Что на самом деле изменилось в законах для CRM-маркетологов с 30 мая — разбор «Рунетлекс»

Татьяна Сергеева

IT-юрист «Рунетлекс»

Мария Карплюк

IT-юрист «Рунетлекс»

В конце весны главной темой в беседах CRM-маркетологов стали скорые изменения в законодательстве о персональных данных. Коллеги выясняли, как работать с 30 мая, чтобы не нарваться на штрафы, и старались как можно быстрее привести в порядок формы на сайте.

Роковая дата прошла, и теперь можно без спешки проанализировать, что же произошло на самом деле. Сколько всё-таки должно быть чек-боксов, что делать с накопленной базой, как готовиться к 1 июля? По просьбе EMAILMATRIX на эти вопросы ответила юридическая компания «Рунетлекс», которая специализируется на услугах для диджитала и IT.

Что изменилось в законе о персональных данных 30 мая?

Фактически изменился только размер ответственности за нарушение — требования к обработке персданных остались прежними. Об этом свидетельствуют сами нормативные акты: тот, который вносит поправки, и тот, в который они вносятся. В частности, их предусматривает ФЗ № 420 от 30 ноября 2024 года «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях». Уже из названия видно, что меняется именно КоАП, а не ФЗ «О персональных данных».

Основные изменения касаются двух моментов.

Увеличен штраф за общий состав нарушения по части 1 статьи 13.11 КоАП

Речь об обработке ПД в случаях, не предусмотренных законодательством РФ, и об обработке, не совместимой с целями сбора ПД.

Было: от 60 до 100 тысяч рублей для юрлиц.

Стало: от 150 до 300 тысяч рублей для юрлиц.

Ситуация: владелец сайта через форму обратной связи собирает данные для консультации по услугам (обратного звонка). Его могут привлечь к ответственности, если он:

• запрашивает излишние сведения, которые не требуются для консультации (например, паспортные данные);
• использует полученные данные для иных целей, кроме обратного звонка.

Введены «специальные» составы нарушения

Фактически все требования к обработке ПД уже существуют в законе, однако с 30 мая детализируется ответственность за конкретные нарушения:

1. Нарушение обязанности уведомить о намерении обрабатывать ПД — штраф для ЮЛ от 100 до 300 тысяч рублей.

Обязанность уведомлять Роскомнадзор о начале обработки уже была закреплена в законе о ПД (часть 3 статьи 12). Но отдельной ответственности за отсутствие уведомления не было — нарушителей наказывали по общему составу.

2. Нарушение обязанности уведомить об утечке ПД — штраф для ЮЛ от 1 до 3 миллионов рублей.

3. Действия (бездействие) оператора, повлёкшие утечку, — минимальный штраф для ЮЛ от 3 до 5 миллионов рублей.

4. Утечка специальных и биометрических ПД

К специальной категории персданных относятся религиозные убеждения, медицинские сведения, расовая и национальная принадлежность, судимость и другие сведения. Штраф — от 10 до 15 миллионов рублей.

К биометрическим относятся данные, которые позволяют идентифицировать субъекта: фото, видео, голос, отпечатки пальцев. Штраф — от 15 до 20 миллионов рублей.

Ситуация. Интернет-магазин собирает фото c целью размещения отзывов — это не является сбором биометрических данных, так как идентифицировать человека по одному изображению не представляется возможным. Но это не избавляет магазин от обязанности получать согласие гражданина на использование его изображения (статья 152.1 Гражданского кодекса).

Пример сбора изображений граждан в целях идентификации — технология FaceID.

Особенности этих составов ответственности:

• по отдельным статьям размер штрафа для ИП аналогичен штрафу для юрлиц;

  Части 1.1, 8–18 статьи 13.11, статьи 13.31, 13.35–13.37, 13.39, 13.40 и 13.46

• дела о нарушениях со стороны ИП и юрлиц рассматриваются арбитражными судами;
• исключена возможность заплатить штраф со «скидкой» 50%;
• вводится иной порядок штрафов за повторную утечку: сумму рассчитают в зависимости от выручки нарушителя за предшествующий утечке год (или за часть текущего года, если раньше он не работал). Для юрлиц это от 1 до 3% выручки, но не менее 20 и не более 500 миллионов рублей.

Как теперь правильно собирать согласия пользователей на персданные и рекламу?

Как мы отметили выше, поправки внесены именно в КоАП, а не в закон о персданных. В правилах сбора согласий ничего не поменялось, поэтому корректно говорить о том, как действовать правильно не «теперь», а вообще.

Требования к согласию на обработку персданных установлены частью 1 статьи 9 закона. Разберём каждое из них:

1. Конкретность — чётко определены цели сбора и обработки, установлен перечень совершаемых с данными действий.
2. Предметность — обозначены категории и сами ПД, согласие на обработку которых собирает оператор.
3. Информированность — субъект ПД в согласии должен получить информацию о том, какие данные будут обрабатываться, как они будут использованы и какие лица получат доступ к ним.
4. Однозначность — согласие на обработку ПД нельзя смешивать с другими типами согласий, субъект изначально должен понимать, зачем даёт согласие.
5. Сознательность — субъект свободно и своей волей даёт согласие. Проще говоря, галочка в чек-боксе не предустановлена.

Согласие на получение рекламных рассылок подчиняется тем же требованиям. Самим законом «О рекламе» конкретность, предметность и прочие критерии прямо не закреплены — но правоприменительная практика доказывает необходимость явного и недвусмысленного выражения пользователем согласия на получение рекламы.

Согласие на рекламу должно быть выражено явно и не может быть включено в иной документ, в том числе иное согласие пользователя на взаимодействие с оператором. Пример нарушения приводится в совместном информационном письме Банка России и ФАС: «… на практике возникают случаи, когда согласие на получение рекламы включается в текст договора …, при этом заёмщику не предоставляется право отказаться от дачи согласия на получение рекламы».

Как правильно оформлять чек-боксы для согласия?

Распространено заблуждение, что при каждом сборе ПД необходимо получать отдельное согласие через чек-бокс. В действительности оформление чек-боксов требуется лишь в том случае, если цель сбора данных отличается от основной.

Рассмотрим на примерах.

1. На сайте компании размещена форма обратной связи для консультации по услугам, в ней же предлагается подписка на рассылки о новых услугах и акциях.

Четыре причины и три способа сделать политику конфиденциальности простой и понятной

Для сбора данных в целях обратного звонка (имя и номер телефона) отдельное согласие не требуется, если на сайте размещено пользовательское соглашение или оферта. Достаточно добавить фразу «Нажимая кнопку, вы соглашаетесь с обработкой данных согласно Политике конфиденциальности (ссылка на политику)».

Получение согласия на рекламные рассылки — дополнительная цель по отношению к сбору данных для звонка. Пользователь должен самостоятельно решить, желает ли он получать рекламные СМС, письма и т. д. Компания должна предоставить ему возможность поставить галочку в чек-боксе, соглашаясь с обработкой ПД для получения рассылок. Важно, чтобы этот чек-бокс не был предустановлен. Роскомнадзор не приветствует предустановленные чек-боксы, поскольку согласие должно быть выражено ясно и сознательно, а не дано по невнимательности.

2. На сайте компании размещена форма для скачивания лид-магнита.

Здесь выбор зависит от целей использования полученных данных.

• Без рекламных рассылок. Если данные используются только для отправки лид-магнита и ведения статистики, достаточно указать: «Нажимая кнопку, вы соглашаетесь с обработкой данных согласно Политике конфиденциальности». Важно, чтобы эта цель была отражена в Политике. Чек-бокс в этом случае не обязателен.
• С рекламными рассылками. Если данные используются для дальнейших рекламных рассылок, необходимо получить явное согласие пользователя на это. В этом случае, помимо фразы «Нажимая кнопку, вы соглашаетесь с обработкой данных согласно Политике конфиденциальности», требуется непредзаполненный чек-бокс с чёткой формулировкой, например «Я согласен получать рекламные и информационные материалы от [Название компании]».

3. На лендинге компании размещена форма для регистрации на вебинар.

Как и в предыдущем случае, на оформление чек-бокса влияет цель использования данных.

• Только для участия. Если собираются только данные, необходимые для участия в вебинаре (имя, компания, емейл для отправки ссылки), чек-бокс не требуется. Будет достаточно фразы «Нажимая кнопку, вы соглашаетесь с обработкой данных согласно Политике конфиденциальности».
• Для рассылок и рекламы. Если собранные при регистрации данные будут использоваться для формирования базы рассылок и рекламы, необходимо предусмотреть отдельный непредзаполненный чек-бокс. Формулировка будет аналогичной чек-боксу для лид-магнитов с рассылками.

Мы подготовили наглядные примеры форм для разных ситуаций: регистрации, подачи заявки на услугу, подписки на рассылку и заказа товара. Сохраните PDF-файл, чтобы не нарушить закон и не перемудрить, а сделать всё как надо.

Что делать с исторической базой?

Если компания не получала согласия клиентов на обработку данных и на получение рекламных рассылок, то взаимодействие с ними в любом случае будет нарушением закона. Для обработки ПД оператор должен иметь основание (часть 1 статьи 6) — без него взаимодействовать с данными пользователей запрещено. Штраф для юрлиц — от 150 тысяч до 300 тысяч рублей (часть 1 статьи 13.11 КоАП).

Основанием могут служить:

1. согласие субъекта на обработку;
2. обработка с целью заключения договора с субъектом и по его инициативе, где субъект является выгодоприобретателем. Это относится, например, к формам для получения услуг;
3. необходимость обработки для выполнения функций, полномочий и обязанностей, которые возложены на оператора законодательством.

Механизм для рассылок аналогичен. Распространение рекламы по сетям электросвязи допускается только при предварительном согласии абонента или адресата на её получение (часть 1 статьи 18 закона «О рекламе»).

Штраф для юридических лиц за нарушение рекламного законодательства, в том числе за отсутствие прямого согласия на получение рекламы, — от 300 тысяч до 1 миллиона рублей (часть 4.1 статьи 14.3 КоАП РФ).

Итак, что же делать? Вот несколько рекомендаций.

Обработка персональных данных:

• Прекратите обработку данных лиц, не являющихся клиентами, то есть тех, с кем не заключён договор. Этих субъектов априори не должно было быть в базе, так как они и не клиенты, и не давали согласия.
• Добавьте формы согласия на обработку данных на сайт и в формы для отправки резюме и т. п.

Рассылка рекламы:

• Прекратите отправку рекламных материалов лицам, чьё согласие не было получено или было получено в ненадлежащей форме.
• Получите согласие в порядке, установленном законом. В частности, можно отправить по клиентской базе информационную рассылку. Расскажите в ней о возможности получать рекламные материалы и предоставьте пользователю возможность выразить своё согласие или отказ.

Например: «Наше агентство собирает интересные рекламные предложения. Предлагаем вам получать рекламные материалы от нас. Если вы согласны, поставьте галочку в чек-боксе [Чекбокс с согласием]».

Что ещё изменится в законе о персональных данных?

1 июля вступают в силу изменения в закон о ПД, указанные в ФЗ № 23 от 2 февраля 2025 года.

Один из ключевых моментов — подтверждение обязанности всех лиц, участвующих в обработке данных (обработчиков, субобработчиков), обеспечивать использование российских баз данных для сбора и дальнейшей обработки ПД.

До 1 июля 2025 года часть 5 статьи 18 обязывает оператора обеспечивать обработку «с использованием баз данных на территории РФ». На практике это не исключало использование иностранных сервисов, если уведомить Роскомнадзор о трансграничной передаче данных (часть 3 статьи 12).

Поправки в большей степени касаются уточнения субъектного состава такой обязанности: соблюдать требование о локализации обработки должны не только оператор, но и обработчики, и субобработчики. Фактически это скорее формализация существующих требований, чем введение принципиально новых ограничений.

Ответственность за невыполнение обязанности использовать базы на территории РФ на данный момент установлена КоАП (часть 8 статьи 13.11). Штраф для организаций — от 1 до 6 миллионов рублей.

Штраф за неуведомление о трансграничной передаче (статья 19.7 КоАП) — от 300 до 500 рублей для руководителя компании или ИП, от 3000 до 5000 рублей для компании.

Таким образом, с 1 июля 2025 года все операторы и любые обработчики должны осуществлять сбор ПД с обеспечением первичного их хранения в российских базах данных. По сути, это не является принципиально новым требованием. Создание «бэкапов» отечественной базы на зарубежных серверах не запрещено, если:

• уведомить РКН о трансграничной передаче данных,
• упомянуть этот факт в Политике конфиденциальности.

Несоблюдение любого из этих условий — нарушение законодательства о персональных данных.

Для CRM-маркетологов эти изменения скорее подтверждают и уточняют существующие практики. Основной акцент делается на необходимости начинать процесс сбора и обработки данных с использования российских серверов и баз. Это означает, что инструменты, применяемые для получения ПД клиентов, должны гарантировать первичное сохранение информации именно в российских базах.

Как правильно обрабатывать ПД при использовании Телеграма и WhatsApp?

Само по себе использование иностранных мессенджеров для коммуникации компаниям не запрещено — за исключением госучреждений, кредитных организаций, операторов связи и некоторых других категорий (федеральный закон № 41 от 1 апреля 2025).

Тем не менее здесь есть нюансы. Серверы иностранных мессенджеров могут находиться за границей. А это значит, что их использование для хранения и обработки данных может нарушать требования к локализации баз с ПД.

Как действовать?

1. Определите, являетесь ли вы в данной ситуации оператором ПД. Если пользователь сам направляет вам данные через мессенджер, то оператором, как правило, является сам мессенджер. Если же вы сами собираете ПД — например, через телеграм-бота — то оператором становитесь вы и обязаны соблюдать все требования закона о ПД.

2. Проверьте, где находятся серверы. Если сервер телеграм-бота находится в РФ, то нарушений локализации не возникает. Если же сервер расположен за пределами страны, необходимо перенести данные на российский ЦОД или использовать российские системы для работы с ПД.

3. Разработайте и разместите документы по обработке ПД. Обработка через мессенджер не отменяет требований закона о персданных. На каждой странице обработки ПД должна быть размещена Политика конфиденциальности, и у оператора должно быть законное основание для обработки (согласие, договор и т. д.).

   Техническая реализация зависит от сервиса и от процесса сбора данных. Например, если данные собираются через чат-бот, необходимо показывать пользователю плашку с текстом вроде «Оставаясь с нами, вы соглашаетесь на обработку ваших персональных данных в соответствии с Политикой конфиденциальности» и ссылкой на Политику на сайте. Если сайта нет, Политику нужно разместить прямо в чат-боте.

4. Получите согласие на рекламные рассылки (если делаете их). Для рассылки рекламы необходимо получить отдельное явно выраженное согласие.

   В мессенджерах это может быть сложнее, чем на сайте, где можно использовать чек-бокс. Ориентируйтесь на возможности платформы: можно ли добавить чек-бокс (например, в ТГ-боте). Если это невозможно, следует предусмотреть действие с активным подтверждением: например, отправить в ответном сообщении текст вроде «Я согласен получать рекламные и информационные рассылки» или поставить специальную реакцию. Оператору важно сохранять доказательства такого согласия (логи, скриншоты и т. д.), так как в случае чего доказывать его наличие придётся именно ему.