Гайд по обработке персональных данных: как соблюсти закон и избежать штрафов. + Что важно знать журналистам и авторам
Упоминаете людей без их согласия? Храните данные клиентов в Google Таблицах? В формах по умолчанию проставляете согласие на обработку персональных данных? Тогда вам могут грозить огромные штрафы. В Pressfeed.Журнале вместе с юристами разбираемся, как соблюсти требования 152-ФЗ и не навредить бизнесу.
Когда вы собираете электронные адреса для рассылки, используете на сайте формы обратной связи, запускаете программу лояльности, составляете договоры с физическими лицами или нанимаете персонал, вы становитесь оператором персональных данных. И это лишь малая часть сценариев.
Стоит вам хоть раз получить от человека любую информацию, по которой его можно идентифицировать, у вас появится много новых обязанностей. Нужно направить уведомление в Роскомнадзор и готовиться обрабатывать, хранить, защищать и уничтожать эти данные согласно требованиям закона «О персональных данных» 152-ФЗ.
В медиасфере персональные данные обрабатываются практически в каждом процессе: от публикации интервью до рассылки подписчикам. К таким данным, прежде всего, относятся фамилия, имя, отчество человека, его контактные данные, фотографии, видео, голосовые сообщения, сведения о месте работы, месте проживания, а также любые другие данные, по которым можно однозначно идентифицировать человека. Это может быть не только очевидная информация, но и, например, геолокация, внешний вид, аккаунты в социальных сетях, даже скрытые данные из метаданных файлов, если они позволяют установить личность.
Если такая информация собирается, хранится, передается, используется или публикуется — это и есть обработка персональных данных. А вот оператором считается то лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки. Это может быть как юридическое лицо (редакция СМИ, компания, владелец интернет-платформы), так и физическое лицо — журналист, блогер, ведущий паблика или даже администратор канала, который публикует данные от своего имени.
Этот комментарий мы получили на Pressfeed
С 30 мая 2025 года формально работать с персональными данными больше не получится. Теперь за несоблюдение правил грозят огромные штрафы. Контроль при этом стал жестче.
Скачать PDF-инструкцию «Где и как публиковать широкоохватные статьи бесплатно»Работать без обработки персональных данных — идея на грани фантастики, особенно в digital сфере и в век персонализации. Вот почему так важно подготовить свой бизнес к новым реалиям. Вместе с юристами разобрались в базовых требованиях закона и доступно изложили их ниже.
Важно! Статья будет полезна не только представителям бизнеса. Всем создателям контента тоже крайне важно понимать, какую персональную информацию они вправе публиковать, а за какую можно получить повестку в суд. Мы посвятим этому вопросу отдельный раздел. Блогеры, журналисты и копирайтеры в зоне повышенного риска, ведь их нарушения на виду.
Последние поправки в закон по вопросу работы с персональными данными наделали шуму. Новых норм не появилось, но увеличился объем ответственности за неправильную работу с данными. Если раньше это воспринималось как «бумажная формальность», то сегодня надзор стал более активным, а жалобы пользователей обрабатываются быстрее.
Особенно стоит быть внимательными малому бизнесу, экспертам и инфлюенсерам, которые часто собирают данные через викторины и гивы, ведут консультации через формы заявок на сайтах, сохраняют переписки в мессенджерах без информирования клиента, размещают в сторис отзывы, скриншоты, голосовые сообщения клиентов без согласия.
Кейс из практики. Предпринимательница опубликовала сторис с благодарностью от клиента и указала его имя. Клиент написал претензию, потребовав 50 000 рублей компенсации. Досудебно удалось договориться, но публикации пришлось срочно удалить.
Этот комментарий мы получили на Pressfeed
Что нужно для соблюдения закона «О персональных данных» 152-ФЗ
Закон «О персональных данных» приняли еще в 2006 году, поэтому ко многим его требованиям компании уже успели приспособиться. Проверьте, чего из этого вам не хватает, чтобы спать спокойно.
1. Внутренняя политика в отношении обработки персональных данных
Каждый оператор персональных данных должен разработать документ под названием «Политика в отношении обработки персональных данных» и предоставить к нему общий доступ. Часто файл размещают на сайте компании.
Документ лучше составлять с юристом. В нем нужно указать:
- категории и перечень обрабатываемых данных для каждой цели;
- категории лиц, персональные данные которых вы обрабатываете;
- способы, сроки их обработки и хранения;
- порядок уничтожения персональных данных.
Важно следить за обновлениями в законодательстве и своевременно вносить изменения.
Если документа нет в свободном доступе, граждан могут оштрафовать на сумму от 1 500 до 3 000 рублей, должностных лиц — от 6 000 до 12 000 рублей, ИП — от 10 000 до 20 000 рублей, а юридическое лицо — от 30 000 до 60 000 рублей.
Первое, что следует сделать — актуализировать документы. Если ваши согласия на обработку персональных данных, политика конфиденциальности или локальные акты составлены до декабря 2022 года (в сентябре в закон были внесены поправки, а в декабре его дополнили правилами работы с биометрическими данными), их необходимо привести в соответствие с актуальными требованиями 152-ФЗ. Например, согласие должно отражать конкретные цели обработки и действия с данными. Универсальные шаблоны не подойдут.
Этот комментарий мы получили на Pressfeed
2. Согласия для пользователей и клиентов
Помимо «Политики в отношении обработки персональных данных», на сайте должно быть «Согласие на обработку персональных данных», которое пользователь может дать в электронном виде: поставить галочку или нажать кнопку. В офлайне его нужно получать в письменном виде. Также собирать cookie на сайте можно только с разрешения пользователя.
Важно предусмотрите возможность отзыва такого согласия. Пользователь может отправить его в свободной форме на имя компании, указанной в согласии на обработку данных. Передать его в офисе организации, отправить его по почте заказными письмом с уведомлением или через Госуслуги.
Удалить данные нужно в течение 30 дней после получения заявления. Сделать это можно физически (измельчить бумаги, сжечь, сломать носители) и программно (стереть данные так, чтобы их невозможно было восстановить). После чего составить акт: указать в нем дату, способ уничтожения и перечень удаленных данных.
Если данные не удалить, можно получить штраф для граждан от 2 000 до 4 000 рублей, для должностных лиц — от 8 000 до 20 000 рублей, для индивидуальных предпринимателей — от 20 000 до 40 000 рублей, на юридических лиц — от 50 000 до 90 000 рублей.
Согласие пользователя получайте через отдельный чекбокс для каждой цели обработки. Текст согласия должен быть конкретным и понятным: какие данные собираете, зачем, кому передаете, как долго храните.
Если работаете с CRM-системами или облачными сервисами, заключите договор поручения обработки. В нем пропишите требования статьи 6 закона 152-ФЗ.
Настройте процедуру удаления данных после достижения целей обработки или при отзыве согласия. Закон требует удалять персональные данные, когда они больше не нужны для заявленных целей.
Этот комментарий мы получили на Pressfeed
3. Ответственный и группа лиц с доступом к данным
Чтобы соблюсти требования законодательства, компании нужно разработать большое количество документов. Здесь без консультации юриста не обойтись.
Ключевой — приказ о назначении ответственного за соблюдение политики в отношении обработки персональных данных. Этот сотрудник должен проводить мероприятия, которые обеспечат сохранность информации и ее использование по назначению.
Также важно утвердить список сотрудников, имеющих доступ к персональным данным. Давать его нужно обоснованно: без него работник не сможет выполнять свои обязанности, например.
Мы рекомендуем подходить к вопросу системно. Сначала важно оценить, с какими именно категориями персональных данных работает организация, в каком объеме, на каких площадках и с какой целью. На основе этих данных определяем структуру правового регулирования.
Далее выстраиваем внутренний и внешний документооборот. Как показывает практика, полный комплект документов обычно включает от 30 до 50 единиц, в том числе локальные нормативные акты, регламенты, должностные инструкции и формуляры. Ключевые — положения об обработке персональных данных и политика конфиденциальности. Кроме того, крайне важна регулярная подготовка и инструктаж ответственных сотрудников.
Этот комментарий мы получили на Pressfeed
4. Защита данных от утечек
Самый важный шаг — принять меры по защите персональных данных от утечек. В офлайне проблема решается ограничением доступа в помещения с документами, идентификацией сотрудников и системой охраны, видеонаблюдения.
С хранением информации в онлайне больше сложностей. Антивирусы и пароли — база. Дальше в дело вступают специалисты по информационной безопасности, спрос на которых, кстати, стремительно растет — на 18% год к году.
Юристы единогласно подчеркивают, что соблюдение норм закона о персональных данных — это не только юридическая необходимость, но и важный аспект бизнес-репутации.
Примером компании, которая столкнулась с негативными последствиями утечки персональных данных, стал случай медицинского учреждения, которое не обеспечило должный уровень защиты своей базы данных. В результате данные пациентов стали доступны третьим лицам, что повлекло за собой множество судебных разбирательств и крупные штрафы.
Напротив, одна из крупных ритейл-сетей разработала собственную программу обучения сотрудников по обработке персональных данных. Они внедрили технологические решения для шифрования и ограничения доступа к персональным данным, что позволило сохранить данные клиентов и избежать нарушений.
Этот комментарий мы получили на Pressfeed
5. Российские сервера
Личные данные нужно хранить на российских серверах. Поэтому если вы продолжаете использовать зарубежные сервисы, например, Google Документы, необходимо как можно скорее удалить из них все персональные данные физических лиц.
За нарушение этого условия гражданам грозит штраф в размере от 30 000 до 50 000 рублей, должностным лицам — от 100 000 до 200 000 рублей, юридическим лицам — от 1 млн до 6 млн рублей. Еще один повод провести полное импортозамещение.
Нужно уточнить, не передает ли компания персональные данные клиентов за рубеж (нет ли трансграничной передачи). На такие действия требуется согласие Роскомнадзора, иначе — штрафы. Даже если трансграничная передача переходит без ведома компании, отвечать за это будет компания, которая не отключила сервис от своего сайта.
Этот комментарий мы получили на Pressfeed
6. Уведомление в Роскомнадзор
Если не отправить в Роскомнадзор уведомление об обработке или сделать это несвоевременно, тоже положен штраф. Если до изменений это было максимум 5 000 рублей для юридических лиц, после — от 100 000 до 300 000 рублей. Для граждан теперь — от 5 000 до 10 000 рублей, для должностных лиц — от 30 000 до 50 000 рублей.
Отправлять уведомление нужно до начала обработки данных. Сделать это можно тремя способами:
- Заполнить форму, распечатать и направить в территориальный отдел Роскомнадзора по почте.
- Отправить онлайн, подписав электронной подписью.
- Отправить онлайн после авторизации через Госуслуги.
Также важно подавать информацию обо всех изменениях через отдельную форму. Делать это не позднее 15 числа месяца, следующего за месяцем, в котором произошли обновления.
Проверить статус уведомления можно здесь, на включение в реестр уйдет до 30 дней. После этого данные о вас как об операторе персональных данных появится в открытом доступе.
Что важно знать авторам контента
Журналисты, блогеры, копирайтеры не только обрабатывают персональные данные, они их публикуют на широкую аудиторию. Цитаты, упоминания, фото и видео с человеком, — все это охраняется законом.
В идеальных условиях на любое использование личных данных в публикациях нужно получать письменное согласие. В противном случае изменять их так, чтобы человека нельзя было идентифицировать: использовать псевдоним, скрывать лицо, редактировать голос.
Некоторые исключения (полный перечень):
- вы делитесь общественно значимой информацией;
- обнародованные данные уже находились в открытом доступе до публикации материала;
- вы выполняете работу журналиста в зарегистрированном СМИ и при этом не нарушаете права лица, чьими личными данными поделились в материале.
Если человек попал в кадр при съемке общего плана в общественных местах, получать разрешение не нужно. Если же акцент сделан именно на нем, то необходимо. Тем более, когда указано имя, должность или другие сведения, которые помогут идентифицировать героя.
Еще важный момент. Переписка с пользователем — персональные данные, которые нельзя размещать без согласия. Даже если в них положительный отзыв о вашей компании или успешный кейс.
В согласии далжны быть указаны ФИО субъекта, его контакты, данные оператора, сведения о ресурсах, на которых будут размещены данные, цели обработки, категории и перечень данных, срок действия. Подписать документ можно лично или электронной подписью.
Будьте готовы, что даже при соблюдении законодательства, упомянутый в материале человек может обратиться в редакцию или администрацию площадки с просьбой удалить личную информацию. И чаще всего ему пойдут навстречу. Ведь главный принцип — не нарушать права объекта персональных данных.
Мы опубликовали статью по поводу нашего суда о защите авторских прав на VC.ru и указали в ней данные ответчика. Модератор платформы убирал личную информацию без предупреждения. Как выяснилось, сделать это им порекомендовал юрист, ведь согласно закону «О персональных данных» мы не имеем права упоминать человека без его согласия. Ответчик связался с представителями площадки и сообщил, что разрешения он не давал. Потом данные удалили и из статьи на Хабре. В результате в статье мы оставили только указание на компанию и сократили имя до до «Алексей Г.».
Необходимо согласие на упоминание в СМИ и в материалах блогеров. Публикация имени, фотографии или любой другой информации, позволяющей идентифицировать человека, требует его согласия. Это касается как традиционных СМИ, так и блогов в социальных сетях. Отсутствие согласия может привести к судебным искам о компенсации морального вреда.
У нас были случаи, когда блогеров привлекали к ответственности за публикацию фотографий людей без их разрешения, даже если эти снимки были сделаны в общественном месте.
Этот комментарий мы получили на Pressfeed
При использовании фотографии на сайте, в соцсетях, в блоге важно понимать, что сама по себе фотография не является персональными данными, так как не позволяет идентифицировать конкретного человека. Но как только к фотографии вы добавите ФИО, должность, телефон, то речь уже пойдет о персональных данных.
Отдельно хочется затронуть проблему «репостов». По сложившейся судебной практике размещение персональных данных в социальных сетях не делает их автоматически общедоступными, следовательно, требуется согласие субъекта на обработку информации. Делая репосты, в которых есть персональные данные, надо либо обезличивать их, либо получать согласие субъекта.
Этот комментарий мы получили на Pressfeed
Распространенной ловушкой для СМИ является отсылка к «публичным и общественным» интересам в случае возникновения споров о правомерности публикации персональных данных субъектов без их согласия.
Например, в 2018 году Верховный Суд РФ по делу о привлечении главного редактора к административной ответственности за распространение персональных данных о субъекте подтвердил выводы нижестоящих судов о том, что у газеты отсутствовали основания для распространения в СМИ в статье «Сотрудник ФСБ извинился перед пенсионером», персональных данных (фамилия, имя, место работы, звание) в отсутствие на то согласия последнего.
Суд указал на то, что в рассматриваемом случае публикация персональных данных, позволяющих идентифицировать личность героя упомянутой публикации с детальным описанием обстоятельств происшествия и его личными взаимоотношениями с другим лицом, посягает на гарантированное статьей 23 Конституции Российской Федерации право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также нарушает требование статьи 24 Конституции Российской Федерации о том, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. (Постановление Верховного Суда РФ от 28.06.2018 N 74-АД18-11). Жалоба не была удовлетворена.
Этот комментарий мы получили на Pressfeed
Закон о СМИ дает журналистам право публиковать персональные данные без согласия при наличии общественного интереса. Материалы о коррупции, нарушениях закона, действиях чиновников, — все это подпадает под исключение.
Блогеры такой привилегии лишены. Им нужно согласие на использование персональных данных, если информация не относится к общедоступной. Исключение — информация, добровольно опубликованная самим человеком в открытых источниках.
Использование фотографий и видео регулируется статьей 152.1 Гражданского кодекса. Публичные фигуры в профессиональном контексте и съемка в общественных местах без акцента на конкретное лицо разрешены. Во всех остальных случаях нужно согласие.
Журналисты вправе не указывать источник информации для защиты общественных интересов. Но при публикации данных несовершеннолетних требуется согласие родителей, даже если ребенок — участник преступления.
Этот комментарий мы получили на Pressfeed
Кратко
Чтобы не нарушать закон «О персональных данных», отправьте уведомление в Роскомнадзор, опубликуйте политику обработки персональных данных, назначьте ответственного и разработайте внутренние нормативы.
На сайте сделайте обязательным согласия на обработку персональных данных и файлов cookie. Перенесите все личные данные на российские сервера и в отечественные сервисы. Защитите данные от утечек.
Если добавляете личную информацию в публикации, запрашивайте письменное разрешение или берите данные из открытых источников.
P.S. Если вы не готовы сами делать контент, искать для него темы, героев и форматы, мы можем все сделать за вас. У Pressfeed есть услуга — «Создание контента для корпоративных блогов». Мы напишем статьи для вашего блога или для СМИ с учетом требований законодательства. Оставляйте заявку на бесплатную консультацию по этой ссылке.
