы для выполнения обязательств по договору. За обработку данных, несоответствующих целям их сбора, предусмотрен штраф от 150 000 до 300 000 рублей.
Но как же персонализация? Сегментировать аудиторию и персонализировать предложения можно без сбора дополнительных данных. Интересы и потребности клиентов легко выявляются через анализ их активности в рассылках и на сайте.
Платформа Notificore помогает эффективно работать с клиентской базой через email-рассылки и SMS без необходимости собирать избыточную информацию. Инструменты аналитики позволяют понять пользователей по их действиям, а не по анкетным данным.

Локализация данных — обязательное требование

Персональные данные россиян должны обрабатываться исключительно на серверах, расположенных на территории РФ. За нарушение есть штрафы: от 1 до 6 миллионов рублей за первое нарушение и от 6 до 18 миллионов — за повторное.
Это требование существует давно, но многие компании его игнорировали. В 2022 году это обернулось серьёзными проблемами, когда зарубежные сервисы начали массово блокировать российских пользователей. Те, кто использовал иностранные платформы для хранения баз данных, оказались в сложном положении и потеряли доступ к клиентской информации. Теперь к потере данных добавляются ещё и крупные штрафы.
С 1 июля 2025 года требования ужесточились. Если раньше можно было обеспечить первичную обработку на территории РФ, а затем передавать данные на зарубежные серверы, то теперь это недопустимо.
Для трансграничной передачи персональных данных необходимо разрешение Роскомнадзора. Нужно обосновать необходимость такой передачи. Например, туристическая компания передаёт данные принимающей стороне за границей — это соответствует целям договора, поэтому Роскомнадзор примет уведомление.
За непредставление уведомления о трансграничной передаче штрафы от 100 000 до 300 000 рублей.

Политика обработки персональных данных

Политика обработки персональных данных обязательна для размещения в открытом доступе на вашем сайте. Штраф за её отсутствие составляет от 30 000 до 60 000 рублей для юридических лиц.
В Политике стоит подробно описать:
  • Все цели обработки данных
  • Какие конкретно данные обрабатываются и чьи
  • Методы обработки
  • Сроки хранения
  • Порядок уничтожения при достижении целей
Ссылка на политику должна быть во всех точках сбора данных на сайте: в формах подписки, при регистрации, при оформлении заявок на консультации. Обязательно используйте чек-боксы для получения явного согласия на обработку данных — предустановленные галочки не считаются.
Если передаёте данные третьим лицам, их перечень должен быть указан в политике. Нужно перечислить конкретных партнёров. Иначе штраф от 30 000 до 60 000 рублей.
Важный момент: Роскомнадзор однозначно считает данные, передаваемые в Google Analytics, персональными. Если используете этот инструмент, обязаны получить согласие и уведомить РКН о трансграничной передаче данных.
Ссылка на политику должна быть и в уведомлении об использовании файлов cookie на сайте. Также необходимо уведомить посетителей об использовании рекомендательных технологий — современные ML-модели могут знать о нас больше, чем мы сами.
Если работаете со специальными персональными данными — здоровье, религия, политические взгляды — согласие на их обработку должно быть в простой письменной форме. Можно использовать простую электронную подпись, но галочкой в чек-боксе не обойтись. Обработка персональных данных без письменного согласия карается штрафом от 300 000 до 700 000 рублей за первое нарушение и от 1 миллиона до 1,5 миллиона — за повторное.

Проверка контрагентов

При передаче данных подрядчикам важно убедиться в их благонадёжности. Базовые рекомендации по проверке:
  1. Компания зарегистрирована в РФ и принимает оплату в рублях
  2. Включена в реестр операторов персональных данных
  3. В реестре указано, что компания по поручению обрабатывает клиентские базы
  4. Серверы находятся на территории РФ, нет трансграничной передачи
  5. На сайте есть Политика обработки данных, готовы подписать Поручение
Проверьте всех контрагентов, которым передаются данные: CRM-системы, платформы для рассылок, хостинговые провайдеры. Все они должны быть перечислены в вашей политике. Избегайте зарубежных сервисов — это противоречит законодательству о локализации и влечёт крупные штрафы.

Как собирают персональные данные для рассылок

При работе с сервисами для рассылок важно учитывать не только ФЗ-152, но и закон № 38-ФЗ «О рекламе».
Собирая базу подписчиков, вы обязаны получать подтверждение согласия абонента на получение рекламных рассылок. Важно: такое согласие не может быть навязано как условие заключения договора. Оно должно быть добровольным — отказ от рассылок не должен мешать оформлению заказа.
Например, при оформлении заказа нужно разместить два отдельных чек-бокса:
  1. Обязательный для оформления заказа со ссылками на условия договора и Политику обработки данных
  2. Опциональный — согласие на получение рекламных рассылок
Чек-бокс с согласием на рассылки не должен быть предзаполненным. Посетитель должен совершить активное действие, чтобы выразить желание получать письма. Нельзя делать и пустой чек-бокс для отказа от рассылок — клиент должен поставить галочку именно для согласия.
За отправку рассылки без предварительного согласия есть штраф от 100 000 до 500 000 рублей.
Для email-рассылок почтовые провайдеры требуют технический формат подтверждения — double opt-in. Контакт добавляется в базу только после того, как пользователь подтвердит намерение через клик в специальном письме.
У этого метода есть преимущества:
  • История отправки и взаимодействия сохраняется в цифровом формате
  • Такие доказательства согласия легко найти и представить при необходимости
  • База получается качественнее — невозможно случайно добавить адреса
  • Улучшается почтовая репутация
Платформа Notificore для email-рассылок поддерживает стандарты подтверждения подписки, помогая компаниям соблюдать законодательство и одновременно формировать качественную базу лояльных подписчиков.

Техническая и организационная защита данных

Утечки часто происходят не из-за хакерских атак, а из-за человеческого фактора. Персонал — слабое звено, с которым нужно постоянно работать.
Следите за тем, чтобы протоколы по работе с данными применялись на практике. Сотрудники должны знать требования законодательства и свою личную ответственность. Регулярно проводите обучение и проверки.
С 11 декабря 2024 года в Уголовный кодекс введена статья 272.1 с ответственностью за сбор, передачу и хранение персональных данных, полученных незаконным путём. Если руководитель попросит провести рассылку по купленной базе, переложить вину не удастся — это станет отягчающим обстоятельством.
С 30 мая 2025 года значительно выросли штрафы за утечки:
Нарушение
Первое
Повторное
Утечка персональных данных
До 15 млн руб
До 3% от годовой выручки, но не менее 20 млн руб
Неуведомление РКН об утечке в течение 24 часов
От 1 до 3 млн руб
-
Для сравнения: раньше максимальный штраф за утечку составлял 60 000 рублей.
Есть смягчающие обстоятельства при повторных утечках. Они применяются, если:
  • Ежегодные расходы оператора на информационную безопасность составляют не менее 0,1% от выручки в течение трёх лет
  • Оператор персональных данных соблюдает требования по защите данных, что подтверждено документально за последние 12 месяцев
  • Нет отягчающих обстоятельств
О факте утечки необходимо сообщать в Роскомнадзор в течение 24 часов с момента обнаружения.

Как защитить данные в коммуникационных системах

Используя платформы для коммуникации с клиентами, важно выбирать решения, которые соответствуют требованиям российского законодательства.
Notificore — платформа для сервисных email-рассылок, SMS-рассылок и голосового ассистента, полностью соответствующая требованиям ФЗ-152. Сервис обрабатывает данные на серверах в России.
При выборе сервиса для рассылок проверьте:
  • Регистрацию компании в РФ
  • Наличие в реестре операторов
  • Указание в реестре на обработку клиентских баз по поручению
  • Расположение серверов на территории РФ
  • Наличие публичной политики обработки данных
Использование отечественных сервисов для коммуникации — это гарантия доступности ваших данных в любой момент.

Чек-лист для проверки соответствия

Документы:
  • Политика обработки персональных данных размещена в открытом доступе на сайте
  • Во всех формах сбора данных есть ссылка на Политику
  • При сборе данных для рассылок есть отдельные чек-боксы (не предзаполненные)
  • В политике перечислены все третьи лица, которым передаются данные
  • Есть уведомление об использовании cookie и рекомендательных систем
Технические требования:
  • Данные хранятся на серверах на территории РФ
  • Компания включена в реестр операторов персональных данных
  • Сведения в реестре актуальны
  • Все подрядчики проверены и соответствуют требованиям
  • Настроен процесс ответа на запросы пользователей
Процессы:
  • Назначен ответственный за работу с персональными данными
  • Сотрудники ознакомлены с требованиями и подписали обязательства
  • Есть регламент действий при утечке данных
  • Проводится регулярное обучение персонала

Что важно запомнить

Работа с персональными данными — это ответственность. Новые штрафы в миллионы рублей делают соблюдение закона о персональных данных экономически оправданным.
Основные принципы:
  1. Собирайте только необходимые данные
  2. Получайте явное согласие на обработку персональных данных
  3. Храните данные на российских серверах
  4. Проверяйте всех подрядчиков
  5. Обучайте персонал
  6. Будьте готовы ответить на запросы пользователей
Выбирая партнёров для коммуникации с клиентами, обращайте внимание на их соответствие требованиям ФЗ-152. Notificore — надёжная платформа для email-рассылок, SMS и голосовых коммуникаций, которая помогает компаниям работать эффективно и законно.
Законодательство продолжает развиваться, требования ужесточаются. Но если выстроить правильные процессы с самого начала, соблюдение закона станет естественной частью работы, а не источником стресса и штрафов.
2026-02-10 09:45