Конфиденциальность данных — не формальность, а основа доверия. Как защитить свой бизнес и клиентов.

Каждый год бизнес в России теряет миллионы рублей из-за утечек данных. Но прямые финансовые потери — это лишь верхушка айсберга. По статистике, 8 из 10 клиентов готовы уйти к конкуренту, если их личная информация окажется под угрозой. Готов ли ваш сайт, CRM-система и внутренние процессы к такой проверке на прочность?

Многим предпринимателям работа с персональными данными кажется чем-то сложным, непонятным и существующим только для того, чтобы Роскомнадзор мог выписывать штрафы. Распространенная позиция «у меня маленький бизнес, кому я нужен» или «авось пронесет» — это прямой путь к репутационным и финансовым катастрофам.

В этой статье мы, команда ButlerSPB, разложим все по полочкам: от требований закона до конкретных технических настроек на вашем сайте. Вы поймете, что делать, как делать и почему грамотная защита данных — это не расход, а выгодная инвестиция в репутацию вашего бизнеса.

Почему «Персональные данные» — это больше, чем просто имя и телефон

Прежде чем говорить о защите, давайте определимся с терминами. Многие думают, что персональные данные (ПДн) — это только ФИО и номер телефона. На самом деле, список гораздо шире.

Согласно Федеральному закону №152-ФЗ «О персональных данных», к ПДн относится любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу.

Простыми словами, если по набору информации можно понять, о ком именно идет речь, — это персональные данные. Вот неполный список того, что вы, скорее всего, собираете на своем сайте:

• ФИО;
• Адрес электронной почты (e-mail);
• Номер телефона;
• Адрес доставки;
• Фотографии;
• IP-адрес пользователя;
• Данные о геолокации;
• Файлы cookie, которые позволяют идентифицировать пользователя.

В этой цепочке есть три ключевых участника:

1. Субъект данных: Ваш клиент, пользователь сайта, подписчик — любой человек, чьи данные вы собираете.
2. Оператор данных: Ваша компания. Как только вы начали собирать хотя бы один e-mail через форму подписки, вы становитесь оператором ПДн и несете за них полную ответственность.
3. Обработка данных: Любое действие с данными — сбор, запись, хранение, уточнение, использование, передача и даже удаление.

Закон «О персональных данных» (ФЗ-152): что нужно знать каждому руководителю

ФЗ-152 — это не просто формальность, а свод правил, по которым весь российский бизнес обязан работать с личной информацией граждан. Игнорировать его — все равно что вести бухгалтерию без учета Налогового кодекса. Закон базируется на нескольких ключевых принципах.

Основные принципы ФЗ-152:

• Законность и справедливость: Вы можете собирать данные только в законных целях, заранее определенных и понятных пользователю.
• Целевое ограничение: Если вы собрали e-mail для отправки чека, вы не можете без дополнительного согласия начать слать на него рекламную рассылку. Данные собираются под конкретную цель.
• Минимизация данных: Не собирайте лишнего. Для новостной рассылки достаточно e-mail, не нужно спрашивать дату рождения или адрес проживания.
• Согласие субъекта: В большинстве случаев вы не имеете права обрабатывать данные без явно выраженного согласия человека. Та самая «галочка» на сайте — это и есть механизм получения согласия.

Штрафы и ответственность в 2024 году

Разговоры о штрафах — лучший мотиватор. С каждым годом ответственность за нарушения в сфере ПДн только ужесточается. Вот лишь несколько примеров:

Нарушение	Штраф для юридического лица
Обработка ПДн без письменного согласия	от 30 000 до 150 000 ₽
Отсутствие на сайте политики конфиденциальности	от 30 000 до 60 000 ₽
Обработка данных несовместимо с целями сбора	от 60 000 до 100 000 ₽
Утечка данных (первичная)	от 60 000 до 100 000 ₽
Утечка данных (повторная)	до 18 000 000 ₽

Экспертный комментарий от ButlerSPB: “Мы часто видим на аудитах, что компании собирают данные ‘про запас’. Это прямая дорога к нарушению принципа минимизации и потенциальным штрафам. Наша задача при разработке — спроектировать формы и базы данных так, чтобы собирать только необходимое для конкретной бизнес-задачи, не создавая рисков для клиента.”

Пошаговый план внедрения: от документов до технических настроек

Итак, к практике. Вот 5 шагов, которые нужно пройти, чтобы привести процессы в соответствие с законом.

Шаг 1. Аудит: какие данные и где вы собираете?

Проведите инвентаризацию. Возьмите лист бумаги и выпишите все точки контакта с пользователем, где вы получаете его данные:

• Формы обратной связи («Напишите нам», «Заказать звонок»).
• Форма регистрации и личный кабинет.
• Корзина и оформление заказа.
• Подписка на рассылку.
• Комментарии в блоге.
• Онлайн-чаты и чат-боты.
• Системы аналитики (Яндекс.Метрика, Google Analytics) — да, они тоже собирают ПДн через cookie и IP.
• Ваша CRM-система, куда все эти данные стекаются.

Шаг 2. Юридическая “обвязка”: готовим обязательные документы

Без этих двух документов любой сбор данных на сайте незаконен.

1. Политика конфиденциальности (или Политика в отношении обработки персональных данных). Это публичный документ, ссылка на который должна быть доступна с любой страницы сайта. В нем вы объясняете пользователям: какие данные, с какой целью, как и в течение какого срока вы обрабатываете, а также как с вами связаться.
2. Согласие на обработку персональных данных. Это та самая «галочка», которую пользователь должен проставить перед отправкой формы. Важно: галочка не должна быть проставлена заранее. Текст рядом с ней должен быть таким: [ ] Я даю согласие на обработку персональных данных и соглашаюсь с Политикой конфиденциальности. Фраза «Политика конфиденциальности» должна быть активной ссылкой на страницу с документом.

Шаг 3. Техническая реализация на сайте — зона ответственности разработчиков

Правильно оформить документы — это половина дела. Вторая половина — обеспечить техническую безопасность.

• HTTPS-протокол. Если на вашем сайте есть хоть одна форма, он обязан работать по защищенному протоколу HTTPS. Адрес сайта должен начинаться с https://, а в браузере отображаться иконка замка. Это шифрует данные при передаче от пользователя к серверу.
• Безопасность форм. Все формы должны быть защищены от спама и ботов (например, с помощью Google reCAPTCHA) и иметь валидацию вводимых данных на стороне сервера.
• Хранение данных. Данные клиентов должны храниться на защищенных серверах, расположенных на территории РФ (это требование закона). Критически важная информация в базе данных (например, пароли) должна храниться в зашифрованном (хешированном) виде.
• Уведомление о cookie. На сайте должен быть баннер, который информирует пользователей о том, что сайт использует файлы cookie, и предлагает ознакомиться с политикой. В идеале — дать пользователю возможность управлять категориями cookie.

Это прямая зона ответственности IT-специалистов, и здесь мы в ButlerSPB можем помочь в рамках услуги технического аудита или разработки сайта.

Шаг 4. Организационные меры: назначаем ответственных

Защита данных — это не только сайт. Внутри компании нужно:

• Назначить приказом сотрудника, ответственного за организацию обработки ПДн.
• Провести инструктаж для всех сотрудников, у кого есть доступ к данным клиентов (менеджеры, маркетологи), и ограничить этот доступ по принципу «минимально необходимого».

Шаг 5. Подача уведомления в Роскомнадзор узнайте больше о компании ButlerSPB на официальном сайте ButlerSPB

В большинстве случаев, если вы обрабатываете данные, вы обязаны уведомить об этом Роскомнадзор. Это делается один раз через специальную форму на портале ведомства. Есть ряд исключений, но безопаснее считать, что уведомление подавать нужно.

План действий при инциденте: как минимизировать ущерб

Даже у самых защищенных компаний случаются инциденты. Если утечка все же произошла, паника — худший советчик. Нужен четкий план.

1. Оценить масштаб. Немедленно выяснить, какие данные и в каком объеме были скомпрометированы.
2. Уведомить Роскомнадзор. По закону у вас есть всего 24 часа с момента обнаружения инцидента, чтобы отправить первичное уведомление.
3. Провести внутреннее расследование. В течение 72 часов нужно предоставить в РКН результаты расследования.
4. Уведомить пользователей. Прозрачность — ключ к сохранению остатков доверия. Честно сообщите пользователям, что произошло и какие шаги вы предпринимаете.
5. Устранить уязвимость. Самое главное — найти и закрыть «дыру» в безопасности, чтобы инцидент не повторился.

Чтобы не доводить до этого, закажите у нас превентивный аудит безопасности вашего проекта.

Отвечаем на ваши вопросы

Вопрос: Нужно ли согласие на обработку для Яндекс.Метрики?

Ответ: Да, нужно. IP-адреса и файлы cookie, которые собирает Метрика, считаются персональными данными. Упоминание об использовании систем аналитики должно быть в вашей Политике конфиденциальности, а баннер об использовании cookie — на сайте.

Вопрос: Чем GDPR отличается от ФЗ-152 и нужно ли мне об этом думать?

Ответ: GDPR — это европейский регламент по защите данных. Он гораздо строже ФЗ-152. Думать о нем нужно, если вы целенаправленно предлагаете товары или услуги гражданам ЕС, даже если ваша компания находится в России.

Вопрос: Мой сайт на Tilda/Wix. Я тоже должен все это делать?

Ответ: Да, безусловно. Платформа (конструктор сайтов) является лишь инструментом. Оператором данных и ответственным лицом остаетесь вы — владелец бизнеса. Все требования по наличию Политики, получению согласий и уведомлению РКН распространяются и на вас.

Вопрос: Что такое трансграничная передача данных?

Ответ: Это передача ПДн на территорию иностранного государства. Например, если вы используете зарубежный сервис для email-рассылок, чьи серверы находятся не в РФ. С 1 марта 2023 года правила для такой передачи значительно ужесточились, и требуется отдельное уведомление Роскомнадзора.

Заключение: Конфиденциальность — это инвестиция в будущее вашего бизнеса

Работа с персональными данными — это не «головная боль» и не бюрократия. В цифровом мире доверие стало главной валютой. Клиенты охотнее покупают у тех, кто заботится об их безопасности. Правильно выстроенная система защиты данных — это:

• Защита от многомиллионных штрафов.
• Конкурентное преимущество.
• Повышение лояльности клиентов.
• Стабильность и предсказуемость вашего бизнеса.

Не уверены, что ваш сайт или приложение на 100% соответствует требованиям? Доверьте это профессионалам. Закажите бесплатную экспресс-консультацию у экспертов ButlerSPB. Мы проанализируем ваш проект и дадим конкретные рекомендации по устранению рисков.

Получить бесплатную консультацию

Хотите проверить себя? Скачайте наш подробный чек-лист «Проверка сайта на соответствие ФЗ-152» и убедитесь, что вы ничего не упустили.

(здесь будет форма для скачивания чек-листа)

---

Читайте также

• Закупка расходников для посуточной аренды: чек-лист
• Как эффективно управлять квартирой, находясь в другой стране: пошаговая инструкция
• Анализ спроса на аренду домов с собственным выходом к воде: эксклюзивное исследование от ButlerSPB